Nu har Datainspektionen för första gången som ansvarig dataskyddsmyndighet i Sverige godkänt bindande företagsbestämmelser (även så kallat BCR) enligt GDPR. Godkännandet har föregåtts av en omfattande granskningsprocess där ansökan och förslag till BCR granskats av Datainspektionen, andra medgranskande dataskyddsmyndigheter och European Data Protection Board (”EDPB”).
Den 18 augusti 2020 meddelade Datainspektionen att Tetra Pak-koncernen fått sina bindande företagsbestämmelser godkända. Syftet med BCR:er är att underlätta för koncerner att överföra personuppgifter till sina koncernbolag utanför EU/EES. Bindande företagsbestämmelser är med andra ord regler som multinationella koncerner kan ta fram för att reglera sin behandling av personuppgifter och säkerställa lämpliga skyddsåtgärder vid tredjelandsöverföring. För att BCR:er ska kunna användas krävs det att de godkänns av ansvarig nationell dataskyddsmyndighet.
Notera särskilt att det, trots Datainspektionens godkännande av BCR:erna, krävs att man som personuppgiftsansvarig gör en egen bedömning i det enskilda fallet ifall BCR:en kan användas, dvs. medför ett adekvat skydd. Detta framgår inte minst i EDPB:s beslut i Schrems II-målet, vilket IT-advokaterna uppmärksammat i ett tidigare pressmeddelande. I Schrems II-målet konstaterade EU-domstolen att det åligger personuppgiftsansvarig och nationell tillsynsmyndighet att säkerställa att mottagarlandet efterlever GDPR:s krav.
Vill du veta mer om bindande företagsbestämmelser eller Datainspektionens beslut, vänligen kontakta en IT-advokat.