logo-LexDigital
logo-LexDigital
Compliance

BCR — wiążące reguły korporacyjne

Zespół LexDigital
Zespół LexDigital
03.10.2023
BCR — wiążące reguły korporacyjne

BCR, czyli binding corporate rules (wiążące reguły korporacyjne), to jeden z instrumentów umożliwiających przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych. Wiążące reguły korporacyjne mogą znaleźć zastosowanie w szczególności w grupie przedsiębiorstw, które wspólnie prowadzą działalność gospodarczą.

Definicja wiążących reguł korporacyjnych

Zgodnie z definicją, binding corporate rules (BCR) to polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi, lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw, lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą.

europejska rada ochrony danych, informacji, rules

BCR są stosunkowo nową instytucją, bowiem regulacje poprzedzające RODO, w tym w szczególności Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych nie zawierała przepisów odpowiadającym aktualnym regulacjom BCR.

Grupa przedsiębiorstw lub grupa przedsiębiorców

Jak wynika definicji, BCR nie są instrumentem dla każdego administratora lub podmiotu przetwarzającego. Pozostają bowiem w bezpośrednim związku z transgranicznym przetwarzaniem danych osobowych i znajdują zastosowanie tylko do grupy przedsiębiorstw lub grupy przedsiębiorców.

europejska rada ochrony danych, informacji, rules

Mechanizm zatwierdzania wiążących reguł korporacyjnych

BCR są instrumentem szczególnym nie tylko pod względem podmiotowym, czy przedmiotowym, ale również z uwagi na tryb ich przyjmowania. Polityki w ramach BCR są bowiem zatwierdzane przez właściwy organ nadzorczy.

Warto zauważyć, że na wniosek organu nadzorczego Europejska Rada Ochrony Danych wydaje opinię dotyczącą projektu decyzji zatwierdzającej BCR. Opinia, którą wydaje Europejska Rada Ochrony Danych, nie jest wprawdzie wiążąca, ale odgrywa istotną rolę w realizacji mechanizmu spójności i w związku z tym odgrywa kluczową rolę w zapewnieniu jednolitego stosowania RODO na obszarze całej Unii Europejskiej. Europejska Rada Ochrony Danych swoje opinie oraz odnośne decyzje organów nadzorczych publikuje na swojej stronie internetowej.


europejska rada ochrony danych, informacji, rules

Do tej pory Europejska Rada Ochrony Danych wydała blisko 50 opinii dotyczących BCR (binding corporate rules).

Warunki zatwierdzenia wiążących reguł korporacyjnych

Zgodnie z RODO, binding corporate rules są zatwierdzane, gdy są spełnione łącznie trzy warunki.

Po pierwsze, BCR muszą być prawnie wiążące oraz mieć zastosowanie do każdego z członków grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą i są przez każdego z tych członków egzekwowane.

Po drugie, BCR muszą wyraźnie przyznawać osobom, których dane dotyczą, egzekwowalne prawa w związku z przetwarzaniem ich danych osobowych.

Po trzecie, BCR muszą spełniać wymogi określone w art. 47 ust. 2 RODO.

europejska rada ochrony danych, informacji, związku

Wymogi dla wiążących reguł korporacyjnych

BCR muszą spełniać szereg wymogów. Zgodnie z RODO BCR określają m.in.:

  • strukturę i dane kontaktowe odnośnej grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących działalność gospodarczą i każdego z jej członków;
  • zastosowanie ogólnych zasad ochrony danych — w szczególności ograniczenia celu, minimalizacji danych, ograniczonych okresów przechowywania, jakości danych, uwzględnianie ochrony danych w fazie projektowania oraz domyślnej ochrony danych, podstawa prawna przetwarzania, przetwarzanie szczególnych kategorii danych osobowych, środki zapewniające bezpieczeństwo danych, wymogi w zakresie dalszego przekazywania podmiotom, niezwiązanym wiążącymi regułami korporacyjnymi;
  • prawa osób, których dane dotyczą, w związku z przetwarzaniem oraz sposoby wykonywania tych praw;
  • przyjęcie przez administratora lub podmiot przetwarzający posiadających jednostki organizacyjnej na terytorium państwa członkowskiego odpowiedzialności prawnej za naruszenie wiążących reguł korporacyjnych przez odnośnego członka niemającego jednostki organizacyjne w Unii;
  • przyjęcie przez administratora lub podmiot przetwarzający posiadających jednostki organizacyjnej na terytorium państwa członkowskiego odpowiedzialności prawnej za naruszenie wiążących reguł korporacyjnych przez odnośnego członka niemającego jednostki organizacyjne w Unii;
  • sposób przekazania osobom, których dane dotyczą informacji o wiążących regułach korporacyjnych;
  • procedury dotyczące skarg;
  • stosowane w grupie przedsiębiorstw lub w grupie przedsiębiorców prowadzących wspólną działalność gospodarczą mechanizmy zapewniające weryfikację przestrzegania BCR;
  • mechanizmy zgłaszania i rejestrowania zmian w BCR i zgłaszania tych zmian organowi nadzorczemu;
  • mechanizm zgłaszania właściwemu organowi nadzorczemu wszelkich wymogów prawnych, którym podlega w państwie trzecim członek grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą i które mogą mieć istotny niekorzystny wpływ na gwarancje przewidziane w BCR.
europejska rada ochrony danych, informacji, związku

Rola Komisji Europejskiej w związku z BCR

Zgodnie art. 47 ust. 3 RODO Komisja Europejska może określić format i procedury wymiany informacji między administratorami, podmiotami przetwarzającymi i organami nadzorczymi dotyczących wiążących reguł korporacyjnych.

Do tej pory Komisja jednak nie skorzystała z tego uprawnienia.

BCR jako instrument transferu danych

W przypadku organizacji prowadzących działalność międzynarodową na szeroką skalę, BCR są jednym z rozwiązań umożliwiających transfer danych do państwa trzeciego.

Zgodnie z RODO, w razie braku decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony, administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego, lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia. Takim zabezpieczeniem, niewymagającym dodatkowego zezwolenia, są właśnie BCR.

europejska rada ochrony danych, informacji, związku

Znaczenie wyroku ws. Schrems II

Choć wyrok Schrems II nie odnosił się wprost do BCR, to niektóre fragmenty tego orzeczenia mają również znaczenie dla omawianego instrumentu.

W uzasadnieniu wyroku TSUE wskazał bowiem, że: „(…) art. 46 ust. 1 i art. 46 ust. 2 lit. c) RODO należy interpretować w ten sposób, że wymagane przez te przepisy odpowiednie zabezpieczenia, egzekwowalne prawa oraz skuteczne środki ochrony prawnej powinny zapewniać, by prawa osób, których dane osobowe są przekazywane do państwa trzeciego na podstawie klauzul ochrony danych, były chronione w stopniu merytorycznie równoważnym temu gwarantowanemu w Unii przez to rozporządzenie, interpretowane w świetle karty. W tym celu w ramach oceny stopnia ochrony zapewnianego w kontekście takiego przekazywania należy w szczególności uwzględniać zarówno postanowienia umowne uzgodnione między mającymi siedzibę w Unii administratorem danych lub podmiotem przetwarzającym a podmiotem odbierającym dane mającym siedzibę w danym państwie trzecim, jak i, w odniesieniu do ewentualnego dostępu organów władzy publicznej tego państwa trzeciego do przekazywanych w ten sposób danych osobowych, istotne elementy składające się na jego system prawny, w szczególności te wymienione w art. 45 ust. 2 wspomnianego rozporządzenia. „

Na kanwie powyższego fragmentu wyroku można zatem stwierdzić, że administrator stosujący BCR będzie musiał dodatkowo ocenić, czy państwo trzecie, do którego mają być transferowane dane, zapewnia równoważny poziom ochrony danych osobowych.

Europejska Rada Ochrony Danych — stanowisko

Powyższe potwierdza również Europejska Rada Ochrony Danych, która w dokumencie z dnia 23 lipca 2023 („Często zadawane pytania dotyczące wyroku Trybunału Sprawiedliwości Unii Europejskiej wydanego w sprawie C- 311/18 – Data Protection Commissioner przeciwko Facebook Ireland i Maximillianowi Schremsowi”) stwierdziła, że: „To, czy przekazywanie danych osobowych na podstawie wiążących reguł korporacyjnych, będzie możliwe, zależeć będzie od wyniku oceny dokonanej z uwzględnieniem okoliczności przekazywania danych i środków uzupełniających, które można zastosować. Te środki uzupełniające, wraz z wiążącymi regułami korporacyjnymi [BCR], przyjęte w następstwie indywidualnej analizy okoliczności towarzyszących przekazywaniu danych, musiałyby zagwarantować, aby prawo amerykańskie nie wpływało niekorzystnie na odpowiedni stopień ochrony gwarantowanej przez te środki.”

BCR w praktyce UODO

Urząd Ochrony Danych Osobowych niestety nie publikuje zbyt wielu informacji na temat BCR. Trudno również znaleźć na stronie UODO jakąkolwiek decyzję zatwierdzającą BCR.

Autorem artykułu jest radca prawny: Jakub Pawłowski.

RODO
Nagrywanie pracowników. Czy monitoring z dźwiękiem jest legalny?

Nagrywanie pracowników. Czy monitoring z dźwiękiem jest legalny?

Aleksander Markiewicz 23.11.2024
Compliance
Największe kary RODO w historii Polski. Prognoza na 2026 rok

Największe kary RODO w historii Polski. Prognoza na 2026 rok

Patrycja Żarska-Cynk 14.01.2026

Umów bezpłatną konsultację

Napisz, w czym możemy ci pomóc, a my skontaktujemy się z Tobą w ciągu 24 godzin.
Kontakt
Pierwszy taki newsletter o ochronie danych i cyberbezpieczeństwie.
Co miesiąc dawka wiedzy od naszych ekspertów.

Administratorem Twoich danych osobowych jest LexDigital spółka z ograniczoną odpowiedzialnością z siedzibą w Poznaniu, ul Grodziska 8, 60-363 Poznań. Dane osobowe przetwarzane będą w celu wysyłania informacji handlowych, w szczególności newslettera. Pełną informację o przetwarzaniu danych osobowych znajdziesz w naszej Polityce prywatności.