BCR som overføringsgrunnlag

En godkjent BCR tillater multinasjonale selskaper å overføre personopplysninger internasjonalt innenfor samme konserngruppe til land som ikke gir et tilstrekkelig beskyttelsesnivå for personopplysninger. En BCR-søknad må sendes til Datatilsynet som kan vedta disse etter en godkjenningsprosess som også krever en uttalelse fra Personvernrådet.

Før overføringen starter, må dataeksportøren som er etablert i EØS gjøre en selvstendig vurdering av om personopplysningene som blir overført, faktisk får tilstrekkelig beskyttelsesnivå på lik linje som i EØS. Det må også vurderes om rettssystemet i mottakerlandet gjør det mulig å følge virksomhetsreglene i praksis. Vi utdyper dette senere.

Hvis beskyttelsesnivået vurderes til å være lavere enn i EØS, og det ikke finnes ytterligere tiltak som hever beskyttelsesnivået til samme nivå som i EØS, skal personopplysningene ikke overføres.

For at reglene kan godkjennes må de inneholde følgende (jf. personvernforordningen artikkel 47 nr. 2): 

• konsernets struktur og kontaktopplysninger
• omfang ("scope")
• et element som viser at reglene er bindende for alle i konsernet/gruppen
• anvendelse av de allmenne personvernprinsippene, for eksempel åpenhet, datakvalitet og sikkerhet
• de registrertes rettigheter
• ansvarlighet til enheten etablert i EØS
• hvordan informasjon om BCR gis til de registrerte
• personvernombud
• fremgangsmåte for å klage
• mekanismene for å sikre overholdelse av reglene, f.eks. personvernrevisjoner
• rapportering og registrering av endring i reglene til selskapene og til tilsynsmyndigheten
• samarbeidet med tilsynsmyndigheten
• rapportering til tilsynsmyndigheten av regler i tredjestat som sannsynligvis vil ha betydelig negativ virkning på garantiene i BCR-en
• opplæring

Fordeler ved BCR

Bindende virksomhetsregler er ment å sikre at alle dataoverføringer innenfor en konserngruppe, er trygge. Andre fordeler ved bruk av bindende virksomhetsreglene er at:

1. det er lettere å demonstrere etterlevelse av personvernforordningen og forpliktelsene i kapittel V
2. det fører til mindre papirarbeid – det er ikke nødvendig med nye standard personvernbestemmelser for hver overføring
3. BCR fungerer som interne retningslinjer – alle i virksomheten forholder seg til samme regler. BCR vil gi klare og ikke minst bindende instrukser.
4. det kan være et konkurransefortrinn – BCR offentliggjøres og viser omverden at virksomheten tar personvern på alvor

Datatilsynsmyndighetene i EØS har generelt lang saksbehandlingstid for godkjenning av BCR. Dersom dere vurderer å ta i bruk bindende virksomhetsregler, må dere regne med at det kan ta et par år før dere faktisk kan sette i gang overføring av personopplysninger basert på BCR. I tillegg er ikke alle selskapsformer like egnet for dette.

Vi anbefaler å ta kontakt med Datatilsynet på for å avklare om bindende virksomhetsregler passer for virksomheten.

Om godkjenningsprosessen

Her følger en kort oversikt over saksbehandlingsprosessen slik den er beskrevet i "Working Document on the approval procedure of the Binding Corporate Rules for controllers and processors", WP263rev.01 (ec.europa.eu):

1. Selskapet utpeker den ledende tilsynsmyndigheten, "Lead Supervisory Authority". Dersom dere har hovedkvarter i Norge er det sannsynlig at Datatilsynet i Norge er ledende tilsynsmyndighet. Den ledende tilsynsmyndighet er den som håndterer samarbeidsprosedyren med de andre europeiske datatilsynsmyndighetene etter personvernforordningen.
2. Selskapet utarbeider de bindende virksomhetsreglene. Det anbefales på det sterkeste å utarbeide dokumentene på engelsk. BCR må oppfylle kravene fastsatt i arbeidsdokumentene fra Personvernrådet. Den fullstendige søknaden som sendes inn til Datatilsynet må inneholde:
   • Utkast til BCR, med eventuelle annekser
   • Utfylt søknadskjema og BCR-kriterier i 1/2022 (for behandlingsansvarlige) eller utfylt søknadskjema i WP265 og BCR-kriterier i WP257 (for databehandler). Vi anbefaler å fylle inn tabellen med henvisninger til både BCR-teksten og søknadskjema.
   • Liste med de enheter som vil bli bundet av BCR og deres lokasjoner ("List of entities bound"). Dersom virksomheten har enheter i Tyskland, må man spesifisere i hvilke(n) delstat(er) virksomheten er lokalisert.
   • Bevis på at reglene er bindende for alle selskapene i konsernet.
3. Videre kan det være aktuelt å sende ved dokumentasjon som viser hvordan forpliktelsene i BCR vil bli etterlevd i praksis. Eksempler:
   • Personvernpolicies
   • Instrukser for hvordan ansatte må håndtere personopplysninger (kan være en del av konsernets generelle "Code of conduct")
   • Rutiner for internkontroll
   • Opplæringsplan og materiell for opplæring av de ansatte
   • Beskrivelse av klageprosedyren
   • Sikkerhetsrutiner
   • Beskrivelse av personvernombudets oppgaver og støtte
4. Dokumentene sendes til Datatilsynet for vurdering. Datatilsynet vil gi tilbakemelding dersom det er nødvendig med eventuelle endringer.
5. Etter at Datatilsynet har vurdert søknaden og funnet at dokumentene oppfyller kravene i personvernforordningen artikkel 47, sendes søknaden med alle vedlegg til en annen datatilsynsmyndighet (co-reviewer) i EØS som foretar en sjekk for å sikre kvaliteten til BCR-en. Dersom det er flere enn 14 berørte tilsynsmyndigheter (det vil si at konsernet eller gruppen har etablering i flere enn 14 EØS-land), må to tilsynsmyndigheter foreta en såkalt co-review.
6. BCR-dokumentene blir delt med alle datatilsynsmyndighetene i EØS, som får en mulighet til å kommentere skriftlig. BCR-søknaden vil så diskuteres i kontekst av Personvernrådets ekspertundergruppe for internasjonale overføringer. Datatilsynet formidler nødvendige og foreslåtte endringer til virksomheten.
7. Når tilsynsmyndighetene har blitt enige om at BCR-en oppfyller kravene, sender Datatilsynet BCR-søknaden til Personvernrådet for godkjenning. Personvernrådet skal da gi en uttalelse innen åtte uker (med mulighet for forlengelse på seks uker).
8. Når Personvernrådet har gitt en positiv uttalelse, skal Datatilsynet gi den endelige godkjenningen.
9. Virksomheten må oversette BCR-en til alle relevante språk og gjøre den kjent for de den gjelder (ansatte, kunder, forretningsrelasjoner og så videre).
10. Virksomheten har plikt til å oppdatere BCR i henhold til det til enhver tid gjeldende regelverket i EØS og underrette Datatilsynet om eventuelle mindre endringer én gang i året. Det er ønskelig å sende endret BCR med spor endringer («track changes») i dokumentet. Større materielle endringer må meldes umiddelbart.
11. Om kravene i 1/2022 og WP257 blir endret, må virksomhet med godkjent BCR fylle den ut på nytt i forbindelse med årlig oppdatering av dokumentene for å vise at alle gjeldende krav er oppfylt.

På Personvernrådet (EDPB) sine nettsider finnes en oversikt over godkjente BCR etter personvernforordningen (edpb.europa.eu).

Hva med bindende virksomhetsregler (BCR) som ble godkjent før 25. mai 2018?

BCR-er som er godkjent i medhold av gammelt regelverk, skal fortsette å gjelde fram til de ved behov endres, erstattes eller oppheves. Dette følger av personvernforordningen artikkel 46 nr. 5. For at virksomheter som har en godkjent BCR skal kunne fortsette å bruke den som overføringsgrunnlag, må de imidlertid:

• oppdatere BCR-dokumentene i henhold til personvernforordningen. Bruk 1/2022 (for behandlingsansvarlige) og WP257 rev.01 (for databehandlere) for å demonstrere at alle kravene er oppfylt
• varsle Datatilsynet om endringene som er gjort. Dette kan gjøres i forbindelse med den årlige rapporteringsplikten (jf. personvernforordningen artikkel 47 nr. 2 bokstav k).

Her er en liste over virksomheter som fikk godkjent BCR før 24. mai 2018 etter gammelt regelverk (ec.europa.eu).

Ta gjerne kontakt med Datatilsynet på  ved eventuelle spørsmål.