Euroopan tietosuojaneuvostolta suositukset yrityksiä koskevista sitovista säännöistä ja lomake tietosuojaviranomaisille ilmoittamista varten
Euroopan tietosuojaneuvosto hyväksyi kesäkuun täysistunnossaan suositukset, jotka koskevat yritystä koskevia sitovia sääntöjä rekisterinpitäjille (BCR-C, Controller Binding Corporate Rules). Kaikkien BCR-sääntöjä käyttävien rekisterinpitäjien on päivitettävä käyttämänsä säännöt uusien suositusten mukaisiksi. Uudella yksityishenkilöille tarkoitetulla lomakkeella tietosuojaneuvosto helpottaa valitusten tekemistä valvontaviranomaisille sekä ilmoitusten käsittelyä rajat ylittävissä tapauksissa.
Tietosuojaneuvosto hyväksyi julkisen kuulemiskierroksen jälkeen suositukset, jotka koskevat rekisterinpitäjien BCR-sääntöjen hyväksymishakemuksia sekä seikkoja ja periaatteita, jotka sääntöjen tulee sisältää. Yritystä koskevia sitovia sääntöjä voidaan käyttää henkilötietojen siirtoihin yritysryhmän sisällä EU- ja ETA-alueen ulkopuolella sijaitseville rekisterinpitäjille tai henkilötietojen käsittelijöille.
Suosituksilla päivitetään tällä hetkellä voimassa oleva ohjeistus sääntöjen hyväksymisen kriteereistä. Niissä selvennetään muun muassa, mitä rekisterinpitäjän BCR-sääntöihin tulisi sisällyttää, ja mitä BCR-hakemuksessa on esitettävä. Suositukset sisältävät myös päivitetyn vakiomuotoisen hakulomakkeen BCR-säännöille. Suosituksissa myös saatetaan nykyiset ohjeet vastaamaan EU-tuomioistuimen Schrems II-ratkaisua.
Julkaisuhetkestä alkaen suositusten vaatimuksia voidaan soveltaa kaikkiin rekisterinpitäjän BCR-sääntöjen käyttäjiin. Kaikkien BCR-sääntöjä käyttävien sekä BCR-sääntöjen hyväksymistä hakevien on saatettava säännöt vaatimusten mukaiseksi joko hakuprosessin aikana tai osana vuoden 2024 vuotuista päivitystä niiden tilanteesta riippuen.
Tietosuojaneuvosto laatii parhaillaan suosituksia myös henkilötietojen käsittelijöitä koskevista BCR-säännöistä.
Tietosuojaneuvosto helpottaa valitusten tekemistä uudella mallilomakkeella
Uudella lomakkeella helpotetaan yksityishenkilöiden valitusten tekemistä EU- ja ETA-alueen tietosuojaviranomaisille.
”Mallilomake on yksi sovituista uudistuksista, joista Euroopan tietosuojaneuvosto päätti Wienissä huhtikuussa 2022 pidetyssä kokouksessaan tietosuojaviranomaisten täytäntöönpanoyhteistyön tehostamiseksi. Se helpottaa rajat ylittävää tiedonvaihtoa tietosuojaviranomaisten välillä, ja sen avulla tietosuojaviranomaiset voivat säästää aikaa ja ratkaista rajat ylittäviä tapauksia tehokkaammin”, tietosuojaneuvoston puheenjohtaja Anu Talus sanoo.
Mallilomakkeessa huomioidaan erot kansallisissa laeissa ja käytännöissä. Sen käyttö on tietosuojaviranomaisille vapaaehtoista, ja ne voivat muokata mallia kansallisiin vaatimuksiinsa sopivaksi.
Lomaketta voidaan käyttää tapauksissa, joissa yksityishenkilö itse tekee valituksen sekä tapauksissa, joissa valituksen tekee joku muu, eli laillinen edustaja, yksityishenkilön puolesta toimiva yhteisö tai omasta aloitteestaan toimiva yhteisö.
Lisäksi tietosuojaneuvosto laati mallin vastaanottoilmoitukselle, jossa annetaan ilmoittajalle tietoja valituksen jättämisen seuraavista vaiheista ja oikeussuojakeinoista.
Lisätietoja:
Tietosuojaneuvoston tiedote neuvoston verkkosivuilla englanniksi: EDPB adopts template complaint form and a final version of Recommendations on the application for approval and on the elements and principles to be found in Controller BCRs (21.6.2023)