Charakter prawny i cel rekomendacji

Rekomendacje 1/2026 zostały przyjęte do konsultacji publicznych przez Europejską Radę Ochrony Danych (EROD) na podstawie art. 70 ust. 1 lit. i rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO), który upoważnia EROD do wydawania wytycznych, zaleceń i najlepszych praktyk w celu zapewnienia spójnego stosowania przepisów o ochronie danych osobowych. Dokument ma charakter interpretacyjny i ujednolicający, jednak jego znaczenie praktyczne jest istotne, ponieważ organy nadzorcze państw członkowskich będą stosować go przy ocenie wniosków o zatwierdzenie wiążących reguł korporacyjnych po przyjęciu jego ostatecznej wersji.

Rekomendacje mają zastąpić wcześniejsze dokumenty przyjęte przez Grupę Roboczą Art. 29, w szczególności dokument WP257 rev.01 dotyczący elementów BCR dla procesorów oraz WP265 określający standardowy formularz wniosku o zatwierdzenie BCR-P. Nowe wytyczne zachowują podstawową strukturę poprzednich regulacji, jednak mają na celu dostosowanie ich do aktualnego orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej oraz praktyki organów nadzorczych, zwłaszcza w kontekście wymogów wynikających z wyrok Trybunału Sprawiedliwości z 16.7.2020 r., C-311/18, Legalis.

Rola BCR-P jako mechanizmu transferowego

Wiążące Reguły Korporacyjne (BCR) stanowią jeden z mechanizmów umożliwiających legalny transfer danych osobowych do państw trzecich w rozumieniu rozdziału V RODO. Zgodnie z art. 46 ust. 2 lit. b RODO mogą stanowić odpowiednie zabezpieczenia dla transferów dokonywanych w ramach grupy przedsiębiorstw lub grupy podmiotów prowadzących wspólną działalność gospodarczą.

Rekomendacje wskazują, że BCR-P mają mieć zastosowanie w szczególności w sytuacji, gdy podmiot przetwarzający podlegający RODO przekazuje dane osobowe innemu podmiotowi przetwarzającemu lub podwykonawcy należącemu do tej samej grupy, znajdującemu się w państwie trzecim. W takim przypadku BCR-P mają regulować zasady transferu oraz przetwarzania danych przez podmioty należące do tej samej struktury korporacyjnej, zapewniając odpowiedni poziom ochrony danych osobowych.

Jednocześnie EROD wskazuje, że BCR-P nie będą mogły być wykorzystywane jako podstawa transferu danych bezpośrednio od administratora spoza grupy do podmiotu przetwarzającego w państwie trzecim należącego do tej grupy. W takich przypadkach konieczne będzie zastosowanie innych mechanizmów transferowych przewidzianych w art. 46 RODO, takich jak standardowe klauzule umowne.

Wymóg zapewnienia poziomu ochrony zasadniczo równoważnego RODO

Jednym z kluczowych elementów nowych rekomendacji jest podkreślenie obowiązku zapewnienia poziomu ochrony danych osobowych zasadniczo równoważnego ochronie gwarantowanej przez RODO. EROD wskazuje, że samo formalne przyjęcie BCR-P nie będzie wystarczające, jeżeli nie zapewnią one rzeczywistego poziomu ochrony odpowiadającego standardom unijnym.

W szczególności podmioty dokonujące transferu danych będą zobowiązane do przeprowadzenia oceny wpływu prawa państwa trzeciego na możliwość przestrzegania zobowiązań wynikających z BCR-P. Jeżeli prawo państwa trzeciego uniemożliwi zapewnienie odpowiedniego poziomu ochrony, podmiot eksportujący dane będzie musiał wdrożyć dodatkowe środki ochronne lub wstrzymać transfer danych.

Rekomendacje potwierdzają tym samym obowiązek oceny wpływu prawa państwa trzeciego na ochronę danych, zbliżonej do Transfer Impact Assessment (Ocena Skutków Transferu), oraz wdrażania środków uzupełniających w przypadku stwierdzenia ryzyka naruszenia standardów ochrony danych.

Nowe technologie – Sprawdź aktualną listę szkoleń Sprawdź

Odpowiedzialność podmiotów w ramach grupy

Istotnym elementem rekomendacji jest doprecyzowanie zasad odpowiedzialności podmiotów należących do grupy stosującej BCR-P. Dokument przewiduje, aby co najmniej jeden podmiot zlokalizowany w Europejskim Obszarze Gospodarczym przyjął odpowiedzialność za naruszenia BCR-P popełnione przez podmioty spoza EOG.

Podmiot ten ma być zdolny do wypłaty odszkodowania osobom, których dane dotyczą, oraz do podjęcia działań naprawczych w przypadku naruszenia zasad ochrony danych. Mechanizm ten ma na celu zapewnienie skutecznej ochrony praw osób fizycznych oraz umożliwienie dochodzenia roszczeń w ramach jurysdykcji państw członkowskich.

Ponadto rekomendacje przewidują, że ciężar dowodu w przypadku roszczeń odszkodowawczych będzie spoczywał na podmiocie odpowiedzialnym, który będzie musiał wykazać brak naruszenia lub brak związku między naruszeniem a poniesioną szkodą.

Egzekwowalność praw osób, których dane dotyczą

Rekomendacje wskazują, że BCR-P mają przyznawać osobom, których dane dotyczą, prawa egzekwowalne bezpośrednio wobec podmiotów należących do grupy. Ma to obejmować prawo do wniesienia skargi, uzyskania odszkodowania oraz dochodzenia roszczeń przed sądami państw członkowskich.

Osoby, których dane dotyczą, mają mieć również dostęp do informacji o zasadach przetwarzania danych, mechanizmach składania skarg oraz sposobach wykonywania swoich praw. BCR-P powinny być dostępne w formie zrozumiałej i przejrzystej, a podmioty stosujące te reguły będą zobowiązane do zapewnienia odpowiednich procedur rozpatrywania skarg.

Procedura zatwierdzania BCR-P

Rekomendacje określają szczegółowo procedurę zatwierdzania BCR-P przez właściwy organ nadzorczy pełniący rolę tzw. BCR Lead. Organ ten ma koordynować proces zatwierdzania, który ma obejmować współpracę z innymi organami nadzorczymi oraz wydanie opinii przez Europejską Radę Ochrony Danych.

Zatwierdzenie BCR-P ma potwierdzać, że zawarte w nich zobowiązania stanowią odpowiednie zabezpieczenia w rozumieniu art. 46 RODO, jednak nie będzie oznaczać automatycznego potwierdzenia zgodności wszystkich operacji przetwarzania danych z RODO. Odpowiedzialność za zapewnienie zgodności z przepisami ma nadal spoczywać na administratorach i podmiotach przetwarzających.

Znaczenie rekomendacji dla praktyki stosowania RODO

Nowe rekomendacje mogą mieć istotne znaczenie dla międzynarodowych grup przedsiębiorstw wykorzystujących globalne struktury przetwarzania danych. Mają doprecyzowywać wymogi dotyczące struktury BCR-P, zasad odpowiedzialności oraz obowiązków związanych z oceną transferów danych.

Dokument ma aktualizować i doprecyzowywać wymogi dotyczące transferów danych poza Europejski Obszar Gospodarczy, obserwowany po wyroku Trybunału Sprawiedliwości w sprawie C-311/18. Rekomendacje potwierdzają konieczność rzeczywistego zapewnienia odpowiedniego poziomu ochrony danych, a nie jedynie formalnego spełnienia wymogów prawnych.

W konsekwencji podmioty stosujące BCR-P będą zobowiązane do przeprowadzenia szczegółowej analizy swoich mechanizmów transferowych oraz dostosowania ich do nowych wymogów określonych przez EROD po przyjęciu ostatecznej wersji rekomendacji.

Wejście w życie i dalsze kroki

Rekomendacje zostały przyjęte do publicznych konsultacji i mają wejść w życie po przyjęciu ich ostatecznej wersji przez Europejską Radę Ochrony Danych. Podmioty, które już stosują BCR-P, będą mogły przeprowadzić weryfikacje obecnych praktyk i dostosować je do nowych wymogów w ramach procedur aktualizacji.

Nowe wytyczne stanowią projekt regulacyjny, który ma stanowić kolejny krok w kierunku wzmocnienia ochrony danych osobowych w kontekście transferów międzynarodowych oraz zapewnienia spójnego stosowania przepisów RODO na poziomie całej Unii Europejskiej.

Wszystkie aktualności n.ius® po zalogowaniu. Nie posiadasz dostępu? Kup online, korzystaj od razu! Sprawdź

Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →