Jak mówił na wtorkowej konferencji prasowej Generalny Inspektor Ochrony Danych Osobowych (GIODO) Wojciech Wiewiórowski, rozwiązaniem tego problemu może być procedura uznawania przez co najmniej trzech inspektorów ochrony danych osobowych z UE tzw. Wiążących Reguł Korporacyjnych, czyli zbioru opracowanych reguł dotyczących ochrony i transferu danych osobowych.
- Obecnie, jeśli Wiążące Reguły Korporacyjne zostaną uznane nawet przez kilkunastu Generalnych Inspektorów Ochrony Danych Osobowych w UE, przekazanie danych z Polski wymaga decyzji polskiego GIODO. To rozwiązanie mało praktyczne dla firmy, która musi powtarzać tę samą operację w 27 krajach członkowskich. Pamiętajmy też, że GIODO musi przeprowadzić tę samą procedurę, jaka została przeprowadzona w innych krajach na podstawie tych samych przepisów - powiedział Wiewiórowski.
Zaznaczył, że obecnie część korporacji przygotowuje takie Wiążące Reguły Korporacyjne. - Ale niestety nie zwalnia ich to od konieczności każdorazowego uzyskiwania decyzji ze strony Generalnego Inspektora Danych Osobowych, ponieważ tak przewiduje prawo. Nam wydaje się, że w przyszłości można byłoby z takiego obowiązku zrezygnować, jeżeli takie Wiążące Reguły Korporacyjne zostaną przygotowane i zostaną przez co najmniej trzech innych Generalnych Inspektorów Ochrony Danych w Europie uznane za wystarczające - zaznaczył.
- Chodzi o sytuację, w której na przykład irlandzki, szwedzki i maltański Generalny Inspektor Ochrony Danych Osobowych uzna, że dana firma przygotowała prawidłowo skonstruowane Wiążące Reguły Korporacyjne. Umożliwiłoby to tej firmie przekazywanie danych również z terenu Polski do swoich centrów przetwarzania danych, które znajdują się poza terenem UE - wyjaśnił.
Przyznał, że Wiążących Reguł Korporacyjnych nie przewiduje unijna dyrektywa z 1995 roku o ochronie danych osobowych. - Ale w różnego rodzaju dokumentach interpretacyjnych do tej dyrektywy zaczęła pojawiać się koncepcja tworzenia rozwiązań wewnątrz dużych korporacji międzynarodowych, które ułatwiałyby przekazywanie danych osobowych z obszaru UE do krajów (poza Europejskim Obszarem Gospodarczym - PAP), w których dane te są przetwarzane przez te korporacje - powiedział na konferencji.
Zaznaczył, że rozwój Wiążących Reguł Korporacyjnych to wyjście na przeciw środowiskom biznesowym, które chciałyby, żeby istniał swobodny rynek przekazywania danych osobowych do bezpiecznych centrów przetwarzania danych i chciałyby, żeby nie trzeba było każdorazowo uzyskiwać decyzji ze strony organów ochrony danych osobowych przy wysyłaniu takich danych poza EOG.
- Z drugiej strony jest o tyle interesujące dla samych organów ochrony danych osobowych, że umożliwia zastosowanie bezpiecznych rozwiązań również w krajach, które znajdują się poza Europą. W praktyce wygląda to w ten sposób, że jeżeli jedna korporacja ma swoje przedstawicielstwa na terenie Europy, ale np. również w USA, na Seszelach, w Wietnamie, czy Egipcie, wówczas po uzyskaniu jednorazowej zgody ze strony organów ochrony danych osobowych w UE na przekazanie danych do tych krajów, transfer będzie mógł być prowadzony w przyszłości - zaznaczył.
