Opracowanie

RODO – Wiążące reguły korporacyjne

Jednym z istotnych ułatwień dla podmiotów podlegających RODO jest wprowadzenie pojęcia wiążących reguł korporacyjnych.

W myśl art. 4 pkt 20, wiążące reguły korporacyjne to polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą.

RODO nie definiuje pojęcia polityki ochrony danych osobowych. W tym zakresie należy zatem skorzystać z motywu 110 preambuły, zgodnie z którym grupa przedsiębiorstw lub grupa przedsiębiorców prowadzących wspólną działalność gospodarczą powinna móc korzystać z zatwierdzonych wiążących reguł korporacyjnych przy międzynarodowym przekazywaniu danych z Unii do organizacji w tej samej grupie przedsiębiorstw lub w grupie przedsiębiorców prowadzących wspólną działalność gospodarczą, pod warunkiem, że w takich regułach korporacyjnych są ujęte wszystkie podstawowe zasady i egzekwowalne prawa zapewniające odpowiednie zabezpieczenia na potrzeby przekazywania danych osobowych lub na potrzeby określonych kategorii przekazań danych osobowych. Można zatem przyjąć, że wiążące reguły korporacyjne będą kompleksowym zbiorem zasad stosowanych przy przekazaniu danych osobowych poza granice Unii, który ma zapewnić ich bezpieczeństwo zgodnie z postanowieniami RODO.

Warunkiem umożliwiającym zastosowanie mechanizmu wiążących reguł korporacyjnych jest istnienie podmiotu (można go nazwać korporacją), w skład którego wchodzi co najmniej jedna jednostka organizacyjna w Unii i jedna mieszcząca się w państwie trzecim. Podmiot ten musi być albo grupą przedsiębiorstw w rozumieniu art. 4 pkt 19, albo grupą przedsiębiorców prowadzących wspólną działalność gospodarczą.

Wiążące reguły korporacyjne mogą być stosowane przez administratorów danych i podmioty przetwarzające. Z uwagi na charakter tej instytucji nie mogą z niej korzystać podmioty publiczne, np. przy przekazywaniu danych organizacjom międzynarodowym.

Michał Wysocki

Bibliografia:

  1. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
  2. A. Dmochowska, M. Zadrożny, Unijna reforma ochrony danych osobowych. Analiza zmian, C.H. Beck, 2016;
  3. M. Krzysztofek, Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, C.H. Beck, 2016;
  4. P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.