Što su obvezujuća korporativna pravila?

Opća uredba o zaštiti podataka (eng. General Data Protection Regulation ili „GDPR“), daje mogućnost grupi poduzetnika ili poduzeća koja se bave zajedničkom gospodarskom aktivnošću donijeti obvezujuća korporativna pravila (eng. binding corporate rules ili „BCR“) kojima se uređuju pitanja zaštite osobnih podataka prilikom prijenosa osobnih podataka unutar grupe. Drugim riječima, obvezujuća korporativna pravila predstavljaju vrstu internog pravilnika postupanja s osobnim podacima, najčešće prilikom prijenosa osobnih podataka u okviru multinacionalnih kompanija.

Cilj sklapanja obvezujućih korporativnih pravila je održati jednaku razinu sigurnosti prilikom prekograničnog prijenosa osobnih podataka te osigurati jednak standard postupanja s osobnim podatcima od strane svakog poduzetnika ili poduzeća unutar grupe kao i od strane njihovih zaposlenika. GDPR propisuje nužan sadržaj obvezujućih korporativnih pravila.

Kako se donose obvezujuća korporativna pravila?

Grupa poduzetnika ili poduzeća ne može donijeti obvezujuća korporativna pravila samostalno, već pravila mogu biti usvojena tek nakon što njihov nacrt odobre nadležna nadzorna tijela (u Republici Hrvatskoj Agencija za zaštitu osobnih podataka). Kad je riječ o grupi koja djeluje u više država, tad nadležna tijela svih tih država imaju utjecaj na donošenje odluke o odobravanju obvezujućih korporativnih pravila, a glavnu riječ ima vodeće nadležno tijelo. Vodeće nadležno tijelo je tijelo države u kojoj grupa poduzetnika ili poduzeća ima glavni poslovni nastan, što će najčešće biti tijelo države u kojoj je glavno sjedište grupacije ili gdje se donosi većina odluka vezanih uz obradu osobnih podataka.

Grupa poduzetnika ili poduzeća vodećem nadležnom tijelu dostavlja nacrt obvezujućih korporativnih pravila zajedno s popratnom dokumentacijom. Vodeće nadležno tijelo donosi nacrt odluke o prihvaćanju ili odbijanju nacrta obvezujućih korporativnih pravila koju prosljeđuje nadležnim tijelima drugih zemalja. Ako nadležna tijela ne mogu postići suglasnost o konačnoj odluci, konačnu odluku donosi Europski odbor za zaštitu podataka.

Europska komisija objavljuje popis grupa poduzetnika ili poduzeća unutar kojih su već odobrena obvezujuća korporativna pravila. Prema trenutnom popisu odobrenih obvezujućih korporativnih pravila, ni za jednu grupu poduzetnika i poduzeća koja je donijela obvezujuća korporativna pravila, vodeće nadležno tijelo nije u Republici Hrvatskoj, a najveći broj vodećih nadležnih tijela se nalazi u Ujedinjenom Kraljevstvu i Francuskoj.

Koje su mogućnosti poduzetnika koji ne donesu obvezujuća korporativna pravila?

GDPR pridaje znatnu pozornost zaštiti osobnih podataka pri prijenosu osobnih podataka u treće zemlje ili međunarodne organizacije izvan Europske Unije. Poduzetnici takve prijenose osobnih podataka mogu izvršavati samo uz primjenu nekih od mehanizama zaštite osobnih podataka, a GDPR predviđa obvezujuća korporativna pravila kao jedan od tih mehanizama. Ako ih grupa poduzetnika ili poduzeća ne donese, tad se trebaju primijeniti neki od alternativnih mehanizama zaštite. Na primjer, GDPR kao jedan od mehanizama zaštite predviđa ovlast Europske komisije donijeti popis trećih zemalja i međunarodnih organizacija u kojima postoji primjerena razina zaštite osobnih podataka. Ako zemlja ili međunarodna organizacija u koju se prenose osobni podaci nije na tom popisu, poduzetnici bi pri sklapanju ugovora o takvom prijenosu osobnih podataka trebali u obzir uzeti standardne ugovorne klauzule koje je donijelo nadzorno tijelo ili Europska komisija baš za takve slučajeve. Ako poduzetnici prilikom prijenosa osobnih podataka u treće zemlje i međunarodne organizacije ne primijene nijedan od ovih mehanizama zaštite, na raspolaganju im preostaju ograničene mogućnosti, poput prijenosa na temelju izričitog pristanka ispitanika nakon što je obaviješten o rizicima prijenosa i sl.

© Odvjetnički ured Šutalo