Nya regler för export av personuppgifter – Binding Corporate Rules # 1 – Introduktion
Kommissionens förslag till ny dataskyddsförordning (”förslaget”) innehåller nya regler som är avsedda att öka flexibiliteten för multinationella koncerner vid överföring av personuppgifter till länder utanför EES-området (”tredje land”). Flexibiliteten ska ökas genom införandet av en reglering om s.k. binding corporate rules, eller bindande företagsregler. Regleringen är avsedd att tillgodose företagens behov av flexibilitet samtidigt som den ska garantera att personuppgiftsbehandling sker på ett säkert sätt. Införandet av bindande företagsregler i förslaget är en spännande nyhet och kommer därför att behandlas i ett flertal inlägg i denna blogg.
Under den nuvarande regleringen är huvudregeln att överföring av personuppgifter till tredje land är förbjudet om landet saknar adekvat skyddsnivå för personuppgifter. Det finns dock ett flertal undantag från förbudet. Bland annat får överföring till tredje land ske till länder som EU-kommissionen har funnit har adekvat skyddsnivå för personuppgifter, till personuppgiftsbiträden i tredje land om EU-kommissionens standardavtalsklausuler tillämpas och om överföringen är nödvändig av vissa särskilt angivna skäl. Därtill har regeringen möjlighet att meddela undantag från förbudet om det krävs för viktiga allmänna intressen, vilket har skett bland annat för internationellt tullsamarbete och föroreningar för fartyg.
Systemet med bindande företagsregler existerar redan idag, men i något annorlunda form än i förslaget. I dagsläget har regeringen delegerat åt Datainspektionen att meddela undantag från förbudet i det enskilda fallet om det finns tillräckliga garantier för skydd av den registrerades rättigheter. En sådan granskning kan ske på grundval av bindande företagsregler, och Datainspektionen har i ett fall meddelat undantag från förbudet för att bindande företagsregler ansågs utgöra en tillräcklig garanti för den enskildes rättigheter. De bindande företagsreglerna i sin nuvarande form är ett system för granskning av koncerninterna regler, som har tagits fram av Artikel 29-gruppen, som är ett oberoende rådgivande organ bestående av representanter från EU:s medlemsstater.
I förslaget föreslås bindande företagsregler införas i lagtexten som en självständig grund för undantag från förbudet mot överföring av personuppgifter till tredje land som saknar adekvat skydd för personuppgifter. Tillsynsmyndigheterna kommer alltså inte att behöva bemyndigande från nationella regeringar för att meddela undantag från förbudet. Det krävs dock alltjämt att tillsynsmyndigheten meddelar sådant undantag. Därtill kommer EU-kommissionen ha möjlighet att utan inblandning från nationella organ förklara särskilda bindande företagsregler som allmänt tillämpliga.
Det är sannolikt att den ökade flexibilitet som blir en konsekvens av införandet av bindande företagsregler kommer att leda till ett ökat intresse för bindande företagsregler som en metod för hantering av personuppgifter inom multinationella koncerner. Vi kommer därför i ett flertal blogginlägg att mer i detalj behandla den föreslagna regleringen kring bindande företagsregler