Závazná vnitropodniková pravidla (Binding Corporate Rules, BCR) jsou jedním z nástrojů pro vytvoření vhodných záruk ochrany osobních údajů ve třetí zemi s nedostatečnou úrovní ochrany osobních údajů vhodné zejména pro skupiny podniků nebo uskupení podniků vykonávající společnou hospodářskou činnost, a jako taková jsou ideálním nástrojem pro přeshraniční předávání osobních údajů v rámci velkých nadnárodních korporací.
Závazná vnitropodniková pravidla v zásadě představují schválený souhrn zásad zpracování osobních údajů v rámci jedné skupiny, který je právně závazný pro všechny členy skupiny či uskupení, včetně jejich zaměstnanců.
Historicky se vyvinuly dva typy závazných podnikových pravidel:
BCR pro správce (BCR-C)
Jako závazná vnitropodniková pravidla pro správce (Binding Corporate Rules for Controllers, BCR-C) jsou nyní označována „klasická“ závazná podniková pravidla, která byla a jsou nadále určená pro nadnárodní správce osobních údajů, kteří při své činnosti shromažďují, předávají a zpracovávají osobní údaje za vlastními účely v rámci celé skupiny nadnárodní korporace.
Pracovní skupina WP29 (dnes Evropský sbor pro ochranu osobních údajů) shrnula požadavky kladené čl. 47 obecného nařízení na BCR-C do Pracovního dokumentu WP29 stanovujícího prvky a zásady, které musejí být součástí závazných podnikových pravidel pro správce (
WP256).
Dřívější požadavky na strukturu a obsah těchto BCR-C v režimu směrnice 95/45/ES byly shrnuty v dokumentech
WP133,
WP153,
WP154 a
WP155.
BCR pro zpracovatele (BCR-P)
Vedle výše uvedených „klasických“ závazných vnitropodnikových pravidel pro správce BCR-C jsou nyní definována závazná vnitropodniková pravidla pro zpracovatele (Binding Corporate Rules for Processors, BCR-P). Tato závazná vnitropodniková pravidla pro zpracovatele jsou určena pro velké nadnárodní zpracovatele osobních údajů, typicky poskytovatele cloudových služeb, kteří provádějí zpracování osobních údajů pro velká množství správců osobních údajů.
Požadavky kladené čl. 47 obecného nařízení na BCR-P byly shrnuty do Pracovního dokumentu WP29 stanovujícího prvky a zásady, které musejí být součástí závazných podnikových pravidel pro zpracovatele (
WP257).
Dřívější požadavky na strukturu a obsah těchto BCR-P v režimu směrnice 95/45/ES byly shrnuty v dokumentech
WP195,
WP195a a
WP204.
Schvalovací procedura
Skupinou či uskupením podniků vypracovaný návrh závazných podnikových pravidel je schvalován v rámci specifické schvalovací procedury, kterou v první fázi vede dozorový úřad pro ochranu osobních údajů jedné z členských zemí Evropské unie jakožto tzv. vedoucí dozorový úřad. Na tuto fázi naváže mechanismus jednotnosti vypracováním stanoviska Evropského sboru pro ochranu osobních údajů.
Náležitosti a průběh schvalovací procedury v režimu směrnice 95/45/ES byly definovány v pracovních dokumentech
WP74,
WP107 a
WP108. V současné době připravuje Evropský sbor pro ochranu osobních údajů nový dokument upřesňující pravidla schvalovací procedury v režimu obecného nařízení.
Evropský sbor pro ochranu osobních údajů zároveň připravuje nové formuláře pro podání žádosti o schválení BCR vedoucímu dozorovému úřadu.
Seznam schválených BCR
Seznam korporací se schválenými závaznými podnikovými pravidly a další informace naleznete na
webové stránce Komise.