Postępująca globalizacja i rozwój nowoczesnych technologii nieuchronnie wiążą się z coraz większymi przepływami danych. Międzynarodowe korporacje, mające swoje spółki i oddziały na całym świecie, potrzebują sprawnych mechanizmów umożliwiających swobodny przesył danych.

Coraz więcej firm decyduje się na wdrożenie centralnego systemu HR lub globalnej bazy klientów. W takim zaś przypadku nie wystarczy nowoczesny system komputerowy. Trzeba także zadbać o legalność transferu danych wprowadzanych do takiego globalnego systemu. Mamy tu bowiem do czynienia z transferem danych osobowych – np. pracowniczych czy klienckich.

Zgodnie z dyrektywą o danych osobowych 95/46 ustawodawstwa krajowe Unii Europejskiej, w tym także polska ustawa o ochronie danych osobowych, wymagają w przypadku przekazywania danych osobowych poza Europejski Obszar Gospodarczy spełnienia jednej z przesłanek dopuszczających transfer do państw trzecich.

Wymagana jest np. zgoda osoby, której dane dotyczą lub istnienie okoliczności, w których przekazanie danych jest niezbędne do wykonania umowy pomiędzy podmiotem przekazującym dane i osobą, której te dane dotyczą. W praktyce jednak w zdecydowanej większości przypadków konieczne jest wystąpienie do krajowego organu ochrony danych osobowych, w Polsce do generalnego inspektora ochrony danych osobowych, o zgodę na transfer danych.

Nowa wewnętrzna zasada

Wychodząc naprzeciw potrzebom światowych korporacji oraz mając na celu ułatwienie transferów danych przy równoczesnym zadbaniu o należytą ochronę danych osobowych w Unii Europejskiej, powstała koncepcja tzw. wiążących reguł korporacyjnych (ang. Binding Corporate Rules, w skrócie BCR). Są to wewnętrzne reguły, swoisty kodeks postępowania zatwierdzony przez międzynarodową firmę i wiążący podmioty należące do tej grupy.

Dotyczy on zasad ochrony danych osobowych w danej międzynarodowej korporacji, w tym transferu danych do podmiotów z siedzibą w krajach poza EOG, których prawo nie zapewnia ochrony danych osobowych, adekwatnej do ochrony w Unii. W praktyce spółka matka zatwierdza wspólne globalne reguły, narzucając je swoim podmiotom w grupie.

Procedura wzajemnego uznania

Aby uniknąć występowania o zgodę na transfer danych po kolei do wszystkich krajowych organów do spraw ochrony danych osobowych, niektóre z krajów Unii Europejskiej wprowadziły zasadę wzajemnego uznania (ang. Mutual Recognition) wiążących reguł korporacyjnych.

W wyniku zatwierdzenia takich reguł przez korporację i uzyskania ich akceptacji przez jeden wybrany krajowy organ ds. ochrony danych osobowych (przy uzyskaniu pozytywnej opinii od dwóch innych organów) transfer danych w danej korporacji uznawany jest de facto za odbywający się w ramach bezpiecznego obszaru, w którym dane chronione są na wymaganym przez Unię poziomie.

Procedura taka bardzo upraszcza legalny transfer danych – zamiast wielu postępowań krajowych prowadzi się tylko jedno postępowanie o zatwierdzenie wiążących reguł korporacyjnych przed wybranym przez firmę regulatorem. Z 15 obecnie zatwierdzonych wiążących reguł na świecie większość postępowań toczyło się przed francuskim lub angielskim inspektorem do spraw ochrony danych osobowych.

Niestety nie wszystkie kraje przyjęły zasadę wzajemnego uznania. Należą do nich m.in. Austria, Belgia, Bułgaria, Cypr, Czechy, Francja, Niemcy, Wielka Brytania, Holandia, Norwegia i Hiszpania.

Niestety jeszcze nie w Polsce

Nie ma wśród nich również Polski, polska ustawa o ochronie danych osobowych nie wymienia bowiem wiążących reguł korporacyjnych wśród przesłanek dopuszczających transfer danych do państw trzecich.

Dlatego nawet jeśli wiążące reguły korporacyjne zostaną uznane przez większość inspektorów ochrony danych osobowych w Unii, to i tak trzeba wystąpić do GIODO o uzyskanie odrębnej zgody na transfer danych poza EOG i przejść żmudną krajową procedurę.

Oczywiście wdrożenie wiążących reguł korporacyjnych w danej firmie będzie jedną z ważniejszych okoliczności, które GIODO weźmie pod uwagę, badając poziom ochrony danych osobowych w danej firmie w świetle wymogów polskiej ustawy. O automatycznym wydaniu zgody nie ma jednak na razie mowy.

Zachęta do samokontroli

Europejskie organy ochrony danych osobowych aktywnie zachęcają firmy do stosowania wiążących reguł korporacyjnych. Zauważalna jest tendencja popierania u przedsiębiorców mechanizmów samokontroli oraz rozwijania fachowej wiedzy o zasadach bezpiecznego przetwarzania danych osobowych.

Stąd też europejscy inspektorzy, namawiając do  wdrożenia wiążących reguł korporacyjnych, starają się uspokajać przedsiębiorców, żeby nie obawiali się od razu kontroli z ich strony, która spadnie na nich z chwilą złożenia wniosku o rejestrację reguł.

Wręcz przeciwnie, wdrożenie reguł i złożenie wniosku o ich rejestrację ma być traktowane jako dowód wysokiej świadomości danej firmy w zakresie problematyki danych osobowych i przywiązywania najwyższej wagi do kwestii bezpieczeństwa danych.

Zresztą same firmy wykorzystują fakt wdrożenia globalnych reguł ochrony danych osobowych jako dodatkowy wyróżnik na rynku. Chwalą się tym na swoich stronach internetowych, wiedząc, że ochrona danych osobowych ma coraz większe znaczenie także dla ich klientów.

Nadchodzi nowe prawo

Dowodem rosnącego znaczenia wiążących reguł korporacyjnych jest przygotowywany właśnie przez Komisję Europejską rewolucyjny projekt rozporządzenia Parlamentu Europejskiego i Rady, który ma zastąpić obecną Dyrektywę o danych osobowych.

Z racji bezpośredniego zastosowania rozporządzeń w państwach unijnych szykowane rozporządzenie zastąpi zdecydowaną większość obecnych przepisów ustawy o ochronie danych osobowych. W przygotowywanym projekcie wiążące reguły korporacyjne wymienione są wprost jako jedna z przesłanek legalizujących przekazywanie danych do państw trzecich.

Rozporządzenie ma określić zarówno tryb zatwierdzania reguł przez jednego wybranego przez stronę inspektora ochrony danych osobowych, jak i ich minimalną treść, w tym odnoszącą się do praw osób, których dane będą przetwarzane.

Co prawda mamy do czynienia jedynie z projektem i trudno przewidzieć, w jakim brzmieniu rozporządzenie zostanie ostatecznie uchwalone, nie mniej jednak kwestia uznania wiążących reguł korporacyjnych jako podstawy transferu danych nie powinna budzić kontrowersji. A na razie przed nami co najmniej dwa lata prac nad nowym unijnym ustawodawstwem.

Także dla podwykonawców

Jeszcze inną kwestią jest objęcie mechanizmem podobnym do wiążących reguł korporacyjnych podwykonawców, którym administrator powierzył przetwarzanie danych – a więc np. firm payrollowych, zewnętrznych call center czy podmiotów obsługujących systemy IT.

Wiążące reguły korporacyjne w swojej istocie wiążą bowiem jedynie podmioty w danej grupie kapitałowej – a więc spółki matki i spółki córki. Nie obejmują swoim zakresem podmiotów zewnętrznych, wykonujących na zlecenie spółek usługi zewnętrzne, w których dochodzi do przetwarzania danych. Stąd też coraz głośniej mówi się o potrzebie wprowadzania podobnego rozwiązania mającego szersze zastosowanie. Rozwiązaniem takim mają być wiążące reguły dla podmiotów, którym powierzono przetwarzanie danych (ang. Binding Processor Rules).

Miałby to być rodzaj umowy, która wiązałaby wszystkie podmioty przetwarzające dane na zlecenie danej firmy. Czyli w praktyce dana korporacja ustalałaby jednobrzmiący wzór umowy czy też regulaminu, dotyczący ochrony danych osobowych, do którego przystępowałyby wszystkie podmioty, którym dana firma powierzyła przetwarzanie danych.

Rozwiązanie takie umożliwiłoby legalny transfer danych do krajów poza EOG. Nie byłoby więc konieczności występowania o zgody poszczególnych krajowych inspektorów, jak to ma miejsce teraz, np. na transfery danych do centrów outsourcingowych w Indiach czy Chinach. Ale na razie rozwiązanie takie pozostaje w planach. Jest ono gorąco dyskutowane w gronie regulatorów i międzynarodowych korporacji.

Regulatorzy rozumieją wymogi nowoczesnej gospodarki, podając choćby przykład coraz popularniejszego cloud computing, jednak w pierwszej kolejności muszą zadbać o bezpieczeństwo przesyłanych danych.

Stąd też, miejmy nadzieję, doczekamy się wkrótce nowych rozwiązań – w pierwszej kolejności dopuszczających zatwierdzone wiążące reguły korporacyjne jako podstawę przekazywania danych na gruncie polskiej ustawy o ochronie danych osobowych, a w następnej wprowadzających podobne mechanizmy dla podwykonawców i innych podmiotów współpracujących z daną grupą korporacyjną.

Komentuje Ewa Kurowska-Tober, radca prawny, kierująca praktyką własności intelektualnej i ochrony danych osobowych w kancelarii Linklaters

Wiążące Reguły Korporacyjne są niewątpliwie dobrym rozwiązaniem. Zapewniają nie tylko dbałość o bezpieczne przetwarzanie danych osobowych w korporacji, ale przede wszystkim ułatwiają międzynarodowe transfery danych pomiędzy spółkami w grupie – co w globalnej gospodarce jest niezbędne.

Szkoda, że w przeciwieństwie do większości ustawodawstw europejskich polska ustawa ciągle nie pozwala równie sprawnie korzystać z tego mechanizmu.

Miejmy nadzieję, że nadchodzące zmiany w prawie dopuszczą także w Polsce wiążące reguły jako samodzielną podstawę przekazywania danych do państw trzecich bez konieczności występowania do GIODO o dodatkową zgodę na transfer, jak ma to miejsce teraz.

Należy spodziewać się także intensywnych prac nad podobnymi regułami dla podwykonawców, o które coraz głośniej upominają się przedsiębiorcy. Niewykluczone, że okażą się one jeszcze popularniejszym rozwiązaniem, bo obejmą nie tylko podmioty w danej grupie kapitałowej, ale także ich zewnętrznych podwykonawców.