Δεσμευτικοί Εταιρικοί Κανόνες (Binding Corporate Rules): Από τη θεωρία στην πράξη Φαίη Καρβέλα, Δικηγόρος, LL.M., Ειδική Επιστήμων ΑΠΔΠΧ Θεοδώρα Τουτζιαράκη, LL.M.Eur, Ειδική Επιστήμων ΑΠΔΠΧ

BCR – Έννοια και νομική βάση  BCR = επαρκείς εγγυήσεις για διαβίβαση δεδομένων εκτός Ε.Ε. μεταξύ εταιρειών του ίδιου ομίλου  νομική βάση: – ά. 26 παρ. 2 Οδηγίας 95/46/EK – ά. 9 παρ. 2 στοιχ. στ‘ ν. 2472/1997

Διαδικασία έγκρισης BCR 1.Αίτηση ομίλου προς επιλογή επικεφαλής αρχής 2.Υποβολή σχεδίου BCR στην επικεφαλής αρχή 3.Επικεφαλής αρχή → λοιπές εθνικές αρχές (σχόλια εντός 1 μήνα) → τελικό σχέδιο από επικεφαλής σε λοιπές 4.Επιβεβαίωση λήψης τελικού σχεδίου = αναγνώριση ότι πληρούνται απαιτήσεις Ο.Ε. ά. 29 Οδηγίας 95/46/ΕΚ 5.Έγκριση BCR → κοινοποίηση σε όμιλο και εθνικές αρχές S.O.S.: Κάθε εταιρεία του ομίλου → αρμόδια εθνική αρχή!

BCR - Άδεια Διαβίβασης ΑΠΔΠΧ: Διαδικαστικές προϋποθέσεις  Άδεια Διαβίβασης με βάση BCR ανά υπεύθυνο – μέλος του ομίλου  Προσκομιστέα έγγραφα:  Τυποποιημένη αίτηση WP 133  Κείμενο BCR  Γνωστοποίηση (έντυπα 1, 2 & 5): κατηγορίες δεδομένων, σκοποί, αποδέκτες, πληροφοριακό σύστημα  Πολιτική ασφαλείας, σχέδιο ασφαλείας ► Η άδεια χορηγείται στην εταιρεία - μέλος του ομίλου και καλύπτει όλες τις διαβιβάσεις βάσει BCR

BCR - Άδεια Διαβίβασης ΑΠΔΠΧ: Παράδειγμα Όμιλος First Data  Απόφαση 143/2013 (First Data Hellas Α.Ε.) → Άδεια ΓΝ/ΕΞ/618/  Απόφαση 152/2013 (D. Man Ανώνυμη Εταιρεία Ενημέρωσης Οφειλετών) → Άδεια ΓΝ/ΕΞ/617/

BCR - Άδεια Διαβίβασης ΑΠΔΠΧ: «Σκεπτικό» 1/3  είδος δεδομένων (απλά & ευαίσθητα) α) υπάλληλοι β) πελάτες γ) προμηθευτές δ) συνεργάτες ε) σύμβουλοι στ) μέτοχοι  σκοποί διαβίβασης α) διοίκηση προσωπικού β) λειτουργικές ανάγκες γ) επιχειρησιακή συνέχεια

BCR - Άδεια Διαβίβασης ΑΠΔΠΧ: «Σκεπτικό» 2/3  υπεροχή εθνικού δικαίου (όταν παρέχει υψηλότερου επιπέδου προστασία)  απόρρητο και ασφάλεια της επεξεργασίας (σύμφωνα με BCR & τυχόν πρόσθετα μέτρα)

BCR - Άδεια Διαβίβασης ΑΠΔΠΧ: «Σκεπτικό» 3/3  βασικές προϋποθέσεις εθνικού δικαίου (ν. 2472/1997): - ά. 4 (γενικές αρχές) - ά. 5, 7 & 7Α (νομιμοποιητικές βάσεις) - ά. 10 (απόρρητο & ασφάλεια) - ά. 11, 12, 13 (δικαιώματα υποκειμένου)

BCR - Άδεια Διαβίβασης ΑΠΔΠΧ: Όροι 1/3  ισχύς άδειας (χρονικό διάστημα) = αμετάβλητα BCR & επιφύλαξη τυχόν τροποποίησης ισχύοντος δικαίου  μεταβολές (δομή ομίλου, σχέση αιτούσας – ομίλου, μεταβολή όρων BCR) → ενημέρωση Αρχής! → ουσιώδεις μεταβολές = ενδεχόμενη ανάκληση ή τροποποίηση άδειας

BCR - Άδεια Διαβίβασης ΑΠΔΠΧ: Όροι 2/3  τήρηση βασικών υποχρεώσεων ν. 2472/1997 & σχετικών πράξεων ΑΠΔΠΧ (π.χ. Οδηγία 115/2001)  χρήση κατάλληλων ασφαλών κρυπτογραφικών μηχανισμών σύμφωνα με διεθνώς αποδεκτά πρότυπα  παράβολο

BCR - Άδεια Διαβίβασης ΑΠΔΠΧ: Όροι 3/3 ειδικότεροι όροι κατά περίπτωση, π.χ.  προσκόμιση εγγράφων εντός 6 μηνών  απαγόρευση διαβίβασης δεδομένων που δεν καλύπτονται από τα BCR (π.χ. άδεια D.Man)

BCR – Χρήσιμοι σύνδεσμοι  Ευρωπαϊκή Επιτροπή – Ο.Ε. Άρθρου 29 protection/document/international-transfers/binding- corporate-rules/index_en.htm  ΑΠΔΠΧ =portal&_schema=PORTAL