Marcowy „edukacyjny” odcinek newsletteru jest poświęcony kolejnemu pojęciu, które zostało przez prawodawcę unijnego zdefiniowane w art. 4 RODO. Tym razem przybliżona zostanie definicja „wiążących reguł korporacyjnych”.
DEFINICJA „WIĄŻĄCYCH REGUŁ KORPORACYJNYCH”
Zgodnie z art. 4 pkt. 20 RODO „wiążące reguły korporacyjne” oznaczają „polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą”.
Z powyższej definicji wynika, że „wiążące reguły korporacyjne” mogą być wykorzystywane jako zabezpieczenie praw i wolności osób, których dane dotyczą w związku z przekazaniem ich do państw trzecich.
KIEDY MOŻNA STOSOWAĆ WIĄŻĄCE REGUŁY KORPORACYJNE
Wiążące reguły korporacyjne regulują zasady przekazywania danych w sytuacji, gdy podmiot znajdujący się w państwie trzecim należy do grupy przedsiębiorstw (zgodnie z definicją zawartą w art. 4 pkt. 19 RODO, o której więcej informacji można znaleźć w Komunikacie IOD-y) lub grupy przedsiębiorców prowadzających wspólną działalność gospodarczą (gdy żaden z nich nie sprawuje kontroli nad pozostałymi). Warunkiem jest, aby grupy te funkcjonowały w co najmniej dwóch państwach – przy czym jedno powinno być państwem członkowskim UE, a drugie (do którego dane będą przekazywane) państwem trzecim.
Jak wskazuje M. Sakowska-Baryła „Podstawową funkcją wiążących reguł korporacyjnych jest zrekompensowanie braków, jakie występują w prawie państwa docelowego, do którego przesyłane są dane” (M. Sakowska – Baryła [w:] Ogólne rozporządzenie o ochronie danych osobowych. Komentarz).
WIĄŻĄCY CHARAKTER
Ze względu na charakter wiążących reguł korporacyjnych nie mogą być one stosowane przez podmioty publiczne, a co za tym idzie nie mogą być wykorzystywane przy przekazaniu danych do organizacji międzynarodowej.
Wiążące reguły korporacyjne mają bowiem charakter prywatnoprawny. Ich adresatami są organizacje wchodzące w skład grupy przedsiębiorstw lub inne zrzeszenia podmiotów prowadzących wspólnie działalność gospodarczą (w tym grupy kapitałowe). Są one związane wiążącymi regułami korporacyjnymi. Jak podkreśla M. Sakowska-Baryła „W aspekcie zewnętrznym grupa jako całość oraz każdy z jej członków jest związany zobowiązaniami zawartymi w tych regułach. (…) [Powinny one obejmować] zarówno skutek związania przyjętymi instrumentami (politykami, procedurami) wszystkich członków korporacji i pracowników, ich skuteczność wobec podmiotów, których dane podlegają przetwarzaniu, jak i możliwość powołania się na nie wobec organów ochrony danych oraz sądów. Wiążący charakter należy rozpatrywać na różnych płaszczyznach i przy zastosowaniu różnych metod” (M. Sakowska – Baryła [w:] Ogólne rozporządzenie o ochronie danych osobowych. Komentarz).
WIĄŻĄCE REGUŁY KORPORACYJNE WYMAGAJĄ ZATWIERDZENIA
Dla swej skuteczności wiążące reguły korporacyjne wymagają zatwierdzenia przez właściwy (krajowy) organ nadzorczy. Zatem nie wystarczy, że stosowne porozumienie zostanie podpisane przez reprezentantów poszczególnych członków grupy przedsiębiorstw. Musi ono zostać jeszcze przedłożone organowi nadzorczemu i przezeń usankcjonowane.
Warunki, jakie musi spełniać taka wewnątrzkorporacyjna umowa, aby została zatwierdzona jako wiążące reguły korporacyjne, zostaną przybliżone w newsletterze dotyczącym art. 47 RODO.