W dniu 22 lipca 2020 r. Europejska Rada Ochrony Danych (EROD) przyjęła notę informacyjną w celu wsparcia podmiotów w zakresie międzynarodowego przetwarzania danych osobowych na podstawie wiążących reguł korporacyjnych (BCR). Przyczyną działań Rady jest zbliżające się zakończenie okresu wdrażania Brexitu, który nastąpi w dniu 31 grudnia 2020 r. Jak wskazała EROD, nota jest skierowana dla podmiotów, dla których ICO (brytyjskie biuro komisarza ds. informacji) był do tej pory właściwym organem nadzorczym dla zatwierdzenia wiążących reguł korporacyjnych.
Wiążące reguły korporacyjne- co to jest?
Przypomnijmy, że RODO ustanawia ogólny zakaz przekazywania danych osobowych do krajów spoza Europejskiego Obszaru Gospodarczego (EOG), tj. do krajów trzecich, chyba że Komisja Europejska podejmie decyzję stwierdzającą, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony lub wprowadzono odpowiedni mechanizm przekazywania danych osobowych w celu zapewnienia ich ochrony. Wiążące reguły korporacyjne są jednym z takich mechanizmów przekazywania danych i wymagają, aby każdy podmiot podejmujący się współpracy w zakresie przetwarzania danych był zobowiązany do przestrzegania określonych w nich standardów ochrony danych (art. 47 RODO). BCR muszą być zatwierdzone i nadzorowane przez właściwy organ nadzorczy EOG (tzw. BCR Lead SA).
Zatwierdzone BCR
Po upływie okresu przejściowego, tj. od 1 stycznia 2021 r. Wielka Brytania będzie krajem trzecim, w wyniku czego brytyjskie ICO nie będzie już organem nadzorczym EOG. Dlatego też wiążące reguły korporacyjne, które zostały zatwierdzone przez ICO, będą wymagały zatwierdzenia przez nowy organ nadzorczy w EOG w celu utrzymania swojej ważności. W swoim oświadczeniu prasowym Rada podkreśla, że wskazanie nowego tzw. BCR Lead SA i wymagane zatwierdzenie wiążących reguł korporacyjnych musi nastąpić przed końcem okresu wdrożenia.
W załączniku do noty informacyjnej Rady zawarto szczegółową listę kontrolną elementów wiążących reguł korporacyjnych dla administratora i podmiotu przetwarzającego, które wymagają zmiany w kontekście Brexitu, w tym w związku ze zmianą BCR Lead SA. Inne zmiany obejmują konieczność aktualizacji samych BCR w celu usunięcia odniesień do brytyjskich przepisów prawa i zastąpienia ich odniesieniami do odpowiedniej jurysdykcji krajowej nowego właściwego organu nadzorczego. Instrumenty prawne użyte do uczynienia wiążących reguł korporacyjnych wiążącymi muszą być podpisane przez członka BCR w EOG, a nie w Wielkiej Brytanii. Ponadto podmiot z Wielkiej Brytanii nie może już pełnić funkcji członka BCR, który przyjmuje odpowiedzialność za naruszenia BCR przez członków BCR spoza EOG. Jednocześnie wszelkie odniesienia do ICO jako właściwego organu nadzorczego w sprawie wiążących reguł korporacyjnych będą wymagały aktualizacji, aby wskazywać na jego następcę.
BCR w trakcie zatwierdzania przez ICO
EROD odniosła się także do aktualnie trwających postępowań przed ICO. Wskazała, że wnioskodawcy, dla których procedura zatwierdzenia BCR przez ICO jest obecnie w toku, będą musieli skontaktować się ze swoim proponowanym nowym właściwym organem nadzorczym w EOG i dostarczyć mu niezbędne informacje do wykazania, dlaczego ten organ nadzorczy jest odpowiednim następcą ICO. Umożliwi to proponowanemu BCR Lead SA przejęcie wniosku i rozpoczęcie procedury zatwierdzania wiążących reguł korporacyjnych po zaopiniowaniu przez EROD.
Pełna treść noty informacyjnej dostępna jest tutaj:
Źródło:
Polecamy także:
Jaka przyszłość czeka wiążące reguły korporacyjne (BCR)
Brexit nie wyklucza brytyjskich przygotowań do GDPR
