第29条工作组(以下简称“工作组”)发布了 工作文件 旨在作为针对针对公司和数据保护机构的处理器使用绑定公司规则(“ BCR”)的“工具箱”。本文档描述了必须满足的条件,并包括要求的完整清单。目的是,该工具箱将基于工作组先前的意见中所载的BCR指导原则 WP153WP155.

BCR是内部规则,旨在通过创建具有约束力的原则来帮助大型跨国公司在其不同地区之间传输数据,但主要针对的是作为数据控制者的公司。 BCR可以用作“安全港原则”(在美国有转移的地方)或欧盟委员会通过的“标准范本条款”的替代方法。处理器BCR为公司作为数据处理器处理的个人数据的国际传输提供了框架,该数据处理必须遵循外部数据控制器的处理指令,例如在第三方外包或使用云计算的情况下。

该工具箱列出了最低要求的列表,包括:

  • BCR的数据处理和地理范围的一般描述,以及遵循BCR的实体的列表;
  • 本集团所有成员及其雇员有明确的义务尊重BCR;
  • 解释规则如何约束每个集团实体和单个员工;
  • 每个实体都有与数据保护机构(DPA)合作以及主要数据处理器与控制器合作的明确职责;和
  • 如果数据控制人实际上消失,法律上不复存在或破产,则授予数据主体第三方受益权。

BCR也将对控制器具有约束力,因为它们将构成控制器与处理器之间协议的一部分,此外,处理器可能有义务在其网站上发布BCR。

处理器BCR的一项关键规定是它将对处理器主要欧盟组成员施加的责任,因为该公司将对欧盟以外成员或第三方子处理器所犯的违约行为承担责任,并包括对该公司的确认有足够的资产承担责任。

处理器BCR的其他要求包括确认培训计划,审核计划和投诉处理流程,包括用于处理投诉的隐私官网络。处理器BCR需要指定BCR与相关的适用数据保护法之间的关系,并证明每个成员公司如果不遵守指定的数据保护法规或其义务,都将通知数据控制者。收到此类通知后,数据控制者将有权中止数据传输或终止合同。

尽管将允许对处理器BCR进行修改,但任何更改都必须报告给组成员,相关的DPA和控制者,并且如果修改影响处理,则控制者将可以反对或终止协议。只有对BCR或处理器成员列表的更新才可以免于任何重新申请。

该工具箱为成员和非成员公司的子处理提供了一些指导,包括根据处理者BCR的控制者/处理者协议进行的分包,但必须事先获得控制者的书面同意。

数据控制者也将有义务使用已同意处理器BCR的处理器,例如通知数据主体处理器BCR的存在,欧盟以外处理器的存在以及是否有任何敏感的个人数据将被转移到没有提供足够保护的第三国。