mgr Michał Czerniawski LL.M. Uniwersytet Warszawski

1. Samoregulacja jako narzędzie transgranicznego przepływu danych osobowych mgr Michał Czerniawski LL.M. Uniwersytet Warszawski

2. BCR - KONTEKST • Szybko rosnąca skala przekazywania danych osobowych wewnątrz międzynarodowych grup kapitałowych/korporacji • Tendencje do tworzenia scentralizowanej infrastruktury wewnątrz grup kapitałowych/korporacji • Znacząca liczba państw nie zapewniających odpowiednich gwarancji ochrony danych osobowych

3. Europejski Obszar Gospodarczy

4. Państwa trzecie zapewniające odpowiednie gwarancje ochrony danych osobowych • Andora • Argentyna • Australia • Guernsey • Izrael • Jersey • Kanada • Stany Zjednoczone Ameryki (SafeHarbour, PNR) • Szwajcaria • Urugwaj • Wyspa Man • Wyspy Owcze

5. Czym są Wiążące Reguły Korporacyjne? Wiążące Reguły Korporacyjne (dalej: BCR z ang. Binding Corporate Rules) są narzędziem regulacji wewnętrznej (samoregulacji) podmiotów prywatnoprawnych działających na skalę międzynarodową umożliwiającym wielokrotne przekazywanie danych osobowych wewnątrz grupy kapitałowej/korporacji

6. FUNKCJA BCR Umożliwienie: • uzyskaniaodpowiedniego poziomu ochrony danych osobowych, mimo że ustawodawstwa państw, w których grupa działa takiego poziomu nie zapewniają A przez to legalizacja: • wielokrotnego przekazywania danych osobowych do podmiotów należących do danej grupy kapitałowej/korporacji znajdujących się w krajach nie zapewniających odpowiedniego poziomu ochrony danych osobowych

7. BCR Na podstawie powyższego można sądzić, iż BCR powinny: • być interesującą alternatywą dla międzynarodowych grup kapitałowych • cieszyć się sporym zainteresowaniem

8. BCR - RZECZYWISTOŚĆ

9. BCR – WZAJEMNA UZNAWALNOŚĆ

10. BCR – WZAJEMNA UZNAWALNOŚĆ • Wypracowanie procedury wzajemnego uznawania („mutual recognitionprocedure”, dalej MRP) – 19 państw członkowskich UE wzajemnie rozpoznaje BCR zarejestrowane w jednym z nich • MRP nie ma skonkretyzowanych ram prawnych, działa na zasadzie gentlemen'sagreementi świadomości, że wszystkim organom krajowym zajmującym się ochroną danych osobowych przyświeca wspólny cel

11. BCR – WZAJEMNA UZNAWALNOŚĆ • Wprowadzenie instytucji tzw. organu prowadzącego, organu krajowego, wybieranego co do zasady ze względu na siedzibę korporacji, mającego za zadanie przeprowadzić procedurę zatwierdzenia BCR • Możliwość zgłaszania zastrzeżeń przez organy poszczególnych państw

12. BCR A GIODO

13. BCR A GIODO • W 2009 r. do GIODO wpłynęły 54 wnioski o udzielenie zgody na przekazanie danych osobowych do państwa trzeciego • Znacząca część wniosków dotyczyła m.in. przekazywania danych pracowników, klientów, dostawców (oraz innych podobnych kategorii osób) w ramach jednej międzynarodowej grupy kapitałowej/korporacji • Dane najczęściej były przekazywane do Stanów Zjednoczonych Ameryki oraz Republiki Indii Źródło: Sprawozdanie z działalności GIODO za 2009 r.

14. BCR A GIODO • Jak dotąd nie wpłynęły do GIODO formalne wnioski o wyrażenie zgody na przekazanie danych do państwa trzeciego na podstawie BCR • Zgodnie z art. 48 ustawy o ochronie danych osobowych należy przyjąć, iż przekazanie na podstawie BCR danych osobowych z Polski do państwa trzeciego, które nie daje gwarancji ochrony danych osobowych przynajmniej takich, jakie obowiązują na terytorium RP wymaga każdorazowo zgody GIODO

15. BCR – KONKLUZJE • W celu zwiększenia zainteresowania grup kapitałowych i międzynarodowych korporacji narzędziem samoregulacji jakim jest BCR konieczna jest unifikacja przepisów poszczególnych państw członkowskich pozwalająca na bezpośrednie stosowanie BCR w każdym państwie członkowskim Unii • Unifikacja powinna pozwolić na rozszerzenie MRP (procedury wzajemnego uznawania) na wszystkie państwa członkowskie Unii Europejskiej • Wskazana jest standaryzacja wymogów jakie poszczególne państwa członkowskie stawiają podmiotom chcącym zarejestrować BCR

16. mgr Michał Czerniawski, UW michael.czerniawski@gmail.com