meny

Så gör ni för att få era bindande företagsbestämmelser godkända

Multinationella koncerner har möjlighet att ansöka om att få sina bindande företagsbestämmelser godkända av en ansvarig dataskyddsmyndighet.

För att få era bindande företagsbestämmelser godkända behöver ni säkerställa att ni inför lämpliga skyddsåtgärder för att föra över personuppgifter till tredjeland.

Till er hjälp finns följande dokument från Europeiska dataskyddsstyrelsen, EDPB.

Kriterier vid bedömning av ansvarig dataskyddsmyndighet:

Kriterier som ska beaktas när ansvarig dataskyddsmyndighet föreslås av sökanden samt en förklaring av handläggningsförfarandet vid godkännande av bindande företagsbestämmelser (WP263)

Ansökningsblanketter och tabeller som ska lämnas in till ansvarig dataskyddsmyndighet:

Ansökningsblankett för personuppgiftsansvarigaAnsökningsblankett för personuppgiftsbiträdenTabell över de element och principer som ska finnas med i bindande företagsbestämmelser för personuppgiftsansvariga (WP256)Tabell över de element och principer som ska finnas med i bindande företagsbestämmelser för personuppgiftsbiträden (WP257)

Steg 1 – Föreslå ansvarig dataskyddsmyndighet

Innan ni skickar in ansökan behöver ni göra en bedömning av vilken dataskyddsmyndighet som är huvudansvarig i ert ärende.

I er bedömning bör ni ta hänsyn till följande kriterier:

  • Den medlemsstat inom EU där moderbolaget är etablerat.
  • Den medlemsstat inom EU där det bolag inom koncernen som har fått ansvar för personuppgiftsbehandlingen är etablerat.
  • Den medlemsstat inom EU där det bolag inom koncernen är etablerat som är bäst lämpat att hantera ansökningsförfarandet (avseende ledningsfunktion, administrativ börda etc.) och implementera de bindande företagsbestämmelserna inom koncernen.
  • Platsen där största delen av beslutsfattandet avseende ändamål och medel för personuppgiftsbehandlingen (det vill säga överföringarna) sker.
  • Den medlemsstat inom EU från vilken majoriteten av personuppgifter kommer överföras eller all överföring till tredjeland kommer att ske ifrån.

Ovanstående kriterier finns i WP263. Kriterierna är inte uttömmande och utgör inte något formkrav, men särskild vikt läggs vid första punkten ovan.

Steg 2 – Skicka ansökan och tabell till dataskyddsmyndigheten

Ifylld ansökningsblankett skickas till den dataskyddsmyndighet ni bedömt är ansvarig för handläggningen. För att underlätta handläggningsförfarandet ska ni, tillsammans med ansökningsblanketten, även lämna in en ifylld tabell enligt arbetsdokument WP256 för personuppgiftsansvariga, och WP257 för personuppgiftsbiträden.

Steg 3 – Dataskyddsmyndigheten accepterar huvudansvar

Den dataskyddsmyndighet som tar emot er ansökan gör en bedömning av om den är bäst lämpad att agera som ansvarig dataskyddsmyndighet och stämmer av med övriga berörda dataskyddsmyndigheter. Det kan innebära att er ansökan lämnas över till en annan dataskyddsmyndighet om den bedöms vara bättre lämpad att hantera ansökan.

Steg 4 – BCR begärs in

Den dataskyddsmyndighet som är ansvarig begär in koncernens förslag till bindande företagsbestämmelser. Om det förslag till bindande företagsbestämmelserna som ni lämnat in är ofullständigt eller om det finns andra oklarheter kan ansvarig dataskyddsmyndighet begära in kompletteringar.

Steg 5 – Ansökan och BCR granskas tillsammans med medgranskade dataskyddsmyndigheter

Den ansvariga dataskyddsmyndigheten granskar alltid ansökan och förslaget till bindande företagsbestämmelser tillsammans med en eller två andra dataskyddsmyndigheter. Vanligtvis de dataskyddsmyndigheter som berörs mest av de personuppgiftsöverföringar som ansökan omfattar.

Steg 6 – EDPB yttrar sig

Efter att ansvarig dataskyddsmyndighet och medgranskade myndigheter lämnat synpunkter, överlämnas all dokumentation till EDPB som lämnar ett yttrande i ärendet.

Steg 7 – Beslut fattas

Efter att eventuella ändringar gjorts utifrån EDPB:s yttrande kan ansvarig dataskyddsmyndighet fatta beslut i ärendet. Handläggningstiden för godkännande av bindande företagsbestämmelser varierar och påverkas bland annat av hur omfattande ansökan är och vilka kompletteringar som blir aktuella.

 

 Ansökan steg för steg BCR