Analys
Tre frågor om bindande företagsbestämmelser
Publicerad: 2020-09-18
Datainspektionen godkände nyligen för första gången bindande företagsbestämmelser enligt GDPR. Med detta godkännande har ett svenskt bolag inom en multinationell koncern för första gången fått tillåtelse att använda sina egenutvecklade regler som stöd för överföring av personuppgifter till bolag inom koncernen som är etablerade utanför EU. Deloitte Legal besvarar tre frågor om bindande företagsbestämmelser och hur de påverkas av det omtalade Schrems II-avgörandet.*
Vad är bindande företagsbestämmelser?
Utgångspunkten enligt GDPR är att personuppgifter inte får överföras utanför EU/EES, om inte något särskilt undantag föreligger. Ett av de undantagen är bindande företagsbestämmelser, även kallade Binding Corporate Rules (BCR). De är en typ av regler som multinationella koncerner kan ta fram för att reglera hur man inom koncernen ska behandla personuppgifter och säkerställa att lämpliga skyddsåtgärder tillämpas vid överföring inom koncernen till länder utanför EU/EES. För att kunna använda bindande företagsbestämmelser som stöd för överföringar av personuppgifter utanför EU/EES, måste de alltid godkännas av den ansvarige dataskyddsmyndigheten, vilket i Sveriges fall är Datainspektionen.
Vad innebär ett godkännande av bindande företagsbestämmelser?
Datainspektionen har för första gången godkänt bindande företagsbestämmelser enligt GDPR efter en ansökan som lämnats in för Tetra Pak-koncernen. Ett sådant godkännande föregås av en omfattande granskningsprocess där Dataskyddsinspektionen, tillsammans med medgranskande dataskyddsmyndigheter, granskar de föreslagna bindande företagsbestämmelserna. Därutöver har den Europeiska Dataskyddsstyrelsen (EDPB), ett europeiskt organ som alla dataskyddsmyndigheter inom EU/EES ingår i, yttrat sig över bestämmelserna.
Ett godkännande av bindande företagsbestämmelser är en mycket omfattande process, både vid förarbetet och vid godkännandeförfarandet vid Datainspektionen. Förarbetet innebär att koncernen måste utveckla och genomföra nya rutiner, informera hela koncernen och i många fall även utbilda stora delar av koncernen. Datainspektionen i sin tur kontrollerar dels noggrant om de föreslagna bindande företagsbestämmelserna följer GDPR och hur de bindande företagsbestämmelserna redogör för hur koncernen följer de grundläggande principerna hos GDPR, tillgodoser de registrerades rättigheter och koncernens process för klagomål.
Även efter att de bindande företagsbestämmelserna är godkända måste företaget i fråga anmäla alla ändringar i de bindande företagsbestämmelserna till Datainspektionen, som i sin tur vidarebefordrar informationen till alla berörda dataskyddsmyndigheter inom EU/EES.
Godkännandet kan även återkallas om personuppgifter behandlas på ett sätt som strider mot de bindande företagsbestämmelserna eller GDPR.
Hur påverkas bindande företagsbestämmelser av Schrems II?
Under sommaren kom även den omtalade Schrems II-domen från EU domstolen som slog fast att det så kallade Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter vid överföring till USA, och därför inte kan användas som grund för överföring av personuppgifter dit. Privacy Shield är en mekanism som inneburit att företag i USA har kunnat anmäla till det amerikanska handelsdepartementet (Departement of Commerce) att de uppfyller kraven i Privacy Shield för att underlätta mottagande av uppgifter. Efter en sådan anmälan har personuppgiftsansvariga i EU kunnat överföra personuppgifter till mottagare i USA. I och med Schrems II-domen behöver företag som tidigare förlitat sig på Privacy Shield nu hitta en alternativ juridisk lösning vid överföring av uppgifter till USA.
I samma dom förklarar EU-domstolen även att så kallade standardavtalsklausuler, som är en av grunderna för överföringar utanför EU/EES, i regel fortfarande kan användas. Dessa standardavtalsklausuler kan dock behöva kompletteras med ytterligare skyddsåtgärder när det är osäkert om lagstiftningen i det mottagande landet gör det möjligt att upprätthålla samma nivå av skydd för de grundläggande fri- och rättigheterna som råder inom EU.
Schrems II-domen kan även påverka bindande företagsbestämmelser eftersom ett tredje lands lag kan påverka skyddet också vid överföring genom sådana bestämmelser. Även när de bindande företagsbestämmelserna är godkända så måste koncernen bedöma om de garantier och det skydd som ges i företagsbestämmelserna faktiskt kan upprätthållas om personuppgifter överförs till USA eller annat tredje land.
Det innebär alltså att ett godkännande av bindande företagsbestämmelser för en koncern inte är att likställa med ett tillstånd att överföra uppgifter till ett särskilt land. Åtagandena och åtgärderna inom företagsbestämmelserna måste fortfarande bedömas vid överföringen till länder utanför EU/EES. En sådan bedömning kan därmed innebära att ytterligare åtgärder behöver vidtas eller till och med avbrytas om man kommer fram till att man inte kan leva upp till sina åtaganden och sitt ansvar enligt de bindande företagsbestämmelserna.
Har ni fler frågor om bindande företagsbestämmelser eller andra frågor rörande dataskydd, kontakta oss gärna via kontaktuppgifterna nedan.
*Informationen ska vare sig ses som rådgivande eller uttömmande. För rådgivning i enskilda fall vänligen kontakta oss via nedan kontaktuppgifter
Kontakta oss
