Dataombudsmannen fastställde Nokias BCR-bestämmelser för internationell dataöverföring
Dataombudsmannen har godkänt två Nokias ansökningar om bindande företagsbestämmelser (s.k. BCR-bestämmelser, eng. Binding Corporate Rules). BCR-bestämmelserna avser gemensamma, juridiskt bindande bestämmelser om överföring av personuppgifter inom en koncern. Med stöd av dem kan företag som hör till samma koncern överföra personuppgifter sinsemellan till länder utanför EU och EES.
Nokias BCR-bestämmelser behandlades i samarbete med andra EU-länders dataskyddsmyndigheter, och Europeiska dataskyddsstyrelsen antog ett yttrande till bestämmelserna i plenum den 8 april. Därefter fastställde dataombudsmannen bestämmelserna genom nationella beslut. Det är fråga om de första BCR-bestämmelserna som godkänts i Finland.
Nokias ansökningar gällde två helheter med bestämmelser, varav den ena lämpar sig för situationer där Nokia är personuppgiftsansvarig och överför personuppgifter inom koncernen utanför EU och EES. Den andra helheten med bestämmelser lämpar sig när Nokia fungerar som personuppgiftsbiträde för en personuppgiftsansvarigs räkning i ett tredjeland inom EU- och EES-området.
I dataombudsmannens beslut fastställs bland annat den juridiskt bindande verkan av Nokias BCR-bestämmelser, tillämpningen av dataskyddsprinciperna, ett granskningsprogram för bestämmelserna, klagomålsförfaranden och lämplig dataskyddsutbildning för personalen.
BCR-bestämmelserna tryggar dataskyddskraven vid internationell dataöverföring
BCR-bestämmelserna är ett sätt att genomföra internationella överföringar av personuppgifter som föreskrivs i den allmänna dataskyddsförordningen. De lämpar sig särskilt för multinationella företag som regelbundet överför personuppgifter till länder utanför EU och EES. BCR-bestämmelserna garanterar att koncernens dataskyddspraxis är enhetlig och följer principerna i dataskyddsförordningen. Tack vare enhetliga bestämmelser behöver koncernen inte ingå separata dataöverföringsavtal inom företagsgruppen.
Trots BCR-bestämmelserna ska det företag som överför uppgifter alltid säkerställa att varje överföring är säker och uppfyller kraven i dataskyddslagstiftningen. Företaget ska också från fall till fall bedöma om det ska införa kompletterande skyddsåtgärder för att trygga en tillräcklig dataskyddsnivå.
Koncernen ska årligen underrätta dataombudsmannen om ändringar i BCR-bestämmelserna. Rapporten ska lämnas in även om inga ändringar görs i bestämmelserna.
Mer information:
Dataombudsmannens beslut i Finlex på engelska och finska:
Information om bindande företagsbestämmelser på vår webbsida
Information om internationella dataöverförningar på vår webbsida