Na stronie Urzędu Ochrony Danych Osobowych można przeczytać o przyjęciu nowych wytycznych w sprawie wiążących reguł korporacyjnych. W wytycznych pojawia się nowy wzór wniosku do organu. Tryb postępowania jest opisany w przepisach prawa, więc nie będę ich przepisywał w całości. Warto pamiętać, że nie jest to szybka procedura, ponieważ poza zatwierdzeniem reguł przez właściwy organ nadzorczy niezbędne jest zatwierdzenie przez Europejską Radę Ochrony Danych (EROD), na mocy art 65.1.f.
Nowe wytyczne
Nowe wytyczne związane z WRK (wiążącymi regułami korporacyjnymi) zostały przyjęte przez Europejską Radę Ochrony Danych Osobowych pod koniec listopada. Nie oznacza to, że zaktualizowane listy kontrolne i wzory obowiązują już dziś. Obecnie trwają konsultacje, w których można wziąć udział. Informacje zamieszczone są na stronie https://uodo.gov.pl/pl/138/2498
Reguły korporacyjne, a standardowe klauzule umowne
W wielu miejscach w sieci można natknąć się na informacje z których wynika, że administrator może sobie dowolnie wybierać między regułami a klauzulami umownymi. Nie jest to do końca poprawne stwierdzenie, ponieważ narzędzia te, na podstawie których dochodzi do przekazywania danych do państwa trzeciego są dedykowane do konkretnych rodzajów współpracy i związane są z organizacją ochrony danych. Wiążące reguły korporacyjne to nic innego jak grupowa polityka bezpieczeństwa – zbiór informacji i zasad związanych z ochroną danych osobowych, obowiązujące w grupie przedsiębiorstw lub przedsiębiorców.
Cel wspólna działalność – jako wyznacznik
Ważnym elementem, który pojawił się w RODO jest wskazanie, że WRK mogą być stosowane w grupie nie tylko przedsiębiorstw, ale też przedsiębiorców. Oznacza to, że mogą to być różni przedsiębiorcy, ale łączy ich wspólna działalność gospodarcza. W tym przypadku WKR są nieocenione, ponieważ zasady są jednolite. Aspekt ten nie zawsze jest dostrzegany, więc przykład z bliższego, lepiej nam znanego obszaru – powierzenie przetwarzania danych. W przypadku powierzenia przetwarzania podmiot przetwarzający, procesor funkcjonuje w oparciu o własne regulacje i zasady. Są one poddawane audytom, a podpisanie umowy powierzenia powinno być poprzedzone oceną procesora.
W przypadku WRK jest to przygotowanie zasad zgodnie z wytycznymi z art. 47 oraz wytyczne Grupy Roboczej 29. Oczywiście rozważyć trzeba zakres, tryb współpracy, kontekst przetwarzania, zakres danych o podstawy ich transferu.
Niemniej łatwiej jest utrzymać poziom bezpieczeństwa, gdy wszystkie podmioty działają według tych samych zasad. Proszę wyobrazić sobie audyt w grupie przedsiębiorstw złożonych z 10 organizacji. Jest to 10 audytów na tych samych listach kontrolnych, dowodach z audytu. Mało tego, można od razu budować interaktywne grupy IOD-ów lub managerów bezpieczeństwa, którzy wspólnie będą rozwijać ten sam system ochrony danych osobowych. Bardzo wygodnie z punktu widzenia organizatora ochrony danych i osób nadzorujących.
Łyżka dziegciu – trzy modele współpracy
Mechanizmem identycznym jest powołanie grupy przedsiębiorstw (w obszarze EOG). Tu również obowiązuje jednolity system ochrony danych osobowych.
Drugi z modeli to znany i powszechnie stosowane powierzenie przetwarzania danych osobowych. Czasem przerost formy nad treścią szczególnie w zakresie umów, które potrafią liczyć 17 stron i składają się z bezrefleksyjnego cytowania RODO (w technice prawodawczej jest to błąd).
Trzeci z modeli, zostawiłem na koniec bo jest jedną z dwóch łyżek dziegciu w beczce miodu. Jest nim współadministracja. Niezwykle rzadko stosowana, choć również upraszczająca wiele zagadnień. Uproszczenie organizacji powoduje większą sprawność systemu (teoria systemów).
Niestety WRK jak i współadministracja są to modele, które spotykają się (choć nieoficjalnie) z niechęcią organów nadzorczych. Jest to o tyle ciekawe, że sprawność zarządzania ochroną w jednym i drugim przypadku jest wyższa. A więc bezpieczeństwo, tryb wykonywania praw przez osobę, której dane dotyczą, skuteczność audytów i nadzoru, wspólne szkolenia są dużo łatwiejsze i efektywniejsze.
Początek roku 2023 poświęcimy na bliższe przyjrzenie się modelom ochrony danych osobowych, w przypadku przepływów między organizacjami. Może zainspirujemy do porzucenia dość sztywnych i nie zawsze skutecznych umów powierzenia na rzecz współadministracji bądź grupy przedsiębiorstw.
