GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Overføringer til tredjeland

Bindende selskapsregler

Det er vanlig at internasjonale grupper av selskaper, med selskaper i tredjeland, overfører personopplysninger mellom selskaper. 

Bindende selskapsregler (BCR) vedtatt av EU-kommisjonen

Det kan være tillatt dersom de utarbeider bindende selskapsregler for behandling av personopplysninger. I tillegg kan for eksempel en gruppe selskaper sette opp BCR-er hvis de har en økonomisk aktivitet sammen. 

BCR er et eksempel på en passende beskyttelse i henhold til artikkel 46 (2) (b) GDPR. Regler om BCR-er reguleres av artikkel 47 i GDPR og av betraktning 110. 

Formålet med BCRs er å regulere overføring av personopplysninger fra konsernet til selskaper innenfor sitt eget konsern lokalisert i et tredjeland. 

What breaches of the GDPR can lead to an administrative fine?

Bindende selskapsregler (BCR) må godkjennes

Vær oppmerksom på at en EU DPA må godkjenne BCR-ene for at de skal være gyldige. I tillegg må DPA be om en uttalelse fra EDPB. Det inkluderer alle GDPR-tilsynsmyndigheter fra EU- og EØS-landene. Det er viktig at selskapet tar nødvendige forholdsregler for å beskytte personopplysninger, noe som tas i betraktning ved godkjenning av BCR-er. 

Fordelene med bindende selskapsregler

  • Det er både et bevis på og et bilde på selskapets forpliktelse til å overholde databeskyttelsesregler. 
  • Selskapet behandler personopplysninger i samsvar med prinsippene og reglene fastsatt i GDPR. 
  • Alle selskaper i konsernet er unntatt fra å inngå egne avtaler om overføring av personopplysninger mellom hverandre. 
  • Konsernet kan ha konsekvent databeskyttelsespraksis på tvers av alle sine selskaper.

Fremgangsmåte for å få bindende selskapsregler godkjent

1. Ansvarlig databeskyttelsesmyndighet

Selskapet må foreslå og begrunne hvilket lands tilsynsmyndighet som vil være den ledende personvernmyndigheten i saken. Forslaget bør begrunnes på grunnlag av visse kriterier. Vær oppmerksom på at disse kriteriene ikke utgjør et formelt krav, men er likevel tatt hensyn til. Dette er noen elementer som skal tas hensyn til i vurderingen: 

Measures that companies need to take to comply with GDPR
Morselskaper

EU- eller EØS-landet der morselskapet er etablert.

What is the definition of anonymised data?
Delegerte oppgaver

EU- eller EØS-landet der selskapet i gruppen som er ansvarlig for databeskyttelse, er etablert.

Administrer søknadsprosedyren

Hvilket EU- eller EØS-land konsernselskapet best kan håndtere søknadsprosessen og anvende BCR-ene i konsernet.

Subjektivt integritetskänsliga personuppgifter
Beslutninger i forbindelse med GDPR

EU- eller EØS-landet som størstedelen av GDPR-beslutningene kommer fra.

Sensitive personal data according to GDPR
Overføringsstat

Hvilket land i EU eller EØS som personopplysninger vil bli overført fra til det tredjelandet.

2. Send søknad

Fyll ut søknadsskjemaet og send det til ansvarlig DPA. I tillegg kan det være nyttig å legge fram en liste over selskapene i konsernet som BCR-ene er ment å gjelde for, for å lette saksbehandlingen i DPA. 

Vær oppmerksom på at selskaper må sende inn to separate søknadsskjemaer hvis BCR-ene gjelder både behandlingsansvarlige og databehandlere.

3. Evaluering av den ledende DPA

Bare fordi et selskap anser en databeskyttelsesmyndighet i et gitt land for å være den ledende myndigheten, betyr ikke dette at databeskyttelsesmyndigheten eller European Data Protection Board finner det å være den ledende myndigheten. 

Derfor vil DPA på forespørsel gjøre sin egen vurdering av om de er mest hensiktsmessige. Hvis ikke, kan de sende søknaden til en annen DPA som de anser som mer hensiktsmessig.

4. Send inn utkast til BCR-er

Foretaket skal framlegge sitt forslag til BCR-er som det har utarbeidet. I tillegg kan DPA be om ytterligere informasjon dersom den anser at informasjonen som er gitt, ikke er fullstendig. 

5. Undersøkelse av anvendelsen

Søknaden vil da bli undersøkt av den utpekte bly-DPA. Vær oppmerksom på at DPA ikke utfører revisjonen selv. Minst en annen DPA er involvert i gjennomføringen av revisjonen. I tillegg vil alle andre EU/EØS-datatilsynsmyndigheter ha mulighet til å gi sin mening, før søknaden sendes til European Data Protection Board. 

6. Uttalelse fra European Data Protection Board

Personvernrådet avgir sin uttalelse etter å ha fått tilgang til all dokumentasjon. På den annen side er beslutningen ikke tatt av European Data Protection Board, som bare gir sin mening om saken. 

7. Avgjørelsen av den ledende DPA

Etter at Personvernrådet har avgitt sin uttalelse, får selskapet mulighet til å gjøre endringer i utkastet. Den ledende DPA kan da ta en endelig avgjørelse. Vær imidlertid oppmerksom på at tiden det tar å behandle saken kan påvirkes av antall tillegg, dokumenter osv. som er relevante. 

Mer om overføringer til tredjeland

Tilstrekkelig beskyttelsesnivå

Det er tillatt for selskaper, enten de er behandlingsansvarlige eller databehandlere, å overføre personopplysninger til et tredjeland dersom dette landet sikrer et tilstrekkelig beskyttelsesnivå. Det er bare EU-kommisjonen som kan fatte en slik beslutning. Et foretak kan med andre ord ikke selv vurdere om beskyttelsesnivået i en tredjestat er tilstrekkelig og derfor overføre personopplysninger der. Vær oppmerksom på at tilstrekkelig beslutning ikke nødvendigvis må dekke et helt land. Det kan også for eksempel være et territorium i det tredjelandet, for eksempel en føderal stat eller en bestemt sektor, som anses å ha et tilstrekkelig beskyttelsesnivå. 

Lyst til å lære mer?

Les mer
Skroll til toppen