Ochrona Danych Osobowych

Przedsiębiorstwom o zasięgu międzynarodowym, które wdrożą europejskie normy ochrony danych osobowych, trzeba ułatwić przesyłanie danych wewnątrz korporacji. Wiążące reguły korporacyjne (ang. Binding Corporate Rulet, BCR) przyjmowane przez korporacje i akceptowane przez organy ochrony danych, umożliwiają potraktowanie korporacji jako bezpiecznego obszaru przetwarzania, w którym dane osobowe chronione są na poziomie wymaganym przez Unię Europejską.

Nad tym, jakie udogodnienia w tym zakresie można wprowadzić, zastanawiali się uczestnicy międzynarodowego seminarium „Wiążące reguły korporacyjne – pojęcie, stosowanie, doświadczenia praktyczne” zorganizowanego 14 czerwca 2011 r. w Warszawie przez dra Wojciecha Rafała Wiewiórowskiego, Generalnego Inspektora Ochrony Danych Osobowych (GIODO).

Podczas konferencji prasowej, która odbyła się w przerwie tego wydarzenia (pełny jej zapis dostępny poniżej), dr Wojciech Rafał Wiewiórowski wyjaśniał, że przesyłanie danych, w tym danych osobowych, jest niezbędne przy prowadzeniu działalności gospodarczej o zasięgu międzynarodowym. Widać to szczególnie w przypadku dużych korporacji, które często korzystają z usług centrów przetwarzania danych zlokalizowanych np. w Indiach czy RPA, gdzie gromadzą dane wszystkich swoich klientów lub pracowników. Z punktu widzenia ochrony danych osobowych, taka sytuacja może zagrażać pełnej kontroli nad tym, kto ma dostęp do danych i w jaki sposób są one zabezpieczone.

Jednym ze sposobów umożliwiających bezpieczny transfer danych osobowych poza Europejski Obszar Gospodarczy (EOG) jest zastosowanie tzw. wiążących reguł korporacyjnych (ang. Binding Corporate Rulet, BCR). Reguły te, przyjmowane przez korporacje i akceptowane przez organy ochrony danych, umożliwiają potraktowanie korporacji jako bezpiecznego obszaru przetwarzania, w którym dane osobowe chronione są na poziomie wymaganym przez Unię Europejską.

Zaletą BCR jest możliwość ich narzucenia przez spółkę-matkę pozostałym spółkom z grupy kapitałowej, co gwarantuje jednolity, wysoki poziom ochrony, ale też usprawnia proces jej wdrażania.

Są już korporacje, które opracowują i wdrażają wiążące reguły korporacyjne. W pewnym stopniu ułatwiają one rzecznikom ochrony danych osobowych wydawanie decyzji zezwalających na transfer danych do państwa trzeciego. Jednak żeby w Polsce można było wydać decyzję opartą o wiążące reguły korporacyjne, to polski generalny inspektor ochrony danych osobowych musi uczestniczyć przynajmniej w procedurze ich uznawania, a czasami nawet w ich tworzeniu.

- Obecnie, jeśli wiążące reguły korporacyjne zostaną uznane nawet przez kilkunastu inspektorów ochrony danych osobowych z krajów UE, przekazanie danych z Polski wymaga decyzji polskiego GIODO. To rozwiązanie mało praktyczne dla firmy, która musi powtarzać tę samą operację w 27 krajach członkowskich. Pamiętajmy też, że GIODO musi przeprowadzić tę samą procedurę, jaka została przeprowadzona w innych krajach na podstawie tych samych przepisów - mówił dr Wojciech Rafał Wiewiórowski. Wskazywał, że w przyszłości można byłoby z takiego obowiązku zrezygnować, jeżeli wiążące reguły korporacyjne zostałyby uznane za wystarczające przez co najmniej trzech innych inspektorów ochrony danych osobowych z państw UE.

- Rozwój idei BCR jest, z jednej strony, wyjściem naprzeciw biznesowi, który chciałby, aby istniał rzeczywiście wolny rynek przekazywania danych osobowych do bezpiecznych centów przetwarzania i jednocześnie chciałaby oderwać się od konieczności każdorazowego uzyskiwania decyzji organów ochrony danych osobowych o możliwości przekazania jakiegoś zestawu danych osobowych do kraju trzeciego. Z drugiej zaś strony jest o tyle interesujący dla samych organów ochrony danych osobowych, że umożliwia zastosowanie tych rozwiązań, które Unia Europejska uznaje za bezpieczne, również w krajach, które znajdują się poza Europą - mówił dr Wojciech Rafał Wiewiórowski.

Jego zdaniem, wiążące reguły korporacyjne mogą być również odpowiedzią na wyzwania techniczne związane ochroną danych osobowych, m.in. przetwarzanych w tzw. chmurach. Wystarczyłoby, aby dostarczyciel chmury stworzył takie wiążące reguły korporacyjne dla siebie. wówczas przestaje mieć znaczenie to, gdzie znajduje się centrum przetwarzania danych. – Jeżeli będą tam stosowane zasady ochrony danych osobowych takie, jakie uznalibyśmy za wystarczające dla Unii Europejskiej, to wówczas takie przekazanie będzie się mogło odbywać. Tym samym więc rozwiązanie o charakterze prawnym i organizacyjnym, rozwiąże również problem techniczny – wyjaśniał.

Podczas spotkania z dziennikarzami GIODO przekazał również informacje o konkursie na esej poświęcony „Zastosowaniu przepisów o ochronie danych osobowych w celu stworzenia portalu społecznościowego do wymiany informacji między kibicami piłki nożnej”. Uroczyste wręczenie nagród jego laureatom miało miejsce podczas seminarium „Wiążące reguły korporacyjne – pojęcie, stosowanie, doświadczenia praktyczne”.

Patronat medialny nad tym seminarium sprawowali: Informacyjna Agencja Radiowa, TV Biznes oraz „Computerworld”.

źródło: GIODO

Write a comment:
*

Your email address will not be published.