GDPRの新版SCC(Standard Contractual Clauses)が2021/6/4にようやく公開された。

こちらはEEA域外移転用の新SCC ec.europa.eu

こちらはデータコントローラ～プロセッサー間の新SCC （域外移転があるかどうかにかかわらず） ec.europa.eu

今後各企業は旧SCCから新SCCへどう移行すればいいのか、以下のサイトが分かりやすかった。 portal.bizrisk.iij.jp

「新SCCについてあなたが知る必要のある10個のこと」 10 Things You Should Know About the New Standard Contractual Clauses | Orrick, Herrington & Sutcliffe LLP - JDSupra

域外移転用の新SCCは、以下の4通りの移転についてモジュラー構成になっているのが斬新。 * コントローラ ⇒ コントローラ * コントローラ ⇒ プロセッサー * プロセッサー ⇒ プロセッサー * プロセッサー ⇒ コントローラ

モジュラー構成になることで、複数の企業・組織が域外移転にかかわっている場合も、一本のSCCで対応でき、後から関与する企業・組織を追加できるようになったようだ。

また、最も重要な関心事は、いわゆるシュレムスII判決が新SCCにどう反映されたかだが、上記IIJの記事によれば新SCCは、旧SCCに書かれていなかった「補完的措置義務」を包含しているが、いずれにせよ措置義務に加えて・・・

移転先国における個人データ保護に関する法制度及びその運用について確認し、その評価結果を文書化し、当局の求めに応じてこのような評価文書を提出することを移転当事者に義務づける

・・・とのこと。実際の域外移転用の新SCCでいうと、Clause 14、Clause 15になる。

移転先の国ごとに、その国の個人データ保護法制を評価しなければいけないとは、非常に面倒くさい。

また、上記「新SCCについてあなたが知る必要のある10個のこと」によると、シュレムスII関連ではEDPBから近日中にrecommendationsが公開されるとのことで、その内容も参照した方がいいようだ。

旧SCCから新SCCへの移行は、旧SCCが3か月後に無効になり、そのあと猶予期間が15か月あるので、あわせて18か月後、つまり、2022年11月末～12月がデッドラインとのこと。