Обязательные корпоративные правила и GDPR: решение для передачи и защиты данных

Опубликовано: 1 Апреля, 2023
Обязательные корпоративные правила и GDPR: решение для передачи и защиты данных

Когда GDPR был принят, методы работы многонациональных групп компаний должны были измениться, чтобы обеспечить надлежащий уровень защиты и безопасности данных при международной передаче персональных данных между группами компаний. Чтобы соответствовать правилам защиты данных (как Директиве ЕС 1995 года, так и GDPR), многие многонациональные группы компаний приняли обязательные корпоративные правила (ОКП) в качестве решения для надлежащей передачи личных данных внутри своей группы. Хотя BCR уже используется многими организациями в качестве механизма передачи данных, теперь, когда BCR приведены в соответствие с GDPR, его популярность растет.

Приняв обязательные корпоративные правила, данные могут быть не только законно переданы из страны ЕС в страну за пределами ЕС, третью страну (страну, от которой обычно не требуется по закону обеспечивать тот же уровень защиты, который является обязательным в ЕС). ), но группы компаний могут получить и другие преимущества. Таким образом, с помощью BCR экспорт данных между глобальными группами компаний может продолжаться безопасно и в соответствии с требованиями, а организации могут одновременно повышать свою культуру безопасности во всей своей группе.

Глобальная передача данных до и после GDPR

Многонациональные группы компаний полагаются на передачу данных из стран ЕС в другие страны за пределами ЕС по множеству причин, и от этого зависит повседневный бизнес. Таким образом, требование поддерживать эффективный и безопасный поток данных является важным и приоритетным для этих компаний.

Однако GDPR запрещает передачу персональных данных в страны за пределами ЕС. Еще до GDPR Директива ЕС о защите данных от 1995 г. разрешала передачу персональных данных за пределы ЕС только в том случае, если в стране назначения можно было гарантировать адекватный уровень защиты. GDPR также отражает это. И Директива 1995 года, и теперь GDPR обеспечивают безопасную передачу данных, но GDPR также содержит дополнительные механизмы передачи или улучшения по сравнению с предыдущими.

Механизмы передачи, такие как решение ЕС об адекватности, согласованные надлежащие гарантии, установленные законом исключения (согласие и договорные обязательства) остаются. Тем не менее GDPR включает в себя аккредитованные сертификаты, утвержденные отраслевые кодексы поведения и обязательные корпоративные правила в качестве альтернатив для поддержки потока данных за пределами ЕС. BCR действительно существовали как часть Директивы 1995 г., но были внесены изменения, и теперь GDPR поддерживает BCR как действительную основу для международной передачи данных как для контролеров данных, так и для обработчиков данных.

GDPR вносит изменения в существующие практики BCR

GDPR определяет ОКП как «политику защиты персональных данных, которой придерживается контролер или обработчик, созданный на территории государства-члена для передачи или набора передач персональных данных контролеру или обработчику в одной или нескольких третьих странах в рамках группы. предприятий или группы предприятий, осуществляющих совместную экономическую деятельность».

Хотя обязательные корпоративные правила были частью Директивы 1995 года, и концепция остается неизменной, GDPR внес в нее некоторые существенные изменения, которые наиболее выгодны организациям, желающим использовать BCR в качестве механизма передачи данных.

  • Ранее BCR предназначались для контроллеров данных. Теперь, в соответствии с GDPR, обработчики данных также могут устанавливать BCR. Для каждого существуют определенные требования.
  • Обновлены рекомендации для BCR для контроллеров и BCR для обработчиков, чтобы показать критерии, которые должны учитываться в BCR. В нем разъясняется, что должно быть частью ОНК, а что должно быть предоставлено надзорному органу как часть приложения ОНК.
  • Продления были сделаны для группы заявителей. Ранее ОКП применялись только к группам предприятий. Теперь ими могут пользоваться и группы предприятий, ведущих совместную хозяйственную деятельность.
  • Минимальные требования были расширены за счет включения дополнительных сведений, таких как контактные данные каждого члена группы, описание принципов конфиденциальности по умолчанию и по умолчанию, права субъектов данных, информационные обязательства и сведения об ответственных лицах. для поддержания процедур обучения и соответствия. Существуют дополнительные разъяснения.

Почему обязательные корпоративные правила важны

Обязательные корпоративные правила хорошо функционируют в качестве механизма передачи для компаний со сложной международной структурой. Они избавляют от необходимости создавать и обосновывать контракты для каждой отдельной организации, что может привести к тысячам контрактов. Вместо этого BCR позволяют разработать, проверить и утвердить единый набор правил передачи. Таким образом, группы компаний или группа предприятий или организаций, участвующих в многосторонней экономической деятельности, такой как франшизы или совместные предприятия, находят BCR бесценным.

BCR имеют обязательную юридическую силу, подлежат исполнению и утверждаются органом по защите данных. Они отражают принципы защиты данных и права субъектов данных. Получив одобрение компетентного органа по защите данных, BCR демонстрируют компетентность организации в отношении безопасности и надлежащего обращения с личной информацией и показывают, что организация серьезно относится к защите данных и может эффективно и надлежащим образом управлять своей информацией в своей группе компаний.

Организация может повысить осведомленность о требованиях к защите данных и конфиденциальности в своей организации. Утвержденный и эффективно реализованный BCR обеспечивает применение соответствующего плана управления защитой данных с унифицированными процессами во всей организации. Это повышает качество и зрелость безопасности данных и управления данными в группе.

BCR являются предпочтительным механизмом передачи, поскольку он обеспечивает гибкость, а после его утверждения и внедрения административная нагрузка значительно снижается.

Рекомендуемый 7-шаговый процесс

Для группы компаний, которым необходимо передать персональные данные из одной или нескольких юрисдикций ЕС в пункты назначения за пределами ЕС для обработки, предлагается следующий процесс:

Шаг 1: Всегда, во-первых, выясняйте, подтверждает ли ЕС пункт назначения как пункт назначения с «адекватным уровнем защиты» — другими словами, существует ли решение об адекватности для рассматриваемой страны. В противном случае необходимо рассмотреть другие соответствующие меры предосторожности.

Шаг 2. Если обязательные корпоративные правила являются предпочтительной гарантией, дальнейший процесс должен соответствовать GDPR. Хотя компании, возможно, полагались на BCR до GDPR, в процесс были внесены изменения, и компаниям следует обновлять их и вносить необходимые изменения для обеспечения соответствия GDPR.

Шаг 3: Определите тип необходимого BCR. Два типа BCR могут применяться и утверждаться в соответствии с GDPR: один для контроллера данных (используется организацией группы для передачи данных, за которые они несут ответственность), и один для обработчика данных (используется организациями, действующими в качестве обработчиков для других контроллеров).. Руководства по применению существуют для каждого приложения, и важно определить, какое приложение требуется, поскольку требования для каждого из них различаются.

Шаг 4: Определите объем BCR. Определитесь с личными данными, которые будет охватывать ОКП (все личные данные или определенный набор данных) и какие члены группы подпишутся на него (все члены группы или только некоторые компании). Укажите структуру и контактные данные всех лиц, участвующих в ОКП. Укажите передачу, тип данных, субъекты данных и вовлеченные страны. Какие данные куда передаются? Все это необходимо определить, так как это должно быть указано в приложении BCR.

Шаг 5: Выберите ведущий орган для BCR. Надзорный орган должен быть выбран в качестве единого контактного лица с организацией-заявителем. Выбранный лид должен быть обоснован организацией, подающей заявку. Заявка должна быть отправлена в надзорный орган, который может принять или отказаться быть ведущим BCR после обсуждения заявки со всеми участвующими надзорными органами.

Ведущим может быть надзорный орган в стране ЕС, где базируется одна из компаний. Это может быть головной офис, но не обязательно. В рассмотрении и авторизации ОКП может участвовать более одного надзорного органа ЕС. Это зависит от того, затронуты ли несколько стран ЕС (у группы есть компании в более чем одной стране ЕС, из которых передаются данные, и эти компании также подписываются на BCR).

Шаг 6: Создайте внутрикорпоративный кодекс поведения (BCR), который действует в группе компаний всякий раз, когда персональные данные передаются между группами организаций ЕС и организаций, не входящих в ЕС.

Изображение 9938
Pixabay

Это должно касаться мер и правил, которым должны следовать компании для защиты информации при обработке личной информации, включая трансграничную передачу данных.

Как компания, отправляющая данные, так и получатель данных должны подписаться под групповым документом BCR.

Для создания BCR потребуется поддержка и приверженность со стороны руководителей, поэтому эта поддержка должна быть получена до подачи заявки BCR. Команда необходима для разработки, управления и внедрения BCR. Это очень важно для эффективного процесса.

BCR должны включать следующее, чтобы соответствовать конкретным требованиям:

  • Структура и контактные данные группы предприятий, осуществляющих совместную хозяйственную деятельность.
  • Осуществляемая передача данных, категории персональных данных, тип обработки, цели обработки, затронутые субъекты данных, вовлеченные третьи страны.
  • Демонстрировать юридически обязывающий характер внутри и снаружи.
  • Применение принципов защиты данных, изложенных в GDPR.
  • Права субъектов данных и то, как они могут реализовать свои права, а также порядок подачи жалобы в надзорный орган, если они того пожелают.
  • Процедуры для поддержания эффективности методов, изложенных для защиты данных и соблюдения правил и обеспечения соответствия (обучение, проверки и т. д.).
  • Принятие контролером или процессором государства-члена ЕС ответственности за любые нарушения ОКП любым заинтересованным членом за пределами ЕС.
  • Как информация, включенная в ОКП, предоставляется субъектам данных.
  • Краткое описание процедур соответствия: методы демонстрации соблюдения ОКП (аудиты), методы корректирующих действий для защиты прав субъектов данных. Процедуры отчетности. Методы регистрации обновлений/изменений, внесенных в ОКП, и информирования о них надзорного органа. Методы связи и отчетности перед надзорным органом для обеспечения соблюдения группой и ее членами.
  • Должна быть обеспечена прозрачность в соответствии с требованиями GDPR.
  • Подотчетность: каждая организация должна быть в состоянии продемонстрировать, что она соблюдает требования.

Продолжительность процесса подачи заявки и внедрения зависит от многих аспектов организации. Доступные ресурсы и опыт, а также уровень зрелости стратегий защиты данных и управления данными, существующих в организации. В конце концов, BCR зависит от реализации политик, процедур и обучения — все это неотъемлемая часть этих стратегий управления данными.

Шаг 7: После получения одобрения BCR необходимо соответствующим образом внедрить в группе. Обязательные корпоративные правила должны быть доведены до сведения и реализованы, а обязанности должны быть распределены между всеми участниками, чтобы BCR был достижим и своевременен. Практичный и осуществимый план коммуникации, план реализации, план обучения и план мониторинга и отчетности — все это необходимо для эффективного принятия групповой политики.

BCR: больше, чем просто механизм передачи данных

Хотя идеальным механизмом передачи остается решение ЕС об адекватности, это когда ЕС, по сути, внес в белый список страну или территорию как предлагающую «адекватный уровень защиты» для персональных данных — решение, подтвержденное комиссией. В этом случае передача данных в эти области обычно разрешается без проблем. Однако, когда решение об адекватности недоступно, необходимы и важны одобренные ЕС гарантии.

Обязательные корпоративные правила попадают в эту категорию и являются популярным выбором для многих многонациональных групп компаний, особенно после того, как ОКП были обновлены для приведения в соответствие с GDPR.

В дополнение к его функции в качестве механизма передачи. BCR предлагают множество преимуществ группам компаний. Это способ формализовать и опубликовать программу управления защитой данных группы. Чтобы продемонстрировать регулирующим органам, сотрудникам, клиентам и партнерам, что организация берет на себя ответственность за безопасность личной информации и обеспечивает прозрачность, раскрывая, как она обрабатывает данные внутри группы. Это ставит всех на одну доску! В дополнение к соответствию, BCR помогают продвигать культуру безопасного и ответственного использования данных в группе.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023