Mit jelent a kötelező szervezeti szabályozás (BCR)? - NEMZETI ADATVÉDELMI ÉS INFORMÁCIÓSZABADSÁG HATÓSÁG

Tartalomhoz ugrás

Főmenü:

Mit jelent a kötelező szervezeti szabályozás (BCR)?

Kötelező szervezeti szabályozás (BCR)


Mi a kötelező szervezeti szabályozás (Binding Corporate Rules - a továbbiakban: BCR)?

Az Infotv. 3. § 25. pontja alapján kötelező szervezeti szabályozás: több országban, de köztük legalább egy EGT-államban is tevékenységet folytató adatkezelő vagy adatkezelők csoportja által elfogadott és a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) által jóváhagyott, az adatkezelőre vagy adatkezelők csoportjára nézve kötelező belső adatvédelmi szabályzat, amely a harmadik országba történő adattovábbítás esetén a személyes adatok védelmét az adatkezelő vagy adatkezelők csoportjának egyoldalú kötelezettségvállalása útján biztosítja.

A BCR lehetővé teszi, hogy egy multinacionális vállalat EGT-térségben található tagja személyes adatokat továbbítson az EGT-térségen kívüli országokban található tagjai részére, oly módon, hogy az megfeleljen a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK irányelv 25. cikkének. A BCR jóváhagyása iránti kérelmet benyújtó vállalatcsoportnak bizonyítania kell, hogy az általa megalkotott BCR biztosítja a személyes adatok megfelelő védelmét az egész vállalatcsoporton belül, illetve azt, hogy a BCR kötelező erejű és kikényszeríthető a vállalatcsoport minden tagjára nézve, a székhelyüktől függetlenül, illetve a munkavállalókra nézve is.

Mi a teendő, ha a vállalatcsoport BCR jóváhagyását szeretné kérelmezni a Hatóságnál?

Ha egy vállalatcsoport BCR-t szeretne alkalmazni, akkor mindenekelőtt meg kell jelölnie egy vezető hatóságot, amely koordinálja a tervezett BCR szövegének elfogadását. Ez alapján a Hatóságnak kétféle eljárása van attól függően, hogy vezető hatóságként jár-e el vagy sem.

Az Infotv. vonatkozó rendelkezéseinek hatályba lépését
2015. október 1-jét megelőzően más európai hatóság vagy hatóságok által jóváhagyott BCR esetében szintén kérelmezni kell a BCR jóváhagyását a Hatóságnál, amennyiben a vállalatcsoport a külföldi adattovábbítás jogalapjaként kíván hivatkozni rá.

Az BCR jóváhagyásával kapcsolatos eljárásáról az Infotv. 34/A. alcíme rendelkezik, amelyet kiegészít a kötelező szervezeti szabályozás jóváhagyásáért fizetendő igazgatási szolgáltatási díjról szóló 20/2015. (VIII. 31.) IM rendelet (a továbbiakban: 20/2015. (VIII. 31.) IM rendelet). A 20/2015. (VIII. 31.) IM rendelet alapján a BCR jóváhagyására irányuló eljárás igazgatási szolgáltatási díja (a továbbiakban: díj) 266 000 forint, amelyet a Hatóság kincstárnál vezetett 10032000-00319425-00000000 számú számlájára kell megfizetni a kérelem benyújtását megelőzően.

Az eljárásokkal kapcsolatban bővebb információk itt találhatók.


Mely dokumentumok segítenek a BCR összeállításában?

A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK irányelv 29. cikke alapján létrehozott Adatvédelmi Munkacsoport (a továbbiakban: WP29) számos dokumentumot elfogadott a BCR-ra vonatkozóan, amely segít a BCR összeállításában:

A WP74 a 95/46/EK irányelv 26. cikk (2) bekezdésének alkalmazásáról a BCR vonatkozásában személyes adatok külföldre történő továbbítása esetén.
A WP107a tagállamok közötti együttműködési eljárást állapít meg a BCR-ok elfogadásával kapcsolatban.
A WP108 egy ellenőrzőlistát tartalmaz, amelynek alkalmazásával a kérelmező meggyőződhet róla, hogy a megalkotott BCR tartalmazza a szükséges elemeket.
A WP133 tartalmazza a BCR jóváhagyása iránti formanyomtatványt.
A WP153 táblázatos formában foglalja össze, hogy mely elemeket és elveket kell tartalmaznia a BCR-nak.
A WP154meghatározza, hogy mit kell tartalmaznia egy BCR-nak, illetve támpontot ad arra vonatkozóan, hogy milyen legyen a dokumentum szerkezete.
A WP155 választ ad a BCR-ral kapcsolatos gyakran ismételt kérdésekre. 
Vissza a tartalomhoz | Vissza a főmenühöz