Rozporządzenie o ochronie danych osobowych weszło w życie 25 maja 2018 roku. W starej ustawie o ochronie danych RODO wprowadziło wiele istotnych zmian, w tym także w tych odnoszących się do wiążących reguł korporacyjnych. Dzięki wiążącym regułom korporacyjnym przekazywanie danych w obrębie jednej grupy kapitałowej staje się o wiele łatwiejsze. Przepływ danych do państw trzecich, które nie są członkami Unii Europejskiej musi oczywiście odbywać się w zgodzie z przepisami zawartymi w RODO.
Kogo dotyczą wiążące reguły korporacyjne?
Stare przepisy ustawy o ochronie danych osobowych pozwalały na stosowanie wiążących reguł korporacyjnych tylko podmiotom należącym do grupy kapitałowej. Wraz z wejściem w życie RODO wiążące reguły mogą być zastosowane nie tylko w odniesieniu do grupy kapitałowej. Rozporządzenie o ochronie danych osobowych dopuszcza także ich stosowanie przez podmioty, które podejmują wspólne działania gospodarcze. Przepisy RODO nie określają czym jest grupa kapitałowa, wprowadzają jedynie pojęcie grupy przedsiębiorstw. Wiążące reguły korporacyjne są wewnętrznym zbiorem zasad. Do ich przestrzegania zobowiązani są tylko podmioty, które należą do danej grupy przedsiębiorstw.
Czym są wiążące reguły korporacyjne?
Wiążące reguły korporacyjne to zbiór dokumentów i zasad, które zostały opracowane w celu zapewnienia bezpieczeństwa danych, które są przekazywane do państw trzecich. Zasady te powinny zostać tak opracowane, aby nie utrudniały stosunków gospodarczych między państwem członkowskim Unii Europejskiej, a tym które nie jest członkiem tej organizacji. Wiążące reguły korporacyjne musi zatwierdzić właściwy organ nadzorczy, gdyż muszą one być zgodne z polityką spójności. Zostało to bardzo wyraźnie zapisane w art. 63 RODO. Istotne jest też to, że wiążące reguły korporacyjne muszą być stosowane przez każdego członka grupy przedsiębiorstw. Zasad tych muszą też przestrzegać również pracownicy. Pracownicy, którzy mają stały dostęp do danych osobowych powinni przejść odpowiednie szkolenie z tego zakresu.
Przekazywanie danych osobowych do państw, które nie są członkami Unii Europejskiej oraz nie należą do Europejskiego Obszaru Gospodarczego może odbywać się jedynie na podstawie przepisów RODO. Przekazując dane do tych państw należy stosować takie środki organizacyjne i techniczne, aby nie doszło do naruszenia przepisów RODO. Pracownicy odpowiedzialni za przekazywanie danych osobowych do państw trzecich nie mogą pozostawiać wydruków na drukarkach. Należy pamiętać, że wiążące reguły korporacyjne muszą mieć charakter prawnie wiążący – czy są one przestrzegane monitoruje inspektor danych osobowych.
Monika Zygmunt - Jakuć (IOD)