mgr Michał Czerniawski LL.M. Uniwersytet Warszawski Samoregulacja jako narzędzie transgranicznego przepływu danych osobowych mgr Michał Czerniawski LL.M. Uniwersytet Warszawski
BCR - KONTEKST Szybko rosnąca skala przekazywania danych osobowych wewnątrz międzynarodowych grup kapitałowych/korporacji Tendencje do tworzenia scentralizowanej infrastruktury wewnątrz grup kapitałowych/korporacji Znacząca liczba państw nie zapewniających odpowiednich gwarancji ochrony danych osobowych
Europejski Obszar Gospodarczy
Stany Zjednoczone Ameryki (Safe Harbour, PNR) Szwajcaria Urugwaj Państwa trzecie zapewniające odpowiednie gwarancje ochrony danych osobowych Andora Argentyna Australia Guernsey Izrael Jersey Kanada Stany Zjednoczone Ameryki (Safe Harbour, PNR) Szwajcaria Urugwaj Wyspa Man Wyspy Owcze
Czym są Wiążące Reguły Korporacyjne? Wiążące Reguły Korporacyjne (dalej: BCR z ang. Binding Corporate Rules) są narzędziem regulacji wewnętrznej (samoregulacji) podmiotów prywatnoprawnych działających na skalę międzynarodową umożliwiającym wielokrotne przekazywanie danych osobowych wewnątrz grupy kapitałowej/korporacji
FUNKCJA BCR Umożliwienie: A przez to legalizacja: uzyskania odpowiedniego poziomu ochrony danych osobowych, mimo że ustawodawstwa państw, w których grupa działa takiego poziomu nie zapewniają A przez to legalizacja: wielokrotnego przekazywania danych osobowych do podmiotów należących do danej grupy kapitałowej/korporacji znajdujących się w krajach nie zapewniających odpowiedniego poziomu ochrony danych osobowych
BCR Na podstawie powyższego można sądzić, iż BCR powinny: być interesującą alternatywą dla międzynarodowych grup kapitałowych cieszyć się sporym zainteresowaniem
BCR - RZECZYWISTOŚĆ
BCR – WZAJEMNA UZNAWALNOŚĆ
BCR – WZAJEMNA UZNAWALNOŚĆ Wypracowanie procedury wzajemnego uznawania („mutual recognition procedure”, dalej MRP) – 19 państw członkowskich UE wzajemnie rozpoznaje BCR zarejestrowane w jednym z nich MRP nie ma skonkretyzowanych ram prawnych, działa na zasadzie gentlemen's agreement i świadomości, że wszystkim organom krajowym zajmującym się ochroną danych osobowych przyświeca wspólny cel
BCR – WZAJEMNA UZNAWALNOŚĆ Wprowadzenie instytucji tzw. organu prowadzącego, organu krajowego, wybieranego co do zasady ze względu na siedzibę korporacji, mającego za zadanie przeprowadzić procedurę zatwierdzenia BCR Możliwość zgłaszania zastrzeżeń przez organy poszczególnych państw
BCR A GIODO
BCR A GIODO W 2009 r. do GIODO wpłynęły 54 wnioski o udzielenie zgody na przekazanie danych osobowych do państwa trzeciego Znacząca część wniosków dotyczyła m.in. przekazywania danych pracowników, klientów, dostawców (oraz innych podobnych kategorii osób) w ramach jednej międzynarodowej grupy kapitałowej/korporacji Dane najczęściej były przekazywane do Stanów Zjednoczonych Ameryki oraz Republiki Indii Źródło: Sprawozdanie z działalności GIODO za 2009 r.
BCR A GIODO Jak dotąd nie wpłynęły do GIODO formalne wnioski o wyrażenie zgody na przekazanie danych do państwa trzeciego na podstawie BCR Zgodnie z art. 48 ustawy o ochronie danych osobowych należy przyjąć, iż przekazanie na podstawie BCR danych osobowych z Polski do państwa trzeciego, które nie daje gwarancji ochrony danych osobowych przynajmniej takich, jakie obowiązują na terytorium RP wymaga każdorazowo zgody GIODO
BCR – KONKLUZJE W celu zwiększenia zainteresowania grup kapitałowych i międzynarodowych korporacji narzędziem samoregulacji jakim jest BCR konieczna jest unifikacja przepisów poszczególnych państw członkowskich pozwalająca na bezpośrednie stosowanie BCR w każdym państwie członkowskim Unii Unifikacja powinna pozwolić na rozszerzenie MRP (procedury wzajemnego uznawania) na wszystkie państwa członkowskie Unii Europejskiej Wskazana jest standaryzacja wymogów jakie poszczególne państwa członkowskie stawiają podmiotom chcącym zarejestrować BCR
mgr Michał Czerniawski, UW michael.czerniawski@gmail.com