Wiążące reguły korporacyjne

Przepisy dotyczące wiążących reguł korporacyjnych funkcjonowały już na gruncie starej ustawy o ochronie danych osobowych, jako jedna z możliwości przekazywania danych osobowych w ramach grupy kapitałowej z państw UE do państw trzecich. Wiążące reguły korporacyjne to zestaw dokumentów, które mają zagwarantować odpowiedni poziom ochrony przekazywanych danych osobowych. RODO doprecyzowuje tę kwestię.

Z mechanizmu tego korzystać mogą zarówno administratorzy danych, jak i podmioty przetwarzające. Zgodnie z art. 4 pkt 20 „wiążące reguły korporacyjne” są to polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą.

RODO nie definiuje pojęcia grupy kapitałowej, natomiast w art. 4 pkt 19 wprowadza pojęcie „grupy przedsiębiorstw”, które oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa kontrolowane.

Zgodnie z motywem 110 preambuły grupa przedsiębiorstw lub grupa przedsiębiorców prowadzących wspólną działalność gospodarczą, powinna móc korzystać z zatwierdzonych wiążących reguł korporacyjnych przy międzynarodowym przekazywaniu danych z Unii do organizacji w tej samej grupie przedsiębiorstw lub w grupie przedsiębiorców prowadzących wspólną działalność gospodarczą, pod warunkiem, że w takich regułach korporacyjnych są ujęte wszystkie podstawowe zasady i egzekwowalne prawa zapewniające odpowiednie zabezpieczenia na potrzeby przekazywania danych osobowych lub na potrzeby określonych kategorii przekazań danych osobowych. Z powyższego wynika, że wiążące reguły korporacyjne stanowią swego rodzaju zbiór zasad, które mają zapewnić bezpieczny sposób przekazywania danych osobowych poza granice UE, co zostało potwierdzone w art. 46 ust. 2.

Zgodnie z art. 47 ust. 1 wiążące reguły korporacyjne musi zatwierdzić właściwy organ nadzorczy zgodnie z mechanizmem spójności wskazanym w art. 63. pod warunkiem, że są one prawnie wiążące oraz mają zastosowanie do każdego z członków grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą, w tym ich pracowników, i są przez każdego z tych członków egzekwowane i wyraźnie przyznają osobom, których dane dotyczą, egzekwowalne prawa
w związku z przetwarzaniem ich danych osobowych.

Aby możliwe było zastosowanie powyższego rozwiązania, grupa kapitałowa musi posiadać co najmniej jeden podmiot na terenie UE i jeden w państwie trzecim. Istotne jest, iż wiążące reguły korporacyjne nie mogą być stosowane przez podmioty publiczne.

Joanna Peryt

Autor

Joanna Peryt

Z uwagi na posiadaną wiedzę specjalizuje się w zagadnieniach związanych z ochroną danych w prawie pracy. Przez kilkanaście lat zrealizowała wiele audytów bezpieczeństwa danych osobowych oraz projektów wdrożeniowych. Pełniła rolę Inspektora ochrony danych dla wielu klientów Audytela.

Z tej samej kategorii

Kategorie