Vad är Binding Corporate Rules?

Fråga

Vad är Binding Corporate Rules?

Svar

Begreppet beskriver regler som en företagskoncern med bolag i flera olika länder kan ha tagit fram för att reglera sin personuppgiftsbehandling. En överföring av uppgifter mellan bolag i koncernen kan innebära att uppgifter förs över från EU/EES till tredje länder. Både EG:s dataskyddsdirektiv och den svenska personuppgiftslagen ger utrymme för att tillåta överföring om det finns tillräckliga garantier för att enskildas rättigheter skyddas. Binding Corporate Rules kan utgöra sådana garantier.

Artikel 29-gruppen (med representanter för EU-ländernas dataskyddsmyndigheter) har publicerat flera dokument med vägledning om vad sådana bindande företagsinterna regler ska innehålla. EU-ländernas dataskyddsmyndigheter har också en rutin för att gemensamt diskutera och bedöma förslag till sådana regler eftersom det ofta rör överföring av personuppgifter från flera EU/EES-länder. 29-gruppen har också tagit fram ett standardiserat ansökningsformulär för godkännande av Binding Corporate Rules.

Läs mer om 29-gruppen
Läs mer om BCR och ansökningsförfarandet

Samarbetet mellan dataskyddsmyndigheterna kan underlätta och bidra till att samordna bedömningen av sådana regler. En utländsk dataskyddsmyndighet kan däremot inte fatta ett beslut som tillåter ett svenskt bolag inom koncernen att föra över personuppgifter från Sverige. Det svenska bolaget måste ge in en särskild ansökan till Datainspektionen. Det är alltså inte tillräckligt att moderbolaget i en koncern, med säte i till exempel London, har fått godkännande av den brittiska dataskyddsmyndigheten. Det svenska bolaget i koncernen måste fortfarande invänta ett godkännande av Datainspektionen. Ett sådant godkännande avser bara frågan om uppgifterna ska få föras över till ett tredje land eller inte. Den personuppgiftsbehandling som sker i Sverige måste fortfarande följa reglerna i personuppgiftslagen.

Tillbaka till Frågor och svar