Mit jelent a kötelező erejű vállalati szabályozás (BCR)?
Mi a kötelező erejű vállalati szabályozás (Binding Corporate Rules -
A GDPR 4. cikk 20. pontja alapján „kötelező erejű vállalati szabályok”: a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ.
A BCR arra szolgál, hogy megfelelő garanciákat biztosítson, amikor egy vállalkozáscsoportba tartozó, Unióban letelepedett adatkezelő, ugyanezen vállalkozáscsoportba tartozó, harmadik országban letelepedett adatkezelő vagy adatfeldolgozó részére továbbít személyes adatokat. A BCR tehát a vállalatcsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportja által létrehozott belső szabályzat, amely a csoportba tartozó adatkezelőkre, adatfeldolgozókra kötelező erővel bír, függetlenül attól, hogy az adott adatkezelő vagy adatfeldolgozó az Unió területén vagy harmadik országban található. A BCR ezáltal biztosítja, hogy a vállalkozáscsoporton belül tervezett és végrehajtott adattovábbítás esetén minden esetben azonos legyen a személyes adatokat megillető védelem szintje. A BCR jóváhagyása iránti kérelmet benyújtó vállalatcsoportnak bizonyítania kell, hogy az általa megalkotott BCR biztosítja a személyes adatok megfelelő védelmét az egész csoporton belül, illetve azt, hogy a BCR kötelező erejű és kikényszeríthető a csoport minden tagjára nézve, a székhelyüktől függetlenül, illetve a munkavállalókra nézve is.
Mi a teendő, ha a vállalatcsoport BCR jóváhagyását szeretné kérelmezni a Hatóságnál?
Ha egy vállalatcsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportja BCR-
Amennyiben a csoport másik tagállam felügyeleti hatóságát tekinti „illetékesnek”, (mivel például ott található csoport európai központja), akkor a csoport magyarországi tagjának nem szükséges a Hatóságnál kérelmezni a BCR jóváhagyását. Ilyen esetben ugyanis, a Testület álláspontja szerint, a vezető hatóságként kijelölt tagállami felügyeleti hatóság tekinthető a GDPR szerinti „illetékes” hatóságnak, amely lefolytatja a BCR jóváhagyására irányuló eljárást. Az ilyen eljárások során, amennyiben a magyar hatóság érintett, a WP 263 rev. 01 munkadokumentum szerinti együttműködési eljárás során véleményezheti a BCR-
Amennyiben egy csoport úgy ítéli meg a WP 263 rev. 01 munkadokumentumban lefektetett kritériumok alapján, hogy a NAIH a vezető hatóság a BCR vonatkozásában, akkor a Hatóság az Infotv. 64/A-
A díjat a NAIH kincstárnál vezetett 10032000-
Melyek a BCR tartalmi követelményei?
A BCR összeállítása során teljes mértékben figyelembe kell venni a GDPR 47. cikkében előírt követelményeket. A BCR tartalmának három fő követelménye az alábbi:
A BCR a vállalkozáscsoport vagy a közös gazdasági tevékenységet folytató vállalkozások csoportja minden érintett tagjára, beleértve az alkalmazottakat is, jogilag kötelező erejű, alkalmazandó és általuk érvényesített;
A BCR kifejezetten rendelkezik az érintetteknek a személyes adataik kezelése tekintetében kikényszeríthető jogairól; és
A BCR tartalmazza legalább a 47. cikk (2) bekezdésében felsorolt tartalmi elemeket.
A GDPR-
-
-
