W opinii Generalnego Inspektora Ochrony Danych Osobowych przedsiębiorstwom o zasięgu międzynarodowym, które wdrożą europejskie normy ochrony danych osobowych, trzeba ułatwić przesyłanie danych wewnątrz korporacji.
Nad tym, jakie udogodnienia w tym zakresie można wprowadzić, zastanawiali się uczestnicy międzynarodowego seminarium „Wiążące reguły korporacyjne – pojęcie, stosowanie, doświadczenia praktyczne” zorganizowanego 14 czerwca 2011 r. w Warszawie przez dra Wojciecha Rafała Wiewiórowskiego, Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
W opinii dr. Wojciecha Rafała Wiewiórowskiego, przesyłanie danych, w tym danych osobowych, jest niezbędne przy prowadzeniu działalności gospodarczej o zasięgu międzynarodowym. Widać to szczególnie w przypadku dużych korporacji, które często korzystają z usług centrów przetwarzania danych zlokalizowanych np. w Indiach czy RPA, gdzie gromadzą dane wszystkich swoich klientów lub pracowników. Z punktu widzenia ochrony danych osobowych, taka sytuacja może zagrażać pełnej kontroli nad tym, kto ma dostęp do danych i w jaki sposób są one zabezpieczone.
Jednym ze sposobów umożliwiających bezpieczny transfer danych osobowych poza Europejski Obszar Gospodarczy (EOG) jest zastosowanie tzw. wiążących reguł korporacyjnych (ang. Binding Corporate Rulet, BCR). Reguły te, przyjmowane przez korporacje i akceptowane przez organy ochrony danych, umożliwiają potraktowanie korporacji jako bezpiecznego obszaru przetwarzania, w którym dane osobowe chronione są na poziomie wymaganym przez Unię Europejską.
Zaletą BCR jest możliwość ich narzucenia przez spółkę-matkę pozostałym spółkom z grupy kapitałowej, co gwarantuje jednolity, wysoki poziom ochrony, ale też usprawnia proces jej wdrażania.
Są już korporacje, które opracowują i wdrażają wiążące reguły korporacyjne. W pewnym stopniu ułatwiają one rzecznikom ochrony danych osobowych wydawanie decyzji zezwalających na transfer danych do państwa trzeciego. Jednak żeby w Polsce można było wydać decyzję opartą o wiążące reguły korporacyjne, to polski generalny inspektor ochrony danych osobowych musi uczestniczyć przynajmniej w procedurze ich uznawania, a czasami nawet w ich tworzeniu.
Zdaniem GIODO to rozwiązanie mało praktyczne dla firmy, która musi powtarzać tę samą operację w 27 krajach członkowskich. Pamiętajmy też, że GIODO musi przeprowadzić tę samą procedurę, jaka została przeprowadzona w innych krajach na podstawie tych samych przepisów podkreślił dr Wojciech Rafał Wiewiórowski. Wskazywał, że w przyszłości można byłoby z takiego obowiązku zrezygnować, jeżeli wiążące reguły korporacyjne zostałyby uznane za wystarczające przez co najmniej trzech innych inspektorów ochrony danych osobowych z państw UE.
Jak zaznaczył GIODO rozwój idei BCR jest o tyle interesujący dla samych organów ochrony danych osobowych, że umożliwia zastosowanie tych rozwiązań, które Unia Europejska uznaje za bezpieczne, również w krajach, które znajdują się poza Europą .
Jego zdaniem, wiążące reguły korporacyjne mogą być również odpowiedzią na wyzwania techniczne związane ochroną danych osobowych, m.in. przetwarzanych w tzw. chmurach. Wystarczyłoby, aby dostarczyciel chmury stworzył takie wiążące reguły korporacyjne dla siebie. wówczas przestaje mieć znaczenie to, gdzie znajduje się centrum przetwarzania danych.
Jak podkreślił jeżeli będą tam stosowane zasady ochrony danych osobowych takie, jakie uznalibyśmy za wystarczające dla Unii Europejskiej, to wówczas takie przekazanie będzie się mogło odbywać. Tym samym więc rozwiązanie o charakterze prawnym i organizacyjnym, rozwiąże również problem techniczny.
PS/źródło:GIODO
Zobacz także: