Bindande företagsbestämmelser

Bindande företagsbestämmelser (BCR, Binding Corporate Rules) avser gemensamma bindande bestämmelser om överföring av personuppgifter till tredjeländer inom en koncern eller en grupp av företag som driver en gemensam ekonomisk verksamhet. Bestämmelserna är juridiskt bindande både för de företag som ingår i företagsgruppen och för företagens arbetstagare. Den behöriga dataskyddsmyndigheten fastställer de bindande företagsbestämmelserna i enlighet med mekanismen för enhetlighet i artikel 63 i dataskyddsförordningen.

Bindande företagsbestämmelser lämpar sig främst för tillämpning i multinationella företag som överför personuppgifter till länder utanför EU och EES. Bestämmelserna är ett alternativ till exempel till standardiserade dataskyddsförbindelser som godkänts av kommissionen.

Dataskyddsförbindelser som binder företagen förutsätter bland annat följande av företagsgruppen eller koncernen:

• En ansvarsfördelning, enligt vilken
  • ett huvudsakligt verksamhetsställe i EU
  • en berörd enhet inom EU, till vilken dataskyddsansvaret har överförts eller
  • den som lämnar ut uppgifterna är ansvarig för betalning av ersättning och åtgärdande av förseelser mot BCR-bestämmelserna.
• Ett granskningsprogram som omfattar BCR-bestämmelserna.
• Lämpligt utbildningsprogram om BCR-bestämmelserna för arbetstagarna.
• Förfaringssätt för handläggning av klagomål som knyter an till BCR-bestämmelserna.
• Ett nätverk av dataskyddsombud eller annars tillräckligt med personal för övervakningen av att bestämmelserna följs.

Vad är nyttan med de bindande företagsbestämmelserna?

• Ett bevis på starkt engagemang i efterlevnaden av dataskyddsbestämmelserna.
• Behandlingen av personuppgifter är förenlig med principerna i dataskyddsförordningen.
• Man undviker flera fristående avtal om dataöverföring inom företagsgruppen.
• Dataskyddspraxisen är enhetlig i hela koncernen eller företagsgruppen.

De bindande företagsbestämmelserna för personuppgiftsansvariga lämpar sig för överföring av personuppgifter inom en företagsgrupp från en personuppgiftsansvarig i EU-/EES-området till en personuppgiftsansvarig eller ett personuppgiftsbiträde utanför EU/EES.

De bindande företagsbestämmelserna för personuppgiftsbiträden är tillämpliga på personuppgiftsbiträden som arbetar utanför EU/EES och som behandlar personuppgifter åt utomstående personuppgiftsansvariga (som inte hör till företagsgruppen) som finns inom EU/EES.

Mer information:

• Working Document on the Approval Procedure of the Binding Corporate Rules for Controllers and Processors (pdf)

För personuppgiftsansvariga:

• Recommendation on the Standard Application Form for Approval of Controller Binding Corporate Rules for the Transfer of Personal Data (pdf)
• Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules (pdf)
  • På svenska: Riktlinjer om fastställande av ansvarig tillsynsmyndighet för personuppgiftsansvarigaeller personuppgiftsbiträden (pdf)

För personuppgiftsbiträden:

• Recommendation on the Standard Application Form for Approval of Processor Binding Corporate Rules for the Transfer of Personal Data (pdf)
• Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rule (pdf)