Wiążące reguły korporacyjne

Art. 4 pkt 20 RODO

„Wiążące reguły korporacyjne” oznaczają polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą.

Czym są wiążące reguły korporacyjne?

Wiążące reguły korporacyjne (ang. BCR – Binding Corporate Rules) to instrument prawny w postaci sformalizowanych wewnętrznych polityk ochrony danych osobowych stosowany pomiędzy podmiotami należącymi do tej samej grupy przedsiębiorców (np. grupy kapitałowej). Przedmiotowe polityki mają na celu określenie zasad przekazywania danych osobowych do państw trzecich, w którym znajduje się co najmniej jeden z podmiotów z tej grupy przedsiębiorców

W jakim celu stosuje się wiążące reguły korporacyjne?

Wiążące reguły korporacyjne stosuje się w celu ochrony danych osobowych podczas przekazywania danych osobowych do państw trzecich.

O jakie polityki ochrony danych osobowych chodzi?

Wewnętrzne reguły korporacyjne to po prostu zestaw wewnętrznych polityk dotyczących przetwarzania przetwarzania danych, w tym procedur oraz kodeksów postępowania.

Jak wskazuje D. Karwalą[1], w praktyce tego rodzaju „polityki” mogą stanowić dowolnego kształtu wewnętrzną dokumentację, która określa na jest mianem „wewnętrznych kodeksów korporacyjnych”, „podstawowych zasad”, tzw. polityk parasolowych itd.

W ramach wiążących reguł korporacyjnych przygotowywane są specjalne procedury, komunikaty, umowy wiążące poszczególnych członków korporacji, powiązane ze sobą w celu osiągnięcia skutku jednolitego przestrzegania przez wszystkie podmioty grupy określonych obowiązków związanych z ochroną danych osobowych.

Kogo wiążą wiążące reguły korporacyjne?

Przedmiotowe narzędzie prawne wiążą wszystkie podmioty w ramach grupy przedsiębiorstw nimi objętymi. Wiążące reguły korporacyjne mają charakter wewnętrzny. Nie wiążą zatem podmiotów, które nie należą do grupy przedsiębiorców.

Kto określa treść wiążące reguły korporacyjne?

Treść wiążących reguły korporacyjnych określają indywidualnie podmioty (administratorzy lub podmioty przetwarzające) należące do grupy przedsiębiorców w konsultacji z organem nadzorczym.

Czy wiążące reguły korporacyjne wymagają zatwierdzenia?

Tak. Wiążące reguły korporacyjne wymagają zatwierdzenia przez krajowy organ nadzorczy zgodnie z mechanizmem spójności przewidzianym w art. 63 RODO.

Niniejszy artykuł ma na celu jedynie przybliżenie definicji wiążących reguł korporacyjnych. Przepisy art. 47 oraz 64 RODO również odnoszą się do wiążących reguł korporacyjnych. Co więcej, Grupa Robocza art. 29 wielokrotnie podejmowała tematykę wiążących reguł korporacyjnych, m.in.:

  • Wzorcowa lista kontrolna. Wniosek o zatwierdzenie wiążących reguł korporacyjnych (WP 102), https://archiwum.giodo.gov.pl/pl/1520189/7319 [dostęp: 23.11.2020 r.]
  • Dokument Roboczy Dotyczący Wiążących Reguł Korporacyjnych dla Administratorów (WP256), https://uodo.gov.pl/pl/file/607 [dostęp: 23.11.2020 r.]
  • Nota informacyjna ws. BCR dla przedsiębiorstw, dla których wiodącym organem nadzorczym jest ICO, https://uodo.gov.pl/pl/409/1377 [dostęp: 23.11.2020 r.]
  • zalecenie dotyczące standardowego wniosku o zatwierdzenie Wiążących Reguł Korporacyjnych dla administratora dla celów przekazywania danych osobowych (WP264), https://uodo.gov.pl/pl/file/2621 [dostęp: 23.11.2020 r.]
  • dokument roboczy ustanawiający tabelę: elementy i zasady BCR dla przetwarzających (WP257 rev.01), https://uodo.gov.pl/pl/3/1356 [dostęp: 23.11.2020 r.]

Organizacja międzynarodowa

Organizacja międzynarodowa Art. 4 pkt 26 RODO Organizacja międzynarodowa oznacza organizację i organy jej podlegające działające na podstawie prawa międzynarodowego publicznego lub inny organ powołany
Czytaj więcej »

Państwo trzecie

Państwo Trzecie Nie. To nie jest Trzeci Świat. Większość z nas wie, że Stany Zjednoczone Ameryki uważane jest za państwo trzecie w rozumieniu RODO. Jednak
Czytaj więcej »

[1] D. Karwala, Wiążące reguły korporacyjne [w:] Ochrona danych osobowych, pod red. D. Lubasz, Warszawa 2020, s. 368-369.

Źródła:

  1. Ogólne Rozporządzenie o Ochronie Danych osobowych. Komentarz, pod red. M. Sakowska-Baryła, Warszawa 2018, Legalis.
  2. Litwiński, komentarz do art. 4 [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, pod red. Litwiński, Barta, Kawecki, Warszawa 2018, Legalis.
  3. Karwala, Wiążące reguły korporacyjne [w:] Ochrona danych osobowych, pod red. D. Lubasz, Warszawa 2020, s. 368-369.
  4. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE. L 2016 Nr 119 ze zm.)

Wzór obowiązku informacyjnego

Konsultacje - porada prawna online

Wzór umowy powierzenia przetwarzania danych