Eksperci w dziedzinie ochrony danych osobowych

Business man working at office, Consultant lawyer concept

TAGI:

Udostępnij publikację:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

Wiążące reguły korporacyjne

Grupa przedsiębiorstw lub grupa przedsiębiorców prowadzących wspólną działalność gospodarczą może korzystać z zatwierdzonych wiążących reguł korporacyjnych. Niezwykle istotne jest, że po raz pierwszy wiążące reguły mogą zostać zastosowane wobec podmiotów nie należących do grupy kapitałowej, ale podejmujących wspólne działania gospodarcze.

Ich zakres

Muszą one ujmować wszystkie podstawowe zasady i egzekwowalne prawa zapewniające odpowiednie zabezpieczenia:

  1. na potrzeby przekazywania danych osobowych; lub
  2. na potrzeby określonych kategorii przekazań danych osobowych.

Wymogi materialne wobec wiążących reguł korporacyjnych

Właściwy organ nadzorczy zatwierdza je, pod warunkiem że:

  1. są one prawnie wiążące oraz mają zastosowanie do każdego z członków grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą, w tym ich pracowników, i są przez każdego z tych członków egzekwowane;
  2. wyraźnie przyznają osobom, których dane dotyczą, egzekwowalne prawa w związku z przetwarzaniem ich danych osobowych; oraz
  3. posiadają wszystkie, przewidziane w rozporządzeniu GDPR, elementy.

Elementy określone wiążącymi regułami korporacyjnymi

W wiążących regułach korporacyjnych, określone zostają co najmniej:

  1. struktura i dane kontaktowe odnośnej grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą i każdego z jej członków;
  2. jednorazowe lub wielokrotne przekazanie danych, w tym kategorie danych osobowych, rodzaj przetwarzania i jego cele, rodzaje osób, których dane dotyczą, oraz nazwa danego państwa trzeciego lub danych państw trzecich;
  3. ich prawnie wiążący charakter, wewnętrzny i zewnętrzny;
  4. zastosowanie ogólnych zasad ochrony danych – w szczególności:
    a) ograniczenia celu;
    b) minimalizacji danych;
    c) ograniczonych okresów przechowywania;
    d) jakości danych;
    e) uwzględnianie ochrony danych w fazie projektowania; oraz
    f) domyślnej ochrony danych;
  5. podstawa prawna przetwarzania, przetwarzanie szczególnych kategorii danych osobowych;
  6. środki zapewniające bezpieczeństwo danych;
  7. wymogi w zakresie dalszego przekazywania podmiotom niezwiązanym wiążącymi regułami korporacyjnymi;
  8. prawa osób, których dane dotyczą, w związku z przetwarzaniem oraz sposoby wykonywania tych praw, w tym z prawa do:
    a) niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu
    b) wnoszenia skarg do właściwego organu nadzorczego i właściwych sądów państw członkowskich
    c) środka zaskarżenia, a w stosownych przypadkach – odszkodowania za naruszenie wiążących reguł korporacyjnych;
  9. przyjęcie przez administratora lub podmiot przetwarzający posiadających jednostki organizacyjnej na terytorium państwa członkowskiego odpowiedzialności prawnej za naruszenie wiążących reguł korporacyjnych przez odnośnego członka niemającego jednostki organizacyjne w Unii;
  10. sposób, w jaki osobom, których dane dotyczą, podaje się informacje o wiążących regułach korporacyjnych;
  11. zadania inspektora ochrony danych lub innej osoby lub podmiotu odpowiedzialnych za monitorowanie przestrzegania wiążących reguł korporacyjnych w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą oraz monitorowanie szkoleń i rozpatrywanie skarg;
  12. procedury dotyczące skarg;
  13. stosowane w grupie przedsiębiorstw lub w grupie przedsiębiorców prowadzących wspólną działalność gospodarczą mechanizmy zapewniające weryfikację przestrzegania wiążących reguł korporacyjnych.
  14. mechanizmy zgłaszania i rejestrowania zmian w zasadach i zgłaszania tych zmian organowi nadzorczemu;
  15. mechanizm współpracy z organem nadzorczym zapewniający przestrzeganie zasad przez wszystkich członków grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą, w szczególności poprzez udostępnianie organowi nadzorczemu wyników weryfikacji środków, o której mowa w lit. j);
  16. mechanizm zgłaszania właściwemu organowi nadzorczemu wszelkich wymogów prawnych, którym podlega w państwie trzecim członek grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą i które mogą mieć istotny niekorzystny wpływ na gwarancje przewidziane w wiążących regułach korporacyjnych; oraz
  17. właściwe szkolenia z zakresu ochrony danych dla personelu mającego stały lub regularny dostęp do danych osobowych.

Mechanizmy zapewniające weryfikację przestrzegania wiążących reguł korporacyjnych

Mechanizmy zapewniające weryfikację przestrzegania wiążących reguł korporacyjnych, obejmują:

  1. audyty w zakresie ochrony danych; oraz
  2. metody zapewniania działań naprawczych mających chronić prawa osób, których dane dotyczą.

Wyniki weryfikacji przestrzegania wiążących reguł korporacyjnych

Wyniki takiej weryfikacji powinny być przekazywane:

  1. inspektorowi ochrony danych lub podmiotowi odpowiedzialnemu za monitorowanie przestrzegania wiążących reguł korporacyjnych;
  2. oraz zarządowi przedsiębiorstwa sprawującego kontrolę w grupie przedsiębiorstw lub organowi kierującemu grupą przedsiębiorców prowadzących wspólną działalność gospodarczą.

Wyniki weryfikacji mechanizmów zapewniania przestrzegania wiążących reguł korporacyjnych, powinny być dostępne na żądanie właściwego organu nadzorczego.

Format i procedury wymiany informacji dotyczących wiążących reguł korporacyjnych

Komisja może określić format i procedury wymiany informacji między administratorami, podmiotami przetwarzającymi i organami nadzorczymi dotyczących wiążących reguł korporacyjnych.

NEWSLETTER

Zapisz się na newsletter gdpr.pl, aby otrzymywać najświeższe informacje, opinie i rozstrzygnięcia ze świata RODO.

SKONTAKTUJ SIĘ Z NAMI

Jeśli jesteś zainteresowany naszą ofertą lub realizacją swojego projektu, napisz do nas wiadomość!

© Copyright 2021 Omni Modo. Wszelkie prawa zastrzeżone | Wykonanie: Agencja Portal

Michał Rygiel

Prawnik, Specjalista ds. Ochrony Danych Osobowych

Adwokat. Ochroną danych osobowych i prawem nowych technologii zajmuje się od kilku lat.  Doświadczenie zawodowe zdobywał w firmach z branży IT oraz zajmujących się konsultingiem i doradztwem prawym w tym zakresie. Posiada również doświadczenie w obsłudze korporacyjnej w zakresie compliance ze szczególnym uwzględnieniem zagadnień ochrony danych osobowych oraz ładu korporacyjnego.

Marta Krawczyk

Prawnik, Specjalista ds. Ochrony Danych Osobowych

Prawnik, absolwentka Wydziału Prawa, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Jana Pawła II w Lublinie. Wiedzę pogłębiała m.in. podczas studiów podyplomowych Wykonywania funkcji Inspektora Ochrony Danych (INP PAN w Warszawie).

Od lat zajmuje się sprawami z zakresu prawa nowych technologii w szczególności prawem ochrony danych osobowych. Doświadczenie zawodowe zdobywała m.in. w Urzędzie Ochrony Danych Osobowych oraz Parlamencie Europejskim.

W Omni Modo zajmuje się obsługą podmiotów prywatnych z branży produkcyjnej oraz podmiotów publicznych. Ponadto, wspomaga IOD w pełnieniu funkcji. W obszarze jej szczególnych zainteresowań leży tematyka ochrony danych przy przetwarzaniu transgranicznym oraz transferu danych do państwa trzecich.

Karol Kozieł

Radca prawny, Specjalista ds. Ochrony Danych Osobowych

Radca prawny wpisany na listę radców prawnych prowadzoną przez Radę Okręgowej Izby Radców Prawnych w Kielcach, absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie. Wiedzę  pogłębiał podczas studiów podyplomowych Prawo Nowoczesnych Technologii (INP PAN w Warszawie) oraz Nowoczesne Usługi Biznesowe (UTH w Radomiu). Ukończył programy Summer Law School on Intellectual Property Law oraz Summer Law School on Business Law organizowane przez University of Minho w Bradze.

Specjalizuje się w prawie e-commerce, ochronie konsumentów oraz  prawie ochrony danych osobowych. Doświadczenie zdobywał współtworząc i kierując działem prawnym wiodącego polskiego portalu internetowego z branży turystycznej oraz podczas pracy w kancelarii wyspecjalizowanej w prawie nowych technologii.  Autor publikacji naukowych i popularnonaukowych z zakresu ochrony danych osobowych w tym  „Komentarza do Ustawy z dnia 10 maja 2018 o ochronie danych osobowych” (współautorstwo i redakcja).  Wykładowca Wyższej Szkoły Bankowej w Warszawie.

Martyna Gosz

Adwokatka, Specjalistka ds. Ochrony Danych Osobowych

Adwokatka, absolwentka prawa Wydziale Prawa i Administracji i Ekonomii Uniwersytetu im. A. Mickiewicza w Poznaniu, a także Akademii L. Koźmińskiego w Warszawie na kierunku „Prawo Nowoczesnych Technologii”.
Specjalizuje się w zakresie ochrony danych osobowych, prawie nowych technologii, e-Commerce, a także prawie ubezpieczeń i prawie karnym. Pełniła także funkcję IODO w sektorze finansowym i ubezpieczeniowym. Od czasów studenckich angażuje się w wolontariat prawniczy (inicjatywy pro bono).
W Omni Modo zajmuje się obsługą podmiotów prywatnych z branży motoryzacyjnej i kosmetycznej oraz podmiotów publicznych. Posiada bogate doświadczenie w prowadzeniu całościowych audytów oraz wdrożeń z RODO, a także bieżącym doradztwie w zakresie przetwarzania danych osobowych.

Daniel Niwiński

Prawnik, Specjalista ds. Bezpieczeństwa Informacji

Absolwent SWPS Uniwersytetu Humanistycznospołecznego w Warszawie na kierunku Prawo, Audytor Wiodący Systemu Zarządzania Bezpieczeństwem Informacji (ISO 27001), student wydziału Informatyki w Polsko-Japońskiej Akademii Technik Komputerowych w Warszawie. W swojej pracy zawodowej specjalizuje się w zagadnieniach związanych z bezpieczeństwem informacji, cybersecurity oraz ochroną danych osobowych. Doświadczenie zawodowe zdobywał m.in. w spółce z branży IT, w której zbudował od podstaw dział bezpieczeństwa informacji. Przez lata współprowadził również spółkę z branży handlu zagranicznego, aktywnie wspierając Zarząd zarówno w aspektach biznesowych jak i prawnych. W okresie studiów aktywnie wspierał działalność uczelni jako członek studenckiej poradni prawnej. Od 2019 roku współpracuje z Omni Modo w zakresie audytów bezpieczeństwa informacji, audytów ochrony danych osobowych oraz opracowywania i wdrażania procedur bezpieczeństwa.

Arkadiusz Rzycki

Project Manager

Absolwent Akademii Leona Koźmińskiego na kierunku „Zarządzanie procesowe”. Audytor wiodący ISO/IEC 27001, audytor wewnętrzny ISO 9001. Specjalizuje się w zagadnieniach dotyczących bezpieczeństwa informacji, wymogów techniczno-organizacyjnych wynikających z przepisów RODO w zakresie bezpieczeństwa oraz przetwarzania danych osobowych, analizy ryzyka, zarządzania procesami i projektami. Doświadczenie zawodowe zdobywał w międzynarodowej instytucji finansowej. Od 2016 roku związany z Omni Modo.  Posiada długoletnie doświadczenie w zakresie zarządzania, realizacji projektów (w tym zapewniających zgodność z obowiązującymi przepisami prawa).  Przeprowadza audyty, szkolenia, opracowuje i wdraża dokumentację niezbędną do osiągnięcia celów realizowanych procesów, zgodności z wymogami organizacji, wdrażanych systemów zarządzania, jak również przepisów prawa.

Wojciech Habrowski

Radca prawny, Specjalista ds. Ochrony Danych Osobowych

Radca prawny, absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie.

Zajmuje się sprawami z zakresu prawa ochrony danych osobowych, szeroko pojętego prawa cywilnego, w szczególności prawa zobowiązań, prawa gospodarczego oraz prawa pracy. Doświadczenie zawodowe zdobywał w renomowanych kancelariach radców prawnych, a także w kancelarii notarialnej.

W Omni Modo, do jego obowiązków należy bieżące doradztwo na rzecz klientów, wsparcie IOD, przeprowadzanie audytów zgodności z RODO oraz szkoleń. Odpowiada m.in. za obsługę klientów z branży energetycznej .