Bindande företagsbestämmelser (Binding Corporate Rules)

1. Vad är bindande företagsbestämmelser?
Bindande företagsbestämmelser är gemensamma regler som en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet (nedan ”Koncernen”) får tillämpa för att göra det tillåtet att överföra personuppgifter utanför EU/EES.

När bindande företagsbestämmelser har blivit godkända av den ansvariga tillsynsmyndigheten utgör bestämmelserna ett alternativ till standardavtalsklausuler och till EU-kommissionens beslut om adekvat skyddsnivå. De utgör därmed lämpliga skyddsåtgärder för överföring av personuppgifter till företag inom Koncernen som befinner sig i tredjeländer (utanför EU/EES).

2. Vilka är fördelarna?
Bindande företagsbestämmelser tillåter företag inom Koncernen att:
• Följa GDPR
• Begränsa antalet avtal och standardavtalsklausuler
• Skapa en enhetlig behandling av personuppgifter
• Ge kunder, partners och anställda en enhetlig information om Koncernens integritetspolicy
• Visa att dataskydd är en del av Koncernens etiska överväganden

3. Personuppgiftsansvarig eller personuppgiftsbiträde?
Det finns två typer av bindande företagsbestämmelser, beroende på om Koncernens företag agerar som personuppgiftsansvarig eller som personuppgiftsbiträde. Det är möjligt att använda sig av en av dessa eller båda, i vilket fall två separata dokument bör upprättas för att enkelt kunna identifiera vilka behandlingar tillhör respektive kategori.

4. Hur arbetar man fram bestämmelserna?
Koncernen måste bland annat införa:
• Ansvarsbestämmelser som reglerar EU-företagets ansvar
• Ett förfarande för utbildning av personalen
• Ett granskningsförfarande
• Interna rutiner för klagomålshantering
• Ett nätverk av dataskyddsansvariga eller kvalificerade medarbetare för att hantera klagomål samt övervaka och granska efterlevnaden av de interna reglerna
• Ett förfarande för att avgöra huruvida en konsekvensbedömning avseende dataskydd bör genomföras
• Lämpliga tekniska och organisatoriska åtgärder för dataskydd
• Rutiner som garanterar att de registrerade kan utöva sina rättigheter

5. Hur ser ansökningsprocessen ut?
5.1 Förberedelser
Innan Koncernen skickar in sin ansökan måste den:
• Välja tillämpningsområdet för de bindande företagsbestämmelserna, exempelvis:
– endast personuppgiftsbehandlingar som utförs i egenskap av personuppgiftsansvarig,
– endast överföringar från företag inom EU till företag utanför EU; eller
– alla överföringar av personuppgifter mellan alla företag i Koncernen.
• Införa rutiner och förfaranden avseende behandling av personuppgifter och dataskydd för att säkerställa att alla företag i Koncernen följer de bindande företagsbestämmelserna.
• Avgöra vilken tillsynsmyndighet som ansvarar för att godkänna de bindande företagsbestämmelserna.

5.2 Inlämning till tillsynsmyndigheten
Inledningsvis räcker det att Koncernen skickar in den första delen av ansökningsblanketten för personuppgiftsansvarig (WP264) och / eller personuppgiftsbiträde (WP265). Tillsynsmyndigheten meddelar sina europeiska motsvarigheter om att den har bedömts vara ansvarig tillsynsmyndighet. Övriga tillsynsmyndigheter har en månad på sig för att invända. Bedömningen av ansökan kan inte börja före utgången av denna period.

Därefter får Koncernen skicka in den fullständigt ifyllda blanketten. Tillsynsmyndigheten hjälper Koncernen att se till att de bindande företagsbestämmelserna är förenliga med EU-reglerna.

5.3 Uppföljning
Efter antagandet av bindande företagsbestämmelser fortsätter tillsynsmyndigheten att bistå Koncernen, bland annat genom att föreslå ändringar i ljuset av reglernas utveckling.

Bindande företagsbestämmelser måste alltid innehålla en uppdateringsprocedur:

• För förändringar som inte är avgörande (exempelvis ändringar i förteckningen över undertecknande företag) måste tillsynsmyndigheten underrättas minst en gång per år.

• För avgörande förändringar (såsom utvidgning av de bindande företagsbestämmelsernas tillämpningsområde) måste förändringen omedelbart anmälas till tillsynsmyndigheten. Tillsynsmyndigheten kommer i sin tur att informera övriga tillsynsmyndigheter som kan komma att kommentera de gjorda ändringarna.

6. Ytterligare läsning
Hela proceduren beskrivs här.
Mer information finns även på Europeiska kommissionens hemsida, inklusive en förteckning över de företag som använder sig av BCR.