Obecnie aby przesyłać dane osobowe do państw, które znajdują się poza europejskim obszarem gospodarczym, korporacja międzynarodowa musi uzyskiwać każdorazowo pozwolenie inspektora ochrony danych osobowych kraju, z którego je wysyła, co jest mało praktyczne. Rozwój idei wiążących reguł korporacyjnych jest wyjściem naprzeciw biznesowi, który chciałby aby rzeczywiście istniał swobodny rynek przekazywania danych osobowych do bezpiecznych centrów przetwarzania, jednocześnie chciałby się oderwać od konieczności każdorazowego uzyskiwania pozwolenia na ich przesłanie.

"Z drugiej strony jest to o tyle ciekawe ze strony organów ochrony danych osobowych, że umożliwia zastosowanie tych rozwiązań, które UE uznaje za bezpieczne, również w krajach, które znajdują się poza Europą" - tłumaczył na konferencji prasowej dr Wojciech Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych. W praktyce wygląda to w ten sposób, że jeżeli jedna korporacja ma swoje przedstawicielstwa na terenie Europy, ale np. również w USA, na Seszelach, w Wietnamie, czy Egipcie, wówczas po uzyskaniu jednorazowej zgody ze strony organów ochrony danych osobowych w UE na przekazanie danych do tych krajów, transfer będzie mógł być prowadzony w przyszłości.

Zobacz również:

• Europejska chmura Oracle
• Cyfrowa transformacja z AI - co nowego na Google Cloud Next 24

Zdaniem dr Wiewiórowskiego, wiążące reguły korporacyjne mogą być też odpowiedzią na pewne problemy techniczne. "Jednym z poważniejszych problemów, które pojawiają się obecnie przy przetwarzaniu danych osobowych między różnymi centrami przetwarzania jest tzw. przetwarzanie w chmurach, kiedy nie jesteśmy w stanie dokładnie określić w którym miejscu dane są przetwarzane, ponieważ przenikają one pomiędzy różnymi centrami przetwarzania danych tak jak akurat dostępne są moce obliczeniowe" - wyjaśnia GIODO. W sytuacji gdy dostarczyciel takiej chmury obliczeniowej stworzy takie wiążące reguły korporacyjne, przestanie mieć znaczenie czy centrum przetwarzania znajduje się w Amsterdamie, Dublinie, Stanach Zjednoczonych czy na Seszelach. Jeżeli będą zastosowane zasady ochrony danych osobowych i zostaną one uznane za bezpieczne przez organy ochrony to wówczas takie przekazywanie będzie mogło się odbywać.

Obecnie, jeśli Wiążące Reguły Korporacyjne zostaną uznane nawet przez kilkunastu Generalnych Inspektorów Ochrony Danych Osobowych w UE, przekazanie danych z Polski wymaga decyzji polskiego GIODO. "Nam wydaje się, że w przyszłości można byłoby z takiego obowiązku zrezygnować, jeżeli takie Wiążące Reguły Korporacyjne zostaną przygotowane i zostaną przez co najmniej trzech innych Generalnych Inspektorów Ochrony Danych w Europie uznane za wystarczające. Chodzi o sytuację, w której na przykład irlandzki, szwedzki i maltański Generalny Inspektor Ochrony Danych Osobowych uzna, że dana firma przygotowała prawidłowo skonstruowane Wiążące Reguły Korporacyjne. Umożliwiłoby to tej firmie przekazywanie danych również z terenu Polski do swoich centrów przetwarzania danych, które znajdują się poza terenem UE" - wyjaśnił dr Wiewiórowski.