Závazná podniková pravidla
Závazná vnitropodniková pravidla (Binding Corporate Rules, BCR) jsou jedním z nástrojů pro vytvoření vhodných záruk ochrany osobních údajů ve třetí zemi s nedostatečnou úrovní ochrany osobních údajů vhodné zejména pro skupiny podniků nebo uskupení podniků vykonávající společnou hospodářskou činnost, a jako taková jsou ideálním nástrojem pro přeshraniční předávání osobních údajů v rámci velkých nadnárodních korporací.
Závazná vnitropodniková pravidla v zásadě představují schválený souhrn zásad zpracování osobních údajů v rámci jedné skupiny, který je právně závazný pro všechny členy skupiny či uskupení, včetně jejich zaměstnanců.
Historicky se vyvinuly dva typy závazných podnikových pravidel:
BCR pro správce (BCR-C)
Jako závazná vnitropodniková pravidla pro správce (Binding Corporate Rules for Controllers, BCR-C) jsou nyní označována „klasická“ závazná podniková pravidla, která byla a jsou nadále určená pro nadnárodní správce osobních údajů, kteří při své činnosti shromažďují, předávají a zpracovávají osobní údaje za vlastními účely v rámci celé skupiny nadnárodní korporace.
Požadavky kladené čl. 47 obecného nařízení na BCR-C jsou spolu s formulářem žádosti o schválení BCR-C přehledně shrnuty v doporučení EDPB 1/2022 k žádosti o schválení a k prvkům a zásadám, které musejí být součástí BCR pro správce (čl. 47 obecného nařízení). Toto doporučení nahradilo jak Pracovní dokument WP29 stanovující prvky a zásady, které musejí být součástí závazných podnikových pravidel pro správce (WP256), tak i dokument Standardní žádost o schválení závazných podnikových pravidel předávání osobních údajů pro správce (WP264).
BCR pro zpracovatele (BCR-P)
Vedle výše uvedených „klasických“ závazných vnitropodnikových pravidel pro správce BCR-C jsou nyní definována závazná vnitropodniková pravidla pro zpracovatele (Binding Corporate Rules for Processors, BCR-P). Tato závazná vnitropodniková pravidla pro zpracovatele jsou určena pro velké nadnárodní zpracovatele osobních údajů, typicky poskytovatele cloudových služeb, kteří provádějí zpracování osobních údajů pro velká množství správců osobních údajů.
Požadavky kladené čl. 47 obecného nařízení na BCR-P jsou shrnuty do Pracovního dokumentu WP29 stanovujícího prvky a zásady, které musejí být součástí závazných podnikových pravidel pro zpracovatele (WP257). Formulář žádosti a přehled informací, které musí žádost obsahovat, jsou uvedeny v dokumentu Standardní žádost o schválení závazných podnikových pravidel předávání osobních údajů pro zpracovatele (WP265).
Schvalovací procedura
Skupinou či uskupením podniků vypracovaný návrh závazných podnikových pravidel je schvalován v rámci specifické schvalovací procedury, kterou vede skupinou zvolený vedoucí dozorový úřad pro závazná podniková pravidla (BCR Lead).
Kritéria pro volbu vedoucího dozorového úřadu pro závazná podniková pravidla a jednotlivé etapy schvalovací procedury podává a vysvětluje Pracovní dokument WP 29 vykládající schvalovací proceduru závazných podnikových pravidel pro správce a pro zpracovatele v režimu obecného nařízení o ochraně osobních údajů (WP263).
Vlastní schvalovací procedura se spouští v okamžiku, kdy skupina podniků, která se rozhodla přijmout BCR, podá u vedoucího dozorového úřadu pro závazná podniková pravidla žádost o schválení závazných podnikových pravidel.
Seznam schválených BCR
Seznam korporací se schválenými závaznými podnikovými pravidly a další informace naleznete na webové stránce EDPB.