A 29. cikk szerinti adatvédelmi munkacsoport 2012. június 6-i ülésén fogadta el a kötelező erejű adatfeldolgozói szabályokról (Adatfeldolgozói Kötelező Erejű Vállalati Szabályokról) szóló munkadokumentumát, ami adatfeldolgozást végző vállalatcsoportok (pl. cloud szolgáltatók) részére nyújtanak lehetőséget arra, hogy a feldolgozott és külföldre továbbított (adatfeldolgozásra átadott) személyes adatokkal kapcsolatosan a megfelelő szintű védelmet vállalatcsoporton belül globálisan biztosítsák.

A Kötelező Erejű Vállalati Szabályok (Binding Corporate Rules-ok – BCR-ok) olyan multinacionális vállaltcsoportok által elfogadott belső szabályozó-együttesek (magatartási kódex, szabályzat etc.), melyek egységesen, az adatkezelő illetve adatalany nemzetiségétől függetlenül, ugyanazon vállalatcsoport különböző, EGT-n kívüli országokban is elhelyezkedő egységei közötti adatáramlás szabályozására szolgálnak. A Kötelező Erejű Vállalati Szabályok a külföldre továbbított (átadott) személyes adatok megfelelő szintű védelmet tehát a vállalat(csoport) egyoldalú kötelezettségvállalása útján biztosítják. A BCR-ok használatának háttere, hogy a szerződéses adattovábbítási megoldások alkalmazása nem minden esetben praktikus, illetve ezek adott esetben komoly adminisztratív terhet jelenthetnek az azt alkalmazó vállalatcsoport részére. A BCR-ok jogalapja – a szerződéses feltételek (Model Clause) alkalmazásához hasonlóan – az adatvédelmi irányelv 26. cikk (2) bekezdése, azonban a szerződéses konstrukciótól eltérően ez egy egyoldalú kötelezettségvállalást jelent az azt alkalmazó vállalatcsoport részéről. A BCR-t az érintett nemzeti adatvédelmi hatóságok hagyják jóvá az Irányelv 26. cikkének (3) bekezdése szerint, és engedélyezésük feltétele, hogy azok kötelező erővel bírjanak az azt alkalmazó vállalat(csoport) minden egysége és munkavállalói részére.

A BCR alkalmazásának megkönnyítése érdekében a 29. cikk szerinti adatvédelmi munkacsoport több munkadokumentumot is kibocsátott, amelyek jelentősen könnyítenek a BCR-okkal kapcsolatos adminisztráción, illetőleg egy-ablakos ügyintézést vezettek be a multinacionális vállaltok részére. Ez az adattovábbítási mechanizmus tehát méltán nevezhető a munkacsoport egyik sikertörténetének.

A BCR-ok adatfeldolgozókra történő alkalmazására az adatvédelmi rendelet tervezete is kifejezetten utal. A most elfogadott munkadokumentum a WP 153-as számú BCR munkadokumentumhoz hasonlóan táblázatba foglalva utal az adatfeldolgozók által teljesítendő kötelezettségekre. Ez magába foglalja a BCR-ok kötelező alkalmazását a tagvállalatok és azok munkavállalói részéről és e szabályok végrehajthatóságának megteremtését az adatalanyok részéről, az EU-ban található vállalati tag (központ) felelősségvállalását jogsértés esetére, a bizonyítási teher átvállalását az adatalanytól, panaszkezelési eljárás bevezetését, kötelező auditokat és az adatvédelmi hatóságokkal történő együttműködés vállalását.

Az adatfeldolgozói BCR-ok tehát – az adatkezelői BCR-hoz hasonlóan – a megfelelő szintű védelem biztosítását magánjogi eszköz útján éri el és ezáltal hozzájárul az adatvédelmi szabályok világszintű konvergenciájához. Az adatfeldolgozói BCR-ok alkalmazása különösen a felhő alapú technológiával dolgozó nagy adatfeldolgozók számára nyújthat hasznos megoldást az európai adatvédelmi megfelelőség megteremtésében.

Sajnálatos módon a hazai adatkezelők és adatfeldolgozók nem részesedhetnek az adatkezelői BCR-ok és adatfeldolgozói BCR-ok előnyeiből, mivel a magyar Országgyűlés döntése alapján az információs önrendelkezési jogról szóló törvény indokolás nélkül megszüntette a BCR-ok korábbi alkalmazásának lehetőségét, (mivel mi ezt is megtehetjük). A megoldást a jelen problémára az jelentheti, amennyiben a magyar jogalkotó törvénymódosítással a jövőben megteremti annak lehetőségét, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság a megfelelő szintű védelem értékelését egyedileg – határozati aktussal – maga is elvégezhesse, amely lehetővé tenné, hogy Magyarország az adatvédelmi hatóságok nemzetközi adattovábbítással kapcsolatos szorosabb együttműködésében és az önszabályozó adatvédelmi megoldások, így adatkezelői és adatfeldolgozói BCR-ok fejlesztésében részt vehessen.