22 jan
2015

De Autoriteit heeft haar eerste Europese samenwerkingsprocedure als leidende autoriteit afgerond

Op dinsdag 6 januari 2015, heeft de Autoriteit als leidende autoriteit haar tussenkomst afgerond met betrekking tot de Europese samenwerkingsprocedure voor bindende ondernemingsregels, beter bekend als de “Binding Corporate Rules”, van de onderneming Johnson Controls.


BCR zijn regels die multinationals opstellen waaraan hun entiteiten en personeelsleden onderworpen zijn zodat er voldoende gegevensbeschermende garanties kunnen worden geboden bij de grensoverschrijdende gegevensstromen binnen de groep (bijvoorbeeld, uitwisseling van informatie over hun personeel of klanten tussen de entiteiten van de groep). Ze bevatten de fundamentele beginsels inzake gegevensbescherming (transparantie, proportionaliteit,…) maar ook maatregelen die garanderen dat deze beginsels concreet worden ingevoerd binnen de onderneming (auditsystemen, personeelsopleidingen, benoeming van een aangestelde voor de gegevensbescherming, klachtenbeheersysteem,…).

Met de BCR kunnen ondernemingen binnen hun ondernemingsgroep uniforme regels opstellen. Zij zijn ook voordelig voor de burgers omdat ze hierdoor op het Europees grondgebied beschikken over een stevig recht op beroep en dit zelfs voor verwerkingen die werden verricht nadat ze naar het buitenland werden verzonden.

De verschillende nationale gegevensbeschermingsautoriteiten die betrokken zijn bij de gegevensstroom moeten die regels valideren en voor dit doel werd een Europese gecoördineerde procedure uitgewerkt zodat  een overlegd onderzoek van het ontwerp van BCR zou kunnen plaatsvinden maar ook om de coherentie van de beslissingen van de verschillende gegevensbeschermingsautoriteiten te bevorderen. Via die procedure kan de multinational zijn aanvraag indienen bij een nationale autoriteit (“leidende” autoriteit op Europees niveau) die de samenwerkingsprocedure coördineert tussen de andere betrokken autoriteiten van de Europese Unie.

Eens de Europese samenwerkingsprocedure is afgerond, vereist de meerderheid van de nationale wetgevingen dat die BCR nog worden goedgekeurd door de verschillende nationale gegevensbeschermingsautoriteiten. In België moet er een Koninklijk besluit worden goedgekeurd, na advies van de Autoriteit – zie het protocolakkoord afgesloten tussen de FOD Justitie en de Autoriteit. Het ontwerp van Europese verordening inzake gegevensbescherming schrapt die tweede stap met betrekking tot de nationale procedure.

Johnson Controls zal dus de lijst vervoegen van de 61 andere ondernemingen waarvoor een Europese samenwerkingsprocedure BCR werd uitgewerkt.