Prowadzisz biznes globalnie? Wiążące reguły korporacyjne mogą w tym pomóc

Truizmem jest stwierdzenie, że dane, w tym te osobowe, są paliwem zasilającym współczesny biznes. Oczywistością jest również spostrzeżenie, że bez ich wymiany nie sposób wyobrazić sobie prowadzenia działalności gospodarczej w wymiarze krajowym oraz w skali międzynarodowej.

Publikacja: 06.08.2024 06:00

Dr Damian Karwala, counsel w praktyce prawa własności intelektualnej i nowych technologii, kancelari

Dr Damian Karwala, counsel w praktyce prawa własności intelektualnej i nowych technologii, kancelaria CMS

Foto: materiały prasowe

Firmy wymieniają się danymi ze swoimi kontrahentami, dostawcami, a także w ramach grup kapitałowych, do których należą. Dotyczy to dość podstawowych danych kontaktowych pracowników i współpracowników, danych klientów, ale także dużo wrażliwszych danych finansowych czy dotyczących zdrowia.

Nadal jednak stosunkowo niewielu przedsiębiorców zdaje sobie sprawę, że funkcjonuje mechanizm, który z powodzeniem wspiera międzynarodową wymianę danych w grupach kapitałowych. Mechanizm, który pozbawiony jest słabości, które są udziałem innych popularnych instrumentów transferowych. A trudności te są coraz lepiej widoczne w ostatnich latach, zwłaszcza po głośnym wyroku Trybunału Sprawiedliwości UE w sprawie Schrems II. Od tego bowiem czasu nie jest pozbawione ryzyka podpisanie standardowych klauzul umownych. Niepewny, bo zagrożony unieważnieniem przez Trybunał, jest również kolejny (już trzeci w historii) program służący transferom danych do USA.

Remedium na te słabości stają się w dużej mierze wiążące reguły korporacyjne, w środowisku międzynarodowym lepiej znane jako Binding Corporate Rules (w skrócie – „BCR”). Korzystają z nich z powodzeniem międzynarodowe korporacje reprezentujące różne sektory, w tym bankowy, ubezpieczeniowy, farmaceutyczny, produkcyjny czy IT. Przez prawie 20 lat funkcjonowania wiążących reguł na ich przyjęcie zdecydowało się ponad 150 korporacji, w tym takie jak Allianz, BP, Motorola, Novartis czy Siemens. W ostatnim czasie budzą one zainteresowanie również wśród krajowych podmiotów.

Główne założenia, zalety i warianty BCR

Podstawowym założeniem i funkcją BCR jest umożliwienie grupom kapitałowym, prowadzącym działalność w wielu państwach świata, dokonywanie możliwie nieskrępowanej wymiany danych w ramach grupy. Odbywa się to dzięki przyjęciu wewnętrznych polityk, procedur oraz szeregu innych dokumentów i mechanizmów, które wiążą podmioty należące do grupy. Przy czym, co kluczowe i co odróżnienia BCR od kontraktowych rozwiązań modelowych, to fakt ich „uszycia na miarę” organizacji. Rozwiązanie to jest przyjmowane i wdrażane przez samych zainteresowanych, co pozwala dostosować je do ich indywidualnych potrzeb i specyfiki.

Dzięki przyjęciu wiążących reguł korporacja unika konieczności zawierania dziesiątek umów transferowych pomiędzy poszczególnymi jej spółkami. Mocną stroną BCR jest również ich elastyczność i możliwość stosowania w różnych wariantach: zarówno przez grupy kapitałowe występujące w charakterze administratorów oraz jako podmioty przetwarzające. W praktyce część korporacji przyjęła i zatwierdziła oba te rodzaje BCR.

Pierwszy wariant pozwala chronić dane wymieniane np. przez departamenty HR czy compliance dla wewnętrznych celów rekrutacyjnych lub raportowych. Z kolei ten drugi zabezpiecza dane, które są przekazywane spółkom z grupy przez zewnętrznych administratorów, np. klientów korporacji. W efekcie pozwala to na zapewnienie zgodności nie tylko w relacjach wewnętrznych (w grupie), ale też zewnętrznych, zwłaszcza w tak wrażliwym obszarze jak relacje z klientami.

BCR jako mechanizm rozliczalności i… certyfikacji

Dzięki wdrożeniu BCR dane osobowe są odpowiednio chronione na etapie samego transferu, a także na terytorium państw trzecich. Dzieje się tak dlatego, że dzięki BCR w ramach korporacji wprowadzane są jednolite zasady ochrony danych, oparte na prawie unijnym, najsilniej chroniącym prywatność w skali świata. Prawidłowo wdrożone w organizacji BCR pozwalają zatem na podniesienie ogólnego poziomu ochrony danych w grupie. W rezultacie przyczynia się to do pełniejszej realizacji wymogu rozliczalności, jednego z podstawowych, jakie wynikają z RODO, oraz wpisuje w szerszy kontekst – wewnętrznego programu compliance. Zapewniają to takie elementy, jak m.in. mechanizm audytowy i program szkoleniowy, usprawnienie wewnętrznych procedur czy wzmocnienie zespołów odpowiedzialnych za ochronę danych na różnych szczeblach korporacji.

W rezultacie, wykorzystując ten innowacyjny instrument, przedsiębiorcy mogą czuć się pewniej w relacji z regulatorem. Jednak daje on im dużo więcej: BCR pozwalają korporacji zakomunikować swym pracownikom, klientom oraz kontrahentom istotne znaczenie, jakie przywiązuje ona do ochrony danych. A to tworzy większe zaufanie, również wśród podmiotów danych, co wpływa na ważny w kontekście RODO aspekt wizerunkowy. Nieprzypadkowo wiążące reguły korporacyjne coraz częściej porównywane są do mechanizmów certyfikacji („pieczęci zgodności”). Przy czym mówimy tu o szczególnym „certyfikacie”, bo nadawanym przez samego zainteresowanego, choć przy sporym udziale regulatora.

Formalne zatwierdzenie BCR

Przygotowany przez grupę projekt BCR wymaga formalnego zatwierdzenia przez właściwy organ nadzorczy. I właśnie ten element (indywidualna autoryzacja) powoduje, że instrument ten daje dużo większy poziom pewności prawnej. Wyższy, niż pozwalają zapewnić modelowe klauzule czy nawet przyjęty przez Amerykanów i zatwierdzony przez Komisję Europejską program wymiany danych (Data Privacy Framework).

Sam proces, pomimo że może być długotrwały, jest precyzyjnie określony w wytycznych unijnych regulatorów – obecnie skupionych w Europejskiej Radzie Ochrony Danych (EROD). Swoisty „BCR toolbox” opracowany przez EROD tworzą liczne dokumenty robocze, zalecenia i rekomendacje, które doprecyzowują wymogi dotyczące zawartości BCR oraz kwestie proceduralne. Dokumenty te określają nawet wzór wniosku o zatwierdzenie BCR. Dzięki czemu procedura przebiega jednolicie w całej UE czy szerzej – w EOG. A co jeszcze ważniejsze, BCR zatwierdzone przez organ z jednego państwa członkowskiego pozwalają na legalne transfery danych ze wszystkich państw EOG, w których grupa prowadzi działalność.

Kiedy doczekamy się „polskich BCR”?

Pomimo już prawie 20 lat funkcjonowania mechanizmu nadal nie doczekaliśmy się „polskich BCR”. Nie dziwiło to szczególnie 15 czy nawet 10 lat temu ze względu na brak doświadczenia krajowego organu, czy też niewielkie znaczenie Polski na biznesowej mapie Europy. Jednak w ostatnich latach sytuacja się zmienia, coraz więcej rodzimych firm prowadzi swój biznes globalnie. Rosną też grupy kapitałowe mające swe główne centrale w Warszawie, Krakowie czy innych polskich miastach.

Również krajowy organ ds. ochrony danych może pochwalić się coraz bogatszym doświadczeniem w pracach nad BCR. Pierwsze korporacje międzynarodowe wybierają prezesa UODO, by ten „opiekował się” ich wiążącymi regułami. Dotyczy to aktualnie tych organizacji, które zatwierdzały swe BCR przed organem brytyjskim, który jednak na skutek brexitu nie może już dłużej pełnić roli wiodącego organu. Najwyższy zatem czas na pierwsze, w pełni „polskie” wiążące reguły korporacyjne.

Felietony
Od świadomości do odpowiedzialności klimatycznej
Materiał Promocyjny
Pieniądze od banku za wyrobienie karty kredytowej
Felietony
Czy jesteśmy na właściwej drodze?
Felietony
Deficyt jak bumerang
Felietony
Fundamenty sprzyjają niższym rentownościom
Materiał Promocyjny
Sieć T-Mobile Polska nagrodzona przez użytkowników w prestiżowym rankingu
Felietony
Nowe spółki a nowe emisje
Felietony
Pułapka samozadowolenia