Mit jelent a kötelező erejű vállalati szabályozás (BCR)?


Mi a kötelező erejű vállalati szabályozás (Binding Corporate Rules - a továbbiakban: BCR)?

A GDPR 4. cikk 20. pontja alapján „kötelező erejű vállalati szabályok”: a személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ.

A BCR arra szolgál, hogy megfelelő garanciákat biztosítson, amikor egy vállalkozáscsoportba tartozó, Unióban letelepedett adatkezelő, ugyanezen vállalkozáscsoportba tartozó, harmadik országban letelepedett adatkezelő vagy adatfeldolgozó részére továbbít személyes adatokat. A BCR tehát a vállalatcsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportja által létrehozott belső szabályzat, amely a csoportba tartozó adatkezelőkre, adatfeldolgozókra kötelező erővel bír, függetlenül attól, hogy az adott adatkezelő vagy adatfeldolgozó az Unió területén vagy harmadik országban található. A BCR ezáltal biztosítja, hogy a vállalkozáscsoporton belül tervezett és végrehajtott adattovábbítás esetén minden esetben azonos legyen a személyes adatokat megillető védelem szintje. A BCR jóváhagyása iránti kérelmet benyújtó vállalatcsoportnak bizonyítania kell, hogy az általa megalkotott BCR biztosítja a személyes adatok megfelelő védelmét az egész csoporton belül, illetve azt, hogy a BCR kötelező erejű és kikényszeríthető a csoport minden tagjára nézve, a székhelyüktől függetlenül, illetve a munkavállalókra nézve is.

 

Mi a teendő, ha a vállalatcsoport BCR jóváhagyását szeretné kérelmezni a Hatóságnál?

Ha egy vállalatcsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportja BCR-t szeretne alkalmazni, akkor mindenekelőtt meg kell jelölnie a WP 263 rev. 01 munkadokumentum kritériumainak alkalmazásával egy vezető hatóságot, amely koordinálja a tervezett BCR szöveg megfelelőségének uniós szinten történő elfogadását, vagyis az egységességi mechanizmus alkalmazásával történő jóváhagyást.

Amennyiben a csoport másik tagállam felügyeleti hatóságát tekinti „illetékesnek”, (mivel például ott található csoport európai központja), akkor a csoport magyarországi tagjának nem szükséges a Hatóságnál kérelmezni a BCR jóváhagyását. Ilyen esetben ugyanis, a Testület álláspontja szerint, a vezető hatóságként kijelölt tagállami felügyeleti hatóság tekinthető a GDPR szerinti „illetékes” hatóságnak, amely lefolytatja a BCR jóváhagyására irányuló eljárást. Az ilyen eljárások során, amennyiben a magyar hatóság érintett, a WP 263 rev. 01 munkadokumentum szerinti együttműködési eljárás során véleményezheti a BCR-t. Emellett az Európai Adatvédelmi Testület is véleményt bocsát ki a vezető hatóság által hozzá benyújtott tervezetről, amely által uniós szinten megvizsgálásra kerül a BCR megfelelősége.

Amennyiben egy csoport úgy ítéli meg a WP 263 rev. 01 munkadokumentumban lefektetett kritériumok alapján, hogy a NAIH a vezető hatóság a BCR vonatkozásában, akkor a Hatóság az Infotv. 64/A-64/D §-ai szerinti adatkezelési engedélyezési eljárás szabályainak megfelelően kérelmezni kell a BCR jóváhagyását. Az Infotv. szabályait egészíti ki az igazságügyi miniszter 25/2018 (IX. 3.) IM rendelete, amely úgy rendelkezik, hogy a BCR jóváhagyására irányuló engedélyezési eljárás igazgatási szolgáltatási díja 288 000 forint.

A díjat a NAIH kincstárnál vezetett 10032000-00319425-00000000 számú számlájára kell megfizetni.

 

Melyek a BCR tartalmi követelményei?

A BCR összeállítása során teljes mértékben figyelembe kell venni a GDPR 47. cikkében előírt követelményeket. A BCR tartalmának három fő követelménye az alábbi:
A BCR a vállalkozáscsoport vagy a közös gazdasági tevékenységet folytató vállalkozások csoportja minden érintett tagjára, beleértve az alkalmazottakat is, jogilag kötelező erejű, alkalmazandó és általuk érvényesített;
A BCR kifejezetten rendelkezik az érintetteknek a személyes adataik kezelése tekintetében kikényszeríthető jogairól; és
A BCR tartalmazza legalább a 47. cikk (2) bekezdésében felsorolt tartalmi elemeket.

A GDPR-on felül a BCR tartalmára vonatkozóan irányadónak tekintendők az Európai Adatvédelmi Testület által elfogadott alábbi munkadokumentumok:

- WP 256 rev. 01: (
.pdf EN / .pdf HU ) Munkadokumentum a kötelező erejű vállalati szabályokba belefoglalandó elemeket és elveket tartalmazó táblázat meghatározásáról
- WP 257 rev. 01: (
.pdf EN / .pdf HU ) Az adatfeldolgozókra vonatkozó kötelező erejű vállalati szabályok elemeit és elveit tartalmazó táblázatot létrehozó munkadokumentum