Wiążące reguły korporacyjne – łatwy sposób na transgraniczne przekazywanie danych?

PRZEKAZYWANIE DANYCH POZA UNIĘ EUROPEJSKĄ – PODSTAWOWE ZASADY

Bez wątpienia przepływ danych do państw spoza Unii Europejskiej jest niezbędnym warunkiem rozwoju handlu międzynarodowego. Niestety, transfer danych osobowych do podmiotów gospodarczych znajdujących się poza Unią Europejską może się wiązać z odrębną kategorią ryzyk, które nie zawsze są właściwie oceniane przez administratora danych. Mogą one dotyczyć nie tylko innego stopnia ochrony danych osobowych obowiązującego w państwach trzecich, ale również być związane z odrębnymi (być może większymi) uprawnieniami organów administracji publicznej państwa trzeciego związanych z przetwarzaniem danych osobowych w państwach o innej jurysdykcji prawnej.

Ryzyko, które należy przeanalizować może dotyczyć także samej czynności przekazywania danych. Przyjmując przepisy dotyczące ochrony danych osobowych pracodawca unijny musiał stworzyć takie gwarancje, które zapewniają bezpieczeństwo przetwarzanych danych osobowych, nie utrudniając jednocześnie stosunków gospodarczych pomiędzy podmiotami znajdującymi się w państwach UE, a tymi z państw trzecich.

Przekazywanie danych osobowych to nic innego jak odrębna forma przetwarzania danych, obejmująca każdą operację, w wyniku której dane osobowe zostaną fizycznie przekazane z państwa znajdującego się na terytorium Unii Europejskiej do państwa trzeciego tj. przekraczają jego granice. Przy kwalifikacji danej czynności jako przekazanie danych do państwa trzeciego lub organizacji międzynarodowej, nie ma znaczenia, czy przekazanie danych osobowych ma charakter jednorazowy (incydentalny), czy wielokrotny, sposób przekazywania, okres gromadzenia i przechowywania danych, forma prawna na podstawie której dochodzi do przekazania.

Przekazywanie danych poza Unię Europejską, a właściwie Europejski Obszar Gospodarczy na gruncie RODO jest obwarowane szeregiem restrykcji. Co do zasady jest ono zakazane, chyba, że odbywa się na podstawie przepisów zawartych w rozdziale V rozporządzenia. Przekazując dane poza Europejski Obszar Gospodarczy należy pamiętać, że to wciąż na administratorze danych spoczywa obowiązek zapewnienia odpowiedniego (adekwatnego) poziomu ochrony. Oznacza to, że w praktyce nie powinno się stosować środków organizacyjnych i technicznych, które nie zapewniają tak silnego stopnia ochrony jak stosowane u administratora danych.

W rozdziale V rozporządzenia zawarto kilka mechanizmów transferu, które mogą być wykorzystane przez administratora danych. Jednym z rozwiązań jest wykorzystanie wiążących reguł korporacyjnych, jednak nie znajdą one zastosowania u wszystkich administratorów danych.

WIĄŻĄCE REGUŁY KORPORACYJNE- KTO I KIEDY POWINIEN SIĘ NA NIE ZDECYDOWAĆ?

Artykuł 4 RODO definiuje wiążące reguły korporacyjne jako polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą.

Wiążące reguły korporacyjne mogą służyć do przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych. Są one środkami prawnymi, których celem jest zrekompensowanie niskiego stopnia ochrony danych w państwach trzecich, w których występuje część czynności procesu przetwarzania. Ich głównym zadaniem jest umożliwienie przekazywania danych osobowych do państw trzecich w ramach struktur korporacyjnych pomiędzy podmiotami powiązanymi organizacyjnie i kapitałowo. Wiążące reguły korporacyjne są jedną z najbardziej elastycznych form gwarancji przekazywania danych do państwa trzeciego przez przedsiębiorców.

Mogą być one szczególnie przydatne w praktyce obrotu kapitałowego pomiędzy międzynarodowymi podmiotami. Najczęściej wykorzystywane są przez duże, międzynarodowe podmioty, prowadzące swoją działalność zarówno w Unii Europejskiej jak i poza nią. Takie przedsiębiorstwa wymagają struktur, które globalizują procesy biznesowe, poprawiają funkcjonalność nowych technologii przetwarzania danych o klientach, pracownikach, podmiotach współpracujących, umożliwiając przekazywanie danych wewnątrz grupy kapitałowej.

Często poprzez wykorzystanie wiążących reguł korporacyjnych dochodzi do dostosowania poziomu zabezpieczeń do poziomu wymaganego przez wszystkie państwa, w których działalność prowadzi danych podmiot i ustanowienia kultury zgodności. Dla dużych międzynarodowych grup kapitałowych, ściśle współpracujących w zakresie przetwarzania danych osobowych, pozostałe mechanizmy określone przez RODO często nie są wystarczające- nie zapewniają odpowiedniego stopnia elastyczności i możliwości swobodnego dopasowania ich do potrzeb konkretnego przedsiębiorstwa.

Wiążące reguły korporacyjne są również jednym z tańszych i najbardziej efektywnych sposobów zapewnienia odpowiedniego poziomu ochrony danych przekazywanych do państw trzecich. Uznaje się je za symbol pozytywnego i proaktywnego nastawienia grupy korporacyjnej w kwestii ochrony prywatności i danych osobowych. Skutkiem ubocznym wprowadzenia wiążących reguł korporacyjnych jest często podniesienie świadomości pracowników w zakresie ochrony danych osobowych – jednym z istotnych elementów wiążących reguł korporacyjnych jest wskazanie, w jaki sposób pracownicy spoza EOG są informowani o wymaganiach w tym zakresie oraz obowiązek okresowego przeszkolenia wszystkich osób, które mają do czynienia z przetwarzaniem danych osobowych w grupie kapitałowej.

Nawet w przypadku, gdy administrator przyjmie wiążące reguły korporacyjne, musi on dokonywać okresowego przeglądu sposobów przetwarzania danych osobowych w grupie kapitałowej, stosowanych środków ochrony oraz kategorii przetwarzanych danych. Administrator powinien poddawać się okresowym audytom przeprowadzanym przez niezależne podmioty oraz stale prowadzić szkolenia swoich pracowników i innych osób dopuszczonych do przetwarzania danych osobowych, tak aby zapewnić wysoki poziom ochrony danych osobowych określony w wiążących regułach korporacyjnych.

NAJWAŻNIEJSZE ZAŁOŻENIA, JAKIE MUSZĄ SPEŁNIĆ WIĄŻĄCE REGUŁY KORPORACYJNE

Wiążące reguły korporacyjne, aby mogły zostać wykorzystane do przekazania danych do państwa trzeciego muszą zostać zatwierdzone przez organ nadzorczy właściwy dla siedziby administratora danych. Konieczne jest, aby były one prawnie wiążące (tzn. aby wszystkie jednostki zrzeszone w grupie przedsiębiorstw były zobowiązane do ich stosowania). Muszą być one egzekwowane w praktyce przez wszystkich członków grupy przedsiębiorstw i ich pracowników. Konieczne jest również, aby wyraźnie przyznawały osobom, których dane dotyczą, egzekwowalne prawa w związku z przetwarzaniem ich danych osobowych.

Wiążące reguły korporacyjne powinny określać:

• strukturę i dane kontaktowe administratora i podmiotów przetwarzających dane;
• zasady przetwarzania danych osobowych w grupie kapitałowej w tym kategorie danych osobowych, rodzaj i cele przetwarzania, a także wskazanie państw do których dane są przekazywane;
• ich prawnie wiążący charakter, wewnętrzny i zewnętrzny; sposoby zastosowania ogólnych zasad ochrony danych; przyjęcie przez administratora lub podmiot przetwarzający posiadających jednostki organizacyjnej na terytorium państwa członkowskiego odpowiedzialności prawnej za naruszenie wiążących reguł korporacyjnych przez odnośnego członka niemającego jednostki organizacyjne w Unii;
• zadania inspektora ochrony danych wyznaczonego zgodnie z art. 37 RODO lub innej osoby lub podmiotu odpowiedzialnych za monitorowanie przestrzegania wiążących reguł korporacyjnych w ramach grupy kapitałowej oraz monitorowanie szkoleń i rozpatrywanie skarg; procedury dotyczące skarg;
• stosowane w grupie przedsiębiorstw lub w grupie przedsiębiorców prowadzących wspólną działalność gospodarczą mechanizmy zapewniające weryfikację przestrzegania wiążących reguł korporacyjnych;
• mechanizmy zgłaszania i rejestrowania zmian w zasadach i zgłaszania tych zmian organowi nadzorczemu;
• mechanizm współpracy z organem nadzorczym zapewniający przestrzeganie zasad przez wszystkich członków grupy kapitałowej;
• mechanizm zgłaszania właściwemu organowi nadzorczemu wszelkich wymogów prawnych, którym podlega w państwie trzecim członek grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą i które mogą mieć istotny niekorzystny wpływ na gwarancje przewidziane w wiążących regułach korporacyjnych.

PODSUMOWANIE

Zgodnie z art. 56 ustawy o ochronie danych osobowych, Prezes Urzędu Ochrony Danych Osobowych zatwierdza wiążące reguły korporacyjne w drodze decyzji. Wniosek o zatwierdzenie wiążących reguł korporacyjnych powinien spełniać minimalne wymagania dotyczące wniosków określone w przepisach prawa administracyjnego oraz zawierać projekt wiążących reguł korporacyjnych.