Seminarium w GIODO - “Wiążące Reguły Korporacyjne” 14 czerwca 2011, Warszawa

14 czerwca 2011 w GIODO odbędzie się seminarium “Wiążące Reguły Korporacyjne – pojęcie, stosowanie, doświadczenia praktyczne”. Seminarium potrwa w zasadzie cały dzień, od  godz. 10.00 do 17.00, w siedzibie Biura GIODO, w Warszawie, ul. Stawki 2, budynek Intraco.

Co to są owe "wiążące reguły"? Temat wiąże sie z tzw. transferem danych osobowych do państw trzecich (https://edugiodo.giodo.gov.pl/file.php/1/PN3/PN3_00.htm). Państwa trzecie, to wszystkie państwa nie należące do EOG tj. Europejskiego Obszaru Gospodarczego. Niekiedy oznacza się je skrótem BCR - ang. Binding Corporate Rules. Reguły zostały "wydewelopowane" przez grupę roboczę Art. 29. Niektórzy stoją na stanowisku, że BCR są w pewnym sensie czymś jakby europejskim odpowiednikiem amerykańskigo "Safe Harbour". W zaproszeniu na konferencję napisano:

"Wiążące Reguły Korporacyjne (BCR) systematycznie zyskują zainteresowanie jako realna alternatywa pozwalająca zapewnić odpowiednią ochronę danych osobowych będących przedmiotem transferów danych w ramach korporacji międzynarodowych. Ostatnie doświadczenia wykazały, że obecna procedura zatwierdzania BCR musi być uproszczona i zoptymalizowana, aby BCR stały się bardziej atrakcyjnym narzędziem prawnym. W związku z tym, Generalny Inspektor Ochrony Danych Osobowych, Pan Wojciech R. Wiewiórowski, organizuje seminarium w dniu 14 czerwca poświęcone promocji BCR.

W programie seminarium znajdą się m.in:

  • wręczenie nagród dla studentów prawa pt. „Zastosowanie przepisów o ochronie danych osobowych w celu stworzenia portalu społecznościowego do wymiany informacji miedzy kibicami piłki nożnej
  • "Międzynarodowe transfery danych - wyzwania globalizacji"  -
  • seria wykładów o BCR poprowadzonych przez "organy ochrony danych osobowych" z m.in. Anglii, Francji, Hiszpanii, Belgii no i oczywiście Polski
  • o 17:00 - wnioski

Uczestnictwo należy potwierdzić mailem na adres desiwm@giodo.gov.pl do 10 czerwca 2011 r. Udział bezpłatny. W potwierdzeniu otrzymacie Państwo szczegółową agendę spotkania. Treść zaproszenia znajdziecie na stronie GIODO  -> http://www.giodo.gov.pl/560/id_art/4154/j/pl/.

 

Nasze  wnioski

(swojsko zwane konkluzjami) do poniższego "newsa" są następujące:

BCR - Binding Corporate Rules, pomagające utworzyć z korporacji, z jej wszystkich oddziałów "zaufany obszar przetwarzania danych". Mamy 27 państwo członkowskich, a tylko 19 krajów podpisało procedury wzajemnego uznawania (ang. "mutual recognition procedure", MRP).

Na spotkaniu byl przedstawiciel Linklaters - Pan Richard Cumbley, więc poszperałem w sieci zobaczyć, co to jest "Linklaters" (poważnie, nie wiedziałem!), okazało się, że to w sumie kancelaria prawna ;), a na jej stronie znalazłem sporo interesujących materiałów, np. "First BCR authorisation under mutual recognition procedure" -  http://www.linklaters.com/Publications/authorisationmutualrecognitionpro.... Tam też znalazłem odnośniki do publikacji o zatwierdzeniu BCR-ów Hyatta - http://www.ico.gov.uk/upload/documents/pressreleases/2009/bcr_authorisat... oraz http://www.ico.gov.uk/upload/documents/library/data_protection/detailed_...

Z organów zagranicznych wrażenie na mnie zrobił organ (a raczej organka ;) francuska, p. Emanuelle Bartoli, bardzo energiczna osoba, a przede wszystkim mówiąca z takim przejęciem, że czuło się, że temat na który mówi jest jej pasją.

Generalnie oczekiwałem recepty na to od czego zacząć, gdyby chcieć przekazywać dane do różnych państw. W pewnym stopniu taką odpowiedź uzyskałem, chociaż miałem apetyt na więcej.

Co mamy w palecie rozwiązań, jeśli chodzi o transfery?

Bierzemy się za BCR, bo jest najwygodniejsze:

Co z tym należy dalej począć?

  • należy wybrać wiodący organ ("lead authority")
  • przygotować i zgłosić do tego organiu BCR, w tym celu należy użyć WP113 - czyli formularza bazującego na WP108 (chyba tylko samo ICO wie o co chodzi ;))
  • organ rozsyła BCR do innych organów
  • co dalej? tutaj sam nie wiem..., ale szczegółów można się doczytać na stronie http://www.ico.gov.uk/for_organisations/data_protection/overseas/binding...

Oczywiście przygotowując się do tematu warto zapoznać się z:

Jak na razie autoryzacji BCR-ów nie ma zbyt wiele. Jak widzę, chodzi głównie o dane pracowników, ze znanych firm to GE, Philips, Accenture, Hyatt.Z materiałów - zostało rozdane bardzo ciekawe opracowanie CMS - "International data transfers" w pytaniach i odpowiedziach dla Bułgarii, Czech, Węgier, Polski, Rumunii, Rosji, Słowacji i Ukrainy. Bardzo przydatne!

Seminarium w GIODO dot. BCR

Odpowiedzi

Portret użytkownika admin

Ze strony GIODO -> http://www.giodo.gov.pl/259/id_art/4172/j/pl/

W siedzibie GIODO odbyły się warsztaty mające na celu wymianę doświadczenia i wiedzy o wiążących regułach korporacyjnych.  W dniu 15 czerwca 2011 r. odbyły się warsztaty dla przedstawicieli organów ochrony danych osobowych państw członkowskich UE pt.: „Wiążące reguły korporacyjne w praktyce: wymiana doświadczeń pomiędzy organami ochrony danych”, organizowane przez polski organ ochrony danych (GIODO) we współpracy z francuskim organem ochrony danych (CNIL), których celem była wymiana doświadczenia i wiedzy w zakresie praktycznego stosowania wiążących reguł korporacyjnych.

Podczas warsztatów zostały poruszone m.in. kwestie dotyczące metodologii analizy wniosku BCR. Ponadto, przedstawiono zagadnienie ‘BCR dla przetwarzających’.

W spotkaniu wzięły udział 22 osoby reprezentujące 16 europejskich organów ochrony danych osobowych oraz przedstawiciel Komisji Europejskiej.

To dobra wiadomość, może BCR stanie się bardziej dostępny ;)