Wiążące reguły korporacyjne

Art. 4 pkt 20 RODO
„Wiążące reguły korporacyjne” oznaczają polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą.

Czym są wiążące reguły korporacyjne?

Wiążące reguły korporacyjne (ang. BCR – Binding Corporate Rules) to instrument prawny w postaci sformalizowanych wewnętrznych polityk ochrony danych osobowych stosowany pomiędzy podmiotami należącymi do tej samej grupy przedsiębiorców (np. grupy kapitałowej). Przedmiotowe polityki mają na celu określenie zasad przekazywania danych osobowych do państw trzecich, w którym znajduje się co najmniej jeden z podmiotów z tej grupy przedsiębiorców

W jakim celu stosuje się wiążące reguły korporacyjne?

Wiążące reguły korporacyjne stosuje się w celu ochrony danych osobowych podczas przekazywania danych osobowych do państw trzecich.

O jakie polityki ochrony danych osobowych chodzi?

Wewnętrzne reguły korporacyjne to po prostu zestaw wewnętrznych polityk dotyczących przetwarzania przetwarzania danych, w tym procedur oraz kodeksów postępowania.

Jak wskazuje D. Karwalą[1], w praktyce tego rodzaju „polityki” mogą stanowić dowolnego kształtu wewnętrzną dokumentację, która określa na jest mianem „wewnętrznych kodeksów korporacyjnych”, „podstawowych zasad”, tzw. polityk parasolowych itd.

W ramach wiążących reguł korporacyjnych przygotowywane są specjalne procedury, komunikaty, umowy wiążące poszczególnych członków korporacji, powiązane ze sobą w celu osiągnięcia skutku jednolitego przestrzegania przez wszystkie podmioty grupy określonych obowiązków związanych z ochroną danych osobowych.

Kogo wiążą wiążące reguły korporacyjne?

Przedmiotowe narzędzie prawne wiążą wszystkie podmioty w ramach grupy przedsiębiorstw nimi objętymi. Wiążące reguły korporacyjne mają charakter wewnętrzny. Nie wiążą zatem podmiotów, które nie należą do grupy przedsiębiorców.

Kto określa treść wiążące reguły korporacyjne?

Treść wiążących reguły korporacyjnych określają indywidualnie podmioty (administratorzy lub podmioty przetwarzające) należące do grupy przedsiębiorców w konsultacji z organem nadzorczym.

Czy wiążące reguły korporacyjne wymagają zatwierdzenia?

Tak. Wiążące reguły korporacyjne wymagają zatwierdzenia przez krajowy organ nadzorczy zgodnie z mechanizmem spójności przewidzianym w art. 63 RODO.

Niniejszy artykuł ma na celu jedynie przybliżenie definicji wiążących reguł korporacyjnych. Przepisy art. 47 oraz 64 RODO również odnoszą się do wiążących reguł korporacyjnych. Co więcej, Grupa Robocza art. 29 wielokrotnie podejmowała tematykę wiążących reguł korporacyjnych, m.in.:

Wzorcowa lista kontrolna. Wniosek o zatwierdzenie wiążących reguł korporacyjnych (WP 102), https://archiwum.giodo.gov.pl/pl/1520189/7319 [dostęp: 23.11.2020 r.]
Dokument Roboczy Dotyczący Wiążących Reguł Korporacyjnych dla Administratorów (WP256), https://uodo.gov.pl/pl/file/607 [dostęp: 23.11.2020 r.]
Nota informacyjna ws. BCR dla przedsiębiorstw, dla których wiodącym organem nadzorczym jest ICO, https://uodo.gov.pl/pl/409/1377 [dostęp: 23.11.2020 r.]
zalecenie dotyczące standardowego wniosku o zatwierdzenie Wiążących Reguł Korporacyjnych dla administratora dla celów przekazywania danych osobowych (WP264), https://uodo.gov.pl/pl/file/2621 [dostęp: 23.11.2020 r.]
dokument roboczy ustanawiający tabelę: elementy i zasady BCR dla przetwarzających (WP257 rev.01), https://uodo.gov.pl/pl/3/1356 [dostęp: 23.11.2020 r.]

Organizacja międzynarodowa

Organizacja międzynarodowa Art. 4 pkt 26 RODO Organizacja międzynarodowa oznacza organizację i organy jej podlegające działające na podstawie prawa międzynarodowego publicznego lub inny organ powołany w drodze umowy

Czytaj więcej »

18 listopada 2020 Brak komentarzy

Państwo trzecie

Państwo Trzecie Nie. To nie jest Trzeci Świat. Większość z nas wie, że Stany Zjednoczone Ameryki uważane jest za państwo trzecie w rozumieniu RODO. Jednak mało kto zdaje sobie sprawę, że państwem

Czytaj więcej »

22 lipca 2020 Jeden komentarz

[1] D. Karwala, Wiążące reguły korporacyjne [w:] Ochrona danych osobowych, pod red. D. Lubasz, Warszawa 2020, s. 368-369.

Źródła:

Ogólne Rozporządzenie o Ochronie Danych osobowych. Komentarz, pod red. M. Sakowska-Baryła, Warszawa 2018, Legalis.
Litwiński, komentarz do art. 4 [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, pod red. Litwiński, Barta, Kawecki, Warszawa 2018, Legalis.
Karwala, Wiążące reguły korporacyjne [w:] Ochrona danych osobowych, pod red. D. Lubasz, Warszawa 2020, s. 368-369.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE. L 2016 Nr 119 ze zm.)

Ustawienia plików cookie

Poniżej możesz zmienić ustawienia plików cookie. Aby to zrobić przesuń suwak przy wybranej kategorii plików cookie. Masz prawo do wglądu w swoje ustawienia oraz do ich zmiany w dowolnym czasie. Więcej informacji o poszczególnych kategoriach plików cookie, które wykorzystuje strona internetowa znajdziesz w Polityce prywatności.

Niezbędne

Zawsze włączone

Niezbędne pliki cookie (oraz inne podobne technologie) są potrzebne dla zapewnienia właściwego funkcjonowania witryny oraz zapewnienia odpowiedniego poziomu bezpieczeństwa, w związku z czym nie mogą one zostać wyłączone.

Cookie	Czas przechowywania	Opis
cookielawinfo-checkbox-analytics	1 rok	Ten plik cookie, ustawiony przez wtyczkę GDPR Cookie Consent, służy do rejestrowania zgody użytkownika na pliki cookie w kategorii „Analityczne”.
cookielawinfo-checkbox-necessary	1 rok	Ten plik cookie, ustawiony przez wtyczkę GDPR Cookie Consent, służy do rejestrowania zgody użytkownika na pliki cookie w kategorii „Niezbędne”.
mailerlite:webform:shown		Plik cookie używany przez formularz zapisu na newsletter do określenia, czy formularz zapisu na newsletter został już wyświetlonwy użytkownikowi odwiedzającemu stronę.
viewed_cookie_policy	1 rok	Plik cookie jest ustawiany przez wtyczkę GDPR Cookie Consent w celu przechowywania informacji, czy użytkownik wyraził zgodę na korzystanie z plików cookie (żadne dane osobowe nie są zapisywane ani przechwowane).

Analityczne

Pliki cookie służące do dokonywania pomiarów i sprawdzania poprawności funkcjonowania strony. Umożliwiają weryfikację ilości osób, które odwiedzają stronę, a także pomagają nam ocenić, które strony i treści są odwiedzane najczęściej.

Cookie	Czas przechowywania	Opis
_ga	2 lata	Plik cookie _ga, instalowany przez Google Analytics, oblicza dane dotyczące odwiedzających, sesji i kampanii, a także śledzi wykorzystanie witryny na potrzeby raportu analitycznego witryny. Plik cookie przechowuje informacje anonimowo i przypisuje losowo wygenerowany numer w celu rozpoznania unikalnych użytkowników.
_ga_BKFR6CLJT3	2 lata	Plik cookie wykorzystywany przez usługę Google Analytics.
_gat_gtag_UA_199300153_1	1 minuta	Wykorzystywany przez usługę Google Analytics do rozróżniania użytkowników.
_gid	1 dzień	Instalowany przez Google Analytics plik cookie _gid przechowuje informacje o tym, w jaki sposób odwiedzający korzystają ze strony internetowej, jednocześnie tworząc raport analityczny dotyczący wydajności strony internetowej. Niektóre gromadzone dane obejmują liczbę odwiedzających, ich źródło i strony, które odwiedzają anonimowo.