Wiążące reguły korporacyjne przetwarzania danych osobowychtest
W 2013 roku wprowadzono wiążące reguły korporacyjne (BCR) dla przetwarzających, którymi są wewnętrzne kodeksy postępowania dotyczące ochrony i bezpieczeństwa danych mające na celu zapewnienie, że przekazywanie danych osobowych poza obszar Unii Europejskiej przez przetwarzającego, który działa w imieniu swoich klientów i wedle ich instrukcji, będzie odbywało się zgodnie z przepisami UE o ochronie danych.
BCR mają charakter wewnętrznych zasad przyjmowanych przez międzynarodowe korporacje, które definiują globalną politykę przetwarzania danych osobowych wewnątrz danej korporacji do lokalizacji położonych w państwach, w których nie obowiązuje należyty stopień ochrony danych osobowych.
BCR mają na celu przede wszystkim ułatwić dużym korporacjom spełnienie wymogów z art. 25 i 26 Dyrektywy, na podstawie których:
Państwa Członkowskie zapewniają, aby przekazywanie do państwa trzeciego danych osobowych poddawanych przetwarzaniu lub przeznaczonych do przetwarzania po ich przekazaniu mogło nastąpić tylko wówczas, gdy niezależnie od zgodności z krajowymi przepisami przyjętymi na podstawie innych przepisów niniejszej dyrektywy, dane państwo trzecie zapewni odpowiedni stopień ochrony;
Odpowiedni stopień ochrony danych zapewnianej przez państwo trzecie należy oceniać w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zbioru takich operacji; szczególną uwagę zwracać się będzie na charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia, przepisy prawa, zarówno ogólne, jak i branżowe, obowiązujące w państwie trzecim oraz przepisy zawodowe i środki bezpieczeństwa stosowane w tym państwie;
Państwa Członkowskie zapewnią, że przekazanie lub przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego stopnia ochrony, może nastąpić pod warunkiem, że: a) osoba, której dane dotyczą, jednoznacznie udzieli zgody na proponowane przekazanie danych; lub b) przekazanie danych jest konieczne dla realizacji umowy między osobą, której dane dotyczą i administratorem danych lub dla wprowadzenia w życie ustaleń poprzedzających zawarcie umowy na wniosek osoby, której dane dotyczą; lub c) przekazanie danych jest konieczne dla zawarcia lub wykonania umowy zawartej między administratorem danych i osobą trzecią, w interesie osoby, której dane dotyczą; lub d) przekazanie danych jest konieczne lub wymagane przez prawo z ważnych względów publicznych lub w celu ustanowienia, wykonania lub obrony tytułu prawnego; lub e) przekazanie danych jest konieczne dla zapewnienia ochrony żywotnych interesów osoby, której dane dotyczą; lub f) przekazanie danych następuje z rejestru, który ma służyć, zgodnie z obowiązującymi przepisami ustawowymi lub wykonawczymi, za źródło informacji dla ogółu społeczeństwa, udostępnionego do konsultacji obywateli i każdej osoby wykazującej uzasadniony interes, o ile warunki określone przez prawo odnośnie do wglądu do takiego rejestru zostały w danym przypadku spełnione.
Państwo Członkowskie może zezwolić na przekazanie lub przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego stopnia ochrony, jeżeli administrator danych zaleci odpowiednie zabezpieczenia odnośnie do ochrony prywatności oraz podstawowych praw i wolności osoby oraz odnośnie do wykonywania odpowiednich praw; takie środki zabezpieczające mogą w szczególności wynikać z odpowiednich klauzul umownych.
Przy stosowaniu tych zasad warto wspomnieć o wyroku z dnia 16 kwietnia 2003 r., w którym Naczelny Sąd Administracyjny stwierdził, że:
?Przy udzielaniu zgody na przekazanie danych osobowych za granicę organ powinien kierować się oceną, czy zastosowane środki różnego typu, klauzule umowne i środki techniczne pozwalają zapewnić stopień ochrony tych danych odpowiadający ustawodawstwu polskiemu?.
Jak czytamy w Komunikacie europejskich organów ochrony danych, zrzeszonych w ramach Grupy Roboczej Artykułu 29 ds. Ochrony Danych (niezależny organ doradczy w sprawach ochrony danych i prywatności, powołany na mocy artykułu 29 Dyrektywy o ochronie danych 95/46/WE),
?Stosowanie BCR dla przetwarzających nie jest obowiązkowe, a każde przedsiębiorstwo działające jako przetwarzający, np. w kontekście działań outsourcingowych lub przetwarzania danych w chmurze obliczeniowej (cloud computing), może podjąć decyzję o złożeniu wniosku o zatwierdzenie BCR do organu ochrony danych. Przyniesie to jednak korzyści zarówno przetwarzającym, jak i administratorom. Gdy wiążące reguły korporacyjne dla przetwarzających zostaną zatwierdzone, mogą być wykorzystane przez administratora i przetwarzającego, dzięki czemu zapewniona zostanie zgodność z unijnymi zasadami ochrony danych, bez konieczności negocjowania zabezpieczeń i warunków za każdym razem, gdy zawierana jest umowa?.
BCR dla przetwarzających są ? można powiedzieć ? częścią systemu BCR, na który składa się jeszcze BCR dla administratorów danych, natomiast BCR dla przetwarzających obejmuje różne podmioty przetwarzające dane (np. centra danych). Zgodnie z Dyrektywą, pomiędzy przetwarzającym a administratorem powinna zostać podpisana stosowna umowa (ang. service agreement), której postanowienia również powinny znaleźć swoje odzwierciedlenie w BCR dla przetwarzających.
Od strony merytorycznej, w BCR dla przetwarzających należy zwrócić uwagę przede wszystkim na następujące kwestie:
Zapewnienie przestrzegania we wszystkich podmiotach grupy oraz przez wszystkich pracowników, w tym zapewnienie, że przestrzegane będą zasady ochrony przewidziane w umowie z administratorem. Zgodnie bowiem z art. 17 Dyrektywy ?Państwa Członkowskie zobowiązują administratora danych, w przypadku przetwarzania danych w jego imieniu, do wybrania przetwarzającego, o wystarczających gwarancjach odnośnie do technicznych środków bezpieczeństwa oraz rozwiązań organizacyjnych, regulujących przetwarzanie danych, oraz zapewnienia stosowania tych środków i rozwiązań?.
BCR muszą dawać prawo do dochodzenia uprawnień w nich przewidzianych przez osoby, których dane są przetwarzane (ang. ?data subjects?), gdy nie mogą one wnieść roszczeń przeciwko administratorowi.
BCR muszą przewidywać odpowiedni poziom zobowiązań do rekompensaty finansowej za działania podmiotów przetwarzających dane.
BCR musi zapewnić, iż wiedza odnośnie zasad BCR jest znana w danej firmie i przeprowadzane są ustawiczne szkolenia w tym zakresie.
W całej grupie podmiotu przetwarzającego dane powinien funkcjonować punkt kontaktowy dla podmiotów, których dane są przetwarzane.
BCR powinny przewidywać, iż sposób ochrony danych osobowych będzie okresowo audytowany.
BCR powinny zawierać zobowiązanie do współpracy z organami ochrony danych osobowych oraz z administratorem danych. Nie można bowiem na żadnym etapie zapomnieć, iż dane są przetwarzane w określonym celu i to nie podmiot przetwarzający dane osobowe jest tutaj główną postacią tego procesu. Na pewno pełni on bardzo istotną rolę w łańcuchu przetwarzania danych osobowych, jednakże nie wolno zapomnieć, iż głównym zobowiązanym jest administrator danych i to w wypełnianiu obowiązków administratora danych powinien pomagać przetwarzający.
Określenie zakresu danych objętych BCR.
Procedura zmian BCR.
Opis zasad zachowania poufności i bezpieczeństwa, włączając w to zasady transferu danych poza Unię Europejską.
Lista podmiotów objętych BCR oraz oświadczenie o powiązaniach BCR z prawem lokalnym.
Na zakończenie należy podkreślić, iż BCR powinny być powiązane z SLA, która w zakresie danej usługi wiąże klienta końcowego. Umowa SLA, która wiąże klienta, będzie zawierała wiele uregulowań dotyczących już bezpośrednio danej usługi, jednakże BCR jako dokument ramowy i globalny powinien być do niej załącznikiem ? jest to bynajmniej rekomendowana praktyka.