A kötelező vállalati szabályok (vagy a kötelező erejű vállalati szabályok vonatkozásában a BCR ) olyan európai jogi eszköz, amelyre egy multinacionális vállalat vagy vállalatcsoport felhasználhatja a személyes adatok megfelelő szintű védelmének biztosítását, amikor a csoporton belül adatot továbbít egy országból. az Európai Unióban (EU) vagy az Európai Gazdasági Térségben (EGT) egy harmadik országba.
Ezeket a szabályokat eredetileg egy olyan kiegészítő eszközként dolgozták ki, amely lehetővé teszi a személyes adatok átadását nem megfelelő országokba, amint azt az Európai Bizottság a személyes adatok védelméről szóló 95/46 / EK irányelv és különösen az európai cikk alapján meghatározta. "munkacsoport, G29 , az adatvédelemről.
Ezek az eszközök öt különböző kategóriába tartoznak, amelyek megfelelnek a különböző igényeknek: a standard szerződési szabályok, az adatvédelmi pajzs az Egyesült Államok és Svájc Egyesült Államokba történő transzferjeihez, a kötelező érvényű vállalati szabályok (BCR), az érintett személyek kifejezett beleegyezése, amely valójában nagyon kevés. alkalmazott gyakorlat és "ad hoc" szerződések, amelyekhez a hatóságok jóváhagyása szükséges.
E szabályok alkalmazásához egy úgynevezett "vezető" hatóság jóváhagyása szükséges, amely egy másik EU-ország adatvédelméért felelős, és két másik társ-vezető hatóság segíti. Ezeket a szabályokat a 20 hatóság által létrehozott "kölcsönös megállapodási" mechanizmusnak és a fennmaradó felekkel folytatott konzultációnak (a tervezett továbbítás (ok) tól függően) történő általános jóváhagyás után felhasználhatjuk a személyes adatok továbbítására.
Meg kell jegyezni, hogy azóta a 2016/679 európai rendelet (GDPR) teljes mértékben integrálta ezt az eszközt a 47. cikkbe, és a WP29 helyébe lépő EDPB (Európai Adatvédelmi Testület) munkadokumentumokat (WP 256, 257) tett közzé, amelyek meghatározzák a BCR-ek formája és tartalma, hogy megfeleljen a GDPR 47. cikkének.
Számos uniós dokumentum célja, hogy segítséget nyújtson a jogi eszköz használatát kívánó vállalatoknak.