SCCs (Standard Contractual Clauses) là gì?
SCCs, viết tắt của Standard Contractual Clauses (Điều khoản Hợp đồng Chuẩn), là bộ điều khoản hợp đồng mẫu do Ủy ban Châu Âu ban hành, cho phép các tổ chức chuyển dữ liệu cá nhân từ Khu vực Kinh tế Châu Âu (EEA) sang các quốc gia chưa được EU công nhận là có mức độ bảo vệ dữ liệu tương đương. Đây là cơ chế pháp lý được sử dụng rộng rãi nhất để hợp thức hóa việc truyền dữ liệu xuyên biên giới theo quy định GDPR.
Bộ SCCs hiện hành được Ủy ban Châu Âu cập nhật vào năm 2021, thay thế các phiên bản cũ và mở rộng phạm vi áp dụng cho nhiều mối quan hệ xử lý dữ liệu hơn, bao gồm controller-to-controller, controller-to-processor, processor-to-processor và processor-to-controller.
Tại sao SCCs quan trọng?
GDPR nghiêm cấm việc chuyển dữ liệu cá nhân của người dùng EU ra ngoài EEA trừ khi tổ chức có thể chứng minh rằng dữ liệu vẫn được bảo vệ ở mức tương đương. Khi một quốc gia đích chưa có quyết định đầy đủ (adequacy decision) từ EU, ví dụ như nhiều quốc gia ở châu Á, châu Phi, hay Mỹ Latin, thì SCCs trở thành lựa chọn thực tế và linh hoạt nhất.
Nếu không có SCCs hoặc cơ chế thay thế hợp lệ, hành vi chuyển dữ liệu có thể bị coi là vi phạm GDPR, dẫn đến các biện pháp cưỡng chế từ cơ quan bảo vệ dữ liệu (DPA), bao gồm lệnh tạm dừng xử lý dữ liệu hoặc phạt tài chính.
Cách áp dụng SCCs trong khuôn khổ GDPR
Để áp dụng SCCs đúng cách, tổ chức cần thực hiện các bước sau:
- Xác định vai trò các bên: Xác định rõ bên xuất dữ liệu (data exporter) và bên nhập dữ liệu (data importer) là controller hay processor.
- Chọn đúng module: Bộ SCCs 2021 gồm bốn module tương ứng với bốn mối quan hệ xử lý dữ liệu khác nhau.
- Ký kết hợp đồng: Tích hợp SCCs vào hợp đồng với bên thứ ba hoặc nhà cung cấp dịch vụ.
- Thực hiện Transfer Impact Assessment (TIA): Đánh giá xem luật pháp tại quốc gia đích có làm suy yếu mức bảo vệ mà SCCs cung cấp hay không, và nếu cần, bổ sung các biện pháp bảo vệ bổ sung (supplementary measures).
- Lưu trữ hồ sơ: Duy trì tài liệu chứng minh rằng SCCs đã được ký kết và TIA đã được thực hiện.
Ví dụ thực tế
Một công ty SaaS có trụ sở tại Việt Nam cung cấp dịch vụ cho khách hàng ở EU cần lưu trữ và xử lý dữ liệu người dùng EU trên máy chủ đặt tại Việt Nam. Vì Việt Nam chưa có adequacy decision từ EU, công ty cần ký SCCs module controller-to-processor với khách hàng EU trước khi bắt đầu xử lý bất kỳ dữ liệu nào. Ngoài ra, công ty cũng phải đánh giá liệu các quy định pháp lý của Việt Nam có ảnh hưởng đến khả năng thực thi các cam kết trong SCCs hay không.
SCCs và compliance automation
Việc quản lý SCCs theo cách thủ công, theo dõi từng hợp đồng, đảm bảo đúng module được sử dụng, và cập nhật khi có thay đổi pháp lý, đòi hỏi nguồn lực đáng kể, đặc biệt khi tổ chức làm việc với nhiều nhà cung cấp quốc tế cùng lúc. Các công cụ compliance automation giúp tập trung hóa việc theo dõi trạng thái SCCs, gắn cờ các hợp đồng cần cập nhật, và liên kết trực tiếp với hồ sơ xử lý dữ liệu.
pTrackly hỗ trợ các nhóm compliance theo dõi trạng thái SCCs trong danh sách nhà cung cấp và kết nối chúng với các luồng xử lý dữ liệu liên quan, giúp việc duy trì tuân thủ GDPR trở nên có hệ thống hơn.