GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Wiążące reguły korporacyjne jako instrument legalizujący przekazywanie danych osobowych do państw trzecich

Young businesswoman standing on roofrop with map. City background. Communication concept

Rola wiążących reguł korporacyjnych w przetwarzaniu danych osobowych

W dobie wszechobecnej globalizacji przedsiębiorcy europejscy rozszerzają swoją działalność na rynki amerykańskie, wschodnioeuropejskie czy azjatyckie. Efektywne prowadzenie działalności gospodarczej przez transgraniczne korporacje jest możliwe tylko dzięki minimalizacji ograniczeń prawnych w zakresie przepływu kapitału, towarów, usług, pracowników jak również danych osobowych. Swobodny przepływ danych osobowych jest już aktualnie możliwy pomiędzy państwami należącymi do Europejskiego Obszaru Gospodarczego (dalej „EOG”) dzięki ujednoliceniu przepisów prawnych o ochronie danych osobowych poprzez przepisy Rozporządzenia UE 2016/679 z dnia 27.04.2016 r.  w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ang. General Data Protection Regulation, dalej zwane „GDPR”).

Problematyczne jednak nadal pozostaje przekazywanie danych osobowych do krajów spoza EOG zwanych na gruncie przepisów GDPR państwami trzecimi, gdyż na ich terytorium nowe przepisy o ochronie danych osobowych generalnie nie obowiązują (choć dotyczą w pewnych sytuacjach podmiotów przetwarzających dane osób z UE). Zgodnie z GDPR przekazywanie danych do państw trzecich takich jak m. in. Stany Zjednoczone, Szwajcaria, Chiny czy Indie jest niedozwolone, chyba że państwa te zapewniają odpowiedni stopień ochrony przekazanym z Europy danych osobowych. Legalizacja przekazywania danych do państw trzecich następuje poprzez zastosowania jednego z instrumentów prawnych przewidzianych w rozdziale V GDPR takich jak m.in. decyzji KE o stwierdzeniu należytego stopnia ochrony w jednym z państw trzecich, standardowe klauzule umowne zatwierdzone przez KE lub organ nadzorczy jednego z państw członkowskich, zatwierdzone kodeksy postępowania w danej branży czy wiążące reguły korporacyjne. Niniejszy artykuł jest poświęcony ostatniemu z wymienionych instrumentów prawnych czyli wiążącym regułom korporacyjnym (ang. Binding Corporates Rules dalej zwane „wiążące reguły korporacyjne” lub „BCR”). Chociaż, obowiązujące przed wejściem w życie GDPR, Dyrektywa 95/46/WE oraz ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych nie regulowały szczegółowo zagadnienia wiążących reguł korporacyjnych, to ten instrument prawny był już od dawna implementowany w spółkach należących do jednej grupy kapitałowej, ponieważ umożliwiał międzynarodowym koncernom dokonywanie transferów danych osobowych do państw trzecich w ramach swojej struktury korporacyjnej bez żadnych ograniczeń.

  Czym są BCR?

Katalog postanowień, które powinny znaleźć się w wiążących regułach korporacyjnych jak również procedura zatwierdzania ich przez organ nadzorczy zostały uregulowane w art. 47, 63, 64 i 65 GDPR. Ponadto doprecyzowujące regulacje znalazły się w niemających prawnie wiążącego charakteru rekomendacjach Grupy Roboczej art. 29, które są swoistym drogowskazem w stosowaniu przepisów GDPR.

Wiążące reguły korporacyjne to nic innego jak akt prawa wewnętrznego zatwierdzony i ogłoszony przez zarządy wszystkich spółek z grupy kapitałowej, który stosować powinni wszyscy pracownicy zatrudnieni w strukturach grupy. BCR, w zależności od decyzji zarządów spółek, mogą przybrać formę np. obszernej ogólnokorporacyjnej procedury lub umowy, która powinna zostać podpisana przez przedstawicieli podmiotów z grupy kapitałowej oraz ogłoszona w przyjęty u każdego z przedsiębiorców sposób.

Zadaniem wiążących reguł korporacyjnych jest uregulowanie i ujednolicenie  najważniejszych postanowień w zakresie ochrony i przekazywania danych osobowych ze spółek europejskich do spółek w państwach trzecich w ramach jednej grupy kapitałowej.

Należy pamiętać również o tym, że wiążące reguły korporacyjne powinny dotyczyć zarówno administratorów danych, którym udostępniane są dane osobowe z innych spółek z grupy kapitałowej jak i procesorów, którzy jedynie przetwarzają dane na podstawie zlecenia.

Podstawowe postanowienia BCR

Minimalny katalog postanowień jakie powinny znaleźć się w tymże akcie prawa wewnętrznego przedstawiony został w art. 47 ust. 2 GDPR. Zgodnie z tym przepisem wiążące reguły korporacyjne powinny regulować:

– strukturę i dane kontaktowe grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą i każdego z jej członków;

– jednorazowe lub wielokrotne przekazanie danych, w tym kategorie danych osobowych, rodzaj przetwarzania i jego cele, rodzaje osób, których dane dotyczą, oraz nazwę danego państwa trzeciego lub danych państw trzecich;

– ich prawnie wiążący charakter, wewnętrzny i zewnętrzny (czyli sposób ich zatwierdzenia w strukturze korporacyjnej;

– zastosowanie ogólnych zasad ochrony danych – w szczególności ograniczenia celu, minimalizacji danych, ograniczonych okresów przechowywania, jakości danych, uwzględnianie ochrony danych w fazie projektowania oraz domyślnej ochrony danych, podstawy prawne przetwarzania, przetwarzanie szczególnych kategorii danych osobowych, środki zapewniające bezpieczeństwo danych, wymogi w zakresie dalszego przekazywania podmiotom niezwiązanym wiążącymi regułami korporacyjnymi;

– prawa osób, których dane dotyczą, w związku z przetwarzaniem oraz sposoby wykonywania tych praw, w tym z prawa do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzania, w tym profilowania, prawa do wnoszenia skarg do właściwego organu nadzorczego i właściwych sądów państw członkowskich oraz prawa do środka zaskarżenia, a w stosownych przypadkach – odszkodowania za naruszenie wiążących reguł korporacyjnych;

– przyjęcie przez administratora lub podmiot przetwarzający posiadających siedziby w państwie na terenie UE odpowiedzialności prawnej za naruszenie wiążących reguł korporacyjnych przez spółkę z siedzibą w państwie trzecim; administrator lub podmiot przetwarzający są zwolnieni z tej odpowiedzialności – w całości lub w części – wyłącznie, gdy udowodnią, że spółka nie ponosi odpowiedzialności za wydarzenie, które doprowadziło do powstania szkody;

– sposób, w jaki osobom, których dane dotyczą, podaje się – oprócz informacji zawartych w klauzulach obowiązku informacyjnego – informacje o wiążących regułach korporacyjnych, w szczególności o postanowieniach dotyczących zasad przetwarzania, praw osób, których dane dotyczą i odpowiedzialności za przestrzeganie BCR;

– zadania inspektora ochrony danych lub osoby czy podmiotu odpowiedzialnych za monitorowanie przestrzegania wiążących reguł korporacyjnych w ramach grupy kapitałowej oraz monitorowanie szkoleń i rozpatrywanie skarg;

– procedury dotyczące skarg;

– stosowane w grupie kapitałowej mechanizmy zapewniające weryfikację przestrzegania wiążących reguł korporacyjnych. Mechanizmy takie obejmują audyty w zakresie ochrony danych oraz metody zapewniania działań naprawczych mających chronić prawa osób, których dane dotyczą. Wyniki takiej weryfikacji powinny być przekazywane inspektorowi danych osobowych lub podmiotowi pełniącemu jego funkcję oraz zarządowi przedsiębiorstwa sprawującego kontrolę w grupie przedsiębiorstw i powinny być dostępne na żądanie właściwego organu nadzorczego;

– mechanizmy zgłaszania i rejestrowania zmian w regułach i zgłaszania tych zmian organowi nadzorczemu;

– mechanizm współpracy z organem nadzorczym zapewniający przestrzeganie zasad przez wszystkich członków grupy przedsiębiorstw, w szczególności poprzez udostępnianie organowi nadzorczemu wyników weryfikacji środków służących do monitorowania przestrzegania tychże reguł;

– mechanizm zgłaszania właściwemu organowi nadzorczemu wszelkich wymogów prawnych, którym podlega w państwie trzecim członek grupy przedsiębiorstw i które mogą mieć istotny niekorzystny wpływ na gwarancje przewidziane w wiążących regułach korporacyjnych;

– właściwe szkolenia z zakresu ochrony danych dla personelu mającego stały lub regularny dostęp do danych osobowych.

Jak wspomniano powyżej jest to katalog minimalny zatem tworząc wiążące reguły korporacyjne spółki mogą zadecydować o dodaniu innych postanowień dzięki którym transfer danych do państw trzecich będzie bezpieczniejszy.

Procedura zatwierdzania BCR przed organem nadzorczym i Europejską Radą Ochrony Danych

Pierwszy etap procedury zatwierdzania wiążących reguł korporacyjnych w postaci nadania im mocy obowiązującej w ramach struktur korporacyjnych został omówiony powyżej. Kolejnym etapem tejże procedury zgodnie z art. 47 ust. 1 GDPR jest zatwierdzenie treści reguł przez krajowy lub wiodący organ nadzorczych oraz Europejską Radę Ochrony Danych zgodnie z mechanizmem spójności. Warunki jakie muszą spełniać BCR aby pozytywnie przeszły procedurę zatwierdzenia zostały określone w art. 47 ust. 1 GDPR. Organ nadzorczy przede wszystkim sprawdza czy wiążące reguły korporacyjne są prawnie wiążące i mają zastosowanie do każdego podmiotu z grupy kapitałowej oraz ich pracowników, czy osoby, których dane dotyczą mogą skutecznie egzekwować przewidziane przez GDPR uprawnienia wobec wszystkich podmiotów związanych tymi wiążącymi regułami korporacyjnymi oraz czy wiążące reguły korporacyjne zawierają wszystkie wymagane podstawowe elementy zgodnie z art. 47 ust. 2 GDPR.

GDPR nie reguluje dokładnie postępowania o zatwierdzenie wiążących reguł korporacyjnych, mówi jedynie o tym, że powinno ono być zgodne z zasadą spójności czyli ma ono odbywać się w ramach współpracy pomiędzy wszystkimi zainteresowanymi organami nadzorczymi  oraz  musi przewidywać zaciągnięcie opinii Europejskiej Rady Ochrony Danych w sprawie treści BCR.

W celu rozpoczęcia procedury zatwierdzania BCR spółki są obowiązane do złożenia wniosku (wzór wniosku znajduje się w linku poniżej artykułu) do krajowego organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych. Dokładne regulacje w zakresie składania wniosku do organu nadzorczego i dalszego postępowania znajdują się w rekomendacjach Grupy Roboczej art. 29 nr WP263. Zgodnie z ich postanowieniami aby zaoszczędzić pracy wszystkim organom nadzorczym, których jurysdykcja jest właściwe dla podmiotów ubiegających się o zatwierdzenie reguł, grupa kapitałowa może podjąć decyzję o wyborze wiodącego organu nadzorczego. Dokonujące wyboru takiego organu nadzorczego powinna wziąć pod uwagę następujące kryteria:

– lokalizacja siedziby centralnej spółki z grupy kapitałowej,

– lokalizację siedziby spółki, która będzie ponosiła odpowiedzialność i sprawowała nadzór nad przestrzeganiem przez podmioty z grupy postanowień wiążących reguł korporacyjnych,

– lokalizację spółki, w której zapadają najważniejsze postanowienia dotyczące celów i środków przetwarzania danych osobowych i procesów ich przetwarzania,

– lokalizację spółki, z której będzie się odbywało najwięcej lub wszystkie transfery danych do państw trzecich.

Organ nadzorczy, do którego trafi wniosek może go albo zaaprobować albo uznać, że nie jest odpowiedni do pełnienia tej funkcji i w gronie pozostałych właściwych w sprawie organów nadzorczych podjąć decyzję o wyznaczeniu innego wiodącego organu nadzorczego. Po zatwierdzeniu wiodącego organu nadzorczego przez wszystkie organy nadzorcze ten właśnie organ będzie odpowiedzialny za przeprowadzenie dalszej części procedury i będzie punktem kontaktowym dla wszystkich podmiotów biorących w niej udział. Do organu wiodącego przekazane powinny zostać wszystkie dokumenty tj. wniosek o zatwierdzenie wiążących reguł korporacyjnych wraz z ich treścią oraz pozostałe.

Po otrzymaniu dokumentów wiodący organ nadzorczy weryfikuje samodzielnie treść przekazanych mu wiążących reguł korporacyjnych jak również przekazuje je do weryfikacji  organom nadzorczym z państw z których będzie miał miejsce transfer danych. Jeżeli uzna, że w treści BCR należy zamieścić zmiany kontaktuje się z przedstawicielami grupy kapitałowej  w celu wyjaśnienia niezgodności. Po zakończeniu etapu weryfikacji wiodący organ nadzorczy, biorąc pod uwagę zarówno zmiany poczynione przez siebie jak i inne organy nadzorcze, tworzy wersję skonsolidowaną BCR i przekazuje ją podmiotom z grupy kapitałowej. Po zaakceptowaniu treść skonsolidowanej wersji BCR przez grupę kapitałową wiodący organ nadzorczy przesyła finalną wersję BCR wraz z projektem swojej decyzji do Europejskiej Rady Ochrony Danych. EROD może od razu zatwierdzić oba dokumenty lub wprowadzić do nich poprawki. Jeśli EROD zatwierdzi BCR wówczas wiodący organ nadzorczy podejmuje również decyzję o ich zatwierdzeniu. Natomiast jeśli EROD zaproponuje poprawki wiodący organ nadzorczy informuje o tym przewodniczącego EROD, który może zadecydować o zastosowaniu się do jej opinii lub nie. Kiedy opinia EROD zostanie uwzględniona wiodący organ nadzorczy informuje o tym zainteresowane podmioty i zatwierdza BCR. Decyzja wiodącego organu nadzorczego nadaje BCR moc prawnie obowiązującą, a ich finalna wersja zostaje rozesłana do wszystkich zainteresowanych organów nadzorczych, które jednocześnie są informowane w ten sposób o zakończeniu procedury.

W trakcie obowiązywania BCR podmioty z grupy kapitałowej są obowiązane do informowania wiodącego organu nadzorczego o wszelkich zmianach poczynionych w treści wiążących reguł korporacyjnych oraz o nowych podmiotach, które przystąpiły do ich stosowania.