Opdater godkendte Binding Corporate Rules inden udgangen af 2024

Opdater godkendte Binding Corporate Rules inden udgangen af 2024

Compliance EU-ret Persondata og cybersikkerhed
EDPB skærper kravene til BCR-C under GDPR. Virksomheder med godkendte eller verserende BCR skal senest ved udgangen af 2024 indsende opdaterede regler til godkendelse. Fokus er hæftelsesansvar, registreredes rettigheder, tredjemandshåndhævelse og myndighedsadgang.
MS
Max Gersvang Sørensen
LD
Laura Katarina Dollerup

Virksomheder med godkendte BCR-C skal senest ved udgangen af 2024 indsende opdaterede bindende virksomhedsregler til godkendelse. Kravene følger af Det Europæiske Databeskyttelsesråds nye anbefalinger, som skærper ansvar, rettigheder og håndhævelse på tværs af koncernen.

Opdateringskrav til BCR-C og EDPB’s anbefalinger

EDPB har opdateret rammen for BCR-C for at sikre et gyldigt overførselsgrundlag efter GDPR. Anbefalingerne adresserer blandt andet allokering af hæftelsesansvar, adgang til retsmidler og kompensation for registrerede samt øget gennemsigtighed ved myndighedsanmodninger. Se anbefalingerne hos EDPB.

De nye krav omfatter også håndhævelse af registreredes rettigheder som tredjemandsbegunstigede, procedurer for behandling af klager og krav om passende koncernintern sikkerhedsstillelse. BCR skal desuden beskrive forholdet til lokal lovgivning i modtagerlandene og indarbejde effektive kontrol- og auditmekanismer.

Praktiske skridt for compliance og dokumentation

Organisationer bør gennemføre en målrettet gap-analyse af eksisterende BCR, opdatere governance, politikker og koncerninterne aftaler og sikre proces for klager, afhjælpning og erstatning. Der skal foreligge klar dokumentation for rollefordeling mellem dataansvarlige og databehandlere og for håndtering af myndighedsadgang.

BCR er hjemlet i GDPR artikel 47 og anvendes sammen med overførselsreglerne i artiklerne 44–49. Opdaterede BCR skal indsendes til den ledende tilsynsmyndighed, og der må forventes sagsbehandlingstid, som bør indregnes i projektplanen.

Frist, omfang og risici ved manglende opdatering

Opdateringskravet gælder både for allerede godkendte BCR-C og for verserende ansøgninger. Arbejdet kan være komplekst og bør igangsættes tidligt for at sikre rettidig godkendelse og fortsat lovligt overførselsgrundlag.

Manglende opdatering kan føre til, at tredjelandsoverførsler mangler gyldig hjemmel og potentielt udløser håndhævelse fra tilsynsmyndigheder. Virksomheder bør derfor sikre forankring på ledelsesniveau, ressourcer til implementering og tæt dialog med tilsynet.

Læs hele artiklen hos Gorrissen Federspiel →
Søgeord
GDPR, Complianceprogram, Datatilsynet, Databeskyttelse, Tredjelandsoverførsler, Governance, Dataansvarlig, Sikkerhedsstillelse, Registreredes rettigheder, EDPB, Databehandler, Tilsynsmyndighed, Overførselsgrundlag, Bindende virksomhedsregler, Binding corporate rules, GDPR art. 46, GDPR art. 49, BCR, Myndighedsadgang, GDPR art. 44, Hæftelsesansvar, Persondataforordningen, Retsmidler, Kompensation, Dataoverførsel, Koncernansvar, GDPR art. 47, Koncernpolitik, Klagemekanisme, Ledende tilsynsmyndighed, Interne regler, Koncerninterne overførsler, Bcr-c, Bcr-p, Edpb anbefalinger bcr-c, Tredjemandshåndhævelse, Overførselsanalyse, Interne kontrolforanstaltninger

Relaterede artikler

Kapitalfondes investeringer i revisionsvirksomheder skaber både muligheder og risici
Erhvervsstyrelsen

Kapitalfondes investeringer i revisionsvirksomheder skaber både muligheder og risici

Kapitalfonde i revisionsbranchen kan styrke teknologi og vækst, men skærper risikoen for uafhængighedsbrud og kvalitetsfald. Få overblik over revisorlovens ejerskabsregler, etiske standarder og praktiske tiltag, der reducerer regulatoriske og driftsmæssige risici.
Littler's Global Guide kvartalsvise nyheder
Littler Danmark

Littler's Global Guide kvartalsvise nyheder

EU-Domstolen begrænser mindstelønsdirektivets rækkevidde uden at ændre den danske overenskomstmodel, Arbejdsretten kræver kompensation ved lavere vikar-løn, og Højesteret præciserer både 120-dages-reglen og afgrænsningen af arbejdsskader under pendling.
Bestyrelsesansvar – sådan undgår du personlig hæftelse som bestyrelsesmedlem
STORM Advokatfirma

Bestyrelsesansvar – sådan undgår du personlig hæftelse som bestyrelsesmedlem

Culpaansvar, kapitaltab og truende insolvens skærper kravene til bestyrelsens tilsyn og dokumentation. Få overblik over pligter efter selskabsloven og konkrete governance-tiltag, der reducerer risikoen for personlig hæftelse, fra kapitalberedskab til krisestyring.
Datatilsynet giver 51 kommuner alvorlig kritik i Chromebook-sag
Datatilsynet

Datatilsynet giver 51 kommuner alvorlig kritik i Chromebook-sag

Datatilsynet retter alvorlig kritik mod 51 kommuner i Chromebook-sagen og advarer om GDPR-brud ved forkert konfiguration og tredjelandsoverførsler. Kommuner skal dokumentere kontrol med underdatabehandlere og sikre EU-ækvivalent beskyttelse.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Naturstyrelsen
Jurister med interesse for natur- og miljøbeskyttelse
Naturstyrelsen
Erhvervsministeriet
Medarbejdere søges til nyoprettet kontor for tilsyn med leasingvirksomheder
Erhvervsministeriet
Sundhedsdatastyrelsen
Erfaren jurist til udviklingsopgaver i Sundhedsdatastyrelsen
Sundhedsdatastyrelsen
Erhvervsministeriet
Dygtige jurister til arbejdet med velfungerende kapitalmarkeder
Erhvervsministeriet
Københavns Kommune
Kontorchef til den nye juridiske afdeling i Kultur-, Fritids- og Borgerserviceforvaltningen i Danmarks største kommune
Københavns Kommune
GF Forsikring
AI-jurist til Koncernjura
GF Forsikring
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →