Závazná podniková pravidla - Binding corporate rules

Závazná firemní pravidla nebo "BCR" byly vyvinuty Evropská unie Pracovní skupina zřízená podle článku 29 umožnit nadnárodní korporace, mezinárodní organizace a skupiny společností, aby prováděly vnitroorganizační přenosy osobních údajů přes hranice v souladu s EU Zákon o ochraně údajů. BCR byly vyvinuty jako alternativa k Modelové smluvní doložky EU a nyní zaniklé americké ministerstvo obchodu EU Bezpečný přístav (který byl určen pouze pro americké organizace, ale byl prohlášen za neplatný a nahrazen EU-USA a švýcarské rámce na ochranu soukromí ve Švýcarsku, který byl do 16. července 2020 rovněž prohlášen za neplatný Rozsudek SDEU C-311/18 ).

BCR musí být schváleny orgán pro ochranu údajů v každém členském státě EU (např Úřad komisaře pro informace ve Velké Británii, CNIL ve Francii, AEPD ve Španělsku atd.), ve kterých se organizace bude spoléhat na BCR. EU vyvinula proces vzájemného uznávání, podle něhož mohou BCR schválené orgánem pro ochranu údajů jednoho členského státu (známým jako „hlavní“ orgán) a dvěma dalšími „společně vedoucími“ orgány schválit ostatní příslušné členské státy, které mohou připomínky a žádat o pozměňovací návrhy. Další členské státy, které nejsou součástí procesu vzájemného uznávání, budou rovněž zapojeny vedoucím orgánem a v omezeném časovém rámci uplatní svůj vlastní nezávislý proces přezkumu. Celkový proces přijetí BCR trvá obvykle 6 až 9 měsíců. Tento časový rámec nezahrnuje požadované nastavení ochrany dat, které by již mělo být v rámci společnosti implementováno, aby bylo v souladu s aktuální směrnicí a její místní implementací.

BCR obvykle tvoří přísné vnitropodnikové globální zásady ochrany osobních údajů, soubor postupů, procesů a pokynů, které splňují standardy EU a mohou být k dispozici jako alternativní způsob autorizace přenosů osobních údajů (např. Databáze zákazníků, informace o lidských zdrojích atd.) Mimo Evropy.

Na BCR je třeba pohlížet jako na rámec pro různé prvky (interní právní dohoda, zásady, školení, audit atd.) Zajišťující soulad s předpisy EU o ochraně údajů a účinné soukromí a ochranu údajů.

Je třeba si povšimnout, že zatímco BCR byly původně navrženy k zajištění právního základu pro mezinárodní převody, staly se de facto korporací, která demonstrovala svou schopnost „obecně“ vyhovět požadavkům na zpracování osobních údajů. Společnost, která má BCR, uplatňuje tento rámec nezávisle na mezinárodních převodech a měla by být považována za součást „Corporate Governance“ nebo „Data Governance“

Pracovní skupina zřízená podle článku 29 vydala několik pokynů k obsahu BCR, kritériím přijetí a procesu předkládání.^[1]

BCR samy o sobě „neschvalují“ všechny převody automaticky pro všechny členské státy EU. Většina členských států stále vyžaduje formální „oznámení o převodu“, které se obvykle uděluje, pokud příslušná země přijme BCR.

Následující společnosti získaly povolení pro BCR:^[2]

ABN AMRO Bank N.V. s Nizozemský DPA jako olovo DPA
Accenture s ICO (UK) jako vedoucí DPA
ADP (správce a procesor) s nizozemským DPA jako vedoucím DPA
American Express s ICO (UK) jako vedoucí DPA
ArcelorMittal Skupina s Lucembursko DPA jako vedoucí DPA
Atmel s ICO (UK) jako vedoucí DPA
AXA s CNIL (francouzsky) jako vedoucí DPA
Axa Private Equity s CNIL (francouzsky) jako vedoucí DPA
Software BMC (Controller and Processor) with the CNIL (FR) as the lead DPA
BP s ICO (UK) jako vedoucí DPA
Bristol-Myers Squibb s CNIL (FR) jako vedoucí DPA
BT s ICO (UK) jako vedoucí DPA
Care Fusion s ICO (UK) jako vedoucí DPA
Cargill, Inc. s ICO (UK) jako vedoucí DPA
Cisco, přičemž hlavním orgánem pro ochranu údajů je nizozemský orgán pro ochranu údajů
Citigroup s ICO (UK) jako vedoucí DPA
CMA-CGM s CNIL (FR) jako vedoucí DPA
D.E. Master Mixéry 1753 („DEMB“) ex Sara Lee International B.V. (nepřímá dceřiná společnost Sara Lee Corporation) s nizozemskou DPA
Deutsche Post DHL s BfDI, Německo jako vedoucí DPA
DocuSign (Controller and Processor) with Ireland's DPA as the lead DPA
DSM s nizozemskou DPA jako vedoucí DPA
eBay s Lucembursko DPA jako vedoucí DPA
Ernst & Young s ICO (UK) jako vedoucí DPA
First Data Corporation s ICO (UK) jako vedoucí DPA
General Electric (GE) s CNIL (FR) jako vedoucí DPA
GlaxoSmithKline plc s ICO (UK) jako vedoucí DPA
Hermès s CNIL (FR) jako vedoucí DPA
Hewlett Packard s CNIL (FR) jako vedoucí DPA
HR přístup s CNIL (FR) jako vedoucí DPA
Hyatt s ICO (UK) jako vedoucí DPA
IMS Health Začleněno s ICO (UK) jako vedoucí DPA
ING Bank N.V. s nizozemskou DPA jako vedoucí DPA
Intel Corporation s Irská DPA jako vedoucí DPA
Mezinárodní SOS s CNIL (FR) jako vedoucí DPA
JPMC s ICO (UK) jako vedoucí DPA
Koninklijke DSM N.V. a přidružené společnosti s nizozemskou DPA jako vedoucí DPA
Linklaters s ICO (UK) jako vedoucí DPA
LVMH s CNIL (FR) jako vedoucí DPA
Michelin s CNIL (FR) jako vedoucí DPA
Motorola Mobility LLC s ICO (UK) jako vedoucí DPA
Motorola Solutions, Inc. s ICO (UK) jako vedoucí DPA
Novartis s CNIL (FR) jako vedoucí DPA
Novo Nordisk A / S s dánským DPA jako vedoucím DPA
OVH s CNIL (FR) jako vedoucí DPA
Royal Philips Electronics s nizozemskou DPA jako vedoucí DPA
Safran s CNIL (FR) jako vedoucí DPA
Sanofi Aventis s CNIL (FR) jako vedoucí DPA
Schlumberger Ltd. s nizozemským DPA
Schneider Electric s CNIL (FR) jako vedoucí DPA
Shell International B.V. s nizozemskou DPA jako vedoucí DPA
Skupina Siemens s DPA Bavorsko (Německo) jako hlavní DPA
Simon-Kucher & Partners Strategičtí a marketingoví konzultanti s DPA Severní Porýní-Vestfálsko (DE)
Société Générale s CNIL (FR) jako vedoucí DPA
Spencer Stuart s ICO (UK) jako vedoucí DPA
Teleperformance (Controller and Processor) with the CNIL (FR) as the lead DPA
Zendesk International Limited (Controller and Processor) with Ireland's DPA as the lead DPA

Pracovní skupina zřízená podle článku 29 navíc zavedla pokyny pro BCR pro zpracovatele (také známé jako Processor BCR, na rozdíl od tradičního Controller BCR).^[3]

Reference

^ Vidět http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_en.htm, vidět zejména dokumenty WP 133, WP 153, WP 154, WP 155 at http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2008_en.htm.
^ Evropská komise, Seznam společností, pro které je postup spolupráce EU BCR uzavřen,http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=613841
^ Viz vysvětlující dokument pracovní skupiny zřízený podle článku 29 o závazných podnikových pravidlech zpracovatele (19. dubna 2013): http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp204_en.pdf a pracovní dokument 02/2012, kterým se stanoví tabulka s prvky a principy, které jsou uvedeny v Procesních závazných podnikových pravidlech (6. června 2012): http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp195_en.pdf (naposledy navštíveno 30. listopadu 2012).

externí odkazy

[1] Vidět http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_en.htm, vidět zejména dokumenty WP 133, WP 153, WP 154, WP 155 at http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2008_en.htm.

[2] Evropská komise, Seznam společností, pro které je postup spolupráce EU BCR uzavřen,http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=613841

[3] Viz vysvětlující dokument pracovní skupiny zřízený podle článku 29 o závazných podnikových pravidlech zpracovatele (19. dubna 2013): http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp204_en.pdf a pracovní dokument 02/2012, kterým se stanoví tabulka s prvky a principy, které jsou uvedeny v Procesních závazných podnikových pravidlech (6. června 2012): http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp195_en.pdf (naposledy navštíveno 30. listopadu 2012).

[1]

[2]

[3]