A vállalkozáscsoportok működéséhez kapcsolódóan nagyon gyakran merül fel az igény, hogy a csoportba tartozó vállalkozások személyes adatokat tudjanak továbbítani egymásnak, olyan esetekben is, amikor a vállalkozáscsoport egyes tagjai az EU-n kívül működnek.
Amikor a vállalkozáscsoport egyes tagjai olyan harmadik országokban működnek, amelyek tekintetében nincs elfogadott megfelelőségi határozat, akkor a megfelelő garanciák alapján történő adattovábbítás egyik eszköze lehet a kötelező erejű vállalati szabályok alkalmazása (Binding Corporate Rules, BCR).
A GDPR-ban szereplő meghatározás szerint (4. cikk, 20. pont), kötelező erejű vállalati szabályoknak minősül a személyes adatok védelmére vonatkozó szabályzat, amelyet
- az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó
- egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről
történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ.
Mik tehát a kötelező erejű vállalati szabályok fogalmi elemei?
- Egy szabályzatról van szó, amely a személyes adatok védelméről rendelkezik.
- Van legalább egy az EU területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó.
- A vállalkozáscsoportba tartozik egy vagy több harmadik országban működő adatkezelő vagy adatfeldolgozó.
- A harmadik országban működő vállalkozások irányában adattovábbítás történik.
Kötelező erejű vállalati szabályok elfogadása
A kötelező erejű vállalati szabályok alkalmazására csak azt követően kerülhet sor, hogy azt az illetékes felügyeleti hatóságok - egységességi mechanizmus keretében - jóváhagyták. Ez abban az esetben történhet meg, ha a BCR megfelel az alábbi feltételeknek:
- a vállalkozáscsoport vagy a közös gazdasági tevékenységet folytató vállalkozások csoportja minden érintett tagjára, beleértve az alkalmazottakat is, jogilag kötelező erejű, alkalmazandó és általuk érvényesített;
- kifejezetten rendelkezik az érintetteknek a személyes adataik kezelése tekintetében kikényszeríthető jogairól; és
- tartalmazza mindazokat a tartalmi elemeket, amelyet a GDPR 47. cikk (2) bekezdése felsorol.
A 29-es Cikk szerinti Munkacsoport (WP 29) már a 95/46/EK adatvédelmi irányelv alapján számos iránymutatást adott ki a BCR-ek tartalmára vonatkozó követelményekkel, illetve a jóváhagyási eljárás menetével kapcsolatban, beleértve az egyes tagállami eljárásokra vonatkozó szabályok áttekintését is. A GDPR alapján pedig mind az adatkezelők, mind pedig az adatfeldolgozók vonatkozásában közzétette a kötelező erejű vállalati szabályokkal kapcsolatos elvárásokra vonatkozó frissített táblázatos összefoglalóit.
Számos vállalkozáscsoport rendelkezik már jóváhagyott BCR-al (a listájuk elérhető itt) és az elfogadott BCR-ok száma a jövőben várhatóan tovább fog növekedni. (Magyarországra egyébként kicsit késve érkezett el ez a jogintézmény, csak az Infotv. 2015-ös módosítása emelte be a magyar jogba kötelező szervezeti szabályozás néven. BCR-t Magyarországon alkalmazó adatkezelők listája elérhető a NAIH honlapján.)