Yritystä koskevat sitovat säännöt

Yritystä koskevat sitovat säännöt (BCR, Binding Corporate Rules) tarkoittavat yhteisiä sitovia sääntöjä henkilötietojen siirrosta kolmansiin maihin konsernin tai yhteistä taloudellista toimintaa harjoittavien yritysten sisällä. Säännöt ovat oikeudellisesti sitovia sekä yritysryhmään kuuluvia yrityksiä että näiden työntekijöitä kohtaan. Toimivaltainen tietosuojaviranomainen vahvistaa yrityksiä koskevat sitovat säännöt tietosuoja-asetuksen 63 artiklassa säädetyn yhdenmukaisuusmekanismin mukaisesti.

Yritystä koskevat sitovat säännöt soveltuvat etenkin monikansallisille yrityksille, jotka siirtävät henkilötietoja EU:n ja ETA:n ulkopuolelle. Säännöt tarjoavat vaihtoehtoisen tiedonsiirtotavan esimerkiksi komission hyväksymille vakiolausekkeille.

Yritystä koskevat sitovat tietosuojasäännöt edellyttävät yritysryhmältä tai konsernilta muun muassa:

• Vastuunjakoa, jonka mukaan
  • EU:ssa sijaitseva päätoimipaikka
  • EU:n alueelle sijoittautunut jäsen, jolle on siirretty tietosuojavastuuta tai
  • tietojen viejä on vastuussa korvausten maksamisesta ja BCR-sääntöjen rikkomisen korjaamisesta.
• BCR-säännöt kattavaa tarkastusohjelmaa.
• Soveltuvaa BCR-sääntöjä koskevaa koulutusohjelmaa työntekijöille.
• BCR-sääntöihin liittyviä valituksia koskevaa käsittelymenettelyä.
• Tietosuojavastaavien verkostoa tai muuten riittävää henkilöstöä vastaamaan sääntöjen noudattamisen valvonnasta.

Mitä hyötyä yritystä koskevista sitovista säännöistä on?

• Osoitus vahvasta sitoutumisesta tietosuojasääntelyn noudattamiseen.
• Henkilötietojen käsittely on tietosuoja-asetuksen periaatteiden mukaista.
• Lukuisten erillisten tiedonsiirtoa koskevien sopimusten solmimisen välttäminen yritysryhmän sisällä.
• Tietosuojakäytännöt ovat yhtenäisiä koko konsernissa tai yritysryhmässä.

Rekisterinpitäjän yritystä koskevat sitovat säännöt soveltuvat henkilötietojen siirtoihin yritysryhmän sisällä EU:n/ETA:n alueella sijaitsevalta rekisterinpitäjältä EU:n/ETA:n ulkopuolella sijaitseville rekisterinpitäjille ja/tai henkilötietojen käsittelijöille.

Henkilötietojen käsittelijän yritystä koskevat sitovat säännöt soveltuvat EU:n/ETA:n ulkopuolella toimiviin henkilötietojen käsittelijöihin, jotka käsittelevät henkilötietoja EU:n/ETA:n alueella sijaitsevien ulkopuolisten (yritysryhmään kuulumattomien) rekisterinpitäjien lukuun.

Lisätietoja:

• Working Document on the Approval Procedure of the Binding Corporate Rules for Controllers and Processors (pdf)

Rekisterinpitäjille:

​​​​​​​Euroopan tietosuojaneuvosto on julkaissut päivitetyt suositukset rekisterinpitäjän yritystä koskevista sitovista säännöistä. Kaikkien BCR-sääntöjä käyttävien sekä BCR-sääntöjen hyväksymistä hakevien on saatettava säännöt vaatimusten mukaiseksi joko hakuprosessin aikana tai osana vuoden 2024 vuotuista päivitystä. Suositukset sisältävät muun muassa päivitetyn vakiomuotoisen hakulomakkeen BCR-säännöille.

• Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR( (pdf, Euroopan tietosuojaneuvoston verkkosivulla englanniksi)​​​​​​​​​​​​​​​​​

Henkilötietojen käsittelijöille:

• Recommendation on the Standard Application Form for Approval of Processor Binding Corporate Rules for the Transfer of Personal Data (pdf)
• Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules (pdf)
  • Suomeksi: Valmisteluasiakirja, jossa esitetään taulukko niistä seikoista ja periaatteista, joita henkilötietojen käsittelijöille tarkoitettujen yrityksiä koskevien sitovien sääntöjen on sisällettävä (pdf)

Tietosuojaneuvosto laatii parhaillaan uusia suosituksia myös henkilötietojen käsittelijöitä koskevista BCR-säännöistä.

Lue lisää:

​​​​​​​Tietoa yritystä koskevista sitovista säännöistä Euroopan komission verkkosivuilla (englanniksi)