A megfelelő védettség eléréséhez a szabályzatnak tartalmaznia kell:

• a BCR tiszteletben tartásának kötelezettségét és az adatvédelmi alapelveket,

• harmadik fél jogait, beleértve az adatvédelmi hatóság és a bíróságok előtti panasztételi jogot,

• a kártérítésre vonatkozó szabályokat, amelyek a BCR megsértése esetén lépnek életbe,

• a hatékonyságot célzó eszközöket (pl. audit, képzés, panaszkezelési rendszer, stb.).

A szabályozás során a vállalatok az EU adatvédelmi irányelvét és az adatcserével érintett országok nemzeti adatvédelmi szabályait saját szervezetükre, a vállalatnál folyó adatcsere-folyamatokra képezik le, ami konkrétabb, az adatfeldolgozást végző munkavállalók számára könnyebben érthető szabályokat kell, hogy eredményezzen. Mindezek mellett a rendelkezéseknek összhangban kell állniuk az érintett nemzetek adatvédelmi jogszabályaival.

Jellemző, hogy a vállalatnak a BCR betartását belső és külső audittal is ellenőriztetnie kell. A cégcsoportnak együttesen és tagonként külön-külön is kötelezettséget kell vállalniuk, hogy az illetékes adatvédelmi hatóságokkal együttműködnek, és a hatóságoknak a BCR értelmezésével és alkalmazásával kapcsolatos javaslatait alkalmazzák. Az adatvédelmi hatóságok a BCR jóváhagyását visszavonhatják, ha a cégcsoport nem tanúsít kellő együttműködést.

A jóváhagyásra irányuló eljárásról

2015. október hó 1. napjától kezdve a kötelező szervezeti szabályozáson a következőt kell érteni:

A BCR több országban, de köztük legalább egy EGT tagállamban is tevékenységet folytató adatkezelő vagy adatkezelők csoportja által elfogadott, és a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) által jóváhagyott, az adatkezelőre vagy adatkezelők csoportjára nézve kötelező belső adatvédelmi szabályzat, amely a harmadik országba történő adattovábbítás esetén a személyes adatok védelmét az adatkezelő vagy adatkezelők csoportjának egyoldalú kötelezettségvállalása útján biztosítja. A jóváhagyás kérelemre indul és díjköteles.

A kötelező szervezeti szabályozás jóváhagyása iránti kérelemnek tartalmaznia kell az adatkezeléssel érintett adatokat, a kötelező szervezeti szabályozás tervezetét, a kötelező szervezeti szabályozás kötelező jellegének igazolására szolgáló adatokat és, ha a kötelező szervezeti szabályozást más EGT tagállam adatvédelmi hatósága jóváhagyta, az ennek igazolására szolgáló adatokat.

Dr. Kustos Petra Ügyvédi Iroda