Hoppa till innehåll på sidan

Bindande företagsbestämmelser

Multinationella koncerner har möjlighet att ansöka om att få sina bindande företagsbestämmelser, så kallade Binding Corporate Rules (BCR), godkända av en ansvarig dataskyddsmyndighet.

För att få era bindande företagsbestämmelser godkända behöver ni säkerställa att ni inför lämpliga skyddsåtgärder för att föra över personuppgifter till tredjeland.

Till er hjälp finns följande dokument från Europeiska dataskyddsstyrelsen, EDPB.

Mer information

Relaterade länkar

 

Steg 1 – Föreslå ansvarig dataskyddsmyndighet

Innan ni skickar in ansökan behöver ni göra en bedömning av vilken dataskyddsmyndighet som är huvudansvarig i ert ärende.

I er bedömning bör ni ta hänsyn till följande kriterier:

  • den medlemsstat inom EU/EES där moderbolaget är etablerat
  • den medlemsstat inom EU/EES där det bolag inom koncernen som har fått ansvar för personuppgiftsbehandlingen är etablerat
  • den medlemsstat inom EU/EES där det bolag inom koncernen är etablerat som är bäst lämpat att hantera ansökningsförfarandet (avseende ledningsfunktion, administrativ börda etc.) och implementera de bindande företagsbestämmelserna inom koncernen
  • platsen där största delen av beslutsfattandet avseende ändamål och medel för personuppgiftsbehandlingen (det vill säga överföringarna) sker
  • den medlemsstat inom EU/EES från vilken majoriteten av personuppgifter kommer att överföras eller all överföring till tredjeland kommer att ske ifrån.

Ovanstående kriterier finns i WP263. Kriterierna är inte uttömmande och utgör inte något formkrav, men särskild vikt läggs vid första punkten ovan.

Steg 2 – Skicka ansökan och tabell till dataskyddsmyndigheten

Ifylld del 1 av ansökningsblanketten skickas till den dataskyddsmyndighet ni bedömt är ansvarig för handläggningen. Om ni vill ansöka om både bindande företagsbestämmelser för personuppgiftsansvariga och för personuppgiftsbiträden måste ni fylla i separata ansökningsblanketter. För att underlätta handläggningsförfarandet ska ni, tillsammans med del 1 av ansökningsblanketten, även lämna in en lista med alla bolag i koncernen som är tänkta att omfattas av företagsbestämmelserna inklusive kontaktuppgifter och registreringsnummer.

Steg 3 – Dataskyddsmyndigheten accepterar huvudansvar

Den dataskyddsmyndighet som tar emot er ansökan gör en bedömning av om den är bäst lämpad att agera som ansvarig dataskyddsmyndighet och stämmer av med övriga dataskyddsmyndigheter. Det kan innebära att er ansökan lämnas över till en annan dataskyddsmyndighet om den bedöms vara bättre lämpad att hantera ansökan.

Steg 4 – BCR begärs in

Den dataskyddsmyndighet som är ansvarig begär in koncernens förslag till bindande företagsbestämmelser, del 2 av ansökan, ifylld tabell enligt EDPB:s rekommendationer 1/2022 för personuppgiftsansvariga, och WP257 för personuppgiftsbiträden, och eventuella bilagor. Om det förslag till bindande företagsbestämmelser som ni lämnat in är ofullständigt eller om det finns andra oklarheter kan ansvarig dataskyddsmyndighet begära in kompletteringar.

Steg 5 – Ansökan och BCR granskas

Den ansvariga dataskyddsmyndigheten granskar alltid ansökan och förslaget till bindande företagsbestämmelser tillsammans med en eller två andra dataskyddsmyndigheter. Vanligtvis de dataskyddsmyndigheter som berörs mest av de personuppgiftsöverföringar som ansökan omfattar. Därefter ges samtliga dataskyddsmyndigheter tillfälle att yttra sig över ansökan.

Steg 6 – EDPB yttrar sig

Efter att ansvarig dataskyddsmyndighet och medgranskande myndigheter lämnat synpunkter, överlämnas all dokumentation till EDPB som lämnar ett yttrande i ärendet.

Steg 7 – Beslut fattas

Efter att eventuella ändringar gjorts utifrån EDPB:s yttrande kan ansvarig dataskyddsmyndighet fatta beslut i ärendet. Handläggningstiden för godkännande av bindande företagsbestämmelser varierar och påverkas bland annat av vilka kompletteringar som blir aktuella.

bcr.png

 

Rättsinformation

Fördjupa dig
Senast uppdaterad: 6 april 2021
Sidans etiketter Dataskydd