Альфапедия

Корпоративный переплет правила

редактировать

Обязательные корпоративные правила или «BCRs» были разработаны Европейским Союзом Рабочая группа по статье 29, чтобы позволить многонациональным корпорациям, международным организациям и группам компаний осуществлять внутриорганизационные передачи личных данных через границу в соответствии с Законом о защите данных ЕС. BCR были разработаны как альтернатива пунктам типового договора ЕС и ныне не существующему Министерству торговли США EU Safe Harbor (который был предназначен только для организаций США, но был объявлен недействительным и заменен на EU-U.S. и Swiss-U.S Privacy Shield Frameworks, который также был признан недействительным 16 июля 2020 г. постановлением C-311/18 CJEU).

BCR должны быть утверждены органом по защите данных в каждом государстве-члене ЕС (например, Офис комиссара по информации в Соединенном Королевстве, CNIL во Франции, AEPD в Испании и т. Д.), В которых организация будет полагаться на BCR. ЕС разработал процесс взаимного признания, в соответствии с которым BCR, одобренные органом по защите данных одного государства-члена (известным как «ведущий» орган) и двумя другими «со-ведущими» органами, могут быть утверждены другими соответствующими государствами-членами, которые могут комментарии и просить поправки. Другие государства-члены, не участвующие в процессе взаимного признания, также будут привлечены ведущим органом и будут применять свой собственный процесс независимой проверки в течение ограниченного периода времени. Общий процесс принятия BCR обычно занимает от 6 до 9 месяцев. Эти временные рамки не включают в себя необходимую настройку защиты данных, которая должна быть уже реализована в компании, чтобы соответствовать текущей директиве и ее реализации на местном уровне.

BCR обычно образуют строгие внутрикорпоративные глобальные политики конфиденциальности, набор практик, процессов и руководств, которые соответствуют стандартам ЕС и могут быть доступны в качестве альтернативных средств авторизации передачи персональных данных (например, базы данных клиентов, HR информация и др.) за пределами Европы.

BCR следует рассматривать как основу для наличия различных элементов (внутреннее правовое соглашение, политики, обучение, аудит и т. Д.), Обеспечивающих соблюдение правил защиты данных ЕС и эффективную конфиденциальность и защиту данных.

Следует отметить, что, первоначально разработанные для обеспечения правовой основы для международных переводов, BCR де-факто стали корпорацией, демонстрирующей свою способность выполнять требования обработки персональных данных «в целом». Корпорация, имеющая BCR, применяет эту структуру независимо от международных переводов и должна рассматриваться как часть «корпоративного управления» или «управления данными»

Рабочая группа по статье 29 выпустила несколько руководящих документов по содержанию BCR, критериям приемлемости и процесс подачи.

BCR сами по себе не «разрешают» все переводы автоматически для всех стран-членов ЕС. Большинство стран-членов по-прежнему требуют формального «уведомления о передаче», которое обычно предоставляется, если BCR были приняты соответствующей страной.

Следующие компании получили разрешения на BCR:

  • ABN AMRO Bank N.V. с голландским DPA в качестве ведущего DPA
  • Accenture с ICO (UK) в качестве ведущего DPA
  • ADP (контроллер и процессор) с голландским DPA в качестве ведущего DPA
  • American Express с ведущим ICO (Великобритания) DPA
  • ArcelorMittal Group с ведущим DPA
  • Atmel с ICO (Великобритания) в качестве ведущего DPA
  • AXA с ведущим CNIL (французский) DPA
  • Axa Private Equity с ведущим CNIL (французский) DPA
  • BMC Software (контроллер и процессор) с CNIL (FR) в качестве ведущего DPA
  • BP с ведущим ICO (Великобритания) DPA
  • Bristol-Myers Squibb с CNIL (FR) в качестве ведущего DPA
  • BT с ICO (Великобритания) в качестве ведущего DPA
  • с ICO (Великобритания) в качестве ведущего DPA
  • Cargill, Inc. с ICO ( Великобритания) в качестве ведущего DPA
  • Cisco, голландского DPA в качестве ведущего DPA
  • Citigroup с ICO (Великобритания) в качестве ведущего DPA
  • CMA-CGM с CNIL (FR) как ведущий DPA
  • DE Master Blenders 1753 («DEMB») бывшая Sara Lee International BV (косвенная дочерняя компания Sara Lee Corporation) с голландским DPA
  • Deutsche Post DHL с BfDI, Германия в качестве ведущий DPA
  • DocuSign (контроллер и процессор) с ирландским DPA в качестве ведущего DPA
  • DSM с голландским DPA в качестве ведущего DPA
  • eBay с ведущим DPA
  • Ernst Young с ICO (Великобритания) в качестве ведущего DPA
  • First Data Corporation с ведущим ICO (Великобритания) DPA
  • General Electric (GE) с CNIL (Франция) в качестве ведущего DPA
  • GlaxoSmithKline plc с ICO (Великобритания) в качестве ведущего DPA
  • Hermès с CNIL (FR) в качестве ведущего DPA
  • Hewlett Packard с CNIL (FR) в качестве ведущего DPA
  • с ведущим CNIL (FR) DPA
  • Hyatt с ведущим ICO (Великобритания) DPA
  • IMS Health Зарегистрирован в ICO (Великобритания) в качестве ведущего DPA
  • ING Bank NV с голландским DPA в качестве ведущего DPA
  • Intel Corporation с ирландским DPA в качестве ведущего DPA
  • International SOS с CNIL (FR) в качестве ведущего DPA
  • JPMC с ICO (Великобритания) в качестве ведущего DPA
  • Koninklijke DSM NV и дочерние компании с голландским DPA в качестве ведущего DPA
  • Linklaters с ICO (Великобритания) в качестве ведущего DPA
  • LVMH с CNIL (FR) в качестве ведущего DPA
  • Michelin с CNIL (Франция) в качестве ведущего DPA
  • Motorola Mobility LLC с ICO (Великобритания) в качестве ведущего DPA
  • Motorola Solutions, Inc. с ICO (Великобритания) в качестве возглавить DPA
  • Novartis с CNIL (FR) в качестве ведущего DPA
  • Novo Nordisk A / S с DPA из Дании в качестве ведущего DPA
  • OVH с CNIL (FR) в качестве ведущего DPA
  • Royal Philips Electronics с голландским DPA в качестве ведущего DPA
  • Safran с ведущим CNIL (FR) DPA
  • Sanofi Aventis с CNIL (FR) в качестве ведущего DPA
  • Schlumberger Ltd. с голландским DPA
  • Schneider Electric с CNIL (FR) в качестве ведущего DPA
  • Shell International B.V. с голландским DPA в качестве ведущего DPA
  • Siemens Group с ведущим DPA
  • Simon-Kucher Partners консультанты по стратегии и маркетингу с DPA Северный Рейн-Вестфалия (Германия)
  • Société Générale с CNIL (FR) в качестве ведущего DPA
  • Spencer Stuart с ICO (UK) в качестве ведущего DPA
  • Teleperformance (Controller and Processor) с CNIL (FR) в качестве ведущего DPA
  • Zendesk International Limited (контроллер и процессор) с ирландским DPA в качестве ведущего DPA

Кроме того, Рабочая группа по статье 29 представила руководство по BCR для процессоров (также известному как Processor BCR, в отличие от традиционного контроллера BCR).

Ссылки
  1. ^См. http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_en.htm, см. в частности, документы WP 133, WP 153, WP 154, WP 155 на http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2008_en.htm.
  2. ^Европейская комиссия, Список компаний для которых закрыта процедура сотрудничества ЕС BCR, http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=613841
  3. ^См. Пояснительный документ Рабочей группы по статье 29 к корпоративным правилам, обязательным для обработки данных (19 апреля 2013 г.): http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp204_en.pdf и Рабочий документ 02/2012, создавая таблицу с элементы и принципы, которые можно найти в Корпоративных правилах, имеющих обязательную силу для процессоров (6 июня 2012 г.): http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/ 2012 / wp195_en.pdf (последнее посещение 30 ноября 2012 г.).
Внешние ссылки
Последняя правка сделана 2021-05-12 06:28:02
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте