Zgodnie z RODO administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Jednym z takich środków są wiążące reguły korporacyjne (BCR), które mogą stosować grupy przedsiębiorców lub grupy przedsiębiorstw prowadzących wspólną działalność gospodarczą wprost na podstawie RODO.
Celem popularyzowania wskazanej metody dla zapewnienia bezpieczeństwa danych, EROD wydała zalecenia 1/2022, które mają na celu zapewnienie standardowego formularza wniosku o zatwierdzenie BCR dla administratorów, wyjaśnić niezbędną treść tego wniosku, a także dokonać rozróżnienia miedzy treścią samego wniosku, a tym, co powinno zostać przedstawione organowi celem właściwej oceny złożonego wniosku.
BCR dla administratorów danych osobowych stanowią pewną ramę dla przekazywania danych osobowych innym administratorom lub podmiotom przetwarzającym (mającym siedzibę poza EOG) w ramach tej samej grupy. Natomiast BCR dla podmiotów przetwarzających mają zastosowanie do danych otrzymanych od administratora, który nie jest członkiem grupy, a które są następnie przetwarzane przez odpowiednich członków grupy, jako podmioty przetwarzające i/lub podwykonawców przetwarzania. Zatem obowiązki określone w BCR dla administratorów mają zastosowanie w stosunku do podmiotów w ramach tej samej grupy pełniących rolę administratorów oraz do podmiotów działających jako „wewnętrzni” przetwarzający.
Konsultacje w sprawie wydanych zaleceń potrwają do 10 stycznia 2023 r.
Autor: r. pr. Anna Zabielska
