Bağlayıcı kurumsal kurallar (veya BCR için kurumsal kurallar Bağlama ) grup içinde veri transferi sırasında çok uluslu bir şirket ya da şirketler grubu bulunan bir ülkeden, kişisel verilerin korunması yeterli düzeyde sağlamak için kullanabilir hangi bir Avrupa hukuk araçtır içinde Avrupa Birliği (AB) veya Avrupa Ekonomik Alanı üçüncü bir ülkeye (EEA).
Bu kurallar başlangıçta, kişisel verilerin korunmasına ilişkin 95/46 / EC Direktifi temel alınarak Avrupa Komisyonu tarafından tanımlandığı üzere kişisel verilerin yetersiz ülkelere aktarılmasına izin veren ek bir araç olarak geliştirilmiştir. " veri koruma üzerine çalışma grubu, G29 .
Bu araçlar, farklı ihtiyaçlara karşılık gelen beş farklı kategoriye aittir: Standart Sözleşme Kuralları, ABD ve İsviçre'nin ABD'ye aktarımı için Gizlilik Kalkanı, Bağlayıcı Kurumsal Kurallar (BCR), ilgili kişilerin açık rızası ve yürürlüktedir. Yetkili makamların onayını gerektiren uygulama ve "ad hoc" Sözleşmeler.
Bu kuralların kullanılması, bir AB ülkesinin veri korumasından sorumlu, diğer iki "yardımcı lider" otoritenin yardım ettiği sözde "lider" bir makamın onayını gerektirir. Bu kurallar, 20 makam arasında kurulan "karşılıklı anlaşma" mekanizması ve kalanların (öngörülen aktarımlara bağlı olarak) danışılması sayesinde genel onaydan sonra kişisel verilerin aktarımı için kullanılabilir.
O zamandan beri 2016/679 Avrupa Yönetmeliğinin (GDPR) bu aracı 47. maddesine tam olarak entegre ettiği ve WP29'un yerini alan EDPB'nin (Avrupa Veri Koruma Kurulu) tanımlayan Çalışma Raporları (WP 256, 257) yayınladığı unutulmamalıdır. GDPR Madde 47 ile uyumlu BCR'lerin biçimi ve içeriği.
Bu yasal aracı kullanmak isteyen şirketlere yardımcı olmak için birkaç AB belgesi hazırlanmıştır.