Открыть сервис

Корпоративные обязательные правила

Корпоративные обязательные правила (англ. Binding Corporate Rules, BCR) — это внутренний регламент защиты персональных данных, официально утверждённый транснациональной компанией или группой предприятий, который обеспечивает единый уровень защиты персональных данных при их передаче между подразделениями, расположенными в разных странах, в том числе за пределами Европейской экономической зоны (ЕЭЗ). BCR являются одним из легальных механизмов международной передачи персональных данных, предусмотренных Общим регламентом по защите данных (GDPR) Европейского союза.

История и правовая основа

Предпосылки появления

До вступления в силу GDPR в 2018 году передача персональных данных из стран ЕЭЗ в третьи страны (не входящие в ЕЭЗ) была возможна только при условии, что в стране-получателе обеспечивается «адекватный уровень защиты» (решение Европейской комиссии об адекватности), либо с использованием стандартных договорных оговорок (SCC), либо на основании согласия субъекта данных. Для крупных транснациональных корпораций, имеющих десятки и сотни подразделений по всему миру, заключение индивидуальных договоров с каждым филиалом было крайне обременительным. В результате возникла потребность в едином внутреннем документе, который бы охватывал все внутригрупповые передачи данных.

Закрепление в законодательстве ЕС

Концепция BCR была впервые формализована в Директиве 95/46/EC (предшественнице GDPR) и получила развитие в рабочих документах Статьи 29 Рабочей группы (предшественника Европейского совета по защите данных — EDPB). С принятием GDPR в 2016 году (вступил в силу 25 мая 2018 года) BCR стали одним из ключевых инструментов, перечисленных в статье 47 GDPR. Регламент установил обязательные требования к содержанию BCR, порядку их утверждения и юридической силе.

Статус в Российской Федерации

В Российской Федерации передача персональных данных за рубеж регулируется Федеральным законом «О персональных данных» № 152-ФЗ. Прямого аналога BCR в российском законодательстве не существует. Однако при трансграничной передаче данных в страны, не обеспечивающие адекватную защиту (в том числе в страны ЕС), оператор обязан получить письменное согласие субъекта данных или заключить договор, содержащий положения о защите данных. Использование BCR, утверждённых европейским регулятором, может быть признано российскими судами и регуляторами (Роскомнадзором) в качестве дополнительного подтверждения уровня защиты, но не заменяет требования российского закона. На практике российские компании, входящие в международные группы, часто применяют BCR в качестве внутреннего стандарта, параллельно соблюдая требования 152-ФЗ.

Структура и содержание

Обязательные элементы

Согласно статье 47 GDPR, BCR должны содержать как минимум:

  • Сферу действия — перечень всех компаний группы, на которые распространяются правила, включая филиалы и дочерние предприятия.
  • Принципы обработки — законность, справедливость, прозрачность, ограничение целей, минимизация данных, точность, ограничение хранения, целостность и конфиденциальность.
  • Права субъектов данных — механизмы реализации прав на доступ, исправление, удаление, ограничение обработки, переносимость данных и возражение.
  • Ответственность за нарушение — процедуры расследования, компенсации ущерба и применения санкций внутри группы.
  • Механизм контроля — назначение ответственного за защиту данных (DPO) или аналогичной должности, а также процедуры внутреннего аудита.
  • Порядок изменения правил — уведомление регулятора и субъектов данных о любых изменениях.
  • Юридическая сила — BCR должны быть юридически обязательными для всех участников группы, а также обеспечивать права субъектов данных, которые могут ссылаться на них в суде.

Дополнительные элементы

Часто в BCR включаются:

  • Классификация категорий данных — общие, специальные (биометрические, медицинские), данные о детях.
  • Технические и организационные меры защиты — шифрование, контроль доступа, резервное копирование, планы реагирования на инциденты.
  • Процедуры уведомления об утечках — сроки и каналы оповещения регуляторов и субъектов.
  • Политика хранения и удаления данных — сроки хранения, архивирование, уничтожение.

Процедура утверждения

Роль ведущего надзорного органа

BCR утверждаются не самой компанией, а надзорным органом по защите данных (DPA) той страны ЕЭЗ, где находится главное представительство компании в ЕС (так называемый «ведущий надзорный орган»). Компания подаёт заявку, включающую полный текст BCR, описание структуры группы, перечень передаваемых данных и мер защиты. Процесс может занять от 6 до 18 месяцев.

Процедура согласованности

Если BCR затрагивают несколько стран ЕЭЗ, ведущий орган проводит консультации с другими заинтересованными DPA в рамках механизма согласованности (consistency mechanism). В случае разногласий вопрос решается Европейским советом по защите данных (EDPB), который может дать обязательное заключение.

После утверждения

После получения одобрения компания обязана:

  • Опубликовать BCR (или их краткую версию) на своём веб-сайте.
  • Обеспечить доступность правил для всех сотрудников и субъектов данных.
  • Проводить регулярные внутренние аудиты (не реже одного раза в год) и отчитываться перед ведущим DPA.

Преимущества и недостатки

Преимущества

  • Единый стандарт — BCR заменяют сотни индивидуальных договоров (SCC) между подразделениями, упрощая администрирование.
  • Юридическая определённость — BCR признаются всеми регуляторами ЕЭЗ, что снижает риск блокировки передачи данных.
  • Гибкость — компания может адаптировать правила под свою специфику, а не использовать шаблонные оговорки.
  • Репутация — наличие BCR демонстрирует высокий уровень корпоративной ответственности в области защиты данных.

Недостатки

  • Сложность и затраты — разработка и утверждение BCR требуют значительных ресурсов (юристы, консультанты, время).
  • Ограниченная сфера — BCR действуют только внутри группы компаний; для передачи данных третьим лицам (например, подрядчикам) всё равно требуются SCC или другие механизмы.
  • Риск несоответствия — если одно из подразделений нарушает BCR, вся группа может потерять доверие регулятора и столкнуться с санкциями.

Применение в России

Международные группы

Российские дочерние компании западных корпораций, имеющих BCR, часто включаются в их сферу действия. Это позволяет легально передавать данные из ЕС в Россию (например, для обработки в центрах компетенций) при условии, что российская сторона принимает на себя обязательства, предусмотренные BCR.

Российские компании

Крупные российские холдинги, работающие с данными граждан ЕС (например, в сфере туризма, IT, финансов), могут разрабатывать собственные BCR для упрощения передачи данных в Европу. Однако процесс утверждения BCR в европейском регуляторе для компании, не имеющей представительства в ЕС, затруднён — требуется назначение представителя в ЕЭЗ.

Альтернативы в России

В отсутствие прямого аналога BCR российские компании часто используют:

  • Стандартные договорные оговорки (SCC) — адаптированные под требования 152-ФЗ.
  • Согласие субъекта — на каждую передачу данных за рубеж.
  • Локальные нормативные акты — внутренние политики, которые дублируют принципы BCR, но не имеют юридической силы за пределами группы.

Критика и ограничения

Сложность для малого бизнеса

BCR ориентированы в первую очередь на крупные транснациональные корпорации. Малые и средние предприятия (МСП) редко могут позволить себе затраты на разработку и утверждение BCR, что создаёт неравные условия на рынке.

Проблемы с правоприменением

Хотя BCR юридически обязательны для участников группы, на практике доказать нарушение BCR субъекту данных сложно — требуется обращение в суд или регулятору, что может быть затруднено из-за юрисдикционных барьеров.

Геополитические риски

В условиях санкций и ограничений (например, после 2022 года) некоторые европейские регуляторы стали более осторожно относиться к передаче данных в Россию через BCR, требуя дополнительных гарантий или приостанавливая действие правил.

Интересные факты

  • Первые BCR были утверждены в 2007 году для компании General Electric (США).
  • По состоянию на 2024 год более 200 компаний по всему миру имеют утверждённые BCR, большинство из которых — американские и европейские IT-гиганты (Microsoft, Google, SAP, Siemens).
  • BCR могут быть двух типов: BCR для контролёров (BCR-C) — для компаний, которые сами определяют цели и средства обработки данных, и BCR для процессоров (BCR-P) — для компаний, обрабатывающих данные по поручению контролёра.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →