Wiążące reguły korporacyjne (BCR):CNIL publikuje narzędzie monitorowania

Aby wesprzeć grupy posiadające wiążące reguły korporacyjne w weryfikacji ich wdrożenia, CNIL udostępnia im narzędzie i opisuje etapy jego wdrożenia.

Czym są wiążące reguły korporacyjne i które grupy powinny je wdrożyć?

Wiążące reguły korporacyjne (BCR) wyznaczają wewnątrzgrupową politykę ochrony danych. Umożliwiają podmiotom powiązanym przekazywanie danych osobowych poza Unię Europejską. Jest to jedno z narzędzi zapewniania zgodności przez Ogólne rozporządzenie o ochronie danych (RODO). Zatwierdzanie wiążących reguł korporacyjnych stanowi część procesu wsparcia wdrażanego przez CNIL. Grupy holdingowe odpowiadają za skuteczną realizację obowiązków wynikających z BCR. Spółki, których to dotyczy, to międzynarodowe spółki prywatne z siedzibą w kilku krajach Unii Europejskiej i poza nią (patrz lista grup posiadających BCR zatwierdzone przez CNIL).

Nowe narzędzie do monitorowania w celu weryfikacji zgodności z wiążącymi regułami korporacyjnymi

Aby umożliwić grupom posiadającym wiążące reguły korporacyjne sprawdzenie poziomu zgodności z wymogami tych reguł, CNIL opublikował narzędzie monitorowania w języku francuskim i angielskim. Grupy posiadające BCR będą mogły sprawdzić poziom zgodności z wymogami tych zasad właśnie dzięki opublikowanemu przez CNIL narzędziu monitorującemu.

Należy to wdrożyć w trzech etapach, wykorzystując dwa kwestionariusze, które można dostosować do potrzeb:

1. Inspektor ochrony danych lub osoba odpowiedzialna za grupę wybiera podmioty, które będą podlegać temu monitorowaniu. Mogą, ale nie muszą, znajdować się w UE.
2. Organizacje te wypełniają pierwszy kwestionariusz podmiotu lokalnego i przesyłają go osobie odpowiedzialnej na poziomie grupy. Taka informacja zwrotna zapewnia konkretne i zharmonizowane wdrożenie zasad BCR oraz odpowiednie zarządzanie.
3. Drugi kwestionariusz Grupowy IOD wypełnia bezpośrednio inspektor ochrony danych grupy, na podstawie informacji zwrotnych otrzymanych za pośrednictwem pierwszego kwestionariusza. Musi umożliwiać grupowemu inspektorowi ochrony danych przegląd wdrażania zarządzania.

Na podstawie wyników inspektor ochrony danych lub osoba odpowiedzialna na poziomie grupy może skompletować dokumentację dotyczącą zgodności grupy, zaproponować plan działania lub zwrócić się o przeprowadzenie audytów.

Więcej informacji na ten temat oraz wskazane formularze znajdują się pod adresem francuskiego organu nadzorczego.