A kötelező szervezeti szabályozás (binding corporate rules, BCR) olyan kötelezettségvállalás, amelyben egy multinacionális vállalatcsoport tagjai vállalják, hogy adatkezelési gyakorlatuk során minden országban – így az EGT területén kívül működő tagvállalatoknál is – biztosítják az Európai Unió normáinak megfelelő szintű adatvédelmet. Egy BCR tartalmilag tulajdonképpen egy komplex, egész vállalatcsoportra kiterjedő adatvédelmi szabályzat, ami meghatározza, milyen adatokat és hogyan kezel a társaság, valamint rendezi az adatvédelem és adatbiztonság érdekében alkalmazott szabályokat és ezek biztosításának garanciáit az adattovábbítás során.
„Ha a vállalatcsoporton belül létezik BCR, az lehetővé teszi a cégcsoport számára, hogy az általa kezelt személyes adatokat harmadik országba, tehát az EGT területén kívülre továbbítsa anélkül, hogy ahhoz az érintett magánszemélyek kifejezett hozzájárulásukat adták volna. A BCR alkalmazásával elkerülhető továbbá, hogy a csoport minden egyes tagja között adattovábbítási szerződést kelljen kötni, ezzel csökkennek az adminisztrációs terhek is” – mondta Dr. Szarvas Júlia, a Deloitte Legal hálózathoz tartozó ügyvédi iroda ügyvédje.
A magyar gyakorlat eddig és ezután
Az Infotörvény szerint jelenleg személyes adat kizárólag akkor továbbítható harmadik országba, ha ahhoz az érintett kifejezetten hozzájárul, vagy, ha biztosított az átadott személyes adatok megfelelő szintű védelme.
A BCR alkalmazása a megfelelő szintű védelem biztosításának lehetséges körét bővíti októbertől. Korábban ez hasonló esetekben legtöbbször az ún. „általános szerződési feltételek alkalmazásával, illetve, az USA-ba történő adattovábbítás esetén az adattovábbítás során az ún. „Safe Harbor” határozat betartásával volt biztosítható.
Hogyan lesz alkalmazható Magyarországon?
Ha egy vállalatcsoport még nem alkalmaz BCR-t, akkor októbertől ez a lehetőség magyarországi adattovábbítás esetében is megnyílik előtte. Ehhez az alkalmazni kívánt BCR engedélyeztetése szükséges a Nemzeti Adatvédelmi és Információszabadság Hatósággal (NAIH). Ha már van alkalmazott BCR a vállalatcsoporton belül, amit más tagállamban engedélyeztek, akkor is engedélyeztetni szükséges azt a NAIH-hal, mert a magyar szabályozás nem alkalmazza az ún. „kölcsönös elismerés elvét”.
A BCR-eket tehát magyarországi alkalmazásuk előtt minden esetben engedélyeztetni kell majd a magyar hatósággal. Maga a BCR tervezetének bemutatása mellett többek között azt is igazolni kell majd a hatóság felé, hogy a vállalatcsoport biztosítja a BCR kötelező jellegét a cégcsoporton belül. Ennek igazolására egyrészt azt kell bemutatni, hogy a vállalat rendelkezésére áll az a megfelelően képzett munkaerő, amely képes biztosítani az alkalmazottak számára folyamatosan – például az intraneten – hozzáférhető BCR betartását, másrészt biztosítani kell annak lehetőségét, hogy akár a hatóság is végezhessen adatvédelmi vizsgálatokat a cégnél.
„A BCR elkészítése és engedélyeztetése rövidtávon adminisztrációs feladatokat és költséget jelenthet a cégek számára, hosszú távon azonban egyszerűsíti az adattovábbítások belső adminisztrációs igényét és így csökkenti az ezzel járó költségeket is. Ezen túlmenően a BCR alkalmazása jelentős elköteleződést is mutat az ügyfelek és hatóságok számára az adatvédelmi szabályok követésével kapcsolatban, ami reputációs szempontból sem elhanyagolható” – hangsúlyozta Dr. Szarvas Júlia.
