Kontynuujemy serię artykułów związanych z przekazywaniem danych osobowych do państw trzecich. W dzisiejszym artykule, publikowanym dokładnie 2,5 roku po wejściu w życie RODO (25.05.2018 r.),  pod mikroskop kładziemy 2 kolejne przesłanki dopuszczalności transferu poza granice Unii Europejskiej oraz EOG. Mowa o odpowiednich zabezpieczeniach oraz tzw. binding corporate rules (wiążących regułach korporacyjnych). Poprzednim razem opisywaliśmy decyzję Komisji Europejskiej jako przesłankę dopuszczalności transferu.

Transfer danych na podstawie odpowiednich zabezpieczeń

Transfer danych na podstawie odpowiednich zabezpieczeń wprowadzonych przez administratora danych figurował już w dyrektywie 95/46/WE w art. 26 ust. 2 i 4. Decyzje podjęte przed obowiązywaniem RODO przez państwa członkowskie lub organy nadzorcze wydane na podstawie art. 26 ust. 2 i decyzje KE wydane na podstawie art. 26 ust. 2, pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia. Traktuje o tym art. 46 ust. 5 RODO, a cały artykuł 46 skupia się na wszystkich aspektach związanych z transferem na podstawie odpowiednich zabezpieczeń.

Przekazywanie tego typu stosuje się, gdy:

  • nie została spełniona przesłanka odpowiedniości poziomu ochrony lub
  • nie została wydana pozytywna decyzja KE na temat stopnia tej ochrony w odniesieniu do danego państwa trzeciego.

Transfer danych do państw trzecich można oprzeć na odpowiednich zabezpieczeniach z art. 46 RODO także w sytuacji, gdy:

  • nie może odbyć się on na podstawie szczególnych wyjątków, o których mowa w art. 49 ani na podstawie art. 49 ust. 1 akapitu drugiego.

O przekazywaniu danych na podstawie wyjątków traktuje podrozdział 2.3.5.

By móc posłużyć się odpowiednimi zabezpieczeniami do transferu danych, należy także spełnić warunki określone w art. 46 ust. 1 RODO. W danym państwie trzecim muszą obowiązywać egzekwowalne prawa osób, których dane dotyczą i skuteczne środki ochrony prawnej:

w tym prawa do skutecznych administracyjnych lub sądowych środków zaskarżenia i do żądania odszkodowania – w Unii lub w państwie trzecim. Powinny one dotyczyć w szczególności przestrzegania ogólnych zasad związanych z przetwarzaniem danych osobowych oraz zasad uwzględniania ochrony danych w fazie projektowania i domyślnej ochrony danych.[1].

Jakie konkretnie zabezpieczenia zostały ujęte w RODO? Są nimi między innymi te, które można stosować bez specjalnego zezwolenia organu nadzorczego. Rozporządzenie w art. 46 ust. 2 definiuje, że można skorzystać z:

  1. prawnie wiążących i egzekwowalnych instrumentów między organami lub podmiotami publicznymi;
  2. wiążących reguł korporacyjnych zgodnie z art. 47;
  3. standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2;
  4. standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2;
  5. zatwierdzonego kodeksu postępowania zgodnie z art. 40 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą; lub
  6. zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

Nowościami w stosunku do dyrektywy 95/46/WE są określone powyżej:

  • zatwierdzony kodeks postępowania (art. 46 ust.2 lit. e)
  • zatwierdzony mechanizm certyfikacji (art. 46 ust. 2 lit f).

Formami zabezpieczeń, które stosuje się za indywidualnym zezwoleniem organu nadzorczego, a do których stosowania nawet zachęca się w motywie 109 rozporządzenia, są:

  1. klauzule umowne między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej; lub
  2. postanowienia uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.[2]

W powyższych przypadkach zgodnie z art. 46 ust. 4, organ nadzorczy stosuje mechanizm spójności, który został określony w art. 63 rozporządzenia. Zakłada on współpracę organów nadzorczych między sobą, a w niektórych sytuacjach także z Komisją Europejską, w celu spójnego stosowania RODO. Zatwierdzone przez KE klauzule muszą zostać zaopiniowane przez Europejską Radę Ochrony Danych Osobowych (ERODO), która zostaje powołana na mocy rozporządzenia[3].

Transfer danych w ramach wiążących reguł korporacyjnych (BCR)

Wiążące reguły korporacyjne (BCR – z ang. binding corporate rules), będące politykami ochrony danych osobowych stosowanych przez administratora lub podmiot przetwarzający, przy jednorazowym lub wielokrotnym przekazaniu danych w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą[4], muszą być zaakceptowane przez właściwy organ nadzorczy.

Organ czyni to zgodnie z mechanizmem spójności z art. 63 RODO.  Oznacza to, że dla zachowania spójności nałożono na właściwy organ nadzorczy obowiązek przedstawienia Europejskiej Radzie Ochrony Danych Osobowych projektu decyzji dotyczącej zatwierdzenia BCR[5].

BCR są jednym z zabezpieczeń i dotyczą wewnętrznego przekazywania danych osobowych w ramach międzynarodowych korporacji i grup kapitałowych. Służą wymianie danych bez konieczności odrębnych ustaleń między nimi, gdy transfer odbywa się do państw trzecich[6].

Podstawowym warunkiem zaakceptowania BCR przez organ nadzorczy jest ocena, czy są one prawnie wiążące i mają zastosowanie wobec każdego z członków grupy kapitałowej, w tym ich pracowników i są przez nich egzekwowane. W dodatku powinny przyznawać osobom, których dane dotyczą – egzekwowalne prawa w związku z przetwarzaniem ich danych, a ponadto spełniać wymogi wobec wiążących reguł korporacyjnych, określone w art. 47. ust. 2 lit. a-n[7].

Zakres obejmuje nowe, nieznane w poprzednim stanie prawnym zapisy[8]. Wśród nich do określenia konieczne są między innymi:

  • struktura i dane kontaktowe odnośnej grupy przedsiębiorstw i każdego z jej członków,
  • jednorazowe lub wielokrotne przekazanie danych osobowych, w tym kategorie tych danych,
  • rodzaj ich przetwarzania oraz cele,
  • rodzaje osób, których dane dotyczą i
  • naturalnie nazwa danego państwa lub państw trzecich.

Przypisy – przesłanki odpowiednich zabezpieczeń i BCR

[1]   Zob. motyw 108 preambuły rozporządzenia 2016/79

[2]   Zob. art. 46 ust. 3 rozporządzenia 2016/79

[3]    Por. art. 68-76 rozporządzenia 2016/79

[4]   Zob. art. 4 pkt. 20 rozporządzenia 2016/79

[5]   Krzysztofek Mariusz, Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/79, Wydawnictwo C. H. Beck, Warszawa 2016, str. 271

[6]   Ibidem, str. 267

[7]   Zob. art. 47 ust. 1 lit. a-c i zasadę wyrażoną w motywie 114 preambuły rozporządzenia 2016/79

[8]   Krzysztofek Mariusz, Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/79, Wydawnictwo C. H. Beck, Warszawa 2016, str. 273

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *