Rekomendasi ECPD 1/2022 – Peraturan Perusahaan Wajib
Oleh Mugurel Olariu, perlindungan data RPD
Dalam pertemuan 14.11.2022, Komite Eropa untuk Perlindungan Data (selanjutnya disebut EDPS) mengadopsi untuk konsultasi publik – hingga 10.01.2023, Rekomendasi 1/2022 tentang permintaan persetujuan dan elemen serta prinsip yang ditemukan dalam peraturan perusahaan wajib untuk operator (pasal 47 GDPR).
GDPR secara tegas mengatur penggunaan Peraturan Perusahaan Wajib (selanjutnya disebut sebagai RCO) oleh sekelompok perusahaan atau sekelompok perusahaan yang terlibat dalam kegiatan ekonomi bersama (selanjutnya disebut sebagai Grup) untuk transfer data pribadi dalam arti Pasal 44 GDPR.
Pada tanggal 6 Februari 2018, Article 29 Working Party (selanjutnya WP29) mengadopsi tabel elemen dan prinsip yang terdapat dalam RCO untuk mencerminkan persyaratan terkait RCO (selanjutnya WP256 rev.01). EDPS menyetujui WP256 rev.01 pada 25 Mei 2018. Rekomendasi ini juga mencabut dan mengganti WP256 rev.01, sementara pada dasarnya mengembangkannya.
Pada tanggal 11 April 2018, Pihak Kerja pada Pasal 29 (selanjutnya disebut WP29) mengadopsi Rekomendasi atas permintaan standar untuk persetujuan aturan perusahaan yang mengikat untuk transfer data pribadi (selanjutnya disebut: WP264). EDPS menyetujui WP256 rev.01 pada 25 Mei 2018. Rekomendasi ini mencabut dan mengganti WP264, sementara pada dasarnya mengembangkannya.
Rekomendasi ini dimaksudkan untuk:
√ Berikan formulir standar untuk permintaan persetujuan RCO untuk operator (selanjutnya disebut RCO-O);
√ Mengklarifikasi isi wajib RCO-O, sebagaimana dimaksud dalam Pasal 47 GDPR;
√ Membuat perbedaan antara apa yang harus disertakan dalam RCO-O dan apa yang harus diserahkan kepada Otoritas Pengawasan Pimpinan RCO (selanjutnya disebut sebagai Pimpinan RCO) dalam permohonan RCO; dan
√ Memberikan penjelasan dan komentar tentang persyaratan.
RCO-O cocok untuk membingkai transfer data pribadi dari operator yang tunduk pada cakupan geografis GDPR berdasarkan Pasal 3 GDPR ke operator lain atau ke orang yang diberi wewenang oleh operator (didirikan di luar EEA) dalam grup yang sama, sedangkan RCO untuk Pemroses Data (selanjutnya disebut sebagai RCO-P) berlaku untuk data yang diterima dari pengontrol yang bukan anggota Grup dan yang kemudian diproses oleh anggota Grup terkait sebagai pemroses dan/atau sub-pemroses data.
Oleh karena itu, kewajiban yang diatur dalam RCO-O berlaku untuk entitas dalam Grup yang sama yang bertindak sebagai operator dan entitas yang bertindak sebagai perwakilan internal.
Mengenai kasus terakhir ini sendiri, perlu diingat bahwa, selain RCO-O, kontrak atau tindakan hukum lainnya berdasarkan undang-undang Persatuan atau Negara Anggota, yang mengikat operator dalam hubungannya dengan operator dan yang mencakup semua persyaratan ditetapkan , diatur dalam Pasal 28(3) GDPR, harus ditandatangani oleh setiap operator yang bertindak sebagai pengekspor data dengan semua orang internal yang berwenang. Memang, kewajiban yang ditetapkan dalam RCO-O berlaku untuk entitas Grup yang menerima data pribadi sebagai orang (internal) yang berwenang sejauh hal ini tidak mengarah pada kontradiksi dengan kontrak atau tindakan hukum lainnya yang diselesaikan berdasarkan pasal 28( 3) GDPR (yaitu orang yang berwenang, anggota Grup yang memproses atas nama operator yang merupakan anggota Grup, terutama harus mematuhi kontrak ini).
Undang-undang perlindungan data UE yang berlaku untuk anggota Grup harus dipatuhi dan tidak dapat dikesampingkan oleh RCO-O, kecuali jika RCO utama RCO (selanjutnya disebut sebagai RCO-O) secara sukarela memberikan tingkat perlindungan yang lebih tinggi .
Sesuai dengan Pasal 46(2)(b) GDPR, RCO mewakili perlindungan yang memadai untuk transfer data pribadi ke negara ketiga. RCO menciptakan hak yang dapat ditegakkan dan menetapkan komitmen untuk membuat, untuk data pribadi yang ditransfer berdasarkan RCO, tingkat perlindungan yang pada dasarnya setara dengan yang diberikan oleh GDPR.
Oleh karena itu, RCO-O tidak cukup hanya mengacu pada ketentuan GDPR, dan pemohon RCO-O sebaiknya menyatakan persyaratan dalam RCO-O mereka sendiri.
RCO harus disetujui oleh Pejabat RCO. Dalam hal ini, perlu ditekankan perbedaan antara Lead RCO yang berkompeten untuk mengeluarkan persetujuan RCO – dan Supervisory Authority yang berkompeten untuk transfer tertentu yang dilakukan oleh operator tertentu berdasarkan RCO-O tersebut.
Namun, persetujuan tersebut tidak mencakup penilaian apakah setiap pemrosesan mematuhi semua persyaratan GDPR dan RCO. Misalnya, setiap pengekspor data harus memastikan bahwa persyaratan yang ditetapkan dalam Pasal 6 GDPR (keabsahan pemrosesan) dan Pasal 28 GDPR (untuk transfer ke orang yang berwenang) atau formalitas tambahan yang ditentukan oleh hukum nasional Negara Anggota, jika ada, dipenuhi untuk setiap transfer. Selain itu, misalnya, tanggung jawab setiap pengekspor data untuk menilai, untuk setiap transfer, berdasarkan kasus per kasus, apakah tindakan tambahan perlu dilakukan untuk memastikan tingkat perlindungan yang pada dasarnya setara dengan itu. disediakan oleh RGPD. Tindakan tambahan tersebut merupakan tanggung jawab pengekspor data dan karenanya tidak dinilai oleh Otoritas Pengawas sebagai bagian dari proses persetujuan RCO.
EDPS mengharapkan semua pemegang RCO-O untuk membawa RCO-O mereka sesuai dengan persyaratan yang ditetapkan dalam Rekomendasi. Ini termasuk RCO-O yang disetujui sebelum publikasi Rekomendasi ini. Perubahan tersebut perlu dilakukan sesuai dengan komitmen yang dibuat dalam RCO-O mereka sendiri, sesuai dengan Sifat Wajib Bagian RCO-O dalam tabel yang disajikan dalam rekomendasi.
