Rzeczpospolita
Publicystyka

Wiążące Reguły Korporacyjne

O atrakcyjnych instrumentach prawnych wspomagających transfer danych osobowych do państw trzecich – piszą prawnicy.

Publikacja: 07.03.2013 08:31

Wiążące Reguły Korporacyjne

Foto: Rzeczpospolita

Red

Wiążące Reguły Korporacyjne (ang. Binding Corporate Rules, tzw. BCR-y) stanowią istotny instrument pozwalający korporacjom międzynarodowym na przekazywanie danych osobowych do podmiotów należących do jednej grupy korporacyjnej, w tym do podmiotów zlokalizowanych w tzw. państwach trzecich (tzn. poza obszarem Europejskiego Obszaru Gospodarczego).

Niestety, aktualnie obowiązujące przepisy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2002 r. Nr 101, poz. 926, z późn. zm., zwanej dalej „ustawą") nie odwołują się w żaden sposób do tego instrumentu prawnego. Polska nie przystąpiła również do tzw. porozumienia Mutual Recognition, co powoduje, że zatwierdzenie konkretnych WRK przez organ ds. ochrony danych osobowych z innego państwa UE nie jest uznawane per se w naszym kraju. W praktyce oznacza to, że krajowy administrator danych planujący przekazywać (transferować) dane osobowe w oparciu o zatwierdzone BCR-y w ramach procedury współpracy, powinien wystąpić do Generalnego Inspektora Ochrony Danych Osobowych o wyrażenie przez niego zgody na taki transfer, w oparciu o art. 48 ustawy.

W ramach dotychczasowej praktyki orzeczniczej GIODO, w szczególności w sytuacji, gdy strony transferu danych osobowych łączyła stosowna umowa transferowa, odbiorcy danych z państw trzecich, którym dane osobowe mogły być przekazywane, wskazywani byli przez organ precyzyjnie (z nazwy i siedziby), w samej sentencji decyzji administracyjnej. Praktykę taką – w sytuacji posługiwania się umowami transferowymi – można zrozumieć, choć nie bez pewnych zastrzeżeń (w art. 48 ustawy mowa bowiem o przekazaniu danych „do państwa trzeciego", nie zaś do „odbiorcy danych w państwie trzecim").

W sytuacji jednak korzystania z instrumentu prawnego, jakim są WRK, sytuacja ulega komplikacji. Grupa podmiotów należąca do korporacji międzynarodowej może bowiem ulegać zmianom, co jest naturalnym procesem w ramach tego rodzaju struktur, a w szczególności tych obejmujących zasięgiem kilkadziesiąt – lub więcej – państw świata, w tym tych spoza EOG.

W tej sytuacji konieczność występowania z wnioskiem o zgodę GIODO na transfer danych osobowych do każdego nowego członka grupy kapitałowej z zatwierdzonymi już BCR-ami, mającego siedzibę w państwie trzecim, oznaczałaby regularne – praktycznie niekończące się – kontakty z organem i oczekiwanie na decyzję administracyjną. Podważałoby to sens tego rodzaju instrumentu prawnego, czyniłoby też trudnym do zaakceptowania obciążenia biurokratyczne, z którymi liczyć musiałby się krajowy administrator danych.

Jak wynika z samej istoty WRK są one „korporacyjne w tym sensie, że chodzi o reguły obowiązujące wewnątrz koncernu międzynarodowego, na ogół opracowane w siedzibie głównej" (tak Grupa Robocza Art. 29 Dyrektywy 95/46/WE w dokumencie roboczym WP 74). Ponadto Grupa Robocza Art. 29 Dyrektywy 95/46/WE wskazała, uwzględniając uwarunkowania gospodarcze, że „grupy korporacyjne są jednostkami ulegającymi zmianom, których członkowie oraz praktyki mogą ulegać zmianom od czasu do czasu, i dlatego też nie mogą one odpowiadać w 100 proc. realiom występującym w momencie udzielania zgody".

W konsekwencji aktualizacje są możliwe – bez konieczności ponownego występowania o zgodę – pod określonymi warunkami wskazanymi przez Grupę Roboczą Art. 29 Dyrektywy 95/46/WE, do których należy w szczególności obowiązek zapewnienia, że „transfer danych do nowego członka [grupy korporacyjnej] nie zostanie wykonany, przed upewnieniem się przez eksportera danych, że ten nowy członek jest w sposób efektywny związany regułami [tj. Wiążącymi Regułami Korporacyjnymi]" (dokument roboczy WP 74).

W jednej z ostatnio wydanych decyzji administracyjnych na podstawie art. 48 ustawy GIODO, uwzględniając w pełni powyższą specyfikę WRK oraz dokumenty Grupy Roboczej Art. 29 Dyrektywy 95/46/WE, wyraził zgodę na przekazywanie danych osobowych, w oparciu o zatwierdzone WRK. Co kluczowe, w decyzji tej GIODO nie doprecyzował (nie wskazał z nazwy) nie tylko odbiorców danych – podmiotów należących do międzynarodowej grupy kapitałowej, ale nawet nie wymienił określonych państw trzecich, do których transfer miałby być prowadzony.

Decyzja administracyjna zezwala bowiem administratorowi danych na przekazywanie danych osobowych do odbiorców należących do określonej grupy kapitałowej, „względem których zastosowanie mają WRK, które zostały przygotowane zgodnie z właściwymi dokumentami Grupy Roboczej Art. 29, a także pomyślnie przeszły przez prowadzoną w ramach Grupy Roboczej Art. 29 procedurę współpracy".

Decyzja administracyjna GIODO znacznie wzmacnia atrakcyjność prawną WRK, jako instrumentu wspierającego operacje międzynarodowych transferów danych osobowych do państw trzecich. Z jednej strony eliminuje niepotrzebną biurokrację, z drugiej strony nie zmniejsza w żaden sposób odpowiedniego poziomu ochrony przekazywanych (transferowanych) danych osobowych.

dr Jan Byrski, adwokat, wspólnik w Kancelarii Traple Konarski Podrecki i Wspólnicy Damian Karwala, radca prawny w Kancelarii Traple Konarski Podrecki i Wspólnicy

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: Rzeczpospolita

Publicystyka Dane Osobowe Dobra Osobiste Finanse w Firmie

Wiążące Reguły Korporacyjne (ang. Binding Corporate Rules, tzw. BCR-y) stanowią istotny instrument pozwalający korporacjom międzynarodowym na przekazywanie danych osobowych do podmiotów należących do jednej grupy korporacyjnej, w tym do podmiotów zlokalizowanych w tzw. państwach trzecich (tzn. poza obszarem Europejskiego Obszaru Gospodarczego).

Niestety, aktualnie obowiązujące przepisy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2002 r. Nr 101, poz. 926, z późn. zm., zwanej dalej „ustawą") nie odwołują się w żaden sposób do tego instrumentu prawnego. Polska nie przystąpiła również do tzw. porozumienia Mutual Recognition, co powoduje, że zatwierdzenie konkretnych WRK przez organ ds. ochrony danych osobowych z innego państwa UE nie jest uznawane per se w naszym kraju. W praktyce oznacza to, że krajowy administrator danych planujący przekazywać (transferować) dane osobowe w oparciu o zatwierdzone BCR-y w ramach procedury współpracy, powinien wystąpić do Generalnego Inspektora Ochrony Danych Osobowych o wyrażenie przez niego zgody na taki transfer, w oparciu o art. 48 ustawy.

Budynek Sądu Najwyższego.
Opinie Prawne
Bosek, Żmij: O ważności wyborów powinien orzekać Sąd Najwyższy w pełnym składzie
130 lat Škody – atrakcyjne upusty i dni otwarte 13–18 stycznia
Materiał Promocyjny
130 lat Škody – atrakcyjne upusty i dni otwarte 13–18 stycznia
Advertisement
Jewgienij Prigożyn
Opinie Prawne
Tomasz Pietryga: Zatrzymać szantażystów w debacie publicznej
Marcin Molski: Niewykorzystana szansa w tworzeniu lepszego prawa
Opinie Prawne
Marcin Molski: Niewykorzystana szansa w tworzeniu lepszego prawa
Elon Musk
Opinie Prawne
Robert Gwiazdowski: Przez tego strasznego Elona Muska przywrócimy w Polsce cenzurę
Kluczowe funkcje Małej Księgowości, dla których warto ją wybrać
Materiał Promocyjny
Kluczowe funkcje Małej Księgowości, dla których warto ją wybrać
Minister sprawiedliwości prokurator generalny Adam Bodnar oraz Zbigniew Ziobro, pełniący obie te fun
Opinie Prawne
Tomasz Pietryga: Raport Bodnara aktem oskarżenia. Co dalej?
Najlepszy program księgowy dla biura rachunkowego
Materiał Promocyjny
Najlepszy program księgowy dla biura rachunkowego
e-Wydanie