Bindende virksomhedsregler (BCR)
Bindende virksomhedsregler – også kaldet BCR – er et sæt regler om beskyttelse af personoplysninger, som en virksomhed etableret i EU kan anvende som gyldigt overførselsgrundlag ved overførsel af personoplysninger til andre dele af koncernen eller andre virksomheder i en gruppe af foretagender, der udøver en fælles økonomisk aktivitet. Bindende virksomhedsregler skal godkendes af den kompetente tilsynsmyndighed, som normalt vil være tilsynsmyndigheden i den medlemsstat, hvor koncernens hovedvirksomhed ligger. Der er mange faktorer, der har betydning for, hvor lang tid godkendelsesproceduren tager, men det er ikke unormalt, at det tager omkring 1½ år.
Læs mere om godkendelsesprocessen i Artikel 29-gruppens arbejdsdokument om proceduren for godkendelse af bindende virksomhedsregler (WP263) samt generelt om anvendelsen af bindende virksomhedsregler i vejledning om overførsel til tredjelande.
Sådan ansøger din virksomhed
For at kunne behandle en anmodning om godkendelse af bindende virksomhedsregler, har Datatilsynet brug for følgende:
Hvis virksomheden er dataansvarlig:
Hvis virksomheden er databehandler:
Læs mere om proceduren for ansøgning om godkendelse i Artikel 29-gruppens arbejdsdokument om samarbejdsproceduren ved godkendelse af bindende virksomhedsregler (WP 263)
Hvis du har spørgsmål til udfyldelsen af skemaerne, er du også altid velkommen til at kontakte Datatilsynet.
BCR-processen (tidsforløbet)
Før en BCR-ansøgning kan godkendes, skal den igennem en række skridt, der tilsammen udgør BCR-processen. For at give en indikation af hvad sagsbehandlingstiden er på at få en BCR-ansøgning godkendt, får du med oversigten herunder et overblik over de forskellige skridt i en sådan BCR-proces. For hvert skridt er angivet den tilstræbte sagsbehandlingstid hos Datatilsynet og Det Europæiske Databeskyttelsesråd. Hertil skal selvfølgelig lægges den tid, hvor ansøgningen undervejs i processen afventer tilbagemeldinger fra ansøger.
1 |
- Datatilsynet modtager en BCR-ansøgning
|
2 |
- Datatilsynet vurderer, hvorvidt tilsynet mener at være ledende tilsynsmyndighed (2 ugers sagsbehandlingstid)
- Datatilsynet hører de berørte tilsynsmyndigheder, hvorvidt der er nogen indvendinger imod, at tilsynet er ledende tilsynsmyndighed (svarfrist for berørte tilsyn er normalt 2 uger)
- Datatilsynet informerer ansøgeren om udfaldet
|
3 |
- Datatilsynet foretager første gennemgang af BCR-ansøgningen (4 ugers sagsbehandlingstid) og sender brev med bemærkninger til ansøgeren eller dennes advokat
- Datatilsynet afventer herefter at modtage den tilrettede ansøgning fra ansøger
|
4 |
- Datatilsynet foretager anden gennemgang af den nu opdaterede BCR-ansøgning (3 ugers sagsbehandlingstid). Såfremt der er flere bemærkninger, sendes et brev med bemærkninger på ny til ansøgeren eller dennes advokat
- Datatilsynet afventer herefter at modtage den tilrettede ansøgning fra ansøger
|
5 |
- Eventuelt flere gennemgange (2 ugers sagsbehandlingstid) indtil Datatilsynet finder, at tilsynets bemærkninger er imødekommet
|
6 |
- Udpegelse af en til to co-reviewers (datatilsyn fra berørte lande). Datatilsynet hører ansøgeren om eventuelle ønsker til co-reviewers og tager så vidt muligt hensyn hertil
- Datatilsynet tager kontakt til potentielle co-reviewers så tidligt som muligt i forløbet, typisk sideløbende med punkt 3 og 4
|
7 |
- Datatilsynet sender BCR-ansøgningen til co-reviewers, der normalt har en måned til at gennemgå denne og komme med eventuelle bemærkninger, som Datatilsynet videreformidler til ansøgeren eller dennes advokat
- Datatilsynet afventer herefter at modtage den tilrettede ansøgning fra ansøger, hvorefter den videreformidles til co-reviewers
- Co-reviewers gennemgår ansøgningen, indtil de finder, at deres bemærkninger er imødekommet
|
8 |
- En konsolideret BCR sendes til alle berørte tilsynsmyndigheder. Fristen for eventuelle bemærkninger er en måned. Eventuelle bemærkninger videreformidles af Datatilsynet til ansøger eller dennes advokat
- Datatilsynet afventer hvor relevant en tilrettet ansøgning fra ansøger
|
9 |
- Når såvel Datatilsynet som de to co-reviewers er tilfredse med BCR-ansøgningen, forelægges denne indtil videre for International Transfers arbejdsgruppen under Det Europæiske Databeskyttelsesråd med henblik på at sikre en harmoniseret behandling af alle BCR-ansøgninger
- Ansøgningen drøftes herefter på et arbejdsgruppemøde, og i det omfang, der er bemærkninger til ansøgningen, videreformidler Datatilsynet efterfølgende disse til ansøger eller dennes advokat (1-3 måneders sagsbehandlingstid), og Datatilsynet afventer herefter, hvor relevant, en tilrettet ansøgning fra ansøger
|
10 |
- Der foreligger herefter en endelig BCR-ansøgning
- Datatilsynet forbereder nu en anmodning om en udtalelse fra Det Europæiske Databeskyttelsesråd (2 ugers sagsbehandlingstid)
|
11 |
- Det Europæiske Databeskyttelsesråd behandler og vedtager sin udtalelse vedrørende ansøgningen inden for normalt 8 og maksimalt 14 uger, jf. forordningens artikel 64, stk. 3
|
12 |
- Hvis udtalelsen fra Det Europæiske Databeskyttelsesråd er positiv, godkender Datatisynet nu BCR’en (2 ugers sagsbehandlingstid)
- Er udtalelsen negativ, kan det være nødvendigt at foretage nogle sidste ændringer i ansøgningen, før denne kan godkendes. Længden af denne proces afhænger helt af situationen
|