Aktualizované standardní smluvní doložky

Aktualizované standardní smluvní doložky

2. září 2021
Předmět Tax Alert
Kategorie Právo

Evropská komise přijala dne 4. června 2021 prováděcí rozhodnutí 2021/914 o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle nařízení Evropského parlamentu a Rady 2016/679 („GDPR“), a také prováděcí rozhodnutí 2021/915 o standardních smluvních doložkách mezi správci a zpracovateli. Obě rozhodnutí Komise obsahují v příloze nové znění tzv. standardních smluvních doložek („SCC“).

SCC pro předávání osobních údajů do třetích zemí

V rámci Evropské unie platí volný pohyb osobních údajů. Když chtějí správci či zpracovatelé osobních údajů z Evropské unie předávat údaje do třetích zemí, musí nejprve zjistit, zda tato země zaručuje dostatečnou úroveň ochrany, tedy zda Komise vydala pro danou zemi příslušné rozhodnutí. Rozhodnutí o odpovídající úrovni ochrany osobních údajů platí aktuálně například pro Švýcarsko, Velkou Británii, Kanadu či Japonsko.

V případě, že rozhodnutí o odpovídající ochraně vydáno nebylo, jako je tomu například u Spojených států amerických, musí správce či zpracovatel z Evropské unie před předáním osobních údajů do takové země přijmout dodatečná opatření. Nejčastěji používaným opatřením je právě uzavření SCC s příjemcem osobních údajů ve třetí zemi; dále lze využít například závazných podnikových pravidel.

Důvody přijetí nových SCC pro předávání osobních údajů do třetích zemí

Nové SCC mají usnadnit předávání osobních údajů správcům nebo zpracovatelům usazeným ve třetí zemi a zajistit vhodné záruky pro mezinárodní předávání osobních údajů tak, aby úroveň ochrany byla v zásadě rovnocenná úrovni ochrany zaručené v Evropské unii. Postupně nahradí dosud používané SCC vycházející ze směrnice Evropského parlamentu a Rady 95/46/ES, kterou v květnu 2018 nahradilo GDPR.

Aktualizované SCC kombinují obecná ustanovení s modulárním přístupem. To znamená, že obsahují (i) ustanovení, která mají zůstat nezměněna bez ohledu na smluvní strany, které SCC uzavírají, a (ii) ustanovení, která mají být přidána či odebrána ze smlouvy v závislosti na smluvních stranách, které SCC uzavírají (správce a správce, správce a zpracovatel, zpracovatel a správce, nebo zpracovatel a zpracovatel).

Od kdy se nové SCC pro předávání osobních údajů do třetích zemí použijí

Dle rozhodnutí Komise bylo možné nové SCC užívat od 27. června 2021. Komise zároveň určila dvě období pro používaní staršího znění SCC. Prvním milníkem je 27. září 2021, a to s tím, že do tohoto data mohou správci a zpracovatelé nadále uzavírat starší znění SCC. SCC staršího znění uzavřené před 27. zářím 2021 se dle Rozhodnutí Komise považují za SCC poskytující vhodné záruky až do 27. prosince 2022, za předpokladu, že operace zpracování, které jsou předmětem SCC staršího znění, zůstávají beze změny a že spoléhání se na tyto doložky zajistí, že se na předávání osobních údajů budou vztahovat vhodné záruky.

Od 27. prosince 2022 se dle Rozhodnutí Komise očekává, že správci a zpracovatelé, při předávání osobních údajů do třetích zemí, plně přejdou na nové SCC. Nejpozději do 27. prosince 2022 bude tedy nutné veškeré SCC staršího znění uzavřené před 27. zářím 2021 dodatkovat či ukončit a nahradit je uzavřením nových SCC.

SCC k využití mezi správci a zpracovateli

V případech, kdy správce nepoužívá při zpracování osobních údajů jen své vlastní zaměstnance, ale i třetí subjekty v postavení zpracovatele, vzniká mu dle GDPR řada povinností. Jednou z nich je i povinnost uzavřít smlouvu o zpracování osobních údajů (případně jiný právní akt) s náležitostmi stanovenými v článku 28 GDPR.

Konkrétnější návod, jak má smlouva o zpracování osobních údajů vypadat, aby splňovala všechny požadavky GDPR, dosud správci neměli. Po vydání nového rozhodnutí Komise mohou za tímto účelem využít nové vzorové SCC, tedy jednoduchou smlouvu o zpracování osobních údajů, na kterou se mohou spolehnout. Nové SCC jsou navíc do jisté míry variabilní, kdy je smluvním stranám ponechána volba např. režimu jmenování dalších zpracovatelů apod.

Využití vzorových SCC ve vztahu mezi správcem a zpracovatelem není povinné. Správce a zpracovatel se tak při navázání smluvního vztahu mohou rozhodnout, zda spolu sjednají individuální smlouvu s obsahem vyhovujícím požadavkům GDPR, nebo zda zcela nebo zčásti využijí nové SCC přijaté v rámci rozhodnutí Komise. Pokud již smlouvu dle požadavků GDPR sjednanou mají, není nutné ji z důvodu vydání nových SCC měnit. Nicméně alespoň základní kontrolu obsahu uzavřených smluv podle nových SCC lze jen doporučit.

V případě jakýchkoli otázek k tématu osobních údajů se prosím obraťte na autory článku nebo na další členy advokátní kanceláře EY Law či týmu EY, se kterým spolupracujete.

Autoři:

Barbora Suchá

Kryštof Chmelan

  • Tax Alert - English version

    Updated Standard Contractual Clauses

    On 4 June 2021, the European Commission adopted Commission Implementing Decision (EU) 2021/914 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council (“GDPR”)  and also Commission Implementing Decision (EU) 2021/915 on standard contractual clauses between controllers and processors. Both Commission Decisions include in enclosures an updated wording of the so-called Standard Contractual Clauses (“SCC”).

    SCC for the transfer of personal data to third countries

    In the European Union the principle of free movement of personal data applies. When controllers or processors of personal data from the European Union want to transfer data to third countries, they must first assess whether that country guarantees a sufficient level of data protection, i.e. whether the Commission has issued a respective decision for that country. The decision on the adequate level of personal data protection currently applies, for example, to Switzerland, UK, Canada, or Japan.

    In the event that a decision on adequate protection has not been issued, as is the case of the United States of America, the controller or processor from the European Union must adopt additional measures before transferring personal data to such a country. The most commonly used measures include conclusion of SCC with a recipient of personal data in a third country; furthermore, for example, binding corporate rules may be used.

    Reasons for adopting new SCC for the transfer of personal data to third countries

    The new SCC are intended to facilitate the transfer of personal data to controllers or processors seated in a third country and to provide adequate safeguards for international transfer of personal data so that the level of protection is in principle equivalent to that guaranteed in the European Union. They will gradually replace the previously used SCC based on the Directive 95/46/EC of the European Parliament and of the Council, which was replaced by the GDPR in May 2018.

    The updated SCC combine general provisions with a modular approach. It means that they contain (i) provisions to remain unchanged regardless of the contracting parties concluding the SCC and (ii) provisions to be added or removed from the agreement depending on the parties concluding the SCC (controller and controller, controlled and processor, processor and controller or processor and processor).

    When the new SCC shall be used for the transfer of personal data to third countries

    According to the Commission’s Decision, the new SCC could have been used from 27 June 2021. At the same time, the Commission has set two deadlines for the allowed use of the older version of the SCC. The first milestone is 27 September 2021, by that date the controllers and processors may still conclude the older version of the SCC. As per the Commission’s Decision, the older version of the SCC concluded before 27 September 2021 are considered to be SCC providing adequate safeguards up to  27 December 2022, provided that the processing operations which are the subject of the older SCC remain unchanged and that reliance on these clauses will ensure that the transfer of personal data is subject to adequate safeguards.

    According to the Commission Decision, starting from 27 December 2022, , the controllers and processors are expected to fully switch to the new SCC when transferring personal data to third countries. Therefore, it will be necessary to amend or terminate the SCC concluded before 27 September 2021 and replaced them with the new SCC by 27 December 2022 at latest.

    SCC to be used between Controller and Processors

    In cases where the controller uses not only its own employees but also third parties in the position of processors when processing personal data, a number of obligations arise to the controller according to the GDPR. One of them is the obligation to make an agreement for the processing of personal data (or another legal act) with the requirements set out in Article 28 of the GDPR.

    Up until recently, the controllers have not had more specific guidance on what a personal data processing agreement should look like to meet all the GDPR requirements. Following the new Commission Decision, the controllers can use new model SCC for this purpose, i.e. a simple personal data processing agreement on which they can rely. In addition, the new SCC are to some extent variable, where the contracting parties are left with the choice of, for example, the regime of appointing other processors, etc.

    The use of model SCC in the relationship between the controller and the processor is not mandatory. Thus, when establishing a contractual relationship, the controller and the processor may decide to make an individual contract with GDPR-compliant content or to use, in whole or in part, the new SCC adopted under the Commission Decision. If they already have an agreement in accordance with the GDPR requirements, it is not necessary to change it as a result of the new SCC issue. However, at least a basic check of the content of the concluded agreements according to the new SCC can only be recommended.

    If you have any questions on the topic of personal data, please contact the authors of the article or other members of EY Law or your regular EY team.

    Authors:

    Barbora Suchá

    Kryštof Chmelan