První závazná podniková pravidla podle GDPR

14.01.2020, JUDr. Eva Fialová, LL.M., Ph.D.


Co jsou to závazná podniková pravidla

Závazná podniková pravidla (anglicky Binding Corporate Rules, neboli BCR) upravená v čl. 47 GDPR jsou dokumentem, který umožňuje předávání osobních údajů v rámci nadnárodní skupiny podniků vykonávajících společnou hospodářskou činnost, pokud některé podniky ve skupině zpracovávají osobní údaje ve třetí zemi. BCR jsou jedním z vhodných záruk, na základě kterých lze osobní údaje do třetí země předávat, pokud neexistuje rozhodnutí Evropské komise o odpovídající ochraně. Přestože směrnice 95/48/ES o ochraně osobních údajů se o BCR nezmiňovala, byla BCR považována i podle výkladu směrnice za vhodné záruky pro předání osobních údajů do třetích zemí. Závazná podniková pravidla se rozdělují na dva druhy, a sice závazná podniková pravidla pro správce a závazná podniková pravidla pro zpracovatele. BCR pro zpracovatele upravují zpracování osobních údajů, které zpracovatel zpracovává pro správce, a tyto údaje jsou dále zpracovávané v rámci organizace zpracovatele. Tato pravidla by měla být přiložena k zpracovatelské smlouvě.[3]

Co závazná podniková pravidla obsahují

GDPR v čl. 47 odst. 1 výslovně stanoví, že BCR musí subjektům údajů výslovně přiznávat vymahatelná práva v souvislosti se zpracováním jejich osobních údajů. U zpracovatelských BCR musí pravidla subjektům údajů přiznávat právo vymáhat pravidla přímo vůči zpracovateli, jsou-li dané požadavky směřovány konkrétně na zpracovatele v souladu s GDPR.[4] Ve druhém odstavci obsahuje GDPR výčet bodů, které musí BCR přinejmenším obsahovat. Jedná se mimo o jiné strukturu a kontaktní údaje skupiny podniků nebo uskupení podniků a jeho členů, předání údajů, včetně kategorií osobních údajů, typu zpracování a jeho účelu, typu dotčených subjektů údajů a určení třetí země nebo zemí. Předávání se nemusí týkat všech subjektů údajů, ale jen určitého typu subjektů, např. zaměstnanců.

BCR musí také rozvést použití obecných zásad pro ochranu údajů, které jsou uvedeny v čl. 5 GDPR, mimo jiné vázanost účelem, zásadu minimalizace údajů, dobu uložení údajů, apod. BCR musí obsahovat požadavky na předávání subjektům, které závaznými podnikovými pravidly nejsou vázány, tedy dalším správcům mimo skupinu podniků nebo zpracovatelům.

Závazná podniková pravidla musí informovat subjekty údajů o jejich právech a prostředcích jejich výkonu, včetně postupů pro vyřizování stížností k příslušenému dozorovému orgánu na porušení svých práv nebo na porušení BCR. S právy subjektů údajů souvisí i požadavek výslovného přijetí odpovědnosti správcem nebo zpracovatelem usazeným na území některého členského státu za jakékoli porušení závazných podnikových pravidel kterýmkoli dotčeným členem usazeným ve třetí zemi.

BCR musí také obsahovat mechanismy pro ověřování souladu zpracování osobních údajů se závaznými podnikovými pravidly, tzn. zejména audity ochrany osobních údajů a ochranných opatření. Výsledky auditů musí být na požádání zpřístupněny dozorovému úřadu. Dále musí BCR mechanismy pro podávání zpráv a zaznamenávání změn včetně hlášení těchto změn příslušnému dozorovému úřadu a mechanismus spolupráce s tímto úřadem.

Závazná podniková pravidla musí také deklarovat svoji právně závaznou povahu interně, tedy v rámci skupiny podniků, i externě vůči subjektům údajů. Zaměstnanci, kteří mají přístup k osobním údajům, musí být proškoleni v oblasti ochrany osobních údajů nebo musí projít jinou odbornou přípravou.  

Postup schvalování závazných podnikových pravidel

Závazná podniková pravidla předkládá nejprve skupina podniků ke schválení dozorovému úřadu ke schválení [čl. 57 odst. 1 písm. s) GDPR]. V České republice je tímto úřadem Úřad na ochranu osobních údajů. Příslušným neboli vedoucím dozorovým úřadem může být úřad podle hlavního sídla skupiny, podle sídla podniku, na který je delegována odpovědnost za zpracování osobních údajů, podle podniku, který byl pověřen aplikováním a vymáháním BCR, podle místa, kde dochází k rozhodování o účelu a prostředcích zpracování, nebo podle místa, odkud dochází k předávání nejvíce osobních údajů do třetích zemí.[5] Vedoucí dozorový úřad informuje dozorové úřady v dotčených zemích. Jestliže se některý z úřadů nevyjádří do dvou týdnů, má se za to, že s návrhem závazných podnikových pravidel souhlasí. Pokud vedoucí dozorový úřad hodlá BCR přijmout, zašle tato pravidla Evropskému sboru pro ochranu osobních údajů, který k návrhu na přijetí vydá své stanovisko. Pokud závazná podniková pravidla obsahují dostatečné záruky pro ochranu osobních údajů, Evropský sbor vydá kladné stanovisko ke schválení pravidel.  

Závěr

Jestliže v rámci skupiny podniků dochází k předávání osobních údajů mezi podniky a některý z těchto podniků se nachází ve třetí zemi, musí být dodrženy požadavky GDPR na předávání osobních údajů do třetích zemí. Pokud nebylo vydáno rozhodnutí o odpovídající ochraně, je jednou z vhodných záruk přijetí závazných podnikových pravidel. Závazná podniková pravidla musí obsahovat body stanovené v GDPR a musí být formálně schválena dozorovým úřadem rozhodnutím přijatým na základě kladného stanoviska Evropského sboru pro ochranu osobních údajů.



[1] Opinion 15/2019 on the draft decision of the competent supervisory authority of the United Kingdom regarding the Binding Corporate Rules of Equinix Inc. dostupný zde: https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-152019-draft-decision-competent_cs.

[2] Opinion 16/2019 on the draft decision of the Belgian Supervisory Authority regarding the Binding Corporate Rules of ExxonMobil Corporation. https://edpb.europa.eu/sites/edpb/files/files/file1/edpbopinionexxonmobilebcr_adopted_en.pdf.

[3] Explanatory Document on the Processor Binding Corporate Rules dostupný zde: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2015/wp204.rev_en.pdf.

[4] Pracovní dokument, kterým se zavádí tabulka s prvky a zásadami nacházejícími se v závazných podnikových pravidlech pro zpracovatele dostupný zde: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614110.

[5] Working Document Setting Forth a Co-Operation Procedure for the approval of “Binding Corporate Rules” for controllers and processors under the GDPR dostupný zde: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623056.

ochrana osobních údajů GDPR závazná podniková pravidla