Wiążące reguły korporacyjne – łatwy sposób na transgraniczne przekazywanie danych?

PRZEKAZYWANIE DANYCH POZA UNIĘ EUROPEJSKĄ – PODSTAWOWE ZASADY

Bez wątpienia przepływ danych do państw spoza Unii Europejskiej jest niezbędnym warunkiem rozwoju handlu międzynarodowego. Niestety, transfer danych osobowych do podmiotów gospodarczych znajdujących się poza Unią Europejską może się wiązać z odrębną kategorią ryzyk, które nie zawsze są właściwie oceniane przez administratora danych. Mogą one dotyczyć nie tylko innego stopnia ochrony danych osobowych obowiązującego w państwach trzecich, ale również być związane z odrębnymi (być może większymi) uprawnieniami organów administracji publicznej państwa trzeciego związanych z przetwarzaniem danych osobowych w państwach o innej jurysdykcji prawnej.

Ryzyko, które należy przeanalizować może dotyczyć także samej czynności przekazywania danych. Przyjmując przepisy dotyczące ochrony danych osobowych pracodawca unijny musiał stworzyć takie gwarancje, które zapewniają bezpieczeństwo przetwarzanych danych osobowych, nie utrudniając jednocześnie stosunków gospodarczych pomiędzy podmiotami znajdującymi się w państwach UE, a tymi z państw trzecich.

Zobacz również: Szacowanie ryzyka w zakresie RODO i DPIA. Jak do nich podejść?

Przekazywanie danych osobowych to nic innego jak odrębna forma przetwarzania danych, obejmująca każdą operację, w wyniku której dane osobowe zostaną fizycznie przekazane z państwa znajdującego się na terytorium Unii Europejskiej do państwa trzeciego tj. przekraczają jego granice. Przy kwalifikacji danej czynności jako przekazanie danych do państwa trzeciego lub organizacji międzynarodowej, nie ma znaczenia, czy przekazanie danych osobowych ma charakter jednorazowy (incydentalny), czy wielokrotny, sposób przekazywania, okres gromadzenia i przechowywania danych, forma prawna na podstawie której dochodzi do przekazania.

Przekazywanie danych poza Unię Europejską, a właściwie Europejski Obszar Gospodarczy na gruncie RODO jest obwarowane szeregiem restrykcji. Co do zasady jest ono zakazane, chyba, że odbywa się na podstawie przepisów zawartych w rozdziale V rozporządzenia. Przekazując dane poza Europejski Obszar Gospodarczy należy pamiętać, że to wciąż na administratorze danych spoczywa obowiązek zapewnienia odpowiedniego (adekwatnego) poziomu ochrony. Oznacza to, że w praktyce nie powinno się stosować środków organizacyjnych i technicznych, które nie zapewniają tak silnego stopnia ochrony jak stosowane u administratora danych.

W rozdziale V rozporządzenia zawarto kilka mechanizmów transferu, które mogą być wykorzystane przez administratora danych. Jednym z rozwiązań jest wykorzystanie wiążących reguł korporacyjnych, jednak nie znajdą one zastosowania u wszystkich administratorów danych.

Zobacz również: Incydent RODO. Jak sobie z nim poradzić?

WIĄŻĄCE REGUŁY KORPORACYJNE- KTO I KIEDY POWINIEN SIĘ NA NIE ZDECYDOWAĆ?

Artykuł 4 RODO definiuje wiążące reguły korporacyjne jako polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą.

Wiążące reguły korporacyjne mogą służyć do przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych. Są one środkami prawnymi, których celem jest zrekompensowanie niskiego stopnia ochrony danych w państwach trzecich, w których występuje część czynności procesu przetwarzania. Ich głównym zadaniem jest umożliwienie przekazywania danych osobowych do państw trzecich w ramach struktur korporacyjnych pomiędzy podmiotami powiązanymi organizacyjnie i kapitałowo. Wiążące reguły korporacyjne są jedną z najbardziej elastycznych form gwarancji przekazywania danych do państwa trzeciego przez przedsiębiorców.

Zobacz również: Inspektor Ochrony Danych (IOD) w firmie

Mogą być one szczególnie przydatne w praktyce obrotu kapitałowego pomiędzy międzynarodowymi podmiotami. Najczęściej wykorzystywane są przez duże, międzynarodowe podmioty, prowadzące swoją działalność zarówno w Unii Europejskiej jak i poza nią. Takie przedsiębiorstwa wymagają struktur, które globalizują procesy biznesowe, poprawiają funkcjonalność nowych technologii przetwarzania danych o klientach, pracownikach, podmiotach współpracujących, umożliwiając przekazywanie danych wewnątrz grupy kapitałowej.

Często poprzez wykorzystanie wiążących reguł korporacyjnych dochodzi do dostosowania poziomu zabezpieczeń do poziomu wymaganego przez wszystkie państwa, w których działalność prowadzi danych podmiot i ustanowienia kultury zgodności. Dla dużych międzynarodowych grup kapitałowych, ściśle współpracujących w zakresie przetwarzania danych osobowych, pozostałe mechanizmy określone przez RODO często nie są wystarczające- nie zapewniają odpowiedniego stopnia elastyczności i możliwości swobodnego dopasowania ich do potrzeb konkretnego przedsiębiorstwa.

Wiążące reguły korporacyjne są również jednym z tańszych i najbardziej efektywnych sposobów zapewnienia odpowiedniego poziomu ochrony danych przekazywanych do państw trzecich. Uznaje się je za symbol pozytywnego i proaktywnego nastawienia grupy korporacyjnej w kwestii ochrony prywatności i danych osobowych. Skutkiem ubocznym wprowadzenia wiążących reguł korporacyjnych jest często podniesienie świadomości pracowników w zakresie ochrony danych osobowych – jednym z istotnych elementów wiążących reguł korporacyjnych jest wskazanie, w jaki sposób pracownicy spoza EOG są informowani o wymaganiach w tym zakresie oraz obowiązek okresowego przeszkolenia wszystkich osób, które mają do czynienia z przetwarzaniem danych osobowych w grupie kapitałowej.

Nawet w przypadku, gdy administrator przyjmie wiążące reguły korporacyjne, musi on dokonywać okresowego przeglądu sposobów przetwarzania danych osobowych w grupie kapitałowej, stosowanych środków ochrony oraz kategorii przetwarzanych danych. Administrator powinien poddawać się okresowym audytom przeprowadzanym przez niezależne podmioty oraz stale prowadzić szkolenia swoich pracowników i innych osób dopuszczonych do przetwarzania danych osobowych, tak aby zapewnić wysoki poziom ochrony danych osobowych określony w wiążących regułach korporacyjnych.

NAJWAŻNIEJSZE ZAŁOŻENIA, JAKIE MUSZĄ SPEŁNIĆ WIĄŻĄCE REGUŁY KORPORACYJNE

Wiążące reguły korporacyjne, aby mogły zostać wykorzystane do przekazania danych do państwa trzeciego muszą zostać zatwierdzone przez organ nadzorczy właściwy dla siedziby administratora danych. Konieczne jest, aby były one prawnie wiążące (tzn. aby wszystkie jednostki zrzeszone w grupie przedsiębiorstw były zobowiązane do ich stosowania). Muszą być one egzekwowane w praktyce przez wszystkich członków grupy przedsiębiorstw i ich pracowników. Konieczne jest również, aby wyraźnie przyznawały osobom, których dane dotyczą, egzekwowalne prawa w związku z przetwarzaniem ich danych osobowych.

Wiążące reguły korporacyjne powinny określać:

• strukturę i dane kontaktowe administratora i podmiotów przetwarzających dane;
• zasady przetwarzania danych osobowych w grupie kapitałowej w tym kategorie danych osobowych, rodzaj i cele przetwarzania, a także wskazanie państw do których dane są przekazywane;
• ich prawnie wiążący charakter, wewnętrzny i zewnętrzny; sposoby zastosowania ogólnych zasad ochrony danych; przyjęcie przez administratora lub podmiot przetwarzający posiadających jednostki organizacyjnej na terytorium państwa członkowskiego odpowiedzialności prawnej za naruszenie wiążących reguł korporacyjnych przez odnośnego członka niemającego jednostki organizacyjne w Unii;
• zadania inspektora ochrony danych wyznaczonego zgodnie z art. 37 RODO lub innej osoby lub podmiotu odpowiedzialnych za monitorowanie przestrzegania wiążących reguł korporacyjnych w ramach grupy kapitałowej oraz monitorowanie szkoleń i rozpatrywanie skarg; procedury dotyczące skarg;
• stosowane w grupie przedsiębiorstw lub w grupie przedsiębiorców prowadzących wspólną działalność gospodarczą mechanizmy zapewniające weryfikację przestrzegania wiążących reguł korporacyjnych;
• mechanizmy zgłaszania i rejestrowania zmian w zasadach i zgłaszania tych zmian organowi nadzorczemu;
• mechanizm współpracy z organem nadzorczym zapewniający przestrzeganie zasad przez wszystkich członków grupy kapitałowej;
• mechanizm zgłaszania właściwemu organowi nadzorczemu wszelkich wymogów prawnych, którym podlega w państwie trzecim członek grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą i które mogą mieć istotny niekorzystny wpływ na gwarancje przewidziane w wiążących regułach korporacyjnych.

Wiążące reguły korporacyjne w praktyce. Co warto uregulować w dokumencie BCR?

Rozporządzenie RODO zawiera jedynie przykładowy (minimalny) katalog elementów reguł BCR. W przypadku każdej firmy wdrożenie wiążących reguł korporacyjnych będzie wyglądało nieco inaczej, w zależności od profilu działalności przedsiębiorstwa oraz specyfiki realizowanych procesów. Przyjrzyjmy się przykładowej polityce BCR. Co warto w niej zawrzeć?

Przede wszystkim zakres stosowania BCR powinien określać rodzaje danych objętych regułami korporacyjnymi, a także cele ich przetwarzania. Może być to np.:

• zarządzanie danymi pracowników podczas inicjowania i realizacji umów o pracę,
• zawieranie, wykonywanie i rozwiązywanie umów z konsumentami oraz klientami biznesowymi,
• badanie rynku i reklama,
• zawieranie i wykonywanie umów z usługodawcami (np. podmiotami świadczącymi usługi księgowe, logistyczne, czy w zakresie IT).

Warto wskazać, że reguły BCR obowiązują spółki wchodzące w skład grupy również po ich wystąpieniu z tej grupy, o ile dotyczą danych już przekazanych. W stosunku do nowych danych przetwarzanie powinno być dopuszczalne wyłącznie po zapewnieniu właściwego poziomu ochrony danych.

Transparentność przetwarzania danych osobowych

W ramach przejrzystości przetwarzania danych spółka powinna zadbać o należyte informowanie podmiotów, które dane są przetwarzane o fakcie przetwarzania danych. Warto ujednolicić elementy, które powinny znaleźć się w takim zawiadomieniu. W szczególności będą to:

• tożsamość administratora i dane kontaktowe,
• dane kontaktowe Inspektora Ochrony Danych,
• cele i podstawa prawna przetwarzania danych oraz okres ich przetwarzania, w tym retencji,
• odbiorca, zakres i cele przekazywania danych, jeżeli trafiają one do podmiotów trzecich,
• prawa osób, których dane dotyczą w związku z przetwarzaniem danych.

Trzeba zadbać, aby wszystkie informacji zostały podany w zrozumiały i przystępny sposób. Dodatkowo należy określić, jakie informacje znajdą się w rejestrze czynności przetwarzania, rejestrze kategorii czynności przetwarzania.

Warunki dopuszczalności przetwarzania danych osobowych

Reguły BCR powinny określać podstawy, na jakich podmiot może przetwarzać dane osobowe, a także wskazać, że zadania te będą realizowane z ograniczeniem celu. W przypadku zgody, która z reguły będzie najczęstszą podstawą przetwarzania danych, wypada zwrócić uwagę warunki, jakie zgoda musi spełnić. Jeżeli administrator dopuszcza możliwość wyrażenia zgody w formie ustnej ten fakt, podobnie jak szczególne okoliczności, które uniemożliwiły złożenie oświadczenia woli w innej formie, powinny zostać należycie udokumentowane.

W przypadku, kiedy stosuje się zautomatyzowane przetwarzanie danych, osoby, względem których podjęto decyzję na podstawie działania algorytmu powinny niezwłocznie otrzymać informacje o wyniku zautomatyzowanej decyzji i mieć zagwarantowane prawo do zgłaszania uwag, które zostaną rozpatrzone przez człowieka przed podjęciem decyzji ostatecznej.

Jeżeli spółka planuje przetwarzać szczególne kategorie danych osobowych, należy zadbać o dochowanie odpowiedniej podstawy, a także poinformować o tym fakcie Administratora Ochrony danych i udokumentować przetwarzanie.

Inną dobrą praktyką często spotykaną w BCR jest ochrona danych osobowych poprzez usuwanie cech identyfikujących osoby, których dane dotyczą (anonimizacja) kiedy jest to możliwe lub zastępowanie tych cech innymi cechami charakterystycznymi (pseudonimizacja).

Warunki przekazywania danych innym podmiotom

W BCR można też określić warunki, pod jakimi dopuszczalne jest przekazanie danych osobowych innym podmiotom. Do przykładowych przesłanek można zaliczyć:

• samodzielne określanie celów i sposobów przetwarzania danych przez odbiorcę,
• przetwarzanie danych przez odbiorcę wyłącznie w imieniu administratora,
• przetwarzanie danych wyłącznie w celach dopuszczalnych w świetle BCR,
• ustalenie przez administratora z odbiorcą warunków przetwarzania danych, w tym bezpieczeństwo takich procesów przed rozpoczęciem przetwarzania.

Kluczowe znaczenie dla legalności przetwarzania poza EOG ma to, czy odbiorca jest w stanie wypełnić warunki, o których mowa w RODO. Gwarancja może polegać na realizacji założeń BCR, stosowaniu standaryzowanych klauzul umownych UE lub indywidualnych umów, które wypełniają założenia RODO i gwarantują osobom, których dane dotyczą możliwość egzekwowania przysługujących im uprawnień.

W praktyce może zdarzyć się tak, że władze danego kraju będą miały dostęp do danych przetwarzanych przez odbiorcę. W takiej sytuacji odbiorca powinien jak najszybciej powiadomić administratora o tym fakcie. Jeżeli przekazanie stosownej informacji jest od zwolnienia z zakazu, odbiorca powinien zwolnienie możliwie szybko uzyskać, a przynajmniej udokumentować starania w tym zakresie. Jeżeli organ nadzorczy składa wniosek o wgląd w dane osobowe, odbiorca powinien przeanalizować daną sytuację od strony prawnej i ustalić, czy od takiego wniosku uzasadnione jest złożenie sprzeciwu.

Ochrona bezpieczeństwa danych

Wiążące reguły korporacyjne powinny wskazywać też, jakie środki podejmuje administrator w celu ochrony danych osobowych. Oczywiście nie trzeba wskazywać na konkretne technologie, czy certyfikaty, są to bowiem detale objęte tajemnicą przedsiębiorstwa. Niemniej jednak warto określić konkretne kategorie zabezpieczeń, jak:

• kontrola dostępu fizycznego,
• kontrola dostępu, czyli zabezpieczenie przed nieautoryzowanym wykorzystaniem informacji,
• kontrola przekazywania danych (np. poprzez możliwość jednoznacznego ustalenia odbiorców),
• kontrola wprowadzania danych,
• kontrola podmiotu przetwarzającego,
• kontrola dostępności i integralności danych.

Dodatkowo warto wdrożyć rozwiązania techniczne, które gwarantują możliwość odrębnego przetwarzania danych zbieranych w różnych celach.

Odrębna sekcja BCR powinna być przeznaczona na omówienie organizacyjnych kwestii ochrony danych. W tej części mogą znaleźć się informacje dotyczące kwalifikacji IOD, częstotliwości szkoleń pracowników, czy zasad przekazywania informacji o zmianach w wiążących regułach korporacyjnych oraz wytycznych organu nadzoru do poszczególnych członków grupy. Jeżeli grupa wyznacza jednego IOD centralnego oraz administratorów dla poszczególnych podmiotów, trzeba dokładnie określić zasady ich współpracy.

PODSUMOWANIE

Zgodnie z art. 56 ustawy o ochronie danych osobowych, Prezes Urzędu Ochrony Danych Osobowych zatwierdza wiążące reguły korporacyjne w drodze decyzji. Wniosek o zatwierdzenie wiążących reguł korporacyjnych powinien spełniać minimalne wymagania dotyczące wniosków określone w przepisach prawa administracyjnego oraz zawierać projekt wiążących reguł korporacyjnych.

Zobacz również: Szkolenie z RODO

Jak możemy Ci pomóc?

Wiążące reguły korporacyjne to znacznie więcej, niż tylko powtórzenie treści RODO. Dokument BCR można porównać do regulaminu pracy w dużej firmie, ponieważ jego zadaniem jest prawidłowa organizacja procesów związanych z ochroną danych osobowych.

Kancelaria Prawna RPMS oferuje kompleksowe wsparcie w zakresie obsługi BCR. Układamy wiążące reguły korporacyjne z uwzględnieniem specyfiki działalności klienta, regularnie je audytujemy. Zapewniamy spójność regulacji na poziomie podmiotów tworzących grupę kapitałową. Pomagamy zarządzać ryzykiem RODO i reprezentujemy podmioty gospodarcze w postępowaniach kontrolnych.

Zaufali nam