Yritystä koskevat sitovat säännöt

Yritystä koskevat sitovat säännöt (BCR, Binding Corporate Rules) tarkoittavat yhteisiä sitovia sääntöjä henkilötietojen siirrosta kolmansiin maihin konsernin tai yhteistä taloudellista toimintaa harjoittavien yritysten sisällä. Säännöt ovat oikeudellisesti sitovia sekä yritysryhmään kuuluvia yrityksiä että näiden työntekijöitä kohtaan. Toimivaltainen tietosuojaviranomainen vahvistaa yrityksiä koskevat sitovat säännöt tietosuoja-asetuksen 63 artiklassa säädetyn yhdenmukaisuusmekanismin mukaisesti.

Yritystä koskevat sitovat säännöt soveltuvat etenkin monikansallisille yrityksille, jotka siirtävät henkilötietoja EU:n ja ETA:n ulkopuolelle. Säännöt tarjoavat vaihtoehtoisen tiedonsiirtotavan esimerkiksi komission hyväksymille vakiolausekkeille.

Yritystä koskevat sitovat tietosuojasäännöt edellyttävät yritysryhmältä tai konsernilta muun muassa:

  • Vastuunjakoa, jonka mukaan
    • EU:ssa sijaitseva päätoimipaikka
    • EU:n alueelle sijoittautunut jäsen, jolle on siirretty tietosuojavastuuta tai
    • tietojen viejä on vastuussa korvausten maksamisesta ja BCR-sääntöjen rikkomisen korjaamisesta.
  • BCR-säännöt kattavaa tarkastusohjelmaa.
  • Soveltuvaa BCR-sääntöjä koskevaa koulutusohjelmaa työntekijöille.
  • BCR-sääntöihin liittyviä valituksia koskevaa käsittelymenettelyä.
  • Tietosuojavastaavien verkostoa tai muuten riittävää henkilöstöä vastaamaan sääntöjen noudattamisen valvonnasta.

Mitä hyötyä yritystä koskevista sitovista säännöistä on?

  • Osoitus vahvasta sitoutumisesta tietosuojasääntelyn noudattamiseen.
  • Henkilötietojen käsittely on tietosuoja-asetuksen periaatteiden mukaista.
  • Lukuisten erillisten tiedonsiirtoa koskevien sopimusten solmimisen välttäminen yritysryhmän sisällä.
  • Tietosuojakäytännöt ovat yhtenäisiä koko konsernissa tai yritysryhmässä.

Rekisterinpitäjän yritystä koskevat sitovat säännöt soveltuvat henkilötietojen siirtoihin yritysryhmän sisällä EU:n/ETA:n alueella sijaitsevalta rekisterinpitäjältä EU:n/ETA:n ulkopuolella sijaitseville rekisterinpitäjille ja/tai henkilötietojen käsittelijöille.

Henkilötietojen käsittelijän yritystä koskevat sitovat säännöt soveltuvat EU:n/ETA:n ulkopuolella toimiviin henkilötietojen käsittelijöihin, jotka käsittelevät henkilötietoja EU:n/ETA:n alueella sijaitsevien ulkopuolisten (yritysryhmään kuulumattomien) rekisterinpitäjien lukuun.

Lisätietoja:

Rekisterinpitäjille:

​​​​​​​Euroopan tietosuojaneuvosto on julkaissut päivitetyt suositukset rekisterinpitäjän yritystä koskevista sitovista säännöistä. Kaikkien BCR-sääntöjä käyttävien sekä BCR-sääntöjen hyväksymistä hakevien on saatettava säännöt vaatimusten mukaiseksi joko hakuprosessin aikana tai osana vuoden 2024 vuotuista päivitystä. Suositukset sisältävät muun muassa päivitetyn vakiomuotoisen hakulomakkeen BCR-säännöille.

Henkilötietojen käsittelijöille:

Tietosuojaneuvosto laatii parhaillaan uusia suosituksia myös henkilötietojen käsittelijöitä koskevista BCR-säännöistä.

Lue lisää:

​​​​​​​Tietoa yritystä koskevista sitovista säännöistä Euroopan komission verkkosivuilla (englanniksi)