Grupa Robocza Art. 29 przygotowuje kolejne wytyczne do RODO

Wioleta Szczygielska

Autor: Wioleta Szczygielska

Dodano: 11 grudnia 2017
Grupa Robocza Art. 29 przygotowuje kolejne wytyczne do RODO

Grupa Robocza Art. 29, która zrzesza organy ochrony danych z Unii Europejskiej, opublikowała robocze wersje kolejnych wytycznych do RODO.

Dokumenty opublikowane przez Grupę Roboczą Art. 29 dotyczą rozumienia odpowiedniego stopnia ochrony danych osobowych, który ma zapewnić państwo trzecie, do którego dane osobowe są przekazywane oraz elementów i zasad, jakie powinny znaleźć się w wiążących regułach korporacyjnych stosowanych przez administratora i podmiot przetwarzający.

Jak rozumieć odpowiedni stopień ochrony danych w państwie trzecim

Zgodnie z art. 45 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO) przekazanie danych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że zapewniają one odpowiedni stopień ochrony. Takie przetwarzanie nie wymaga wówczas specjalnego zezwolenia. Grupa Robocza Art. 29 w swoim dokumencie wyjaśnia, że chodzi o to, aby stopień ochrony w państwie trzecim był zasadniczo równoważny z poziomem gwarantowanym w UE. Nie chodzi więc o to, aby prawodawstwo tego państwa trzeciego jeden do jednego odzwierciedlało prawo europejskie. Grupa Robocza Art. 29 podkreśla, że ważne są nie tylko zasady ochrony danych osobowych, ale także system, który zapewnia ich przestrzeganie.

To Komisja Europejska będzie na weryfikowała, czy przepisy obowiązujące w państwie trzecim są skuteczne i stosowane w praktyce. Zgodnie z RODO co cztery lata będzie odbywał się przegląd, podczas którego Komisja Europejska będzie weryfikowała stopień ochrony w państwie trzecim. Grupa Robocza Art. 29 twierdzi, że przeglądy te będą mogły odbywać się jednak częściej, jeśli będzie to uzasadnione, np. w przypadku incydentu naruszającego bezpieczeństwo danych.

Jakie elementy i zasady zawrzeć w wiążących regułach korporacyjnych

Grupa Robocza Art. 29 chce zaktualizować swoje wcześniejsze wytyczne dotyczące wiążących reguł korporacyjnych z 2008 roku o zasady wynikające z RODO, jakie te dokumenty powinny uwzględniać. Zdaniem Grupy Roboczej Art. 29 w wiążących regułach korporacyjnych należy uwzględnić m.in.:

  • prawo osoby, której dane dotyczą, do wniesienia skargi do organu nadzorczego,
  • przejrzystość przetwarzania danych – informowanie osób, których dane dotyczą o ich prawach,
  • zakres ich stosowania – struktura i dane kontaktowe grupy przedsiębiorstw i każdego z jej członków, zakres przedmiotowy przetwarzania danych, w tym kategorie danych osobowych, rodzaj przetwarzania i jego cele, rodzaje osób, których dane dotyczą, informacje o odbiorcach w państwach trzecich,
  • zasady ochrony danych – m.in. legalności czy minimalizacji danych,
  • rozliczalność – umiejętność wykazania, że dane są przetwarzane zgodnie z RODO,
  • ustawodawstwo państw trzecich.

Podmioty przetwarzające w swoich wiążących regułach korporacyjnych powinny zawierać dodatkowo umowę o świadczenie usług między administratorem a podmiotem przetwarzającym. Musi ona zawierać wszystkie elementy wskazane w art. 28 RODO.

Źródło:

Grupa Robocza Art. 29

Wioleta Szczygielska

Autor: Wioleta Szczygielska

Specjalista z zakresu prawa ochrony danych osobowych. Wieloletni redaktor fachowych publikacji związanych z tematyką ochrony danych osobowych.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel