Úřad pro ochranu osobních údajů


International


Vyhledávání

 

Základní odkazy

 

Cesta: Titulní stránka > Hlavní menu > Předávání osobních údajů do zahraničí > Nástroje zajištující osobním údajům předávaným do třetích zemí přiměřenou úroveň ochrany > Závazná podniková pravidla (Binding Corporate Rules, BCR)

 

Závazná podniková pravidla (Binding Corporate Rules, BCR)

 
 
 

Pro zajištění odpovídající úrovně ochrany osobních údajů předávaných a zpracovávaných v rámci velkých nadnárodních korporací i ve třetích zemích s nedostatečnou úrovní ochrany osobních údajů jsou vhodným nástrojem závazná vnitropodniková pravidla (Binding Corporate Rules, BCR).

Závazná vnitropodniková pravidla představují schválený souhrn zásad zpracování osobních údajů v rámci skupiny, který naplňuje požadavky evropské úpravy ochrany osobních údajů a který je právně závazný pro všechny pobočky skupiny, včetně poboček umístěných ve třetích zemích s nedostatečnou úrovní ochrany osobních údajů.

Skupinou vypracovaný návrh závazných podnikových pravidel je schvalován v rámci specifické schvalovací procedury, kterou vede dozorový úřad pro ochranu osobních údajů jedné z členských zemí Evropské unie jakožto tzv. lead Data Protection Authority. Náležitosti a průběh schvalovací procedury jsou definovány Pracovní skupinou pro ochranu dat podle článku 29 (Working party 29) v pracovních dokumentech WP 74, WP 107 a WP 108.

Seznam korporací se schválenými závaznými podnikovými pravidly naleznete zde.

Pokud jsou závazná vnitropodniková pravidla skupiny schválena výše uvedenou schvalovací procedurou a jsou aplikována v pobočkách, do kterých mají být osobní údaje předány, lze mít za to, že jsou vytvořeny dostatečné zvláštní záruky ochrany osobních údajů ve třetí zemi ve smyslu § 27 odst. 3 písm. b) zákona č. 101/2000 Sb.

Český správce osobních údajů, který hodlá předat osobní údaje do třetích zemí na základě schválených závazných vnitropodnikových pravidel, však musí před vlastním předáním osobních údajů do zahraničí požádat český Úřad pro ochranu osobních údajů o povolení k předání osobních údajů do třetích zemí podle § 27 odst. 4 zákona č. 101/2000 Sb., přičemž právním titulem, na jehož základě budou osobní údaje předávány, bude právě ustanovení § 27 odst. 3 písm. b) zákona č. 101/2000 Sb.

V současné době se rozlišují dva typy závazných podnikových pravidel.

Jako závazná vnitropodniková pravidla pro správce (Binding Corporate Rules for Controllers, BCR-C) jsou nyní označována klasická závazná podniková pravidla, která byla a jsou nadále určená pro nadnárodní správce osobních údajů, kteří při své činnosti shromažďují, předávají a zpracovávají osobní údaje za vlastními účely v rámci celé skupiny nadnárodní korporace. Požadavky na strukturu a obsah těchto BCR-C jsou shrnuty v dokumentech Pracovní skupiny pro ochranu dat podle článku 29 (Working party 29) WP 133, WP153, WP154WP155.

Vedle těchto klasických závazných vnitropodnikových pravidel pro správce BCR-C jsou nyní definována závazná vnitropodniková pravidla pro zpracovatele (Binding Corporate Rules for Processors, BCR-P). Tato závazná vnitropodniková pravidla pro zpracovatele BCR-P jsou určena pro velké nadnárodní zpracovatele osobních údajů, typicky poskytovatele cloudových služeb, kteří provádějí zpracování osobních údajů pro velká množství správců osobních údajů. Požadavky na strukturu a obsah těchto BCR-P jsou shrnuty v dokumentech Pracovní skupiny pro ochranu dat podle článku 29 (Working party 29) WP 195, WP195a a WP 204.

Stejně jako u klasických BCR-C je i v případě závazných vnitropodnikových pravidel pro zpracovatele BCR-P nutné před započetím předávání osobních údajů do zahraničí požádat Úřad o povolení k předání osobních údajů do třetích zemí podle § 27 odst. 4 zákona č. 101/2000 Sb. O povolení však přitom nežádá vlastní nadnárodní zpracovatel, ale jednotliví správci osobních údajů, kteří se rozhodli využít jeho zpracovatelských, obvykle cloudových služeb. Je třeba upozornit, že správce osobních údajů, který se rozhodne zpracovávat osobní údaje v nadnárodním cloudu, je i v tomto případě nadále plně zodpovědný za zpracování osobních údajů, a že o povolení k předání osobních údajů do třetích zemí musí samozřejmě požádat i v tomto případě před zahájením předání v souladu s ustanovením § 27 odst. 4 zákona č. 101/2000 Sb.

Další informace naleznete na webových stránkách Evropské komise.

 

Zobrazit aktuální dokumenty | archiv dokumentů | dokumenty včetně archivu

 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém