Статья 47 Обязательные корпоративные правила (BCR)

О чём эта статья

Статья 47 — обязательные корпоративные правила (BCR, Binding Corporate Rules). Внутрикорпоративный механизм для трансграничной передачи внутри международной группы.

47(1) — Утверждение DPA

Компетентный надзорный орган утверждает BCR в соответствии с механизмом согласованности (Art. 63), при условии что они:

(a) юридически обязательны и применяются ко всем заинтересованным членам корпоративной группы или группы предприятий, занимающихся совместной экономической деятельностью, включая их сотрудников;

(b) явно предоставляют принудительно осуществимые права субъектам данных в отношении обработки их данных;

(c) соответствуют требованиям 47(2).

47(2) — Что должно быть в BCR

BCR должны содержать как минимум:

(a) структуру и контакты членов группы; (b) передачи или серии передач данных, включая категории данных, тип обработки, цели, типы субъектов и идентификацию третьей страны; (c) юридически обязательный характер; (d) применение принципов защиты данных (целевое ограничение, минимизация, точность, безопасность и т. д.); (e) права субъектов данных; (f) принятие членом группы в ЕС ответственности за нарушения BCR членом вне ЕС; (g) способы информирования субъектов; (h) задачи DPO; (i) процедуры жалоб; (j) механизмы обеспечения соблюдения внутри группы; (k) механизмы отчётности перед DPA; (l) сотрудничество с DPA; (m) обучение персонала; (n) механизмы изменения BCR.

Почему это важно

BCR — это альтернатива SCC для крупных корпораций с десятками филиалов. Они дороги и сложны в утверждении (часто 1-2 года процедуры), но дают гибкость: после утверждения все внутригрупповые передачи легитимизированы.

Корпорации с BCR: SAP, Hewlett Packard, IBM, Microsoft, Mastercard, BMW, Siemens, Daimler, Ericsson, и другие. Маленьким компаниям BCR недоступны экономически — для них остаётся SCC по Art. 46.