Binding corporate rules
Binnen internationale organisaties of multinationals vindt doorgifte van persoonsgegevens plaats tussen de verschillende vestigingen. Zijn er vestigingen buiten de Europese Unie (EU)? Dan kunnen deze organisaties interne gedragscodes opstellen voor het gegevensverkeer binnen de eigen organisatie. Dit worden bindende bedrijfsvoorschriften oftewel binding corporate rules (BCR's) genoemd.
In een BCR legt een organisatie de waarborgen vast voor de bescherming van persoonsgegevens bij doorgifte naar landen zonder passend beschermingsniveau.
De BCR moet in overeenstemming zijn met de Algemene verordening gegevensbescherming (AVG). De Europese privacytoezichthouders moeten eerst de BCR goedkeuren. Daarna moet de European Data Protection Board (EDPB) goedkeuring geven.
Bekijk binnen het onderwerp Binding corporate rules
Nieuws
-
Nieuwsbericht / 1 december 2022Nieuwe EDPB-aanbevelingen voor binding corporate rules (BCR)
-
Nieuwsbericht / 13 februari 2019Europese toezichthouders publiceren nadere toelichting Brexit
-
Nieuwsbericht / 21 december 2012Binding corporate rules voor bewerkers
Alle antwoorden op mijn vragenVragen over binding corporate rules (BCR's)
-
Waar kan ik informatie vinden over BCR's?
De Europese privacytoezichthouders hebben een aantal leidraden (WP-documenten) opgesteld over bindende bedrijfsvoorschriften, oftewel binding corporate rules (BCR's).
Informatie voor de Controller BCR's
Voor de Controller BCR's zijn de volgende documenten van belang:
- WP256: 'Setting up a table with the elements and principles to be found in Binding Corporate Rules'
- WP264: 'Recommendation on Standard application approval of Controller BCR's'
- WP74: 'Transfers of personal data to third countries: Applying Article 26 (2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers'
- WP108: 'Establishing a Model Checklist Application for Approval of Binding Corporate Rules'
- WP154: 'Setting up a framework for the structure of Binding Corporate Rules'
- WP155: 'Frequently Asked Questions (FAQs) related to Binding Corporate Rules'
- WP107: 'Setting Forth a Cooperation Procedure for Issuing Common Opinions on Adequate Safeguards Resulting From “Binding Corporate Rules"'
Informatie voor de Processor BCR's
Voor de Processor BCR's zijn de volgende documenten van belang:
- WP257: 'setting up a table with the elements and principles to be found in Processor Binding Corporate Rules'
- WP195a: 'Recommendation 1/2012 on the Standard Application form for Approval of Binding Corporate Rules for the Transfer of Personal Data for Processing Activities'
- WP204: 'Explanatory Document on the Processor Binding Corporate Rules'
- WP108: 'Establishing a Model Checklist Application for Approval of Binding Corporate Rules'
- WP154: 'Setting up a framework for the structure of Binding Corporate Rules'
- WP155 'Frequently Asked Questions (FAQs) related to Binding Corporate Rules'
- WP107: 'Setting Forth a Cooperation Procedure for Issuing Common Opinions on Adequate Safeguards Resulting From “Binding Corporate Rules"'
- Welke eisen worden aan BCR's gesteld?
-
Welke informatie moet ik aanleveren als ik BCR's wil laten beoordelen?
Heeft u bindende bedrijfsvoorschriften oftewel binding corporate rules (BCR) opgesteld? En wilt u die laten goedkeuren door de Autoriteit Persoonsgegevens (AP)? Dan heeft de AP bepaalde informatie van u nodig.
Ten eerste informatie om te beoordelen of de AP de Lead SA (leidende toezichthouder) is voor uw organisatie. Zo ja, dan neemt de AP uw aanvraag verder in behandeling. Ten tweede heeft de AP informatie nodig om uw BCR te beoordelen.
Benodigde informatie
U moet de volgende informatie aanleveren:
- Een onderbouwing van uw verzoek om de AP als Lead SA aan te wijzen, gebaseerd op WP263 rev.01.
- Een ingevuld aanvraagformulier conform WP264 (controller) en/of WP265 (processor).
- Informatie over de structuur van uw concern en contactgegevens conform artikel 47 lid 2 AVG.
- Een toelichting op uw aanvraag conform WP264 / WP265 waarin u onder meer bewijs heeft opgenomen van de bindende aard van uw BCR.
- Een kopie van de BCR.
- Een ingevulde tabel conform WP256 rev.01 / WP257 rev.01 waarin u gedetailleerde referenties heeft opgenomen naar de BCR en eventuele aanvullende documenten. Hiermee geeft u aan waar de betreffende wettelijke eisen zijn opgenomen in de BCR.
Aanvraag niet compleet
Is uw aanvraag niet compleet? Dan krijgt u de kans om die aan te vullen. Is uw aanvraag daarna nog niet compleet? Dan kan de AP besluiten uw aanvraag niet in behandeling te nemen.
Aanvraag in Engels en Nederlands
Let op: u moet uw stukken in het Engels opstellen. De AP beoordeelt uw aanvraag en deelt deze vervolgens met collega’s in de EU. Soms moet u ook voor een Nederlandse vertaling zorgen op grond van de Algemene wet bestuursrecht.
-
Hoe lang duurt het voordat BCR's zijn goedgekeurd?
Dat hangt van de specifieke BCR af. BCR's zijn allemaal anders, waardoor er geen standaardtermijn te geven is.
-
Wat moet ik doen als ik mijn BCR heb geüpdatet?
Stuur de nieuwe versie van de BCR naar de Autoriteit Persoonsgegevens (AP), met een brief waarin u de wijzigingen en/of aanvullingen vermeldt met een uitleg.
De AP beoordeelt of er inhoudelijke veranderingen zijn in uw BCR en of een nieuwe goedkeuringsprocedure noodzakelijk is.
- Is een nieuwe procedure niet noodzakelijk? Dan stuurt de AP de nieuwe versie van uw BCR naar de relevante DPA’s.
- Is een nieuwe procedure wel noodzakelijk? Dan krijgt u bericht van de AP. U kunt dan een nieuwe procedure starten voor goedkeuring van uw gewijzigde BCR.
Alle antwoorden op mijn vragenVragen over de afstemming van BCR's
-
Wat houdt de mutual recognition-procedure in?
Een aantal EU-privacytoezichthouders (data protection authorities of DPA’s) heeft een procedure afgesproken voor mutual recognition (wederzijdse erkenning). Dit houdt in dat de DPA’s elkaars beoordelingen van BCR's accepteren. Dit maakt de procedure voor goedkeuring van BCR's sneller.
Mutual recognition-procedure
De procedure voor mutual recognition verloopt als volgt:
- Een organisatie dient een BCR in bij een DPA, die de BCR in behandeling neemt. Deze DPA wordt de lead DPA genoemd ofwel de leidende toezichthouder.
- De lead DPA vraagt 2 andere DPA’s de BCR te beoordelen en hun commentaar daarop toe te sturen.
- Zijn de lead DPA en de 2 andere DPA’s (ook wel ‘co-reviewers’ genoemd) akkoord met de BCR? Dan wordt de BCR ter goedkeuring voorgelegd aan de European Data Protection Board (EDPB).
- Na goedkeuring van de EDPB zullen de relevante DPA’s geïnformeerd worden en krijgen zij de BCR toegestuurd.
- Vraagt de AP aan de EDPB om de BCR goed te keuren? Dan geeft de EDPB binnen 8 weken een advies. Die termijn kan met 6 weken worden verlengd. Er wordt rekening gehouden met de complexiteit van de BCR.
- De AP houdt zo veel mogelijk rekening met het advies van de EDPB. Binnen 2 weken na ontvangst van het advies moet de AP laten weten of het ontwerpbesluit blijft zoals het is of dat de AP dit wijzigt naar aanleiding van het advies.
-
Welke DPA’s hebben zich aangesloten bij de mutual recognition-procedure?
Zie de website van de Europese Commissie voor een actuele lijst van landen waarvan de data protection authority (DPA) zich heeft aangesloten bij de mutual recognition-procedure.
-
Wie beslist welke co-reviewers benaderd worden?
De lead DPA (leidende toezichthouder) beslist welke co-reviewers benaderd worden. Wanneer u uw BCR indient, kunt u een voorkeur uitspreken voor co-reviewers. Waar mogelijk zal de Autoriteit Persoonsgegevens rekening houden met uw voorkeur.
-
Wat houdt de coördinatieprocedure in?
Is een DPA niet aangesloten bij de mutual recognition-procedure, dan beoordeelt deze DPA BCR's zelfstandig. Als daar aanvullende vragen en opmerkingen uit voortkomen, stemt de DPA die af met de lead DPA en de organisatie die de BCR heeft ingediend. Dit noemen we de coördinatieprocedure.