Zasady przekazywania danych osobowych do państw trzecich zostały określone w Ustawie o ochronie danych osobowych. Nowelizacja ze stycznia 2015 roku odformalizowała tę procedurę, wprowadzając do katalogu przesłanek legalizujących przekazanie danych do państwa trzeciego, oprócz modelowych klauzul umownych zatwierdzonych przez Komisję Europejską, o których była mowa w poprzednim artykule, tzw. wiążące reguły korporacyjne (binding corporate rules - BCR). Są to wewnętrzne zasady postępowania w zakresie ochrony danych osobowych przyjmowane w ramach międzynarodowych korporacji.
Planując transfer danych osobowych do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, gdy nie zachodzi żadna z ustawowych przesłanek legalizujących przekazanie (np. obowiązek nałożony na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej), co do zasady konieczne jest wystąpienie o wydanie decyzji zezwalającej do Generalnego Inspektora Danych Osobowych (GIODO). Od tej sytuacji nowelizacja wprowadziła jednak dwa wyjątki. Podobnie jak w przypadku zawarcia umowy transferowej opartej o modelowe klauzule umowne, zgoda GIODO nie będzie wymagana gdy administrator oprze transfer danych o zatwierdzone przez GIODO, prawnie wiążące zasady ochrony danych osobowych zwane „wiążącymi regułami korporacyjnymi”.
Skutek przyjęcia wiążących reguł korporacyjnych
Przyjęcie takich reguł do stosowania przez całą korporację będzie oznaczało, że wszyscy administratorzy danych należący do tej grupy kapitałowej będą mogli przekazywać między sobą dane osobowe bez uzyskiwania odrębnych zgód GIODO, jeżeli stosują te reguły. Na tej podstawie, dozwolone będzie również przekazanie tych danych podmiotowi przetwarzającemu dane na zlecenie administratora. Może się to odbyć wyłącznie na podstawie pisemnej umowy pomiędzy administratorem oraz „podwykonawcą”. Przetwarzanie danych przez ten podmiot może służyć jedynie dla celów wskazanych w umowie. Nie można zapomnieć o tym, że administrator wciąż pozostaje odpowiedzialnym za ochronę przetwarzanych danych.
Charakter wiążących reguł korporacyjnych
Wiążące reguły korporacyjne są instrumentem o charakterze prywatnoprawnym, który ma zagwarantować jednolity, wysoki poziom ochrony praw osób, których dane dotyczą w ramach ich przekazywania w ranach grupy przedsiębiorstw, rekompensując braki w zakresie ochrony danych osobowych na terytorium poszczególnych państw. W tym miejscu należy zaznaczyć, że w przepisach o ochronie danych osobowych, nie wyjaśniono czym jest grupa kapitałowa (grupa przedsiębiorstw). Przyjmując dla potrzeb obrotu szeroką definicję, można powiedzieć, że jest to grupa samodzielnych z prawnego punktu widzenia podmiotów (spółek), powiązanych organizacyjnie i finansowo. Takie grupy mogą liczyć od kilku do nawet kilkudziesięciu podmiotów.
Korzyści dla międzynarodowych korporacji
Z punktu widzenia międzynarodowej korporacji, ułatwienie procedury przekazywania danych osobowych do państw trzecich przy zastosowaniu wiążących reguł korporacyjnych może przynieść bardzo korzystne skutki, w postaci obniżenia kosztów oraz usprawnienia procesów zarządczych. Przyczyni się to również do zapewnienia wyższych standardów obsługi klientów oraz pomoże budować w ramach grupy kapitałowej jednolitą markę.
Stosowanie BCR jako okoliczność legalizująca transfer danych
Przed nowelizacją, posłużenie wiążącymi regułami korporacyjnymi nie powodowało, że przekazanie danych do państwa trzeciego, z mocy prawa było uznawane za odbywające się w warunkach adekwatnego poziomu ochrony. Mogło jedynie posłużyć za dowód w postępowaniu przed GIODO w sprawie wydania decyzji zezwalającej na transfer danych.
Zatwierdzenie wiążących reguł korporacyjnych przez GIODO
Obecnie, Generalny Inspektor Danych Osobowych zatwierdza uprzednio korporacyjne reguły w zakresie ochrony danych osobowych, co powoduje że w przypadku planowanego transferu nie ma konieczności ubiegania się o zgodę. Zatwierdzenie następuje w drodze decyzji administracyjnej. Z uwagi na fakt, że rozwiązanie takie obowiązuje również w innych krajach członkowskich UE, ustawa przewiduje, że GIODO przed zatwierdzeniem wiążących reguł korporacyjnych może przeprowadzić konsultacje z właściwymi organami ochrony danych osobowych państw, na których terytorium mają siedziby przedsiębiorcy należący do grupy kapitałowej. Wydając decyzje w sprawie zatwierdzenia, organ bierze pod uwagę wyniki tych konsultacji. Jeżeli wiążące reguły korporacyjne były przedmiotem rozstrzygnięcia organu ochrony danych osobowych innego państwa, GIODO może uwzględnić to rozstrzygnięcie. Należy jednak podkreślić, że organ nie będzie związany jego treścią. Okoliczność wcześniejszego wydania takiego rozstrzygnięcia może jednak znacznie uprościć postępowanie dowodowe i ułatwić zatwierdzenie w Polsce reguł uprzednio zatwierdzonych w innym kraju UE.
Autor: Karina Wronka