Обязательные корпоративные правила или «BCRs» были разработаны Европейским Союзом Рабочая группа по статье 29, чтобы позволить многонациональным корпорациям, международным организациям и группам компаний осуществлять внутриорганизационные передачи личных данных через границу в соответствии с Законом о защите данных ЕС. BCR были разработаны как альтернатива пунктам типового договора ЕС и ныне не существующему Министерству торговли США EU Safe Harbor (который был предназначен только для организаций США, но был объявлен недействительным и заменен на EU-U.S. и Swiss-U.S Privacy Shield Frameworks, который также был признан недействительным 16 июля 2020 г. постановлением C-311/18 CJEU).
BCR должны быть утверждены органом по защите данных в каждом государстве-члене ЕС (например, Офис комиссара по информации в Соединенном Королевстве, CNIL во Франции, AEPD в Испании и т. Д.), В которых организация будет полагаться на BCR. ЕС разработал процесс взаимного признания, в соответствии с которым BCR, одобренные органом по защите данных одного государства-члена (известным как «ведущий» орган) и двумя другими «со-ведущими» органами, могут быть утверждены другими соответствующими государствами-членами, которые могут комментарии и просить поправки. Другие государства-члены, не участвующие в процессе взаимного признания, также будут привлечены ведущим органом и будут применять свой собственный процесс независимой проверки в течение ограниченного периода времени. Общий процесс принятия BCR обычно занимает от 6 до 9 месяцев. Эти временные рамки не включают в себя необходимую настройку защиты данных, которая должна быть уже реализована в компании, чтобы соответствовать текущей директиве и ее реализации на местном уровне.
BCR обычно образуют строгие внутрикорпоративные глобальные политики конфиденциальности, набор практик, процессов и руководств, которые соответствуют стандартам ЕС и могут быть доступны в качестве альтернативных средств авторизации передачи персональных данных (например, базы данных клиентов, HR информация и др.) за пределами Европы.
BCR следует рассматривать как основу для наличия различных элементов (внутреннее правовое соглашение, политики, обучение, аудит и т. Д.), Обеспечивающих соблюдение правил защиты данных ЕС и эффективную конфиденциальность и защиту данных.
Следует отметить, что, первоначально разработанные для обеспечения правовой основы для международных переводов, BCR де-факто стали корпорацией, демонстрирующей свою способность выполнять требования обработки персональных данных «в целом». Корпорация, имеющая BCR, применяет эту структуру независимо от международных переводов и должна рассматриваться как часть «корпоративного управления» или «управления данными»
Рабочая группа по статье 29 выпустила несколько руководящих документов по содержанию BCR, критериям приемлемости и процесс подачи.
BCR сами по себе не «разрешают» все переводы автоматически для всех стран-членов ЕС. Большинство стран-членов по-прежнему требуют формального «уведомления о передаче», которое обычно предоставляется, если BCR были приняты соответствующей страной.
Следующие компании получили разрешения на BCR:
- ABN AMRO Bank N.V. с голландским DPA в качестве ведущего DPA
- Accenture с ICO (UK) в качестве ведущего DPA
- ADP (контроллер и процессор) с голландским DPA в качестве ведущего DPA
- American Express с ведущим ICO (Великобритания) DPA
- ArcelorMittal Group с ведущим DPA
- Atmel с ICO (Великобритания) в качестве ведущего DPA
- AXA с ведущим CNIL (французский) DPA
- Axa Private Equity с ведущим CNIL (французский) DPA
- BMC Software (контроллер и процессор) с CNIL (FR) в качестве ведущего DPA
- BP с ведущим ICO (Великобритания) DPA
- Bristol-Myers Squibb с CNIL (FR) в качестве ведущего DPA
- BT с ICO (Великобритания) в качестве ведущего DPA
- с ICO (Великобритания) в качестве ведущего DPA
- Cargill, Inc. с ICO ( Великобритания) в качестве ведущего DPA
- Cisco, голландского DPA в качестве ведущего DPA
- Citigroup с ICO (Великобритания) в качестве ведущего DPA
- CMA-CGM с CNIL (FR) как ведущий DPA
- DE Master Blenders 1753 («DEMB») бывшая Sara Lee International BV (косвенная дочерняя компания Sara Lee Corporation) с голландским DPA
- Deutsche Post DHL с BfDI, Германия в качестве ведущий DPA
- DocuSign (контроллер и процессор) с ирландским DPA в качестве ведущего DPA
- DSM с голландским DPA в качестве ведущего DPA
- eBay с ведущим DPA
- Ernst Young с ICO (Великобритания) в качестве ведущего DPA
- First Data Corporation с ведущим ICO (Великобритания) DPA
- General Electric (GE) с CNIL (Франция) в качестве ведущего DPA
- GlaxoSmithKline plc с ICO (Великобритания) в качестве ведущего DPA
- Hermès с CNIL (FR) в качестве ведущего DPA
- Hewlett Packard с CNIL (FR) в качестве ведущего DPA
- с ведущим CNIL (FR) DPA
- Hyatt с ведущим ICO (Великобритания) DPA
- IMS Health Зарегистрирован в ICO (Великобритания) в качестве ведущего DPA
- ING Bank NV с голландским DPA в качестве ведущего DPA
- Intel Corporation с ирландским DPA в качестве ведущего DPA
- International SOS с CNIL (FR) в качестве ведущего DPA
- JPMC с ICO (Великобритания) в качестве ведущего DPA
- Koninklijke DSM NV и дочерние компании с голландским DPA в качестве ведущего DPA
- Linklaters с ICO (Великобритания) в качестве ведущего DPA
- LVMH с CNIL (FR) в качестве ведущего DPA
- Michelin с CNIL (Франция) в качестве ведущего DPA
- Motorola Mobility LLC с ICO (Великобритания) в качестве ведущего DPA
- Motorola Solutions, Inc. с ICO (Великобритания) в качестве возглавить DPA
- Novartis с CNIL (FR) в качестве ведущего DPA
- Novo Nordisk A / S с DPA из Дании в качестве ведущего DPA
- OVH с CNIL (FR) в качестве ведущего DPA
- Royal Philips Electronics с голландским DPA в качестве ведущего DPA
- Safran с ведущим CNIL (FR) DPA
- Sanofi Aventis с CNIL (FR) в качестве ведущего DPA
- Schlumberger Ltd. с голландским DPA
- Schneider Electric с CNIL (FR) в качестве ведущего DPA
- Shell International B.V. с голландским DPA в качестве ведущего DPA
- Siemens Group с ведущим DPA
- Simon-Kucher Partners консультанты по стратегии и маркетингу с DPA Северный Рейн-Вестфалия (Германия)
- Société Générale с CNIL (FR) в качестве ведущего DPA
- Spencer Stuart с ICO (UK) в качестве ведущего DPA
- Teleperformance (Controller and Processor) с CNIL (FR) в качестве ведущего DPA
- Zendesk International Limited (контроллер и процессор) с ирландским DPA в качестве ведущего DPA
Кроме того, Рабочая группа по статье 29 представила руководство по BCR для процессоров (также известному как Processor BCR, в отличие от традиционного контроллера BCR).
Ссылки
- ^См. http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_en.htm, см. в частности, документы WP 133, WP 153, WP 154, WP 155 на http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2008_en.htm.
- ^Европейская комиссия, Список компаний для которых закрыта процедура сотрудничества ЕС BCR, http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=613841
- ^См. Пояснительный документ Рабочей группы по статье 29 к корпоративным правилам, обязательным для обработки данных (19 апреля 2013 г.): http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp204_en.pdf и Рабочий документ 02/2012, создавая таблицу с элементы и принципы, которые можно найти в Корпоративных правилах, имеющих обязательную силу для процессоров (6 июня 2012 г.): http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/ 2012 / wp195_en.pdf (последнее посещение 30 ноября 2012 г.).
Внешние ссылки