GDPRに関連する欧州委員会による新しい標準契約条項(Standard Contractual clauses )の導入について
GDPRに関連する欧州委員会による新しい標準契約条項(Standard Contractual clauses )の導入についてニュースレターを発行しました。 PDF版は以下からご確認ください。
→One Asia Lawyers コンプライアンスニューズレター(2021年6月号)
GDPRに関連する欧州委員会による新しい標準契約条項(Standard Contractual clauses )の導入
1 はじめに
2021年6月4日、欧州委員会は、GDPR (EU一般データ保護規則、General Data Protection Regulation)の下で、新たな要求事項と、欧州連合司法裁判所によるSchrems II(Data Protection Commissioner v. Facebook Ireland Limited, Maximillian Schrems (C-311/18))の判決を反映した2つの新しい標準契約条項(Standard Contractual
Clauses)が発行されました。一つは個人データの第三国への移転に関するSCC、もう一つは管理者と処理者の間での使用に関するSCCです。
欧州連合の標準契約条項は、標準化され、事前に承認されたモデルデータ保護条項であり、任意で契約書に組み込むことができ、データ保護要件を遵守するための容易に実施できるツールとなっており、数多くの企業が一般的に利用しているものとなっております。
2 第三国への個人情報の移転に関する新SCCがもたらす主な変更点
(1) モジュール方式の変更
更新されたSCCは、以下の4つの異なるモジュールを規定しています。
・管理者から管理者への移転 ・管理者から処理者への移転 ・処理者から処理者への移転 ・処理者から管理者への転送
従来は、処理者から処理者への転送・処理者から管理者への転送は考慮されていませんでした。4つの異なるモジュールを採用することにより、複雑なチェーンの処理にも柔軟に対応できるようになっております。
(2)複数の署名者・Docking Clause の選択肢の変更
以前のSCCでは、1社のデータ輸出者と1社のデータ輸入者のみが署名者となることができました。しかし、今後は2社以上の当事者が参加し、SCCの条項を使用することが可能になります。
さらに、新しいSCCの任意の Docking Clauseは、すべての当事者の合意に基づき、SCCの締結後でも新たな当事者を署名者として追加することができ、新たな当事者が追加されるたびにSCCを再締結する必要がなくなりました。
(3)移転影響評価の導入(Schrems II 判決の反映)
Schrems II の欧州連合司法裁判所の判決を受け、新しいSCCでは文書化が必要な移転影響評価を要求しています。これには、データを輸入する国の法律が提供するデータ保護レベルの評価と、データがGDPRの必要な基準で保護されていることを保証するために「補足事項」(‘supplementary measures’) (暗号化など)を実施する必要があるかどうかの判断が含まれています。
新しいSCCの 第15項(Clause 15)においては、データ輸入者が公的機関から法的拘束力のある要求を受けた場合、またはSCCに従って移転された個人データに公的機関が直接アクセスしていることを知った場合、データ輸出者(可能であればデータ対象者も)に速やかに通知することが求められています。
(4)データのセキュリティを確保するための技術的および組織的措置の実施
新しいSCCの附属書IIでは、(上記の)モジュールごとに、実施された技術的・組織的措置の詳細な説明を記載することが求められています。これには、個人データの偽名化や暗号化などの対策が含まれています。
3 管理者と処理者の間で使用する新しいSCC
上記に加えて、欧州委員会は、GDPR第28条への準拠を保証するSCCを新たに発行しました。この条文においては、データ管理者とデータ処理者の間のデータ処理契約に関する規定を定めています。
第三国へのデータ移転のための新しいSCCには、第28条の処理者条項が組み込まれているため、これらの新しいSCCを締結する管理者は、GDPR第28条を遵守するために処理者に個別の契約上の措置を課す必要はありません。これにより、将来的には当事者間の交渉も簡素化されることが見込まれています。
4 移行時期について
現在、従来の標準契約条項を使用している管理者および処理者は、新しいSCCに移行するまでに約18ヶ月を要するものとされています。
2021年9月下旬(推定)には、既存のSCCは今後使用することができなくなり、SCCに依存するすべての新しいデータ移転は、GDPRに準拠するために新しいSCCを使用しなければなりません。
このため、企業・組織は、2022年12月下旬(推定)までに新しいSCCを導入し、既存のSCCの使用を完全に停止しなければならないため注意が必要となります。