Wiążące reguły korporacyjne
Wiążące Reguły Korporacyjne ( BCR ) zostały opracowane przez Grupę Roboczą Artykułu 29 Unii Europejskiej (obecnie Europejska Rada Ochrony Danych ), aby umożliwić międzynarodowym korporacjom , organizacjom międzynarodowym i grupom firm transgraniczne przekazywanie danych osobowych wewnątrz organizacji zgodnie z Prawo UE o ochronie danych . BCR to ramy dla posiadania różnych elementów (wewnętrzne umowy prawne, polityki, szkolenia, audyty itp.), które pozwalają na zgodność z unijnymi przepisami dotyczącymi ochrony danych i ochrony prywatności. Safe Harbor UE Departamentu Handlu Stanów Zjednoczonych (który był przeznaczony wyłącznie dla organizacji amerykańskich, ale został uznany za nieważny).
BCR muszą zostać zatwierdzone przez organ ochrony danych w każdym państwie członkowskim UE (takim jak CNIL we Francji i AEPD w Hiszpanii), w którym organizacja będzie polegać na BCR. UE opracowała proces wzajemnego uznawania, w ramach którego BCR zatwierdzone przez organ ochrony danych jednego państwa członkowskiego (tzw. uwagi i poprosić o poprawki. Inne państwa członkowskie, które nie są objęte procesem wzajemnego uznawania, również będą zaangażowane przez organ wiodący i zastosują własny niezależny proces przeglądu w ograniczonych ramach czasowych. Cały proces akceptacji BCR trwa zwykle od 6 do 9 miesięcy. Ten przedział czasowy nie obejmuje wymaganej konfiguracji ochrony danych, która powinna być już wdrożona w firmie, aby zachować zgodność z obecną dyrektywą i jej lokalną implementacją.
BCR zazwyczaj tworzą rygorystyczne globalne polityki prywatności wewnątrz przedsiębiorstwa, zestaw praktyk, procesów i wytycznych, które spełniają standardy UE i mogą być dostępne jako alternatywny sposób autoryzacji przekazywania danych osobowych (np. baz danych klientów, informacji HR itp.) poza Europy. BCR są uważane za najbardziej „solidny” i akceptowany system przesyłania danych.
Należy zauważyć, że BCR, choć pierwotnie miały na celu zapewnienie podstawy prawnej dla międzynarodowych transferów, stały się de facto demonstracją przez korporację jej zdolności do „całkowitego” przestrzegania wymogów dotyczących przetwarzania danych osobowych. Korporacja posiadająca BCR stosuje te ramy niezależnie od transferów międzynarodowych i powinna być postrzegana jako część „Ładu Korporacyjnego” lub „Zarządzania Danymi”. [ potrzebne źródło ]