Závazná vnitropodniková pravidla (Binding Corporate Rules, BCR) jsou jedním z nástrojů pro vytvoření vhodných záruk ochrany osobních údajů ve třetí zemi s nedostatečnou úrovní ochrany osobních údajů vhodné zejména pro skupiny podniků nebo uskupení podniků vykonávající společnou hospodářskou činnost, a jako taková jsou ideálním nástrojem pro přeshraniční předávání osobních údajů v rámci velkých nadnárodních korporací.
Závazná vnitropodniková pravidla v zásadě představují schválený souhrn zásad zpracování osobních údajů v rámci jedné skupiny, který je právně závazný pro všechny členy skupiny či uskupení, včetně jejich zaměstnanců.
Historicky se vyvinuly dva typy závazných podnikových pravidel:
BCR pro správce (BCR-C)
Jako závazná vnitropodniková pravidla pro správce (Binding Corporate Rules for Controllers, BCR-C) jsou nyní označována „klasická“ závazná podniková pravidla, která byla a jsou nadále určená pro nadnárodní správce osobních údajů, kteří při své činnosti shromažďují, předávají a zpracovávají osobní údaje za vlastními účely v rámci celé skupiny nadnárodní korporace.
Pracovní skupina WP29 (dnes Evropský sbor pro ochranu osobních údajů) shrnula požadavky kladené čl. 47 obecného nařízení na BCR-C do Pracovního dokumentu WP29 stanovujícího prvky a zásady, které musejí být součástí závazných podnikových pravidel pro správce (
WP256).
BCR pro zpracovatele (BCR-P)
Vedle výše uvedených „klasických“ závazných vnitropodnikových pravidel pro správce BCR-C jsou nyní definována závazná vnitropodniková pravidla pro zpracovatele (Binding Corporate Rules for Processors, BCR-P). Tato závazná vnitropodniková pravidla pro zpracovatele jsou určena pro velké nadnárodní zpracovatele osobních údajů, typicky poskytovatele cloudových služeb, kteří provádějí zpracování osobních údajů pro velká množství správců osobních údajů.
Požadavky kladené čl. 47 obecného nařízení na BCR-P byly shrnuty do Pracovního dokumentu WP29 stanovujícího prvky a zásady, které musejí být součástí závazných podnikových pravidel pro zpracovatele (
WP257).
Schvalovací procedura
Skupinou či uskupením podniků vypracovaný návrh závazných podnikových pravidel je schvalován v rámci specifické schvalovací procedury, kterou vede skupinou zvolený vedoucí dozorový úřad pro závazná podniková pravidla (BCR Lead).
Kritéria pro volbu vedoucího dozorového úřadu pro závazná podniková pravidla a jednotlivé etapy schvalovací procedury podává a vysvětluje Pracovní dokument vykládající schvalovací proceduru závazných podnikových pravidel pro správce a pro zpracovatele v režimu obecného nařízení o ochraně osobních údajů (
WP263).
Vlastní schvalovací procedura se spouští v okamžiku, kdy skupina podniků, která se rozhodla přijmout BCR, podá u vedoucího dozorového úřadu pro závazná podniková pravidla žádost o schválení závazných podnikových pravidel. Formulář žádosti a přehled informací, které musí žádost obsahovat, jsou uvedeny v dokumentech Standardní žádost o schválení závazných podnikových pravidel předávání osobních údajů pro správce (
WP264) a Standardní žádost o schválení závazných podnikových pravidel předávání osobních údajů pro zpracovatele (
WP265).
Seznam schválených BCR
Seznam korporací se schválenými závaznými podnikovými pravidly a další informace naleznete na
webové stránce Komise.
