Bindende konsernregler

Bindende konsernregler (binding corporate rules, BCR) er et gyldig grunnlag for overføring av personopplysninger internt i et konsern som har kontorer både i og utenfor Europa.

Bindende konsernregler for overføring av opplysninger er ikke nevnt spesifikt verken i personverndirektivet eller i personopplysningsloven. Med EU-forordningen, som blir gjeldende lovverk også i Norge i 2018, vil imidlertid disse reglene bli lovfestede (se artikkel 47 i forordningsteksten (engelsk, pdf)).

Bindende konsernregler er en mulig modell for å få grunnlag for å overføre opplysninger. Du må imidlertid beregne god tid for å få godkjenning. I dag går det i gjennomsnitt med to år fra man begynner arbeidet med å få godkjent slike konsernregler til reglene er godkjent hos Datatilsynet og konsernet kan bruke dem som overføringsgrunnlag.

Denne måten å organisere overføringer av personopplysninger er særlig aktuell for konserner av en viss størrelse.

Dersom du representerer en stor virksomhet og lurer på om BCR kan være et grunnlag for overføringer som gjøres internt i virksomheten, kan du kontakte Datatilsynet.

Det er utformet flere veiledere for opprettelse av slike bindende konsernregler:

Dokumentene tar blant annet stilling til hvilket land søknad om godkjenning av reglene skal sendes til og hvilke opplysninger søknaden skal inneholde.