meny

Hur ansöker vi om att få våra bindande företagsbestämmelser godkända?

Multinationella koncerner har möjlighet att inkomma med en ansökan om att få sina bindande företagsbestämmelser godkända av ansvarig dataskyddsmyndighet. För att den ansvariga dataskyddsmyndigheten ska godkänna bindande företagsbestämmelser behöver koncernen säkerställa att man inför lämpliga skyddsåtgärder för personuppgifter i enlighet med artikel 47 i EU:s dataskyddsförordning.

I syfte att underlätta ansökningsprocessen har Europeiska dataskyddsstyrelsen (EDPB, tidigare artikel 29-gruppen) antagit ett antal arbetsdokument och rekommendationer, som dels förklarar handläggningsförfarandet, dels innehåller de ansökningsblanketter som ska lämnas in till dataskyddsmyndigheten:

Se flödesschemat nedan

Till vilken dataskyddsmyndighet inom EU skickar vi vår ansökan?

Den multinationella koncernen ska föreslå den dataskyddsmyndighet som de anser är huvudansvarig för ansökningsprocessen. För att utse vilken tillsynsmyndighet som är huvudansvarig bör följande kriterier beaktas: 

  1. Den medlemsstat inom EU där moderbolaget har sin etablering. Om moderbolaget finns i tredjeland, den medlemsstat inom EU där något dotterbolag har sin etablering,
  2. Det bolag inom EU som är ansvarig för koncernens personuppgiftsbehandling,
  3. Det bolag inom EU som är bäst lämpad att hantera ansökningsförfarandet och implementera de bindande företagsbestämmelserna inom koncernen,
  4. Det bolag inom EU som styr målen och medlen med personuppgiftsbehandlingen, och
  5. Den medlemsstat inom EU från vilken majoriteten av personuppgifter kommer att överföras ifrån.

Ovanstående kriterier återfinns i WP 263. Kriterierna är inte uttömmande och utgör inga formkrav. Vid bestämmande av ansvarig dataskyddsmyndighet kan koncernen även beakta andra kriterier som inte omnämns i listan ovan.

Dataskyddsmyndigheten bedömer om den är ansvarig för handläggningen av ansökan samt vilka dataskyddsmyndigheter som ska vara medgranskare

När koncernen fastställer vilken dataskyddsmyndighet de bedömer bör vara ansvarig enligt kriterierna ovan skickar de in del ett av ansökningsblanketten till den myndigheten. Den dataskyddsmyndighet som mottar en begäran om att vara ansvarig gör en bedömning. Om dataskyddsmyndigheten accepterar begäran ska det kommuniceras med alla de dataskyddsmyndigheter varifrån överföringarna kommer att äga rum. Om de berörda dataskyddsmyndigheter inte har några invändningar, fastställs den föreslagna dataskyddsmyndigheten som ansvarig.

Den ansvariga dataskyddsmyndigheten utser en till två andra dataskyddsmyndigheter som ska medgranska ansökan. Medgranskarna är den eller de dataskyddsmyndigheter som är mest berörda av de bindande företagsbestämmelserna.

Hur handlägger och beslutar ansvarig dataskyddsmyndighet vår ansökan?

Ansvarig dataskyddsmyndighet begär in resterande delar av ansökan från koncernen. Det innefattar del två av ansökningsblanketten samt företagsinterna bestämmelserna. De företagsinterna bestämmelserna ska uppfylla kraven i WP 256.  Dataskyddsmyndigheten kan komma att begära in kompletteringar om ansökan inte är fullständig. 

När ansökan anses vara komplett kommuniceras den med utvalda medgranskare samt övriga berörda dataskyddsmyndigheter som har möjlighet att lämna synpunkter. Det är ansvarig dataskyddsmyndighet som bestämmer om de berörda dataskyddsmyndigheterna synpunkter och förslag ska beaktas och skickas tillbaka till koncernen för åtgärd.

När ansökan är helt komplett och ett färdigt utkast finns skickar ansvarig dataskyddsmyndighet utkastet till Europeiska dataskyddsstyrelsen (EDPB) som avger ett yttrande. Om EDPB bifaller utkastet kan ansvarig dataskyddsmyndighet besluta om ett godkännande av bindande företagsbestämmelser.

Handläggningstiden för godkännande av bindande företagsbestämmelser är ungefär 6 - 12 månader.