IMY godkänner bindande företagsbestämmelser enligt GDPR
Bindande företagsbestämmelser (Binding Corporate Rules, BCR) är regler som multinationella koncerner kan ta fram för att reglera sin behandling av personuppgifter och säkerställa lämpliga skyddsåtgärder vid överföring av personuppgifter till företag inom den egna koncernen i länder utanför EU/EES. Bindande företagsbestämmelser måste godkännas av ansvarig europeisk dataskyddsmyndighet.
För första gången har nu Integritetsskyddsmyndigheten som ansvarig dataskyddsmyndighet godkänt bindande företagsbestämmelser enligt EU:s dataskyddsförordning, GDPR. Själva godkännandet har föregåtts av en omfattande granskningsprocess. Bland annat har Tetra Pak-koncernens ansökan och förslag till bindande företagsbestämmelser granskats av Integritetsskyddsmyndigheten tillsammans med medgranskande dataskyddsmyndigheter. Dessutom har Europeiska Dataskyddsstyrelsen, EDPB, där samtliga dataskyddsmyndigheter inom EU/EES ingår, yttrat sig.
Genom dataskyddsförordningen har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar. Motsvarande regler som säkerställer skyddet för den personliga integriteten vid behandling av personuppgifter finns inte i alla länder utanför EU/EES (s.k. tredje land). Dataskyddsförordningen innehåller därför regler om under vilka förutsättningar det är tillåtet att föra över personuppgifter till tredje land. Bindande företagsbestämmelser är ett instrument som kan användas.
– Att få sina bindande företagsbestämmelser godkända underlättar för multinationella företag att säkerställa att man följer dataskyddsförordningen vid överföring av personuppgifter till koncernbolag utanför EU/EES, säger Albin Brunskog, jurist på Integritetsskyddsmyndigheten.
Länk till beslutet (pdf, 115 kB)
Förtydligande med anledning av Privacy Shield-domen (Schrems II)
EU-domstolens dom i det så kallade Schrems II-målet kan påverka överföringar av personuppgifter som sker med stöd av exempelvis bindande företagsbestämmelser (BCR) eftersom amerikansk lag kan komma att påverka skyddet som tillhandahålls genom sådana överföringsverktyg.
För mer information kontakta
Jurist Albin Brunskog, 08-657 61 15
Jurist Petra Lennhede, 08-657 61 88
Integritetsskyddsmyndighetens presstjänst, 08-515 15 415