Bindande företagsregler
Bindande företagsregler ( BCR ) har utvecklats av Europeiska unionens artikel 29-arbetsgrupp (idag European Data Protection Board ) för att göra det möjligt för multinationella företag , internationella organisationer och företagsgrupper att göra intraorganisatoriska överföringar av personuppgifter över gränserna i enlighet med EU:s dataskyddslagstiftning . BCR är ett ramverk för att ha olika element (interna juridiska avtal, policyer, utbildningar, revisioner etc.) som möjliggör efterlevnad av EU:s dataskyddsförordningar och integritetsskydd. BCRs utvecklades som ett alternativ till "standard contractual clauses" (SCCs) och det nu nedlagda amerikanska handelsdepartementet EU Safe Harbor (som endast var för amerikanska organisationer, men som har förklarats ogiltigt).
BCR måste godkännas av dataskyddsmyndigheten i varje EU-medlemsstat (som CNIL i Frankrike och AEPD i Spanien) där organisationen kommer att förlita sig på BCR. EU har utvecklat en process för ömsesidigt erkännande enligt vilken BCR:er som godkänts av en medlemsstats dataskyddsmyndighet (känd som "lead"-myndigheten) och två andra "co-lead" myndigheter kan godkännas av de andra relevanta medlemsländerna som kan göra kommenterar och begär ändringsförslag. Andra medlemsländer, som inte ingår i processen för ömsesidigt erkännande, kommer också att involveras av den ledande myndigheten och kommer att tillämpa sin egen oberoende granskningsprocess inom en begränsad tidsram. Den övergripande processen för BCR-acceptans tar vanligtvis mellan 6 och 9 månader. Denna tidsram inkluderar inte den nödvändiga dataskyddsinställningen, som redan bör implementeras inom företaget för att följa det nuvarande direktivet och dess lokala implementering.
BCRs utgör vanligtvis stränga, företagsinterna globala integritetspolicyer, uppsättning praxis, processer och riktlinjer som uppfyller EU-standarder och kan vara tillgängliga som ett alternativt sätt att tillåta överföringar av personuppgifter (t.ex. kunddatabaser, HR-information, etc.) utanför av Europa. BCR anses vara den mest "robusta" och accepterade regimen för dataöverföringar.
Det måste noteras att, även om de ursprungligen utformades för att tillhandahålla laglig grund för internationella överföringar, blev BCRs de facto ett företagsdemonstration av dess förmåga att "i stort sett" uppfylla kraven för behandling av personuppgifter. Ett företag som har BCR tillämpar detta ramverk oberoende av internationella överföringar och bör ses som en del av "Corporate Governance" eller "Data Governance". [ citat behövs ]