Hvordan overføre data mellom selskaper i et konsern?

Dersom multinasjonale konsern med hovedkontor i Europa skal overføre personopplysninger til datterselskaper som ligger plassert utenfor EØS-området, vil de i hovedsak ha to mulig overføringsgrunnlag: 

a) EUs standardbestemmelser (SCC - Standard Contractual Clauses) og 

b) bindende virksomhetsregler (BCR - Binding Corporate Rules)

For å unngå å måtte inngå et nett av avtaler mellom konsernselskapene ved bruk av SCC , kan BCR brukes. BCR er et sett med interne prosedyrer som skal sikre trygg behandling og overføring av personopplysninger. Konsernet må søke, og få sine BCR godkjent av «sitt» datatilsyn. For norske virksomheter vil det oftest være det norske Datatilsynet. Godkjenningen må gis før man kan gå i gang med overføringen. Virksomheten som skal overføre personopplysningene må i tillegg sjekke at personopplysningene får tilsvarende beskyttelse i mottakerlandet, og at mottakerlandets rettssystem ikke hindrer at virksomhetens BCR kan følges

Trenger du hjelp med å utforme og søke om godkjenning av bindende virksomhetsregler kan du kontakte oss her.