Euroopan tietosuojaneuvostolta tiedonanto yrityksiä sitovista säännöistä brexitin lähestyessä

27.7.2020 11.36
Uutinen

Euroopan tietosuojaneuvosto on laatinut tiedonannon toimenpiteistä, joihin tietosuojaviranomaisten ja yrityksiä koskevia sitovia sääntöjä (BCR, Binding Corporate Rules) käyttävien organisaatioiden on ryhdyttävä ennen brexit-siirtymäkauden päättymistä. Toimenpiteet koskevat niitä yrityksiä, joiden BCR-sääntöjen johtavana valvontaviranomaisena toimii tällä hetkellä Britannian tietosuojaviranomainen.

Tiedonannossa eritellyillä toimenpiteillä varmistetaan BCR-sääntöjen pätevyys tiedonsiirtojen välineenä brexit-siirtymäkauden jälkeen. Britannian tietosuojaviranomaisen EU:n yleisen tietosuoja-asetuksen nojalla vahvistamilla BCR-säännöillä ei ole enää oikeusvaikutusta EU-eron astuessa voimaan, sillä se ei voi enää toimia asetuksen mukaisena toimivaltaisena viranomaisena.

Kaikki Britannian tietosuojaneuvoston hyväksymät BCR-säännöt vaativat uuden hyväksymispäätöksen ETA-alueella toimivalta johtavalta BCR-valvontaviranomaiselta ennen siirtymäkauden loppua. Hyväksymispäätökset tehdään Euroopan tietosuojaneuvoston lausuntojen perusteella.

Tiedonannon liitteeksi tietosuojaneuvosto on laatinut tarkistuslistan seikoista, jotka BCR-asiakirjoissa on tarkistettava ja korjattava brexitin yhteydessä.

Yritysten määritettävä uusi toimivaltainen valvontaviranomainen ETA-alueelta

Jos organisaation käyttämien BCR-sääntöjen toimivaltaisena valvontaviranomaisena toimii Britannian tietosuojaviranomainen, organisaation on ennen siirtymäkauden päättymistä määritettävä uusi ETA-alueella toimiva johtava BCR-valvontaviranomainen.

Lisäksi kyseisten käytössä olevien sääntöjen sisältöä saatetaan joutua tarkistamaan ennen siirtymäkauden päättymistä, sillä monet näistä säännöistä linkittyvät Britannian oikeusjärjestykseen.

Uusi toimivaltainen valvontaviranomainen aloittaa uuden hyväksymisprosessin

Kehotus uuden toimivaltaisen valvontaviranomaisen määrittämisestä koskee myös niitä organisaatioita, joiden BCR-hakemusprosessi on tällä hetkellä vireillä Britannian tietosuojaviranomaisella.

Hakijoiden on oltava yhteydessä toiseen valvontaviranomaiseen hyvissä ajoin ennen brexit-siirtymäkauden päättymistä ja annettava tälle tarpeelliset tiedot esimerkiksi siitä, miksi kyseistä viranomaista harkitaan uudeksi johtavaksi BCR-valvontaviranomaiseksi. Uusi BCR-valvontaviranomainen aloittaa hakemuksesta virallisen hyväksymismenettelyn kuultuaan neuvoston kantaa asiassa.

Brexit-järjestelyjä koskeva tiedonanto ei vaikuta analyysiin, jota neuvosto tekee parhaillaan EU-tuomioistuimen Schrems II -päätöksen vaikutuksista BCR-sääntöjen käyttöön.

Lisätietoja:

Euroopan tietosuojaneuvoston tiedote: Thirty-fifth Plenary session: Information note on Binding Corporate Rules with UK SA as Lead Authority (23.7.2020)