Binding corporate rules
Fra mai neste år må alle norske virksomheter følge EUs nye personvernforordning. Binding Corporate Rules (BCR) kan bli en gunstig løsning for konsern som operer over landegrensene og andre med et større økonomisk samarbeid.
Når EUs personvernforordning (GDPR) implementeres i Norge mai neste år, må alle virksomheter behandle personopplysninger etter et strengere sett av regler – et viktig stikkord er bedre kontroll. Bedre kontroll kan være utfordrende, og særlig for konsern, eller grupper av selskaper, som operer på tvers av landegrenser. Positivt er det da at ny personvernforordning lovfester muligheten til bindende konsernregler som gjør det lettere å overføre personopplysninger, eksempelvis HR-data, internt i et konsern.
Når kravene til virksomheters behandling av personopplysninger skjerpes, kan et selskap holdes ansvarlig for valg av samarbeidsparter, rutiner for all behandling av data må kartlegges og dokumenteres og sanksjonsnivået skjerpes. Personvernutfordringen mange selskaper står overfor i dag gjelder særlig den økende overføringen av personopplysninger mellom stater, for eksempel ved outsourcing av tjenester, men også mellom samarbeidende selskaper. Med GDPR innføres eksplisitt lovhjemmel for såkalte bindende konsernregler (binding corporate rules, BCR), en praktisk etterlevelsesmekanisme for konsern og andre med økonomisk samarbeid som behandler personopplysninger over landegrenser. For å sikre at personvernet blir ivaretatt, kan konsern eller selskaper med et felles økonomisk samarbeid inngå en BCR, en intern avtale som oppfyller spesifikke krav til etterlevelse av personvernregelverket.
Hvorfor BCR?
Overføring av personopplysninger ut av EØS-området er kun tillatt dersom det kan gis tilstrekkelige garantier for forsvarlig behandling av opplysningene. Det må som regel foreligge avtaleverk, for eksempel i form av EUs standardkontrakter og databehandleravtaler, for hver overføring og med alle som skal behandle opplysninger på vegne av en behandlingsansvarlig. Avtaleforvaltningen kan bli svært omfattende, og alle overføringsavtaler må meldes til Datatilsynet.
Etter hva som har vært godtatt praksis fra europeiske tilsynsmyndigheter og nå ved ny personvernforordning, kan en slik garanti også være bruk av bindende konsernregler. BCR er et smidig avtaleverk, som forenkler flyten av personopplysninger mellom selskaper i samme konsern, eller som har et økonomisk samarbeid. En BCR-avtale må forhåndsgodkjennes av Datatilsynet eller tilsvarende tilsynsmyndighet i EU. Når virksomheter først har inngått en BCR, vil denne fungere som et rammeverk for all overføring av personopplysninger mellom stater og selskaper underlagt denne. Virksomheten slipper dermed å inngå nye avtaler hver gang personopplysninger skal overføres, og Datatilsynet behøver ikke å varsles. Det er samtidig verdt å nevne at den ikke gjelder for overføringer til selskaper utenfor konsernet eller BCR-strukturen, og i slike tilfeller må det fortsatt inngås alminnelige databehandleravtaler og/eller overføringsavtaler.
BCR som instrument pålegger avtalerettslige forpliktelser for etterlevelse av personvernregelverket mellom de samarbeidende selskapene, harmoniserer praksisen og gjør det enklere å kommunisere utad hvordan personopplysninger behandles innen konsernet. En BCR kan sees på som en etterlevelsesmekanisme for konsern, og er et konsept som har vist seg å passe godt med det faktiske behovet til slike virksomheter.
Ved å være underlagt en BCR har hvert enkelt selskap gitt en rettslig garanti for behandlingen av personopplysninger, det er derfor ikke behov for en overføringsavtale eller en omfattende databehandleravtale for hvert enkelt tilfelle.
%20(1).png)
