案例 | 欧盟如何认定“约束性公司规则(BCR)”作为数据跨境的有效合规工具？

2022-10-11 02:10

每天两块钱，实时获取全球数据合规风险预警

限期优惠中！

👇

来源：欧盟EDPB

整理：何渊，DPOHUB主理人

什么是有约束力的公司规则（BCR）？

具有约束力的公司规则（BCR）是指在欧盟成立的公司在一个企业集团或企业内部向欧盟以外的地方转移个人数据时所遵守的数据保护政策。这种规则必须包括所有的一般数据保护原则和可执行的权利，以确保数据转移的适当保障。它们必须具有法律约束力，并由集团的每个相关成员执行。

具有约束力的公司规则（BCR）的批准程序？

公司必须将具有约束力的公司规则提交给欧盟及成员国的数据保护主管部门进行审批。该机构将根据GDPR第63条规定的一致性机制批准约束性公司规则。这一程序可能涉及几个监管机构，因为申请批准其BCR的集团可能在一个以上的成员国拥有实体。主要的成员国主管部门将其决定草案传达给欧洲数据保护委员会（EDPB），该委员会将就具有约束力的公司规则发表意见。当约束性公司规则根据欧洲数据保护委员会的意见定稿后，成员国主管部门将批准约束性公司规则。

以下是法国CNIL对WEBHELP集团“具有约束力的公司规则(BCR)”的批准决定书全文：

法国数据保护机构

-CNIL国家信息与自由委员会

2022年2月17日第2022-016号批准决定书

WEBHELP集团有约束力的公司规则(BCR)

（批准编号：20005804）

根据2017年11月28日收到的代表WEBHELP集团的请求，批准其对“控制者”具有约束力的公司规则（“BCR”）；

考虑到2016年4月27日欧洲议会和理事会第2016/679号条例（EU）第47条、第57条和第64条关于在处理个人数据方面保护自然人以及此类数据的自由传输，并废除第95/46/EC号指令（通用数据保护条例或GDPR）；

考虑到经修订的1978年1月6日关于信息技术、数据文件和公民自由的第78-17号法（“法国数据保护法”）；

考虑到2019年5月29日第2019-536号法令（经修订），该法令适用于《法国数据保护法》，尤其是第73条；

根据专员Anne DEBET女士的提议，并在听取了政府专员Benjamin TOUZANNE先生的意见后，

进行以下观察：

1. 根据GDPR第47（1）条，法国数据保护机构（“CNIL”）应批准具有约束力的公司规则（“BCR”），前提是这些规则符合本条规定的要求。
2. 根据工作文件WP263.Rev.011中规定的合作程序，WEBHELP的“控制者”业务连续性审查申请由作为业务连续性报告主管监管机构的CNIL（“BCR负责人”）和作为共同审查人的两个监管机构（“SA”）进行审查。作为欧洲数据保护委员会（“EDPB”）制定的合作程序的一部分，与BCR进行沟通的欧洲经济区（“EEA”）相关SA成员也对申请进行了审查。
3.审查结论认为，WEBHELP的“控制者”的BCR符合GDPR第47（1）条以及工作文件WP256.rev.012的要求：
i) 具有法律约束力，并包含集团各参与成员（包括其员工）通过签订集团内部协议尊重BCR的明确义务（BCR第3.1条和第3.2条）；
ii) 明确授予数据主体可强制执行的第三方受益人权利，以处理其作为BCR一部分的个人数据（BCR第7条）；
iii) 满足GDPR第47（2）条规定的要求：
a)作为审查的一部分提供的申请表WP264和BCR的附录1中描述了企业集团及其每个成员的结构和联系方式；
b) 数据或数据集的传输，包括个人数据的类别、处理类型及其目的、受影响数据主体的类型以及第三国或相关国家的标识，详见BCR第2.1条和附录11-A；
c) BCR第3条和集团规定的《集团内部协议》草案第3条确认了“控制者”BCR的内部和外部法律约束力；
d)通用数据保护原则的应用，特别是目的限制、数据最小化、有限存储期、数据质量、设计和默认数据保护、处理的法律依据、特殊类别个人数据的处理、确保数据安全的措施，BCR第4、5、6和11条详细规定了向不受BCR约束的机构进行传输的要求；
e)数据主体在处理方面的权利以及行使这些权利的手段，包括不受完全基于自动处理的决定的影响的权利，包括根据GDPR第22条进行分析的权利，BCR第7条和第8条规定了根据《通用数据保护条例》第79条向主管监管机构和成员国主管法院提出投诉的权利，以及因违反BCR而获得补救和赔偿的权利；
f) 在成员国领土上设立的控制者或处理者接受其对非欧盟成员违反BCR的责任，以及全部或部分免除该责任，只有当相关方证明该成员不对BCR第7.2条规定的造成损害的事件负责时；
g) 除《通用数据保护条例》第13条和第14条外，如何向数据主体提供有关BCR的信息，特别是关于《通用数据管理条例》第47.2条第（d）点、第（e）点和第（f）点所述规定的信息以及BCR第12.1条和第12.2条；
h) 根据GDPR第37条指定的任何数据保护官员或负责监督企业集团或从事联合经济活动的企业集团内约束性公司规则遵守情况的任何其他个人或实体的任务，以及监督培训和投诉处理，详见BCR第9条和附录3；
i) BCR第8条和附录5规定了投诉程序；
j) BCR第13条和附录7详述了企业集团内确保核查遵守BCR的机制。此类机制包括数据保护审计和确保纠正措施以保护数据主体权利的方法。此类验证的结果将传达给上文第（h）点所述的个人或实体以及企业集团的控制企业董事会（在这种情况下，将传达给WEBHELP总部以及数据隐私组织），并在主管监管机构提出要求时提供；
k) BCR第14条规定了报告和记录规则变更以及向监管机构报告这些变更的机制；
l) BCR第12.4条规定了与监管机构建立的合作机制，以确保企业集团的任何成员遵守。BCR第13条规定了向监管机构提供上述（j）点所述措施的核查结果的义务；
m) BCR第12.3条描述了向主管监管机构报告企业集团成员在第三国遵守的可能对BCR提供的担保产生重大不利影响的任何法律要求的机制；
n) BCR第10条和附录4规定，对永久或定期访问个人数据的人员进行适当的数据保护培训。
4. 根据GDPR第64（1）（f）条，EDPB于2022年2月7日提供了第02/2022号意见。CNIL充分考虑了这一意见。

决定如下：

5. WEBHELP的“控制者”BCR根据GDPR第46（1）条、第46（2）（b）条和第47（1）和（2）条为个人数据的传输提供了适当的保障，特此批准。
6. 然而，在使用BCR之前，如果需要，在数据输入方的帮助下，成员国的数据输出方有责任评估第三国目的地国是否遵守欧洲经济区法律要求的保护水平，包括再传输情况。必须进行这一评估，以便根据第三国立法可能对基本权利造成的影响和传输等相关情况，确定BCR提供的担保在实践中是否能够得到遵守。如果情况并非如此，成员国的数据出口国应在数据进口国的帮助下，根据需要评估其是否能够提供补充措施，以确保基本上等同于欧洲经济区规定的保护水平。
7. 如果成员国的数据输出方无法实施必要的补充措施，以确保欧盟规定的基本同等保护水平，则个人数据不能根据本BCR合法转让给第三国。因此，数据输出者需要暂停或终止个人数据的传输。
8. 批准的BCR不需要相关监管机构的任何具体授权。
9. 根据GDPR第58（2）（j）条，每当WEBHELP“控制者”BCR设想的适当保障措施未得到遵守时，每个相关监管机构都有权命令暂停向第三国接收者或国际组织的数据传输。

决定书附件

特此批准的WEBHELP“控制者”BCR包括以下内容：

a. 范围：这些“控制者”BCR适用于受BCR法律约束的集团实体，并在履行了BCR要求下作出的承诺后，充当数据控制者，以及该实体代表WEBHELP充当数据处理者，从而有资格担任内部数据处理者的情况（BCR第2.1条）

b. 将进行传输的EEA国家：奥地利、比利时、捷克共和国、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、意大利、拉脱维亚、卢森堡、荷兰、挪威、波兰、葡萄牙、罗马尼亚、西班牙、瑞典（BCR附录1）。

c. 将向其传输个人数据的第三方国家：向WEBHELP位于以下国家的实体传输个人数据：阿尔及利亚、澳大利亚、加拿大、中国、印度、科特迪瓦、日本、约旦、科索沃、马达加斯加、马来西亚、墨西哥、摩洛哥、菲律宾、波多黎各、塞内加尔、新加坡、南非、苏里南、土耳其、英国（BCR附录1）。

d. 传输目的：目的详见业务连续性审查附录11-A。它们包括以下内容：

-人力资源处理活动（例如：工资和招聘管理、员工记录管理）；

-公司生活和服务（例如：IT管理、内部信息安全）；

-法律与合规（例如：欺诈预防和检测、举报系统）；

-运营和营销（例如：客户和潜在客户线索管理、WH直接营销活动）；

e. 与传输相关的数据主体类别：这些类别在BCR的附录11-A中规定。包括：

-求职者；

-员工和管理员，

-员工的申报亲属；

-参观该场所的人员；

-客户、潜在客户、业务伙伴和业务联系人；

-律师；

-供应商和供应商员工。

f. 传输的个人数据类别：BCR附录11-A中规定了这些类别。

DPOHUB年度会员，扫码加入!

权益1：一年内畅听DPOHUB数据合规研究院全站几乎所有的录播课、直播课（除了超级会员专享的DPOHUB线上线下沙龙以及CDPO认证专用培训课程），权益期内新增的在线课程同样免费听。

权益2：一年的鹅圈子“数据合规俱乐部”，第一时间获取或下载全球最前沿数据法资讯、案例、报告、论文、指南以及全球数据合规头条、中国数据合规周刊。

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。

来源: qq

点击查看作者最近其他文章