GDPR

Adatvédelem mindenkinek / Data protection for everyone

Mik azok a kötelező erejű vállalati szabályok?

2018. február 12. 11:30 - poklaszlo

A vállalkozáscsoportok működéséhez kapcsolódóan nagyon gyakran merül fel az igény, hogy a csoportba tartozó vállalkozások személyes adatokat tudjanak továbbítani egymásnak, olyan esetekben is, amikor a vállalkozáscsoport egyes tagjai az EU-n kívül működnek. 

Amikor a vállalkozáscsoport egyes tagjai olyan harmadik országokban működnek, amelyek tekintetében nincs elfogadott megfelelőségi határozat, akkor a megfelelő garanciák alapján történő adattovábbítás egyik eszköze lehet a kötelező erejű vállalati szabályok alkalmazása (Binding Corporate Rules, BCR).  

A GDPR-ban szereplő meghatározás szerint (4. cikk, 20. pont), kötelező erejű vállalati szabályoknak minősül a személyes adatok védelmére vonatkozó szabályzat, amelyet

  • az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó
  • egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről

történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ.

Mik tehát a kötelező erejű vállalati szabályok fogalmi elemei?

  • Egy szabályzatról van szó, amely a személyes adatok védelméről rendelkezik.
  • Van legalább egy az EU területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó. 
  • A vállalkozáscsoportba tartozik egy vagy több harmadik országban működő adatkezelő vagy adatfeldolgozó.
  • A harmadik országban működő vállalkozások irányában adattovábbítás történik. 

Kötelező erejű vállalati szabályok elfogadása

A kötelező erejű vállalati szabályok alkalmazására csak azt követően kerülhet sor, hogy azt az illetékes felügyeleti hatóságok - egységességi mechanizmus keretében - jóváhagyták. Ez abban az esetben történhet meg, ha a BCR megfelel az alábbi feltételeknek: 

  • a vállalkozáscsoport vagy a közös gazdasági tevékenységet folytató vállalkozások csoportja minden érintett tagjára, beleértve az alkalmazottakat is, jogilag kötelező erejű, alkalmazandó és általuk érvényesített;
  • kifejezetten rendelkezik az érintetteknek a személyes adataik kezelése tekintetében kikényszeríthető jogairól; és
  • tartalmazza mindazokat a tartalmi elemeket, amelyet a GDPR 47. cikk (2) bekezdése felsorol.  

A 29-es Cikk szerinti Munkacsoport (WP 29) már a 95/46/EK adatvédelmi irányelv alapján számos iránymutatást adott ki a BCR-ek tartalmára vonatkozó követelményekkel, illetve a jóváhagyási eljárás menetével kapcsolatban, beleértve az egyes tagállami eljárásokra vonatkozó szabályok áttekintését is. A GDPR alapján pedig mind az adatkezelők, mind pedig az adatfeldolgozók vonatkozásában közzétette a kötelező  erejű vállalati szabályokkal kapcsolatos elvárásokra vonatkozó frissített táblázatos összefoglalóit.

Számos vállalkozáscsoport rendelkezik már jóváhagyott BCR-al (a listájuk elérhető itt) és az elfogadott BCR-ok száma a jövőben várhatóan tovább fog növekedni. (Magyarországra egyébként kicsit késve érkezett el ez a jogintézmény, csak az Infotv. 2015-ös módosítása emelte be a magyar jogba kötelező szervezeti szabályozás néven. BCR-t Magyarországon alkalmazó adatkezelők listája elérhető a NAIH honlapján.)