Wiele podmiotów będących częścią międzynarodowych korporacji spotyka się w swojej codziennej działalności z koniecznością przekazania (udostępnienia lub powierzenia) pewnych kategorii danych osobowych poza Europejski Obszar Gospodarczy (EOG). Taka sytuacja na gruncie RODO nazywana jest transferem danych osobowych do państw trzecich. Aby jednak transfer ten był legalny, a co za tym idzie – zachowany został wysoki poziom ochrony danych osobowych, muszą zostać spełnione dodatkowe wymogi, bowiem RODO swoją mocą nie sięga poza obszar EOG. Podstawą transferu danych osobowych do państw trzecich mogą być m.in. wiążące reguły korporacyjne (Binding Corporates Rules).
W razie braku decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony, administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego wyłącznie gdy zapewnią odpowiednie zabezpieczenia. Takim zabezpieczeniem, niewymagającym dodatkowego zezwolenia, są właśnie BCR.
Wiążące reguły korporacyjne to polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą.
BCR nie są instrumentem dla każdego administratora lub podmiotu przetwarzającego. Pozostają bowiem w bezpośrednim związku z transgranicznym przetwarzaniem danych osobowych i znajdują zastosowanie tylko do grupy przedsiębiorstw lub grupy przedsiębiorców.
Wiążące reguły korporacyjne, aby mogły zostać wykorzystane do przekazania danych do państwa trzeciego muszą zostać zatwierdzone przez organ nadzorczy właściwy dla siedziby administratora danych po spełnieniu określonych warunków. Konieczne jest, aby były one prawnie wiążące oraz miały zastosowanie do każdego z członków grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą, w tym do ich pracowników. Muszą być one egzekwowane w praktyce przez wszystkich członków grupy przedsiębiorstw grupy przedsiębiorców i ich pracowników. Konieczne jest również, aby wyraźnie przyznawały osobom, których dane dotyczą, egzekwowalne prawa w związku z przetwarzaniem ich danych osobowych. Muszą także spełniać, wymienione w art. 47 ust. 2 RODO, wymogi.
W Polsce Prezes Urzędu Ochrony Danych Osobowych zatwierdza wiążące reguły korporacyjne w drodze decyzji. Wniosek o zatwierdzenie wiążących reguł korporacyjnych powinien spełniać minimalne wymagania dotyczące wniosków określone w przepisach prawa administracyjnego oraz zawierać projekt wiążących reguł korporacyjnych.
Na wniosek organu nadzorczego Europejska Rada Ochrony Danych wydaje opinię dotyczącą projektu decyzji zatwierdzającej BCR. Opinia, którą wydaje Europejska Rada Ochrony Danych, nie jest wprawdzie wiążąca, ale odgrywa istotną rolę w realizacji mechanizmu spójności i w związku z tym odgrywa kluczową rolę w zapewnieniu jednolitego stosowania RODO na obszarze całej Unii Europejskiej. Do tej pory Europejska Rada Ochrony Danych wydała prawie 50 opinii dotyczących BCR.
Zgodnie art. 47 ust. 3 RODO Komisja Europejska może określić format i procedury wymiany informacji między administratorami, podmiotami przetwarzającymi i organami nadzorczymi dotyczących wiążących reguł korporacyjnych. Jednak do tej pory KE nie skorzystała z tego uprawnienia.
