Binding Corporate Rules #2 – Krav på företagsreglernas innehåll

I vårt tidigare inlägg på dettatema nämnde vi att s.k. binding corporate rules, eller bindande företagsregler föreslås införas som ett självständigt undantag från förbudet mot överföring av personuppgifter till länder utanför EES-området (”tredje land”) som saknar adekvat skyddsnivå för personuppgifter. Med stöd av bindande företagsregler kan multinationella koncerner ges möjlighet att göra överföringar av personuppgifter till tredje land och därmed avsevärt underlätta hanteringen av data mellan koncernföretagen. För att bindande företagsregler ska få användas måste de först godtas av tillsynsmyndigheten eller EU-kommissionen. Förslaget innehåller detaljerade krav på vad de bindande företagsreglerna ska innehålla för att godtas. I det här inlägget beskriver vi översiktligt några av de viktigaste kraven.

Inledningsvis finns det ett krav på att de bindande företagsreglerna ska vara rättsligt bindande, tillämpas på och verkställas av samtliga koncernföretag och dess anställda. Kravet innebär dels att företagsreglerna faktiskt ska tillämpas och verkställas inom hela koncernen, dels att det ska finnas en rättslig skyldighet för samtliga koncernföretag att tillämpa de bindande företagsreglerna. Det krävs även att reglernas rättsligt bindande natur preciseras såväl internt som externt, vilket innebär att det måste anges i reglerna på vilket sätt de är bindande.

De bindande företagsreglerna ska innehålla uttryckliga bestämmelser om de registrerades lagstadgade rättigheter. Vidare ska de registrerades rättigheter, formerna för utövandet av dessa inom koncernföretaget, samt hur de registrerade ska informeras om reglerna preciseras i de bindande företagsreglerna. Eftersom reglerna ska vara bindande för samtliga koncernföretag innebär detta att samtliga företag blir skyldiga att tillvarata de registrerades rättigheter.

De bindande företagsreglerna ska även precisera vilka dataöverföringar eller serier av dataöverföringar som omfattas av företagsreglerna, inklusive vilka kategorier av personuppgifter som behandlas, typen av behandling och dess ändamål, vilken typ av registrerade som berörs samt vilket eller vilka tredjeländer som avses. Detta innebär att ett företag som ska tillämpa bindande företagsregler måste känna till i förväg vilka överföringar som kommer att äga rum, vilken behandling som kan komma att ske samt för vilka ändamål. Vid framtagandet av bindande företagsregler är det därför mycket viktigt för företaget att förutse vilka behov av överföringar som kommer att finnas i framtiden, så att reglerna tillgodoser dessa behov.

De bindande företagsreglerna ska även precisera vilka allmänna principer för personuppgiftsskydd som ska gälla, särskilt vad gäller bl.a. avgränsning av syfte, kvalitet på uppgifterna och rättslig grund för behandlingen av personuppgifterna. Det är i dagsläget svårt att avgöra hur preciserade de allmänna principerna för personuppgiftsskydd ska vara för att vara godtagbara för tillsynsmyndigheten. Slutsatsen kan dock dras att de bindande företagsreglerna, om förslaget genomförs i sin nuvarande form, kommer att behöva behandla dessa frågor.

Ett krav av stor betydelse för de företag som ska tillämpa bindande företagsregler är att reglerna ska innehålla bestämmelser varigenom den personuppgiftsansvarige, eller det personuppgiftsbiträde som är etablerad inom EU, tar på sig ansvaret för brott mot de bindande företagsreglerna som ett koncernföretag etablerat utanför EU gör sig skyldigt till. Detta kommer i praktiken att få till följd att ansvaret för personuppgiftsbehandling i tredje land delegeras till en personuppgiftsansvarig inom EU så att denne ansvarar för alla eventuella överträdelser av de bindande företagsreglerna som sker utanför EU. Eftersom förslaget innehåller stränga sanktioner mot överträdelser, blir det mycket viktigt för den personuppgiftsansvariga att tillse att de bindande företagsreglerna faktiskt efterlevs.

Utöver det ovan nämnda ska de bindande företagsreglerna även precisera rutiner för att kontrollera efterlevnad, rutiner för rapportering och dokumentation av ändringar i företagsgruppens policy samt hur dessa rapporteras till tillsynsmyndigheten. Även rutinerna för samarbete med tillsynsmyndigheten för att tillse att de bindande företagsreglerna efterlevs ska preciseras i reglerna.

LIBE-utskottets kompromissförslag från den 22 oktober 2013 (”kompromissförslaget”) överensstämmer i stora delar med förslagets bestämmelser om bindande företagsregler. I kompromissförslaget föreslås dock att representanter för arbetstagarna ska informeras om de bindande företagsreglerna och vara involverade i utformandet av dessa i den mån de rör anställdas personuppgifter. Det återstår att se om denna bestämmelse kommer att ingå i förordningen när den väl träder i kraft. En sådan bestämmelse skulle sannolikt vara av stor praktisk betydelse vid utformandet av bindande företagsregler.

Eftersom förslagets krav på de bindande företagsreglernas innehåll är allmänt hållna är det svårt att i dagsläget dra några säkra slutsatser om hur förslagets krav ska återspeglas i de bindande företagsreglerna. Kommissionen kommer att ha möjlighet att precisera förslagets bestämmelser i vissa delar och kommer även att kunna anta ytterligare krav för att säkerställa skyddet av de registrerades personuppgifter. Slutsatsen kan dock dras att de krav som ställs på bindande företagsregler kommer att vara relativt omfattande och de företag som önskar tillämpa bindande företagsregler kommer att behöva noggrant överväga hur dessa ska utformas. De bindande företagsreglerna medför, särskilt för multinationella koncerner som är etablerade i sådana tredje länder som saknar adekvat skydd för personuppgifter, en möjlighet att på ett mer flexibelt sätt kunna hantera överföring av personuppgifter inom koncernen. Det återstår att se på vilket sätt kraven på de bindande företagsreglerna preciseras inför förordningens antagande och givetvis i vilken utsträckning möjligheten att anta sådana regler sedan utnyttjas.