Grupa Robocza Art. 29 przygotowuje kolejne wytyczne do RODO

Dokumenty opublikowane przez Grupę Roboczą Art. 29 dotyczą rozumienia odpowiedniego stopnia ochrony danych osobowych, który ma zapewnić państwo trzecie, do którego dane osobowe są przekazywane oraz elementów i zasad, jakie powinny znaleźć się w wiążących regułach korporacyjnych stosowanych przez administratora i podmiot przetwarzający.

Zgodnie z art. 45 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO) przekazanie danych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że zapewniają one odpowiedni stopień ochrony. Takie przetwarzanie nie wymaga wówczas specjalnego zezwolenia. Grupa Robocza Art. 29 w swoim dokumencie wyjaśnia, że chodzi o to, aby stopień ochrony w państwie trzecim był zasadniczo równoważny z poziomem gwarantowanym w UE. Nie chodzi więc o to, aby prawodawstwo tego państwa trzeciego jeden do jednego odzwierciedlało prawo europejskie. Grupa Robocza Art. 29 podkreśla, że ważne są nie tylko zasady ochrony danych osobowych, ale także system, który zapewnia ich przestrzeganie.

To Komisja Europejska będzie na weryfikowała, czy przepisy obowiązujące w państwie trzecim są skuteczne i stosowane w praktyce. Zgodnie z RODO co cztery lata będzie odbywał się przegląd, podczas którego Komisja Europejska będzie weryfikowała stopień ochrony w państwie trzecim. Grupa Robocza Art. 29 twierdzi, że przeglądy te będą mogły odbywać się jednak częściej, jeśli będzie to uzasadnione, np. w przypadku incydentu naruszającego bezpieczeństwo danych.

Grupa Robocza Art. 29 chce zaktualizować swoje wcześniejsze wytyczne dotyczące wiążących reguł korporacyjnych z 2008 roku o zasady wynikające z RODO, jakie te dokumenty powinny uwzględniać. Zdaniem Grupy Roboczej Art. 29 w wiążących regułach korporacyjnych należy uwzględnić m.in.:

• prawo osoby, której dane dotyczą, do wniesienia skargi do organu nadzorczego,
• przejrzystość przetwarzania danych – informowanie osób, których dane dotyczą o ich prawach,
• zakres ich stosowania – struktura i dane kontaktowe grupy przedsiębiorstw i każdego z jej członków, zakres przedmiotowy przetwarzania danych, w tym kategorie danych osobowych, rodzaj przetwarzania i jego cele, rodzaje osób, których dane dotyczą, informacje o odbiorcach w państwach trzecich,
• zasady ochrony danych – m.in. legalności czy minimalizacji danych,
• rozliczalność – umiejętność wykazania, że dane są przetwarzane zgodnie z RODO,
• ustawodawstwo państw trzecich.

Podmioty przetwarzające w swoich wiążących regułach korporacyjnych powinny zawierać dodatkowo umowę o świadczenie usług między administratorem a podmiotem przetwarzającym. Musi ona zawierać wszystkie elementy wskazane w art. 28 RODO.