Bindende bedrijfsvoorschriften voorleggen

Elke doorgifte van persoonsgegevens vanuit de EU naar een derde land of naar een internationale organisatie moet de betrokkenen een passend beschermingsniveau garanderen (art. 44 van de AVG). Dit passende beschermingsniveau kan worden gegarandeerd door verschillende mechanismen, waaronder bindende bedrijfsvoorschriften (BCR "Binding Corporate Rules") als bedoeld in artikel 47 van de AVG.


BCR bieden de verwerkingsverantwoordelijke of verwerker die op het grondgebied van een EU-lidstaat is gevestigd de mogelijkheid persoonsgegevens door te geven aan een verwerkingsverantwoordelijke of verwerker die in een of meer derde landen is gevestigd binnen een groep ondernemingen of een groep ondernemingen die gezamenlijk een economische activiteit verrichten.

Er bestaan twee soorten BCR:

  • BCR voor verwerkingsverantwoordelijken (of "BCR-C" voor "BCR for controllers"): deze BCR bieden een kader voor de doorgifte van persoonsgegevens door verwerkingsverantwoordelijken die gevestigd zijn in de Europese Unie aan andere verwerkingsverantwoordelijken of aan verwerkers van dezelfde groep die gevestigd zijn in derde landen die niet erkend zijn als landen die een passend beschermingsniveau bieden volgens artikel 45 van de AVG,
  • BCR voor verwerkers (hierna "BCR-P" voor "BCR for processors"): deze BCR zijn van toepassing op gegevens die worden verwerkt door leden van de groep die zijn gevestigd in de Europese Unie en die optreden als verwerker(s) namens een verwerkingsverantwoordelijke die is gevestigd in de Europese Unie maar die geen lid is van de groep, en die vervolgens worden doorgegeven en verwerkt door leden van de groep als verdere verwerkers in derde landen die niet zijn erkend als landen die een passend beschermingsniveau bieden overeenkomstig artikel 45 van de AVG.

Hoe dien ik BCR in bij de Gegevensbeschermingsautoriteit ?

Neem voordat u een BCR-aanvraag indient contact op met de GBA op het volgende adres: bcr@apd-gba.be.

Er wordt een gesprek gepland met onze juristen om de procedure uit te leggen en de relevantie van uw BCR-project als doorgifte-instrument te bespreken.

Na deze bespreking kunt u het dossier indienen door de onderstaande stappen te volgen.

Bezorg ons de hieronder beschreven documentatie in het Engels, aangezien deze in verschillende stappen van de procedure aan onze Europese tegenhangers moet worden voorgelegd.

Procedure :

Binnen de twee maanden na ontvangst van deze formulieren brengt de GBA de aanvrager desgevallend op de hoogte van de onvolledigheid van het dossier.

2 weken
(+ max 2 weken)

De GBA neemt een beslissing over haar bevoegdheid. Desgevallend kan zij u bijkomende informatie vragen.

Als zij zichzelf bevoegd acht om "BCR Lead" te zijn en de BCR te beoordelen, informeert zij haar Europese tegenhangers in de EDPB over haar beslissing. De betrokken autoriteiten hebben twee weken om over deze bevoegdheid bezwaren te uiten. Deze periode kan op verzoek van een betrokken autoriteit met twee weken worden verlengd. In de context van de BCR-goedkeuringsprocedure zijn de betrokken autoriteiten, de autoriteiten van de landen van waaruit de doorgiften zullen plaatsvinden, zoals gespecificeerd door de aanvragers, of, in het geval van de BCR-P, alle toezichthoudende autoriteiten van de lidstaten (aangezien een in één lidstaat gevestigde verwerker diensten kan verlenen aan verwerkingsverantwoordelijken in verschillende - of zelfs alle - lidstaten).

1 maand Wanneer de GBA meent dat zij niet bevoegd is, motiveert zij haar beslissing en beveelt ze in overleg met de andere betrokken autoriteiten een meer geschikte autoriteit aan.
Geen termijnen

Als er geen bezwaren zijn van de betrokken autoriteiten, informeert de GBA de aanvrager en nodigt hem uit om haar het volgende te verstrekken:

Geen termijnen De GBA toetst de BCR aan de criteria uit de Recommendations 1/2022 (BCR-C) of uit de WP256 (BCR-P) (vaak het "referentiesysteem" genoemd) en deelt haar opmerkingen mee aan de aanvrager. Er kunnen meerdere commentaarrondes zijn.

 

Geen termijnen De GBA zoekt een of twee ondersteunende autoriteiten ("co-reviewer(s)"). Er worden twee ondersteunende autoriteiten aangeduid als 14 of meer lidstaten betrokken zijn bij de doorgifte. Er kan één ondersteunende autoriteit worden aangewezen als er 13 of minder lidstaten bij de doorgifte betrokken zijn.
1 maand (of langer als er meerdere commentaarrondes zijn) Wanneer de GBA meent dat de BCR in overeenstemming zijn met de criteria uit de Recommendations 01/2022 (BCR-C) of de tabel uit de WP256 (BCR-P), stuurt zij de BCR naar de co-reviewer(s). De co-reviewer(s) hebben een maand de tijd om eventuele bezwaren met betrekking tot de overeenstemming met de regels na ar de GBA te sturen. Wanneer zij bezwaren hebben, bezorgt de GBA deze aan de aanvrager. Er kunnen meerdere commentaarrondes zijn.
Max 1 maand Als de GBA en de co-reviewers het erover eens zijn dat de BCR een passend beschermingsniveau bieden en dus voldoen aan de criteria die zijn vastgelegd in Recommendations 01/2022 (BCR-C) of in de tabel uit de WP256 (BCR-P), stuurt de GBA de ontwerp-BCR naar alle betrokken autoriteiten voor hun eventuele opmerkingen en/of bezwaren. De autoriteiten hebben in principe een maand te tijd om te reageren.
Geen termijnen Wanneer de betrokken gegevensbeschermingsautoriteiten bezwaren hebben, bezorgt de GBA deze aan de aanvrager. Er kunnen verschillende commentaarrondes zijn voordat de definitieve versie wordt afgerond.
8 weken
(+ max 6 weken
Zodra de bindende bedrijfsvoorschriften zijn afgerond, stelt het Algemeen Secretariaat van de GBA een ontwerpbeslissing op ter goedkeuring van de bindende bedrijfsvoorschriften en stuurt deze samen met de relevante informatie naar het Europees Comité voor gegevensbescherming (vaak aangeduid met het Engelse acroniem "EDPB" voor " European Data Protection Board "), dat binnen een periode van 8 weken, verlengbaar met 6 weken, advies uitbrengt over deze ontwerpbeslissing in overeenstemming met artikel 64.3 van de AVG en artikel 10 van zijn procedureregels.
Geen termijnen a. als de EDPB de ontwerpbeslissing goedkeurt, kan de GBA haar beslissing tot goedkeuring van de bindende bedrijfsvoorschriften nemen;
b. als de EDPB van mening is dat wijzigingen nodig zijn, zal de GBA deze aan de aanvrager meedelen.
Geen termijnen Wanneer de BCR zijn goedgekeurd door de GBA worden ze meegedeeld aan alle betrokken autoriteiten.