Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Binding Corporate Rules (BCR)

Overførsel af personoplysninger til tredjelande kræver et særskilt hjemmelsgrundlag i persondatalovens kapitel 7. Dette krav gælder også i tilfælde, hvor der ikke overføres personoplysninger af følsom karakter, jf. persondatalovens § 7 og § 8.

Herudover følger det af persondatalovens § 27, stk. 6, at overførsel af personoplysninger til tredjelande altid skal ske inden for rammerne af persondataloven. Dette indebærer, at der skal der være hjemmel til at behandle, herunder videregive, oplysningerne i behandlingsreglerne i lovens kapitel 4, samt at lovens yderligere regler skal efterleves. Dette krav gælder også, når de nedenfor beskrevne virksomhedsregler anvendes.

Efter persondatalovens § 27, stk. 4, skal Datatilsynets tilladelse indhentes, når der overføres personoplysninger til tredjelande, som ikke opfylder lovens § 27, stk. 1, og den dataansvarlige søger at yde tilstrækkelige garantier for beskyttelse af de registreredes rettigheder.

Ud over Europakommissionens standardkontrakter er det også muligt at yde tilstrækkelige garantier i henhold til persondatalovens § 27, stk. 4, ved anvendelse af de såkaldt bindende virksomhedsregler (BCR).

BCR er regler, der vedtages for en koncern, der har virksomheder i flere lande. Reglerne skal være bindende for samtlige enheder og virksomheder i koncernen og kan således ikke anvendes som hjemmel for overførsel af oplysninger til virksomheder, som ikke er en del af koncernen.

Når reglerne er godkendt af databeskyttelsesmyndighederne i de EU-lande, hvorfra koncernen ønsker at overføre oplysninger, kan der i princippet frit overføres oplysninger mellem koncernens virksomheder, såfremt disse lever op til kravene i de bindende virksomhedsregler samt reglerne i databeskyttelseslovgivningen i øvrigt. Det bemærkes dog, at bindende virksomhedsregler udelukkende skaber hjemmel til at overføre oplysningerne. Der skal således fortsat være særskilt hjemmel til at videregive oplysningerne, jf. § 27, stk. 6.

Artikel 29-gruppen har vedtaget flere udtalelser (working papers – WP) om BCR, bl.a. om kravene til udformning, indhold m.v. Du kan finde gruppens udtalelser på denne hjemmeside under ”Internationalt” - ”Artikel 29-gruppen” - ”Artikel 29-gruppens dokumenter”.

Kravene til udformningen og indholdet af bindende virksomhedsregler findes i artikel 29-gruppens udtalelser WP 74 og WP 108. Gruppen har tillige udformet en skabelon, som kan anvendes, når en koncern anmoder om tilladelse til overførsel af personoplysninger til tredjelande på baggrund af BCR, samt en skabelon som hjælp til strukturering af et sæt bindende virksomhedsregler i udtalelserne WP 133 og WP 154. Endelig har gruppen udarbejdet en tjekliste over hvilke elementer og principper et sæt bindende virksomhedsregler skal indeholde samt en FAQ vedrørende BCR i WP 153 og WP 155.

BCR vedrører i sin natur overførsel af oplysninger mellem flere forskellige virksomheder og lande. Reglerne skal derfor typisk godkendes af flere EU-lande, før overførsel kan finde sted. I den forbindelse har artikel 29-gruppen vedtaget en procedure, der skal sikre, at de bindende virksomhedsregler kan godkendes af databeskyttelsesmyndighederne i samtlige de EU-lande, hvorfra koncernen ønsker at overføre personoplysninger. En beskrivelse af proceduren findes i WP 107.

Proceduren går ud på, at de bindende virksomhedsregler i første omgang udelukkende fremsendes til databeskyttelsesmyndighederne i det EU-land, hvor koncernens europæiske hovedkvarter ligger. Herefter koordinerer den pågældende myndighed godkendelse fra de øvrige implicerede EU-lande, hvorefter der kan gives tilladelse til overførslerne. Det betyder, at en dansk virksomhed, der ønsker at benytte sig af bindende virksomhedsregler, kun skal fremsende de bindende virksomhedsregler til Datatilsynet, hvis koncernens europæiske hovedkvarter ligger i Danmark.

En virksomhed, som er del af en koncern, hvis hovedkvarter ligger i et andet EU-land, vil ikke skulle fremsende de bindende virksomhedsregler til Datatilsynet. Tilsynet vil automatisk modtage disse fra databeskyttelsesmyndighederne i det land, hvor koncernens hovedkvarter ligger. Når de bindende virksomhedsregler er godkendt, vil virksomheden dog skulle fremsende en anmodning om tilladelse til overførsel af personoplysninger på baggrund af de godkendte bindende virksomhedsregler til Datatilsynet i henhold til persondatalovens § 27, stk. 4. Datatilsynet vil herefter udstede en tilladelse til virksomheden. Læs et eksempel på en sådan tilladelse her.

BCR-instrumentet har hidtil været forbeholdt en koncerns videregivelse af egne personoplysninger inden for koncernen.

Fra den 1. januar 2013 har det imidlertid været muligt for koncerner – der alene virker som databehandlere – at gøre brug af BCR-instrumentet ved overførsel af personoplysninger.

Kravene til udformningen og indholdet af BCR for databehandlere findes i artikel 29-gruppens udtalelser WP 195 og WP 204.