LexDigital

BCR — wiążące reguły korporacyjne

BCR, czyli binding corporate rules (wiążące reguły korporacyjne), to jeden z instrumentów umożliwiających przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych. Wiążące reguły korporacyjne mogą znaleźć zastosowanie w szczególności w grupie przedsiębiorstw, które wspólnie prowadzą działalność gospodarczą.

BCR — wiążące reguły korporacyjne

Definicja wiążących reguł korporacyjnych

Zgodnie z definicją, binding corporate rules (BCR) to polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi, lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw, lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą.

europejska rada ochrony danych, informacji, rules

BCR są stosunkowo nową instytucją, bowiem regulacje poprzedzające RODO, w tym w szczególności Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych nie zawierała przepisów odpowiadającym aktualnym regulacjom BCR.

Grupa przedsiębiorstw lub grupa przedsiębiorców

Jak wynika definicji, BCR nie są instrumentem dla każdego administratora lub podmiotu przetwarzającego. Pozostają bowiem w bezpośrednim związku z transgranicznym przetwarzaniem danych osobowych i znajdują zastosowanie tylko do grupy przedsiębiorstw lub grupy przedsiębiorców.

europejska rada ochrony danych, informacji, rules

Mechanizm zatwierdzania wiążących reguł korporacyjnych

BCR są instrumentem szczególnym nie tylko pod względem podmiotowym, czy przedmiotowym, ale również z uwagi na tryb ich przyjmowania. Polityki w ramach BCR są bowiem zatwierdzane przez właściwy organ nadzorczy.

Warto zauważyć, że na wniosek organu nadzorczego Europejska Rada Ochrony Danych wydaje opinię dotyczącą projektu decyzji zatwierdzającej BCR. Opinia, którą wydaje Europejska Rada Ochrony Danych, nie jest wprawdzie wiążąca, ale odgrywa istotną rolę w realizacji mechanizmu spójności i w związku z tym odgrywa kluczową rolę w zapewnieniu jednolitego stosowania RODO na obszarze całej Unii Europejskiej. Europejska Rada Ochrony Danych swoje opinie oraz odnośne decyzje organów nadzorczych publikuje na swojej stronie internetowej.


europejska rada ochrony danych, informacji, rules

Do tej pory Europejska Rada Ochrony Danych wydała blisko 50 opinii dotyczących BCR (binding corporate rules).

Warunki zatwierdzenia wiążących reguł korporacyjnych

Zgodnie z RODO, binding corporate rules są zatwierdzane, gdy są spełnione łącznie trzy warunki.

Po pierwsze, BCR muszą być prawnie wiążące oraz mieć zastosowanie do każdego z członków grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą i są przez każdego z tych członków egzekwowane.

Po drugie, BCR muszą wyraźnie przyznawać osobom, których dane dotyczą, egzekwowalne prawa w związku z przetwarzaniem ich danych osobowych.

Po trzecie, BCR muszą spełniać wymogi określone w art. 47 ust. 2 RODO.

europejska rada ochrony danych, informacji, związku

Wymogi dla wiążących reguł korporacyjnych

BCR muszą spełniać szereg wymogów. Zgodnie z RODO BCR określają m.in.:

  • strukturę i dane kontaktowe odnośnej grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących działalność gospodarczą i każdego z jej członków;
  • zastosowanie ogólnych zasad ochrony danych — w szczególności ograniczenia celu, minimalizacji danych, ograniczonych okresów przechowywania, jakości danych, uwzględnianie ochrony danych w fazie projektowania oraz domyślnej ochrony danych, podstawa prawna przetwarzania, przetwarzanie szczególnych kategorii danych osobowych, środki zapewniające bezpieczeństwo danych, wymogi w zakresie dalszego przekazywania podmiotom, niezwiązanym wiążącymi regułami korporacyjnymi;
  • prawa osób, których dane dotyczą, w związku z przetwarzaniem oraz sposoby wykonywania tych praw;
  • przyjęcie przez administratora lub podmiot przetwarzający posiadających jednostki organizacyjnej na terytorium państwa członkowskiego odpowiedzialności prawnej za naruszenie wiążących reguł korporacyjnych przez odnośnego członka niemającego jednostki organizacyjne w Unii;
  • przyjęcie przez administratora lub podmiot przetwarzający posiadających jednostki organizacyjnej na terytorium państwa członkowskiego odpowiedzialności prawnej za naruszenie wiążących reguł korporacyjnych przez odnośnego członka niemającego jednostki organizacyjne w Unii;
  • sposób przekazania osobom, których dane dotyczą informacji o wiążących regułach korporacyjnych;
  • procedury dotyczące skarg;
  • stosowane w grupie przedsiębiorstw lub w grupie przedsiębiorców prowadzących wspólną działalność gospodarczą mechanizmy zapewniające weryfikację przestrzegania BCR;
  • mechanizmy zgłaszania i rejestrowania zmian w BCR i zgłaszania tych zmian organowi nadzorczemu;
  • mechanizm zgłaszania właściwemu organowi nadzorczemu wszelkich wymogów prawnych, którym podlega w państwie trzecim członek grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą i które mogą mieć istotny niekorzystny wpływ na gwarancje przewidziane w BCR.
europejska rada ochrony danych, informacji, związku

Rola Komisji Europejskiej w związku z BCR

Zgodnie art. 47 ust. 3 RODO Komisja Europejska może określić format i procedury wymiany informacji między administratorami, podmiotami przetwarzającymi i organami nadzorczymi dotyczących wiążących reguł korporacyjnych.

Do tej pory Komisja jednak nie skorzystała z tego uprawnienia.

BCR jako instrument transferu danych

W przypadku organizacji prowadzących działalność międzynarodową na szeroką skalę, BCR są jednym z rozwiązań umożliwiających transfer danych do państwa trzeciego.

Zgodnie z RODO, w razie braku decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony, administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego, lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia. Takim zabezpieczeniem, niewymagającym dodatkowego zezwolenia, są właśnie BCR.

europejska rada ochrony danych, informacji, związku

Znaczenie wyroku ws. Schrems II

Choć wyrok Schrems II nie odnosił się wprost do BCR, to niektóre fragmenty tego orzeczenia mają również znaczenie dla omawianego instrumentu.

W uzasadnieniu wyroku TSUE wskazał bowiem, że: „(...) art. 46 ust. 1 i art. 46 ust. 2 lit. c) RODO należy interpretować w ten sposób, że wymagane przez te przepisy odpowiednie zabezpieczenia, egzekwowalne prawa oraz skuteczne środki ochrony prawnej powinny zapewniać, by prawa osób, których dane osobowe są przekazywane do państwa trzeciego na podstawie klauzul ochrony danych, były chronione w stopniu merytorycznie równoważnym temu gwarantowanemu w Unii przez to rozporządzenie, interpretowane w świetle karty. W tym celu w ramach oceny stopnia ochrony zapewnianego w kontekście takiego przekazywania należy w szczególności uwzględniać zarówno postanowienia umowne uzgodnione między mającymi siedzibę w Unii administratorem danych lub podmiotem przetwarzającym a podmiotem odbierającym dane mającym siedzibę w danym państwie trzecim, jak i, w odniesieniu do ewentualnego dostępu organów władzy publicznej tego państwa trzeciego do przekazywanych w ten sposób danych osobowych, istotne elementy składające się na jego system prawny, w szczególności te wymienione w art. 45 ust. 2 wspomnianego rozporządzenia. "

Na kanwie powyższego fragmentu wyroku można zatem stwierdzić, że administrator stosujący BCR będzie musiał dodatkowo ocenić, czy państwo trzecie, do którego mają być transferowane dane, zapewnia równoważny poziom ochrony danych osobowych.

Europejska Rada Ochrony Danych — stanowisko

Powyższe potwierdza również Europejska Rada Ochrony Danych, która w dokumencie z dnia 23 lipca 2023 ("Często zadawane pytania dotyczące wyroku Trybunału Sprawiedliwości Unii Europejskiej wydanego w sprawie C- 311/18 – Data Protection Commissioner przeciwko Facebook Ireland i Maximillianowi Schremsowi”) stwierdziła, że: "To, czy przekazywanie danych osobowych na podstawie wiążących reguł korporacyjnych, będzie możliwe, zależeć będzie od wyniku oceny dokonanej z uwzględnieniem okoliczności przekazywania danych i środków uzupełniających, które można zastosować. Te środki uzupełniające, wraz z wiążącymi regułami korporacyjnymi [BCR], przyjęte w następstwie indywidualnej analizy okoliczności towarzyszących przekazywaniu danych, musiałyby zagwarantować, aby prawo amerykańskie nie wpływało niekorzystnie na odpowiedni stopień ochrony gwarantowanej przez te środki."

BCR w praktyce UODO

Urząd Ochrony Danych Osobowych niestety nie publikuje zbyt wielu informacji na temat BCR. Trudno również znaleźć na stronie UODO jakąkolwiek decyzję zatwierdzającą BCR.

Autorem artykułu jest radca prawny: Jakub Pawłowski.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk