6月,第29条工作组(“工作组”) 写信给欧洲委员会主席,阐明了要在即将出台的《数据保护法规》中引用对数据处理器具有约束力的公司规则(“ BCR-P”)的理由。

具有约束力的公司规则是欧洲的数据控制者或数据处理者可以合法进行国际数据传输的一种方式。它们是使用欧盟标准条款或获得安全港认证的替代方法。但是,迄今为止,由于BCR的实现成本高昂且耗时,因此其使用程度远低于这两种方法。

在2012年1月发布的一项法规提案中,欧盟委员会明确提及了BCR-P。但是,在欧洲议会于2014年3月投票通过的法规草案中删除了此引用。

工作组在信中指出,自2013年1月起,它已正式允许数据处理器申请BCR。“在这方面,“否认BCR-P的可能性将限制组织选择使用示范条款或适用安全港的选择。如果可能的话,该机制不包含BCR-P中规定的确保合规性的问责机制。”

这封信清楚表明,工作组强烈支持BCR-P,BCR-P“为国际个人数据向处理者的转移提供了高水平的保护”,并且是“在欧洲推广欧洲个人数据原则的最佳解决方案” 。”应当指出,已有三家跨国公司获得了BCR-P的批准,目前大约有10项申请正在等待中。由于未在法规中规定BCR-P,这些公司将处于不利地位。

欧盟法规目前正在欧洲议会与欧洲理事会之间进行谈判,预计该法规将于2017年生效。它将对该现行制度进行重大修改,包括对数据处理者施加重大的新职责。