EDPB retter fokus mot BCR-C: Nye anbefalinger 01/2022 for BCR-C sendt på høring

I 2021 og 2022 har mange virksomheter i Norge vært opptatt med en Schrems-II vurdering av sine overføringer av personopplysninger til tredjeland, og med overgang til bruk av de nye standardpersonvernbestemmelsene (SCC) vedtatt av EU-Kommisjonen.

Nylig har EDPB vedtatt og sendt på høring nye anbefalinger vedrørende bindende virksomhetsregler fra behandlingsansvarlige (BCR-C) med høringsfrist 10. januar 2023. Når de endelige anbefalingene etter hvert foreligger, vil internasjonale konsern som tidligere har fått sine BCR-C godkjent trenge å oppdatere sine BCR-C og underliggende rutiner og dokumentasjon, slik at de oppfyller krav etter EDPBs nye anbefalinger.

Bindende virksomhetsregler eller Binding Corporate Rules (BCR) gir et gyldig overføringsgrunnlag for overføring av personopplysninger fra virksomheter etablert i EØS-området til andre virksomheter i samme konsern som er etablert i tredjeland, eller for tilsvarende overføringer i en gruppe av foretak som utøver en felles økonomisk virksomhet. Virksomheter som ønsker å få godkjent sine BCR for henholdsvis overføring fra behandlingsansvarlige (BCR-C) og/eller mellom databehandlere (BCR-P) må søke den kompetente datatilsynsmyndigheten om godkjenning. Flere internasjonale konsern som har virksomhet i EU/EØS, herunder konsern som har sin hovedvirksomhet i Norge, har valgt å bruke BCR som overføringsgrunnlag internt i konsernet, bl.a. fordi dette anses som en mer hensiktsmessig reguleringsform enn inngåelse av standardpersonvernbestemmelser (SCC).

Den 14. november 2022 utga det europeiske personvernrådet (European Data Protection Board – EDPB) nye anbefalinger 01/2022 om søknad for godkjenning og om innholdskrav til bindende virksomhetsregler for behandlingsansvarlige ("BCR-C"), jf. Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR). Disse nye anbefalingene er ment å oppheve og erstatte de tidligere anbefalingene og søknadsskjema (WP264) samt den tidligere tabellen med elementer og prinsipper som må være i BCR-C (WP256 rev.01), og som var utarbeidet av Artikkel-29 Gruppen, forgjengeren til EDPB.

De nye anbefalingene 01/2022, som er sendt på høring med frist 10. januar 2023, inneholder blant annet:

  1. et nytt søknadskjema for godkjennelse av BCR-C, og
  2. en ny tabell hvor det må spesifiseres hvor i BCR-C-dokumentet, BCR-C-søknaden og/eller andre støttende dokumenter de ulike elementene og prinsippene som er listet i tabellen, og som stammer fra GDPR, er adressert.

Oppbyggingen og innholdet i det nye søknadsskjemaet og tabellen bygger hovedsakelig på det tidligere søknadsskjemaet og tabellen, men med noe justeringer. Blant annet må BCR-C inneholde en rekke forpliktelser ("commitments") som bl.a. å spesifisere og bekrefte at BCR medlemmer kun vil bruke BCR-C som overføringsgrunnlag når kravene etter Schrems II-dommen (avsagt av EU-domstolen) er oppfylt. BCR-C skal også inneholde en plikt for BCR medlemmer å dokumentere alle Schrems II-vurderinger og nødvendige garantier ("supplementary measures") som er valgt og implementert. De må også inneholder detaljerte forpliktelser som påhviler dataimportører i tredjeland når slike dataimportørene mottar et forespørsel fra offentlig myndigheter i eget tredjeland (eller fra et annet tredjeland) om utlevering av personopplysninger som ble overført med grunnlag i BCR-C.

Kravene i anbefalingene 01/2022 må oppfylles av både nye BCR-C-søkere og av virksomheter som allerede har fått sin BCR-C godkjent i henhold til de tidligere anbefalingene (WP264 og WP256 rev. 01).

"The EDPB expects all BCR-C holders to bring their BCR-C in line with the requirements set out below. This includes BCR-C that have been approved before the publication of these Recommendations. […]" (Recommendations 1/2022, avsnitt 13)

EDPBs nye anbefalinger 01/2022 er sendt på offentlig høring og alle interesserte stakeholdere kan sende innspill til EDPB innen 10. januar 2023. Etter det forventes det at EDPB vil revidere og vedta dem på nytt. Internasjonale konsern som tidligere har fått sine BCR-C godkjent, samt de som har søkt om godkjenning av sine BCR-C, må etter det oppdatere sine BCR-C og underliggende rutiner og dokumentasjon, slik at de oppfyller krav etter EDPBs nye anbefalinger 01/2022.

EDPB har informert at de også jobber med utarbeidelse av nye anbefalingere for bindende konsernregler for databehandlere (BCR-P).

Vårt personvernteam har omfattende erfaring både med utarbeidelse av BCR og etterlevelse av Schrems-II, og vi bistår gjerne virksomhetene med å sikre etterlevelse av regelverket.

Les mer:

Les våre siste artikler om personvern

  • Personvern

    2022

    EDPB retter fokus mot BCR-C: Nye anbefalinger 01/2022 for BCR-C sendt på høring

    I 2021 og 2022 har mange virksomheter i Norge vært opptatt med en Schrems-II vurdering av sine overføringer av personopplysninger til tredjeland, og med overgang til bruk av de nye standardpersonvernbestemmelsene (SCC) vedtatt av EU-Kommisjonen.

  • Personvern, Arbeidsrett, Teknologi og digitalisering

    2022

    Nye retningslinjer og anbefalinger for personvern på arbeidsplassen

    Datatilsynet har nylig kommet med både oppdaterte retningslinjer for varsling og en interessant rapport om overvåking og kontroll av ansattes digitale aktiviteter. Begge disse nye initiativene angår personvern på arbeidsplassen og er relevante for alle virksomheter.

  • Teknologi og digitalisering, Immaterialrett, Personvern

    2022

    1 - A Europe Fit for the Digital Age

    EU har vært en aktiv pådriver for å utvikle regelverket for teknologi og digitalisering, og det dukker stadig opp nyheter om Digital Services Act, Digital Markets Act, Artificial Intelligence Act, Data Act og Data Governance Act.