De bindende virksomhedsregler (eller BCR for bindende virksomhedsregler ) er et europæisk retligt instrument, som et multinationalt selskab eller en koncern kan bruge til at sikre et passende niveau af beskyttelse af personoplysninger, når de overfører data inden for gruppen fra et land i Den Europæiske Union (EU) eller i Det Europæiske Økonomiske Samarbejdsområde (EØS) til et tredjeland.
Disse regler blev oprindeligt udviklet som et ekstra værktøj, der muliggør overførsel af personoplysninger til ikke-tilstrækkelige lande som defineret af Europa-Kommissionen på grundlag af direktiv 95/46 / EF om beskyttelse af personoplysninger med især den europæiske "artikel 29 "arbejdsgruppe, G29 , om databeskyttelse.
Disse værktøjer tilhører fem forskellige kategorier, der svarer til forskellige behov: Standardkontraktreglerne, Privacy Shield for overførsler fra USA og Schweiz til USA, Binding Corporate Rules (BCR), det udtrykkelige samtykke fra de berørte personer, der er i kraft. Meget lidt brugt praksis og "ad hoc" -kontrakter, der kræver validering af autoriteterne.
Anvendelsen af disse regler kræver godkendelse af en såkaldt "lead" myndighed med ansvar for databeskyttelse af et EU-land bistået af to andre "co-lead" myndigheder. Disse regler efter generel godkendelse takket være en mekanisme med "gensidig aftale", der er oprettet mellem 20 myndigheder og høring af de resterende (i henhold til den påtænkte overførsel) kan derefter bruges til overførsel af personoplysninger.
Det skal bemærkes, at den europæiske forordning 2016/679 (GDPR) siden da har integreret dette værktøj fuldt ud i sin artikel 47, og EDPB (European Data Protection Board), der erstattede WP29, har offentliggjort Working Papers (WP 256, 257), der definerer form og indhold af BCR'er for at overholde GDPR artikel 47.
Flere EU-dokumenter har til formål at hjælpe virksomheder, der ønsker at bruge dette juridiske instrument.