Wiążące reguły korporacyjne są powszechnie stosowane w grupach kapitałowych, które przekazują dane osobowe np. swoich klientów do innych spółek w ramach grupy kapitałowej. Dotyczy to spółek, które mają swoją siedzibę poza Europejskim Obszarem Gospodarczym (EOG). Europejska Rada Ochrony Danych (EROD) prowadzi prace, które mogą ograniczyć korzystanie z BCR-ów. Jeśli takie stanowisko zostanie wydane może to zakończyć powszechne korzystanie z BCR-ów i stanowić istną rewolucję na rynku ochrony danych.
Podczas 43 posiedzenia EROD przyjął opinię w sprawie projektu decyzji niderlandzkiego organu nadzorczego dotyczącej BCR-ów dla administratorów w Equinix (grupa kapitałowa z siedzibą w Stanach Zjednoczonych, specjalizująca się w połączeniach internetowych i centrach danych). Jednocześnie wskazano, że w ramach EROD prowadzony jest przegląd dokumentów Grupy Roboczej art.29 WP 256/257, które potwierdzały możliwość przekazywania danych pomiędzy podmiotami na podstawie BCR-ów. W komunikacie EROD poinformował, że w przypadku ich aktualizacji podmioty posiadające wiążące reguły korporacyjne będą musiały je dostosować i uwzględnić wszelkie dodatkowe zobowiązania, jakie mogą być wymagane.
Prace EROD można powiązać z wydanym w 2020 r. wyrokiem Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie Schrems II. W wyroku Trybunał uznał, że Tarcza Prywatności nie zapewnia odpowiedniej ochrony i unieważnił umowę. Do czasu wydania wyroku, dokument ten stanowił ramy regulujące transatlantycką wymianę danych osobowych. Wydany wyrok wpłynął również na zmianę postrzegania BCR-ów, które dotychczas były uznawane za złoty standard. Wyrok TSUE odnosił się jedynie do Tarczy Prywatności, ale może zostać zinterpretowany poprzez analogię również w odniesieniu do BCR-ów.
Czym są wiążące reguły korporacyjne
Wiążące reguły korporacyjne są koncepcją znaną jeszcze z czasów sprzed ogólnego rozporządzenia o ochronie danych (RODO) gdy obowiązywała dyrektywa o danych osobowych nr 95/46. BCR możemy nazwać wewnętrznymi aktami prawa w grupach kapitałowych dotyczącymi ochrony danych osobowych. Ujednolicają i regulują m.in. przekazywanie danych osobowych pomiędzy spółkami jednej grupy kapitałowej. BCR-y tworzy się w grupach kapitałowych w których część organizacji znajduje się w krajach trzecich np. Stanach Zjednoczonych, Wielkiej Brytanii czy Indiach. Przepisy takie są wiążące dla wszystkich pracowników grupy kapitałowej.
Co do zasady, spółka z siedzibą w Unii Europejskiej będąca częścią grupy kapitałowej w której zawarto BCR, przyjmuje odpowiedzialność za wszelkie naruszenia wiążących reguł korporacyjnych przez dowolnego członka grupy, który nie ma siedziby w UE. Obecne obawy związane są z możliwością wyegzekwowania prawa przez osoby, których dane dotyczą, oraz w ramach grupy kapitałowych, zwłaszcza wobec członków, którzy mają siedzibę poza UE.
Jaka przyszłość czeka wiążące reguły korporacyjne?
Nowe wytyczne mają ograniczyć stosowanie BCR-ów w grupach kapitałowych, które w ramach umowy będą podmiotem przetwarzającym. Takie rozwiązanie wprowadzi faktyczny zakaz stosowania BCR-ów przez podmioty przetwarzające. Ograniczenie wiążących reguł korporacyjnych dla podmiotów przetwarzających byłoby odejściem od obecnych wytycznych, które nie ograniczają ich stosowania. Obecnie, w przypadku gdy administrator powierza dane podmiotowi przetwarzającemu w którym obowiązują BCR-y, administrator może udostępniać informacje każdemu członkowi grupy powiązanemu z podmiotem przetwarzającym i nie musi martwić się o dokładne przepływy danych. Założeniem BCR-ów jest ułatwienie transferu do grupy, która obiecała chronić dane, na poziomie ustalonym przez RODO, bez względu na to, gdzie są przetwarzane.
Jeśli EROD zdecyduje się na wprowadzenie ograniczeń, pozostawiłoby to podmiotom przetwarzającym i ich klientom dwie możliwości. Albo grupy kapitałowe, która są podmiotami przetwarzającymi (świadczą usługi lokujące ich jako podmioty przetwarzające w systemie obiegu danych) zaprzestaną transferu danych poza EOG, aby dopasować je do modelu określonego przez EROD, np. poprzez zawarcie umów o świadczenie usług jedynie ze spółkami z grupy mającymi siedzibę na terytorium UE. Ewentualnie zastąpią wiążące reguły korporacyjne standardowymi klauzulami umownymi (SCC).
W 2013 r. Grupa Robocza art. 29 stała na stanowisku, że SCC nie są wystarczające ze względu na skomplikowanie międzynarodowych transferów danych. Uzasadniała to postępującą globalizacją, przechowywaniem danych w chmurze czy przetwarzaniem danych przez media społecznościowe.
Obie opcje miałyby ogromne konsekwencje praktyczne i byłyby kosztowne dla organizacji stosujących BCR-y. Nie wspominając o zwiększonym obciążeniu administracyjnym. Wprowadzenie RODO miało być neutralne technologicznie i doprowadzić do zmniejszenia obciążenia administracyjnego. Przyjęcie nowego stanowiska przez EROD można uznać za sprzeczne z tym założeniem. Jest to tym bardziej zaskakujące, że ochrona prawna osób, których dane dotyczą, jest równa w ramach standardowych klauzul umownych jak i wiążących reguł korporacyjnych.
Źródło: https://iapp.org/news/a/why-the-edpb-should-avoid-torpedoing-bcrs-for-processors/
https://www.lexology.com/library/detail.aspx?g=6943cedf-614c-4be2-ab97-f5c7d780833b
Polecamy także:
Brexit a ważność BCR zatwierdzonych przez ICO