第29条工作人员(WP29)已公布关于约束公司规则(BCR)的最新准则,以反映一般数据保护条例(GDPR)所载规定的要求。替换以前的WP29工作文件(WP 153和WP 195)的两份文件,并在2018年1月17日之前持续公开咨询,是:

(i)工作文档与绑定公司规则中的元素和原则建立一个表格(WP 256)

(ii)与在处理器绑定公司规则(WP 257)中的元素和原则中设置表格的工作文件

这两份文档包括表格,旨在包含在控制器BCR和处理器BCR中的元素和原则。这些表格专门修订:

符合第47条GDPR的要求

  • 澄清第47条GDP中所述的BCR的必要内容
  • 在BCR中包含什么必须包含在BCRS申请中的主管监督机构内容之间的区别
  • 给出第47条GDPR(对于控制器BCR)中的相应文本引用的原则
  • 为每个要求提供进一步的指导

这两份文件都注意,第47条GDPR在与先前由WP29通过的BCR有关的工作文件中明确建模。但是,为了确保其与GDPR兼容,第47条确实指定用于采用新的BCR或更新现有的新要求。

新的元素

文件引起了关注以下元素:

特定于控制器BCR:

  • 透明度:所有受益于第三方受益人权利的数据受益权,应提供第13条和14条GDP规定的信息以及关于其在处理方面的权利和行使这些权利的方法,与责任和条款有关的手段。与数据保护原则有关。
  • 数据保护原则:除了透明度,公平,目的,数据质量和安全的原则外,BCR还应解释第47条(2(d)GDPR - 例如合法性原则,数据最小化等)中提到的其他原则。
  • 问责制:作为控制器的每个实体都应负责,并且能够展示BCR(ART 5(2)GDPR)的遵守情况。

特定于处理器BCR:

  • 第三方受益权:数据科目应能够直接对第三方受益者执行BCR,根据GDPR(第28,29,79 GDPR)专门针对处理器的要求。
  • 数据保护原则:随着透明度,公平性等原则所产生的义务,BCR还应解释其他要求(例如与数据主体权利和子处理)的方式如何观察到。
  • 问责制:处理人员将有义务向控制员提供履行遵守其义务所需的所有信息,包括通过控制员或审计师或审计员的审计和检查(第28(3)(H)GDPR)。
  • 服务协议:控制器和处理器之间的服务协议必须包含第28条GDPR提供的所有所需元素。

两种类型的BCR共同:

  • 提出投诉的权利:应选择在其惯常居住地,涉嫌侵权的成员国的监督机构之前将其索赔提供索赔(根据第77条GDPR),或在主管法院之前欧盟成员国(在数据出口商在法院建立或数据主体拥有他或她的惯常居所的地方)的法院主题的选择(第79条))。
  • 应用范围:BCRS应规定从事联合经济活动和每个成员的企业集团的结构和联系方式(第47(2)(a)条)。 BCR还必须指定其材料范围,例如数据传输或数据传输集,包括个人数据类别,处理类型及其目的等(第47(2)(B)GDPR)。

已通过的控制器和处理器BCRS的修订

虽然第46(5)条GDPR指出,现有的BCR授权将持续有效,直到监督机构的修正,取代或废除,建议有批准的BCR的公司采取措施将其BCR与GDPR一起融入。截至2018年5月25日,公司应通知所有集团成员和监管机构的任何相关变更,通过牵头监督管理局作为其年度更新的一部分。

注释

对于寻求申请BCR的组织,最新的WP29工作文件将是一个有用的工具,以确保其BCR符合GDPR要求。应用程序仍应遵循以前的格式(请参阅WP29的型号申请表),但更新的要求表将是应用程序过程中的主要参考点。还有清楚的是,已经到位的具有批准的BCR的组织应该采取措施与GDPR一起更新他们的BCR。最新的准则应该帮助他们确定需要实施什么变化。