Обязательные корпоративные правила - Binding corporate rules
Обязательные корпоративные правила или "BCR" были разработаны Евросоюз Статья 29 Рабочая группа позволить многонациональным корпорации, международные организации и группы компаний для осуществления внутриорганизационной передачи персональных данных через границу в соответствии с требованиями ЕС. Закон о защите данных. BCR были разработаны как альтернатива Положения типового договора ЕС и ныне несуществующий Министерство торговли США ЕС Безопасная гавань (который был предназначен только для организаций США, но был объявлен недействительным и заменен ЕС-США. и Swiss-U.S Privacy Shield Frameworks, который также был признан недействительным 16 июля 2020 г. Решение CJEU C-311/18 ).
BCR должны быть утверждены орган по защите данных в каждом государстве-члене ЕС (например, Офис уполномоченного по информации в Соединенном Королевстве, CNIL во Франции, AEPD в Испании и т. д.), в которых организация будет полагаться на BCR. ЕС разработал процесс взаимного признания, в соответствии с которым BCR, одобренные органом по защите данных одного государства-члена (известным как «ведущий» орган) и двумя другими «со-ведущими» органами, могут быть утверждены другими соответствующими государствами-членами, которые могут комментарии и просить поправки. Другие государства-члены, не участвующие в процессе взаимного признания, также будут привлечены ведущим органом и будут применять свой собственный процесс независимой проверки в течение ограниченного периода времени. Общий процесс принятия BCR обычно занимает от 6 до 9 месяцев. В этот период времени не включена необходимая настройка защиты данных, которая должна быть уже реализована в компании, чтобы соответствовать текущей директиве и ее реализации на местном уровне.
BCR обычно образуют строгие внутрикорпоративные глобальные политики конфиденциальности, набор практик, процессов и руководящих принципов, которые соответствуют стандартам ЕС и могут быть доступны в качестве альтернативного средства авторизации передачи личных данных (например, баз данных клиентов, кадровой информации и т. Д.) За пределы страны. Европы.
BCR следует рассматривать как основу для наличия различных элементов (внутреннее правовое соглашение, политики, обучение, аудит и т. Д.), Обеспечивающих соблюдение правил защиты данных ЕС и эффективную конфиденциальность и защиту данных.
Следует отметить, что изначально предназначенные для обеспечения правовой основы для международных переводов, BCR стали де-факто корпорацией, демонстрирующей свою способность выполнять требования обработки персональных данных «в целом». Корпорация, имеющая BCR, применяет эту структуру независимо от международных переводов, и ее следует рассматривать как часть «корпоративного управления» или «управления данными».
Рабочая группа по статье 29 выпустила несколько руководящих документов по содержанию BCR, критериям приемлемости и процессу подачи.[1]
BCR сами по себе не «разрешают» все переводы автоматически для всех стран-членов ЕС. Большинство стран-членов по-прежнему требуют формального «уведомления о передаче», которое обычно предоставляется, если BCR были приняты соответствующей страной.
Следующие компании получили разрешения на BCR:[2]
- АБН АМРО Банк Н.В. с Голландский DPA как ведущий DPA
- Accenture с ICO (Великобритания) в качестве ведущего DPA
- ADP (контроллер и процессор) с голландским DPA в качестве ведущего DPA
- American Express с ICO (Великобритания) в качестве ведущего DPA
- АрселорМиттал Группа с Люксембург DPA в качестве ведущего DPA
- Атмель с ICO (Великобритания) в качестве ведущего DPA
- AXA с CNIL (французский) в качестве ведущего DPA
- Axa Private Equity с CNIL (французский) в качестве ведущего DPA
- Программное обеспечение BMC (Контроллер и процессор) с CNIL (FR) в качестве ведущего DPA
- BP с ICO (Великобритания) в качестве ведущего DPA
- Бристоль-Майерс Сквибб с CNIL (FR) в качестве ведущего DPA
- BT с ICO (Великобритания) в качестве ведущего DPA
- Care Fusion с ICO (Великобритания) в качестве ведущего DPA
- Cargill, Inc. с ICO (Великобритания) в качестве ведущего DPA
- Cisco, с голландским DPA в качестве ведущего DPA
- Citigroup с ICO (Великобритания) в качестве ведущего DPA
- CMA-CGM с CNIL (FR) в качестве ведущего DPA
- D.E. Мастера купажирования 1753 («DEMB») бывшая Sara Lee International B.V. (косвенная дочерняя компания Sara Lee Corporation) с голландским DPA
- Deutsche Post DHL с BfDI, Германия в качестве ведущего DPA
- DocuSign (Контроллер и процессор) с DPA Ирландии в качестве ведущего DPA
- DSM с голландским DPA в качестве ведущего DPA
- eBay с Люксембург DPA в качестве ведущего DPA
- Эрнст & Янг с ICO (Великобритания) в качестве ведущего DPA
- First Data Corporation с ICO (Великобритания) в качестве ведущего DPA
- General Electric (GE) с CNIL (FR) в качестве ведущего DPA
- GlaxoSmithKline plc с ICO (Великобритания) в качестве ведущего DPA
- Hermès с CNIL (FR) в качестве ведущего DPA
- Hewlett Packard с CNIL (FR) в качестве ведущего DPA
- HR доступ с CNIL (FR) в качестве ведущего DPA
- Hyatt с ICO (Великобритания) в качестве ведущего DPA
- IMS Health Зарегистрирован в ICO (Великобритания) в качестве ведущего DPA
- ИНГ Банк N.V. с голландским DPA в качестве ведущего DPA
- Корпорация Intel с DPA Ирландии в качестве ведущего DPA
- Международный SOS с CNIL (FR) в качестве ведущего DPA
- JPMC с ICO (Великобритания) в качестве ведущего DPA
- Koninklijke DSM N.V. и аффилированные компании с голландским DPA в качестве ведущего DPA
- Linklaters с ICO (Великобритания) в качестве ведущего DPA
- LVMH с CNIL (FR) в качестве ведущего DPA
- Мишлен с CNIL (FR) в качестве ведущего DPA
- Motorola Mobility LLC с ICO (Великобритания) в качестве ведущего DPA
- Motorola Solutions, Inc. с ICO (Великобритания) в качестве ведущего DPA
- Новартис с CNIL (FR) в качестве ведущего DPA
- Ново Нордиск A / S с датским DPA в качестве ведущего DPA
- OVH с CNIL (FR) в качестве ведущего DPA
- Королевская электроника Philips с голландским DPA в качестве ведущего DPA
- Safran с CNIL (FR) в качестве ведущего DPA
- Санофи Авентис с CNIL (FR) в качестве ведущего DPA
- Schlumberger Ltd. с голландской DPA
- Schneider Electric с CNIL (FR) в качестве ведущего DPA
- Shell International B.V. с голландским DPA в качестве ведущего DPA
- Группа Сименс с DPA Баварии (Германия) в качестве ведущего DPA
- Саймон-Кучер и партнеры Консультанты по стратегии и маркетингу в DPA земли Северный Рейн-Вестфалия (Германия)
- Société Générale с CNIL (FR) в качестве ведущего DPA
- Спенсер Стюарт с ICO (Великобритания) в качестве ведущего DPA
- Teleperformance (Контроллер и процессор) с CNIL (FR) в качестве ведущего DPA
- Zendesk International Limited (Контроллер и Процессор) с Ирландской DPA в качестве ведущего DPA
Кроме того, Рабочая группа по статье 29 представила руководство по BCR для процессоров (также известному как BCR процессора, в отличие от традиционного BCR контроллера).[3]
Рекомендации
- ^ Видеть http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_en.htm, видеть в частности, документы WP 133, WP 153, WP 154, WP 155 на http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2008_en.htm.
- ^ Европейская комиссия, Список компаний, для которых закрыта процедура сотрудничества с ЕС BCR,http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=613841
- ^ См. Пояснительный документ Рабочей группы по статье 29 к корпоративным правилам, имеющим обязательную силу для процессоров (19 апреля 2013 г.): http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp204_en.pdf и Рабочий документ 02/2012, создающий таблицу с элементами и принципами, которые можно найти в Корпоративных правилах, имеющих обязательную силу для процессоров (6 июня 2012 г.): http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp195_en.pdf (последнее посещение 30 ноября 2012 г.).