什么是BCRs?
全称为约束性企业规则(binding corporate rules),或简称为“BCRs”。
GDPR明确规定,企业集团或从事联合经济活动的企业集团(以下简称“集团”)使用具有约束力的公司规则(以下简称“BCR”)来传输GDPR第44条意义上的个人数据。
2018年2月6日,第29条工作组(以下简称“WP29”)通过了一份包含BCR元素和原则的表格,以反映BCR(以下简称“WP256 rev.01”)的要求。
拥有BCRs认证,对于企业出海数据合规有哪些好处?
1、企业内部可以将欧盟地区收集的消费者数据,自由地传输到中国总部进行数据分析与利用,辅助业务/管理部门进行经营决策。
2、欧洲公司实体与国内总部实体之间,不再需要签订复杂繁琐SCC(标准合同)
3、在业务开展较早期的时候,避免投入过重的合规成本
4、中国总部统可以非常轻松的制订和修改隐私政策,统一管理消费者数据,大幅减少总部合规团队与海外合规团队之间的沟通成本。
申请BCRs认证的流程有哪些?
第一步:确定具体向哪个欧洲国家的数据保护局(lead authority,简称LA)进行提交
选择的数据保护局尤其重要,在这一点上可以参考海外的整体业务布局,或海外合规团队的建设地,或者可以选择咨询跨国律师事务所/咨询公司的相关经验。
第二步:向LA提供BCRs认证申请单,并申请审核
LA并不会完全基于企业提交的申请单来进行审核,而是会主动进行意见修改与批注,同时LA会对申请单所涉及的其他关联企业(申请单中提及到的其他关联企业实体,例如集团子公司)进行联合访问。
第三步:欧洲数据保护委员会审核
在前一步顺利的情况下,LA会将申请材料递交欧洲数据保护委员会,经过其同意之后,将会批准企业通过BCRs认证。认证通过之后,企业即可按照申请中约定的框架,进行跨国的数据传输,而不需要在多个关联实体之间签订SCC。
如何填写申请单,具体包含哪些内容?
笔者整理了部分个人认为较为关键需要准备的内容,包括如下:
(所列仅为部分内容,如果希望获取完整的EDPB申请单附件,请扫描文末二维码)
1、为数据主体建立建立第三方受益权,包括向主管监管机构和法院提出申诉的可能性。
2、公司承担赔偿责任,并对违反BCR的行为提供补救措施
3、数据主体可以轻松访问BCR
4、有适当的培训计划
5、有数据主体的申诉处理程序
6、存在合理的BCR审计计划
7、建立一个由数据保护官"DPO"或适当工作人员组成的管理网络,用于监督规则的遵守情况。
8、BCR所涉及的传输和适用范围,以及数据主体类型、国家的描述
9、BCR的更新规则
10、受到BCR约束的实体清单(决定了哪些关联公司属于认证范围)
目前已经通过的BCRs企业基本上为跨国集团型公司,包括Paypal、E-bay、花旗集团、GE、爱马仕、路易威登、Saleforce等,暂未有中国企业成功获批BCRs认证。
详细的EDPB申请单原附件链接,可以联系用九智汇获取