Bindende bedrijfsvoorschriften voorleggen

Elke doorgifte van persoonsgegevens vanuit de EU naar een derde land of naar een internationale organisatie moet de betrokkenen een passend beschermingsniveau garanderen (art. 44 van de AVG). Dit passende beschermingsniveau kan worden gegarandeerd door verschillende mechanismen, waaronder bindende bedrijfsvoorschriften (BCR "Binding Corporate Rules") als bedoeld in artikel 47 van de AVG.

BCR bieden de verwerkingsverantwoordelijke of verwerker die op het grondgebied van een EU-lidstaat is gevestigd de mogelijkheid persoonsgegevens door te geven aan een verwerkingsverantwoordelijke of verwerker die in een of meer derde landen is gevestigd binnen een groep ondernemingen of een groep ondernemingen die gezamenlijk een economische activiteit verrichten.

Er bestaan twee soorten BCR:

BCR voor verwerkingsverantwoordelijken (of "BCR-C" voor "BCR for controllers"): deze BCR bieden een kader voor de doorgifte van persoonsgegevens door verwerkingsverantwoordelijken die gevestigd zijn in de Europese Unie aan andere verwerkingsverantwoordelijken of aan verwerkers van dezelfde groep die gevestigd zijn in derde landen die niet erkend zijn als landen die een passend beschermingsniveau bieden volgens artikel 45 van de AVG,
BCR voor verwerkers (hierna "BCR-P" voor "BCR for processors"): deze BCR zijn van toepassing op gegevens die worden verwerkt door leden van de groep die zijn gevestigd in de Europese Unie en die optreden als verwerker(s) namens een verwerkingsverantwoordelijke die is gevestigd in de Europese Unie maar die geen lid is van de groep, en die vervolgens worden doorgegeven en verwerkt door leden van de groep als verdere verwerkers in derde landen die niet zijn erkend als landen die een passend beschermingsniveau bieden overeenkomstig artikel 45 van de AVG.

Hoe dien ik BCR in bij de Gegevensbeschermingsautoriteit ?

Bezorg ons de hieronder beschreven documentatie in het Engels, aangezien deze in verschillende stappen van de procedure aan onze Europese tegenhangers moet worden voorgelegd.

Stap 1: Indienen van het dossier

Bent u de verwerkingsverantwoordelijke? Vul Deel 1 in van het formulier (" Application for Approval ") dat is opgenomen in Recommendations 1/2022 on the application for approval and on the elements and principles to be found in Controller Binding Corporate Rules (hierna " Recommandations 1/2022 ") en e-mail dit naar contact@apd-gba.be.
Bent u de verwerker? Vul Deel 1 in van het formulier WP265 en e-mail dit naar contact@apd-gba.be.

Stap 2: Beslissing over de bevoegdheid

2 weken (+ max 2 weken)	De GBA neemt een beslissing over haar bevoegdheid. Desgevallend kan zij u bijkomende informatie vragen. Als zij zichzelf bevoegd acht om "BCR Lead" te zijn en de BCR te beoordelen, informeert zij haar Europese tegenhangers in de EDPB over haar beslissing. De betrokken autoriteiten hebben twee weken om over deze bevoegdheid bezwaren te uiten. Deze periode kan op verzoek van een betrokken autoriteit met twee weken worden verlengd. In de context van de BCR-goedkeuringsprocedure zijn de betrokken autoriteiten, de autoriteiten van de landen van waaruit de doorgiften zullen plaatsvinden, zoals gespecificeerd door de aanvragers, of, in het geval van de BCR-P, alle toezichthoudende autoriteiten van de lidstaten (aangezien een in één lidstaat gevestigde verwerker diensten kan verlenen aan verwerkingsverantwoordelijken in verschillende - of zelfs alle - lidstaten).
1 maand	Wanneer de GBA meent dat zij niet bevoegd is, motiveert zij haar beslissing en beveelt ze in overleg met de andere betrokken autoriteiten een meer geschikte autoriteit aan.

2 weken
(+ max 2 weken)

De GBA neemt een beslissing over haar bevoegdheid. Desgevallend kan zij u bijkomende informatie vragen.

Als zij zichzelf bevoegd acht om "BCR Lead" te zijn en de BCR te beoordelen, informeert zij haar Europese tegenhangers in de EDPB over haar beslissing. De betrokken autoriteiten hebben twee weken om over deze bevoegdheid bezwaren te uiten. Deze periode kan op verzoek van een betrokken autoriteit met twee weken worden verlengd. In de context van de BCR-goedkeuringsprocedure zijn de betrokken autoriteiten, de autoriteiten van de landen van waaruit de doorgiften zullen plaatsvinden, zoals gespecificeerd door de aanvragers, of, in het geval van de BCR-P, alle toezichthoudende autoriteiten van de lidstaten (aangezien een in één lidstaat gevestigde verwerker diensten kan verlenen aan verwerkingsverantwoordelijken in verschillende - of zelfs alle - lidstaten).

1 maand

Wanneer de GBA meent dat zij niet bevoegd is, motiveert zij haar beslissing en beveelt ze in overleg met de andere betrokken autoriteiten een meer geschikte autoriteit aan.

Stap 3: Nationale instructies

Geen termijnen	Als er geen bezwaren zijn van de betrokken autoriteiten, informeert de GBA de aanvrager en nodigt hem uit om haar het volgende te verstrekken: Deel 2 van het formulier Recommendations 1/2022 (BCR-C) of Deel 2 van het formulier WP265 (BCR-P), volledig ingevuld, Het BCR-ontwerp, De tabel “Elements and principles to be found in BCR-C" uit de Recommendations 01/2022 (BCR-C), of de tabel uit WP256 (BCR-P), volledig ingevuld.
Geen termijnen	De GBA toetst de BCR aan de criteria uit de Recommendations 1/2022 (BCR-C) of uit de WP256 (BCR-P) (vaak het "referentiesysteem" genoemd) en deelt haar opmerkingen mee aan de aanvrager. Er kunnen meerdere commentaarrondes zijn.

Geen termijnen

Als er geen bezwaren zijn van de betrokken autoriteiten, informeert de GBA de aanvrager en nodigt hem uit om haar het volgende te verstrekken:

Deel 2 van het formulier Recommendations 1/2022 (BCR-C) of Deel 2 van het formulier WP265 (BCR-P), volledig ingevuld,
Het BCR-ontwerp,
De tabel “Elements and principles to be found in BCR-C" uit de Recommendations 01/2022 (BCR-C), of de tabel uit WP256 (BCR-P), volledig ingevuld.

Geen termijnen

De GBA toetst de BCR aan de criteria uit de Recommendations 1/2022 (BCR-C) of uit de WP256 (BCR-P) (vaak het "referentiesysteem" genoemd) en deelt haar opmerkingen mee aan de aanvrager. Er kunnen meerdere commentaarrondes zijn.

Stap 4: Beoordeling door de ondersteunende autoriteit

Geen termijnen	De GBA zoekt een of twee ondersteunende autoriteiten ("co-reviewer(s)"). Er worden twee ondersteunende autoriteiten aangeduid als 14 of meer lidstaten betrokken zijn bij de doorgifte. Er kan één ondersteunende autoriteit worden aangewezen als er 13 of minder lidstaten bij de doorgifte betrokken zijn.
1 maand (of langer als er meerdere commentaarrondes zijn)	Wanneer de GBA meent dat de BCR in overeenstemming zijn met de criteria uit de Recommendations 01/2022 (BCR-C) of de tabel uit de WP256 (BCR-P), stuurt zij de BCR naar de co-reviewer(s). De co-reviewer(s) hebben een maand de tijd om eventuele bezwaren met betrekking tot de overeenstemming met de regels na ar de GBA te sturen. Wanneer zij bezwaren hebben, bezorgt de GBA deze aan de aanvrager. Er kunnen meerdere commentaarrondes zijn.

Geen termijnen

De GBA zoekt een of twee ondersteunende autoriteiten ("co-reviewer(s)"). Er worden twee ondersteunende autoriteiten aangeduid als 14 of meer lidstaten betrokken zijn bij de doorgifte. Er kan één ondersteunende autoriteit worden aangewezen als er 13 of minder lidstaten bij de doorgifte betrokken zijn.

1 maand (of langer als er meerdere commentaarrondes zijn)

Wanneer de GBA meent dat de BCR in overeenstemming zijn met de criteria uit de Recommendations 01/2022 (BCR-C) of de tabel uit de WP256 (BCR-P), stuurt zij de BCR naar de co-reviewer(s). De co-reviewer(s) hebben een maand de tijd om eventuele bezwaren met betrekking tot de overeenstemming met de regels na ar de GBA te sturen. Wanneer zij bezwaren hebben, bezorgt de GBA deze aan de aanvrager. Er kunnen meerdere commentaarrondes zijn.

Stap 5: Samenwerkingsfase

Max 1 maand	Als de GBA en de co-reviewers het erover eens zijn dat de BCR een passend beschermingsniveau bieden en dus voldoen aan de criteria die zijn vastgelegd in Recommendations 01/2022 (BCR-C) of in de tabel uit de WP256 (BCR-P), stuurt de GBA de ontwerp-BCR naar alle betrokken autoriteiten voor hun eventuele opmerkingen en/of bezwaren. De autoriteiten hebben in principe een maand te tijd om te reageren.
Geen termijnen	Wanneer de betrokken gegevensbeschermingsautoriteiten bezwaren hebben, bezorgt de GBA deze aan de aanvrager. Er kunnen verschillende commentaarrondes zijn voordat de definitieve versie wordt afgerond.

Max 1 maand

Als de GBA en de co-reviewers het erover eens zijn dat de BCR een passend beschermingsniveau bieden en dus voldoen aan de criteria die zijn vastgelegd in Recommendations 01/2022 (BCR-C) of in de tabel uit de WP256 (BCR-P), stuurt de GBA de ontwerp-BCR naar alle betrokken autoriteiten voor hun eventuele opmerkingen en/of bezwaren. De autoriteiten hebben in principe een maand te tijd om te reageren.

Geen termijnen

Wanneer de betrokken gegevensbeschermingsautoriteiten bezwaren hebben, bezorgt de GBA deze aan de aanvrager. Er kunnen verschillende commentaarrondes zijn voordat de definitieve versie wordt afgerond.

Stap 6: Nationale beslissing en advies EDPB

8 weken (+ max 6 weken	Zodra de bindende bedrijfsvoorschriften zijn afgerond, stelt het Algemeen Secretariaat van de GBA een ontwerpbeslissing op ter goedkeuring van de bindende bedrijfsvoorschriften en stuurt deze samen met de relevante informatie naar het Europees Comité voor gegevensbescherming (vaak aangeduid met het Engelse acroniem "EDPB" voor " European Data Protection Board "), dat binnen een periode van 8 weken, verlengbaar met 6 weken, advies uitbrengt over deze ontwerpbeslissing in overeenstemming met artikel 64.3 van de AVG en artikel 10 van zijn procedureregels.
Geen termijnen	a. als de EDPB de ontwerpbeslissing goedkeurt, kan de GBA haar beslissing tot goedkeuring van de bindende bedrijfsvoorschriften nemen; b. als de EDPB van mening is dat wijzigingen nodig zijn, zal de GBA deze aan de aanvrager meedelen.

8 weken
(+ max 6 weken

Zodra de bindende bedrijfsvoorschriften zijn afgerond, stelt het Algemeen Secretariaat van de GBA een ontwerpbeslissing op ter goedkeuring van de bindende bedrijfsvoorschriften en stuurt deze samen met de relevante informatie naar het Europees Comité voor gegevensbescherming (vaak aangeduid met het Engelse acroniem "EDPB" voor " European Data Protection Board "), dat binnen een periode van 8 weken, verlengbaar met 6 weken, advies uitbrengt over deze ontwerpbeslissing in overeenstemming met artikel 64.3 van de AVG en artikel 10 van zijn procedureregels.

Geen termijnen

a. als de EDPB de ontwerpbeslissing goedkeurt, kan de GBA haar beslissing tot goedkeuring van de bindende bedrijfsvoorschriften nemen;
b. als de EDPB van mening is dat wijzigingen nodig zijn, zal de GBA deze aan de aanvrager meedelen.

Stap 7: Mededeling van de BCR

Geen termijnen	Wanneer de BCR zijn goedgekeurd door de GBA worden ze meegedeeld aan alle betrokken autoriteiten.