This is a short overview of the new finalized version of the Standard Contractual Clauses, issued by the European Commission on 4th June, 2021 and aiming to help companies legalise transfers of personal data outside of the EEA.
Представяме Ви кратък преглед на новата, окончателна версия на Стандартните договорни клаузи, публикувани от Европейската комисия на 04.06.2021 г., които имат за цел да подпомогнат дружествата да узаконят трансферите на лични данни извън Европейското икономическо пространство.

Bilyana L. Ruseva

NEWSLETTER
www.drp-legal.com

Нови Стандартни договорни клаузи
New Standard Contractual Clauses

На 4 юни 2021 Европейската комисия публикува дългоочакваните нови Стандартни договорни клаузи („СДК“ или „Клаузите“) във връзка с Общия регламент за защита на данните („ОРЗД“). Те се отнасят за трансфери на данни от администратори или обработващи на лични данни в Европейския съюз („ЕС“) и Европейското икономическо пространство („ЕИП“) или такива, по отношение на които на друго основание се прилага ОРЗД към администратори или обработващи лични данни, установени извън ЕС и ЕИП и за които не се прилага ОРЗД.

On June 4th, 2021 the European Commission issued the long awaited new Standard Contractual Clauses (“SCCs” or “The Clauses”) in relation to the General Data Protection Regulation (“GDPR”). They would apply to transfers of data from data controllers and data processors in the European Union (“EU”) and the European Economic Area (“EEA”) or such which are otherwise subject to GDPR to data controllers or data processors established outside of EU and EEA and which are not subject to the GDPR.

Новите СДК съобразяват развитието на практиката по прилагане на ОРЗД включително особеностите във връзка с делото „Шремс II“ и заменят старите СДК приети още по приложението на Директивата за защита на данните 95/46, които се прилагат и до ден днешен.

The new SCCs take into account the GDPR application practice development including the circumstances around the “SCHREMS II” law case and replace the old SCCs adopted during the application of the Data Protection Directive 95/46, which are applied to date.

Обхват на новите СДК:

Клаузите могат да се използват като инструмент за осъществяване на трансфери на лични данни към получател, който не е подчинен на разпоредбите на ОРЗД по своето национално право. Следва дебело да се подчертае, че ако получателят на данни макар и установен извън ЕС и ЕИП е подчинен на ОРЗД (например, защото обработва данни на субекти на данни в ЕС и ЕИП при предоставяне на стоки или услуги или осъществяване на наблюдение на тези субекти на данни), то тогава новите СДК няма да бъдат подходящ инструмент за осъществяване на трансфера.

Scope of the new SCCs

The Clauses could only be used as a transfer of personal data instrument towards a recipient which is not subject to the GDPR in accordance with its national legislation. Stressed firmly that means that if the recipient is subject to GDPR (e.g. processes data of EU and EEA data subjects in relation to providing goods or services or in performing monitoring of such data subjects), then the new SCC would not be a sufficient data transfer instrument.

Сценариите на трансфер, които могат да се осъществят чрез новите СДК са разширени, в сравнение с досегашните, които предлагаха само вариантите „администратор към обработващ“ и „администратор към администратор“. Новите клаузи комбинират общи разпоредби с варианти за уреждане на хипотезите на трансфер на данни при следните 4 варианта:

1) администратор към администратор,

2) администратор към обработващ,

3) обработващ към обработващ и

4) обработващ към администратор.

Transfer of data scenarios as per the new SCCs are expanded in comparison to those available as per the old SCCs, which only included the options “controller to controller” and “controller to processor”.

The new clauses combine general provisions with 4 scenarios to apply to transfer of data, as follows:

  • Controller to controller
  • Controller to processor
  • Processor to processor
  • Processor to controller.

Дружествата ще трябва да изберат най-удачната опция, спрямо спецификите на отношенията им, като СДК могат да се включат в друг договор или да бъдат сключени отделно. Към СДК могат да бъдат добавени и допълнителни разпоредби, стига да не засягат правата на субектите на данни.

The companies should choose the option which fits their legal relations best, and the SCCs could be included into another contract of concluded separately. Additional provisions could be added to the SCCs in case they not imperil the data subjects’ rights.

Преходен период. Новите СДК влизат в сила на 28.06.2021 г. (20 дни след обнародването в Официалния вестник на ЕС, осъществено на 07.06.2020 г.) Старите СДК се отменят три месеца след тази дата – на 28.09.2021 г.

Transition period: The new SCCs enter into legal force on 28th June 2021 (twenty days following their publication in the Official Journal of the EU on 07th June 2021). The old SCCs will be repealed three months after that date or on 28th September 2021.

При сключване на нови договори задължително се съобразяват новите СДК след изтичането на три месеца – след 28.09.2021 г.

The new SCCs should be applied in new contracts after the next three months from 28th September 2021.

Договорите, сключени преди датата на отмяната на старите СДК, трябва да се съобразят с новите СДК в срок до края на 2022 г. Това дава на дружествата разумен период от общо 18 месеца, за да се адаптират към разпоредбите на новите клаузи.

The contracts concluded before this date should be altered in order to comply with the new SCCs by the end of 2022. That gives the companies a reasonable period of 18 month to adapt to the provisions of the new SCCs.

Във връзка с делото „Шремс II

Страните ще трябва да гарантират, че доколкото им е известно към момента на подписването на договор, съобразен с новите СДК, приложимите към получателя законодателни разпоредби и практики на институциите (включително за  разкриване или  осигуряване на достъп до данни на публичните органи) не го препятстват да приложи СДК. Нещо повече – получателят на данни извън ЕС и ЕИК е длъжен да съобщи на контрагента си, ако смята, че няма да може да съобрази СДК. Включени са и стъпки, които получателят е длъжен да приложи в случай, че получи искане за разкриване на данни от публичен орган.

In relation to the Schrems II law case.

Relying on the Clauses the parties should warrant that to the best of their knowledge the legislation and practices applicable to the data recipient at the moment of concluding the contract, including any requirements around disclosure to, or access by, public authorities, do not prevent the recipient from complying with the New SCCs. Furhermore the data recipient outside of the EU and EEA shall be obliged to notify the other party if it cannot comply with the SCCs. Detailed steps are provided for the data recipient to take in case it receives a request for disclosure of personal data from a public authority.

In case you need any legal advice in regard to the above or if you have other data protection law queries, please contact us on the following telephone or e-mails /
В случай че имате нужда от правна консултация във връзка с горната информация или по други въпроси на правната регулация на защитата на личните данни, моля, свържете се с нас на следните телефон или имейли:
+359 (0)2 903 01 01
Ivelina Cherneva – Partner                       Bilyana L. Ruseva– Senior Associate
Ivelina.Cherneva@drp-legal.com            Bilyana.Ruseva@drp-legal.com

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.