WikiDer > Обязательные корпоративные правила

Binding corporate rules

Обязательные корпоративные правила или "BCR" были разработаны Евросоюз Статья 29 Рабочая группа позволить многонациональным корпорации, международные организации и группы компаний для осуществления внутриорганизационной передачи персональных данных через границу в соответствии с требованиями ЕС. Закон о защите данных. BCR были разработаны как альтернатива Положения типового договора ЕС и ныне несуществующий Министерство торговли США ЕС Безопасная гавань (который был предназначен только для организаций США, но был объявлен недействительным и заменен ЕС-США. и Swiss-U.S Privacy Shield Frameworks, который также был признан недействительным 16 июля 2020 г. Решение CJEU C-311/18).

BCR должны быть утверждены орган по защите данных в каждом государстве-члене ЕС (например, Офис уполномоченного по информации в Соединенном Королевстве, CNIL во Франции, AEPD в Испании и т. д.), в которых организация будет полагаться на BCR. ЕС разработал процесс взаимного признания, в соответствии с которым BCR, одобренные органом по защите данных одного государства-члена (известным как «ведущий» орган) и двумя другими «со-ведущими» органами, могут быть утверждены другими соответствующими государствами-членами, которые могут комментарии и просить поправки. Другие государства-члены, не участвующие в процессе взаимного признания, также будут привлечены ведущим органом и будут применять свой собственный процесс независимой проверки в течение ограниченного периода времени. Общий процесс принятия BCR обычно занимает от 6 до 9 месяцев. В этот период времени не включена необходимая настройка защиты данных, которая должна быть уже реализована в компании, чтобы соответствовать текущей директиве и ее реализации на местном уровне.

BCR обычно образуют строгие внутрикорпоративные глобальные политики конфиденциальности, набор практик, процессов и руководящих принципов, которые соответствуют стандартам ЕС и могут быть доступны в качестве альтернативного средства авторизации передачи личных данных (например, баз данных клиентов, кадровой информации и т. Д.) За пределы страны. Европы.

BCR следует рассматривать как основу для наличия различных элементов (внутреннее правовое соглашение, политики, обучение, аудит и т. Д.), Обеспечивающих соблюдение правил защиты данных ЕС и эффективную конфиденциальность и защиту данных.

Следует отметить, что изначально предназначенные для обеспечения правовой основы для международных переводов, BCR стали де-факто корпорацией, демонстрирующей свою способность выполнять требования обработки персональных данных «в целом». Корпорация, имеющая BCR, применяет эту структуру независимо от международных переводов, и ее следует рассматривать как часть «корпоративного управления» или «управления данными».

Рабочая группа по статье 29 выпустила несколько руководящих документов по содержанию BCR, критериям приемлемости и процессу подачи.[1]

BCR сами по себе не «разрешают» все переводы автоматически для всех стран-членов ЕС. Большинство стран-членов по-прежнему требуют формального «уведомления о передаче», которое обычно предоставляется, если BCR были приняты соответствующей страной.

Следующие компании получили разрешения на BCR:[2]

Кроме того, Рабочая группа по статье 29 представила руководство по BCR для процессоров (также известному как BCR процессора, в отличие от традиционного BCR контроллера).[3]

Рекомендации

  1. ^ Видеть http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_en.htm, видеть в частности, документы WP 133, WP 153, WP 154, WP 155 на http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2008_en.htm.
  2. ^ Европейская комиссия, Список компаний, для которых закрыта процедура сотрудничества с ЕС BCR,http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=613841
  3. ^ См. Пояснительный документ Рабочей группы по статье 29 к корпоративным правилам, имеющим обязательную силу для процессоров (19 апреля 2013 г.): http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp204_en.pdf и Рабочий документ 02/2012, создающий таблицу с элементами и принципами, которые можно найти в Корпоративных правилах, имеющих обязательную силу для процессоров (6 июня 2012 г.): http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp195_en.pdf (последнее посещение 30 ноября 2012 г.).

внешняя ссылка