Go to front page
Data Protection Ombudsman

14.4.2025

Data Protection Ombudsman

Decisions of the Data Protection Ombudsman on the interpretation of the EU General Data Protection Regulation, the Act on the Processing of Personal Data in Criminal Matters and the Personal Data Act

Päätös Nokian BCR-C-sääntöjen vahvistamisesta

Keywords
BCR-säännöt, Tiedonsiirto, Yritystä koskevat sitovat säännöt
Year of case
2025
Date of Issue
Register number
TSV/13/2023
Legal basis
EU:n yleisen tietosuoja-asetuksen mukainen päätös

Data Protection Ombudsman’s decision approving Controller Binding Corporate Rules for Nokia

Summary of the facts

Pursuant to the request by Nokia Corporation on behalf of the Nokia Group (hereinafter also “Nokia”), received on 21 December 2018, for approval of their Binding Corporate Rules for Controller (hereinafter also “BCR-C”);

Having regard to Articles 47, 57 and 64 of the Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation or GDPR);

Having regard to the judgment of the Court of Justice of the European Union Data Protection Commissioner v. Facebook Ireland Ltd and Maximillian Schrems, C-311/18 of 16 July 2020;

Having regard to EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data of 18 June 2021;

Having regard to EDPB Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR) of 20 June 2023 (hereinafter “the Recommendations 1/2022”);

The Data Protection Ombudsman makes the following observations:

  1. Article 47(1) of the EU General Data Protection Regulation 2016/679 (GDPR) provides that the competent supervisory authority shall approve Binding Corporate Rules (BCRs) provided that they meet the requirements set out under this Article.
  2. The implementation and adoption of BCRs by a group of undertakings is intended to provide guarantees to controllers and processors established in the EU as to the protection of personal data that apply uniformly in all third countries and, consequently, independently of the level of protection guaranteed in each third country.
  3. Before carrying out any transfer of personal data on the basis of the BCRs to one of the members of the group, it is the responsibility of any data exporter in a Member State, if needed with the help of the data importer, to assess whether the level of protection required by EU law is respected in the third country of destination in the case of the specific data transfer, including onward transfer situations. This assessment has to be conducted in order to determine whether any legislation or practices of the third country applicable to the to-be-transferred data may impinge on the data importer’s and/or the data exporter’s ability to comply with their commitments taken in the BCR, taking into account the circumstances surrounding the transfer. In case of such possible impingement, the data exporter in a Member State, if needed with the help of the data importer, should assess whether it can provide supplementary measures in order to exclude such impingement and therefore to nevertheless ensure, for the envisaged transfer at hand, an essentially equivalent level of protection as provided in the EU. Deploying such supplementary measures is the responsibility of the data exporter and remains its responsibility even after approval of the BCRs by the competent Supervisory Authority and as such, they are not assessed by the competent Supervisory Authority as part of the approval process of the BCRs.
  4. In any case, where the data exporter in a Member State is not able to implement supplementary measures necessary to ensure an essentially equivalent level of protection as provided in the EU, personal data cannot be lawfully transferred to a third country under these BCRs. In the same vein, where the data exporter is made aware of any changes in the relevant third country legislation that undermine the level of data protection required by EU law, the data exporter is required to suspend or end the transfer of personal data at stake to the concerned third countries.
  5. In accordance with the cooperation procedure as set out in the Working Document WP263 rev011 (endorsed by the EDPB on 25 May 2018), the Controller BCRs application of Nokia was reviewed by the Office of the Data Protection Ombudsman, as the competent supervisory authority for the BCRs (BCR Lead) and by two Supervisory Authorities (SA) acting as co-reviewers. The application was also reviewed by the concerned SAs to which the BCRs were communicated as part of the cooperation procedure.
  6. The review concluded that the Controller BCRs of Nokia comply with the requirements set out by Article 47(1) of the GDPR as well as the Recommendations 1/2022 and in particular that the aforementioned BCRs:

Are legally binding and contain a clear duty for each participating member of the Group including their employees to respect the BCRs by entering in an IntraGroup Agreement. All Nokia Group entities subject to the Controller BCR will sign the BCR-Intra-Group Agreement that requires such entities to comply with the BCR-C. Binding nature is described in Sections 1, 2.1, 8.1 of the BCR-C. In addition to the Intra-Group Agreement, the BCR-C have been incorporated within Nokia's internal policies and procedures applicable to all Nokia Group entities, including the Nokia Code of Conduct;

Expressly confer enforceable third-party beneficiary rights to data subjects with regard to the processing of their personal data as part of the BCRs (Section 11 of the BCR-C);

Fulfil the requirements laid down in Article 47(2) of the GDPR:

  • The structure and contact details of the group of undertakings and each of its members are described in the Application form of the Recommendations 1/2022 and in the list of Nokia Group entities that were provided as part of the file review as well as in Section 2.1 of the BCR-C;
  • the data transfers or set of transfers, including the categories of personal data, the type of processing and its purposes, the type of data subjects affected and the identification of the third country or countries in question are specified in Section 2 of the BCR-C;
  • the legally binding nature, both internally and externally, of the Controller BCRs is recognized in Sections 1 and 8.1 of the BCR-C;
  • the application of the general data protection principles, in particular purpose limitation, data minimisation, limited storage periods, data quality, data protection by design and by default, legal basis for processing, processing of special categories of personal data, measures to ensure data security, and the requirements in respect of onward transfers to bodies not bound by the binding corporate rules are detailed in Sections 4, 8.2 and 8.3 of the BCR-C;
  • the rights of data subjects in regard to processing and the means to exercise those rights, including the right not to be subject to decisions based solely on automated processing, including profiling in accordance with Article 22 of the GDPR, the right to lodge a complaint with the competent supervisory authority and before the competent courts of the Member States in accordance with Article 79 of the GDPR, and to obtain redress and, where appropriate, compensation for a breach of the binding corporate rules which are set forth in Sections 6, 7, 11 and 12 of the BCR-C;
  • the acceptance by the controller or processor established on the territory of a Member State of its liability for any breaches of the binding corporate rules by any member concerned not established in the Union as well as the exemption from that liability, in whole or in part, only if the concerned party proves that that member is not responsible for the event giving rise to the damage are specified in Section 12 of the BCR-C;
  • how the information on the binding corporate rules, in particular on the provisions referred to in points (d), (e) and (f) of Article 47.2 of the GDPR are provided to the data subjects in addition to Articles 13 and 14 of the GDPR, is specified in Sections 11, 14 and 17 of the BCR-C;
  • the tasks of any data protection officer designated in accordance with Article 37 of the GDPR or any other person or entity in charge of monitoring the compliance with the binding corporate rules within the group of undertakings, or group of enterprises engaged in a joint economic activity, as well as monitoring training and complaint-handling are detailed in Section 5 of the BCR-C;
  • the complaint procedures are specified in Sections 7 and 11 of the BCR-C;
  • the mechanisms put in place within the group of undertakings for ensuring the monitoring of compliance with the binding corporate rules are detailed in Section 10 of the BCR-C. Such mechanisms include data protection audits and methods for ensuring corrective actions to protect the rights of the data subject. The results of such monitoring are communicated to the person or the entity referred to in point (h) above and to the board of the controlling undertaking of the group of undertakings (in this situation to Nokia headquarters, as well as to the data privacy organization) and are available upon request to the competent supervisory authority;
  • the mechanisms for reporting and recording changes to the rules and reporting those changes to the supervisory authorities are specified in Section 14 of the BCR-C;
  • the cooperation mechanism put in place with the supervisory authority to ensure compliance by any member of the group of undertakings is specified in Section 13 of the BCR-C. The obligation to make available to the supervisory authority the results of the monitoring of the measures referred to in point (j) above is specified in Section 10 of the BCR-C;
  • the mechanisms for reporting, upon request, to the competent supervisory authority any legal requirements to which a member of the group of undertakings is subject in a third country which are likely to have a substantial adverse effect on the guarantees provided by the binding corporate rules are described in Section 13 of the BCR-C;
  • finally, provide for an appropriate data protection training to personnel having permanent or regular access to personal data in Section 9 of the BCR-C.

The EDPB provided its opinion on 8 April 2025 in accordance with Article 64(1)(f) of the GDPR. The Data Protection Ombudsman took utmost account of this opinion.

Decision of the Data Protection Ombudsman

The Data Protection Ombudsman decides as following:

  1. The Data Protection Ombudsman approves the Controller BCRs of Nokia as providing appropriate safeguards for the transfer of personal data in accordance with Article 46(1) and (2) (b) and Article 47(1) and (2) GDPR. For the avoidance of doubt, the Data Protection Ombudsman recalls that the approval of BCRs does not entail the approval of specific transfers of personal data to be carried out on the basis of the BCRs. Accordingly, the approval of BCRs may not be construed as the approval of transfers to third countries included in the BCRs for which, an essentially equivalent level of protection to that guaranteed within the EU cannot be ensured.
  2. The approved BCRs will not require any specific authorization from the concerned SAs.
  3. In accordance with Article 58(2)(j) GDPR, each concerned SA maintains the power to order the suspension of data flows to a recipient in a third country or to an international organization whenever the appropriate safeguards envisaged by the Controller BCRs of Nokia are not respected.

Annex to the decision

The Controller BCRs of Nokia that are hereby approved cover the following:

  1. Scope. Only members of the Nokia Group acting as Controllers, that are legally bound by the BCRs as described in Section 2.1 of the BCR-C.
  2. EEA countries from which transfers are to be made : Austria, Belgium, Bulgaria, Croatia, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Ireland, Italy, Latvia, Lithuania, Luxembourg, Netherlands, Norway, Poland, Portugal, Romania, Slovakia, Slovenia, Spain, Sweden as well as non-EEA countries Switzerland and United Kingdom.
  3. Third countries to which transfers are to be made : Nokia Group Entities participating in the BCR-C are listed in the list of Nokia Group entities. The scope is also described in Section 2.1 of the BCR-C.
  4. Purposes of the transfer : Purposes are listed in Section 2.3 of the BCR-C.
  5. Categories of data subjects concerned by the transfer: Nokia’s current and former employees, job applicants, external temporary labor, business contacts (vendors, other financial and commercial parties and public institutions), prospects and consumers. Data subjects are listed in Section 2.2 of the BCR-C.
  6. Categories of personal data transferred : Employee data, such as basic information, payroll and retirement data, employee performance data; Applicant data, such as job applications and CVs, employment history, background checks; Security data, such as log data, CCTV data, ID card data; Business contact data, such as contact details of customers, suppliers and prospects. Sections 2.3.1-2.3.3 of the BCR-C provide examples of categories of Personal Data.

Tietosuojavaltuutetun päätös

Epävirallinen käännös

Asia

Tietosuoja-asetuksen 47 artiklan mukaisten rekisterinpitäjän yritystä koskevien sitovien sääntöjen hyväksyminen

Asian vireilletulo

Nokia Oyj (jäljempänä Nokia) on muiden konserniin kuuluvien yhtiöiden puolesta 21.12.2018 saattanut tietosuojavaltuutetun toimistossa vireille hakemuksen rekisterinpitäjän yritystä koskevien sitovien sääntöjen (jäljempänä myös BCR-C) hyväksymiseksi.

Yhteenveto tosiseikoista

Ottaen huomioon luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus tai yleinen tietosuoja-asetus) artiklat 47, 57 ja 64;

Euroopan unionin tuomioistuimen asiassa C-311/18, Facebook Ireland Ltd ja Maximillian Schrems, 16. heinäkuuta 2020 antaman tuomion;

Euroopan tietosuojaneuvoston 18. kesäkuuta 2021 antamat suositukset 01/2020 toimenpiteistä, joilla täydennetään siirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi; sekä

Euroopan tietosuojaneuvoston 20. kesäkuuta 2023 antamat suositukset 1/2022 (jäljempänä suositukset 1/2022) hyväksyntähakemuksesta sekä elementeistä ja periaatteista, jotka on sisällytettävä rekisterinpitäjille tarkoitettuihin yritystä sitoviin sääntöihin (yleisen tietosuoja-asetuksen 47 artikla)

tietosuojavaltuutettu toteaa seuraavaa:

  1. EU:n yleisen tietosuoja-asetuksen 2016/679 47 artiklan 1 kohdassa säädetään, että toimivaltaisen valvontaviranomaisen on hyväksyttävä yritystä koskevat sitovat säännöt edellyttäen, että ne täyttävät kyseisessä artiklassa säädetyt vaatimukset.
  2. Konsernin täytäntöön panemien yritystä koskevien sitovien sääntöjen tarkoituksena on antaa EU:hun sijoittautuneille rekisterinpitäjille ja henkilötietojen käsittelijöille henkilötietojen suojaa koskevat takeet, joita sovelletaan yhdenmukaisesti kaikissa kolmansissa maissa ja riippumatta siten kussakin kolmannessa maassa taatusta tietosuojan tasosta.
  3. Ennen kuin henkilötietoja siirretään yritystä koskevien sitovien sääntöjen nojalla jollekin yritysryhmän jäsenelle, EU-jäsenvaltiossa sijaitsevan tietojen viejän vastuulla on arvioida, tarvittaessa tietojen tuojan avustuksella, noudatetaanko vastaanottajamaana olevassa kolmannessa maassa EU:n lainsäädännön edellyttämää tietosuojan tasoa tiedonsiirtotilanteissa, mukaan lukien henkilötietojen edelleen siirrot. Tämä arviointi on tehtävä sen määrittämiseksi, voiko kolmannen maan lainsäädäntö tai käytännöt, joita sovelletaan siirrettäviin tietoihin, haitallisesti vaikuttaa tietojen tuojan ja/tai tietojen viejän mahdollisuuksiin noudattaa yritystä koskevissa sitovissa säännöissä antamiaan sitoumuksia ottaen huomioon siirtoon vaikuttavat olosuhteet. Tällaisissa tilanteissa jäsenvaltiossa sijaitsevan tietojen viejän olisi, tarvittaessa tietojen tuojan avustuksella, arvioitava, voiko se toteuttaa lisätoimenpiteitä tällaisen haitallisen vaikutuksen poissulkemiseksi ja siten varmistaa, että suunniteltu siirto olennaisilta osin nauttii vastaavasta tietosuojan tasosta kuin EU:ssa. Täydentävien suojatoimenpiteiden käyttöönotto on tietojen viejän vastuulla myös sen jälkeen, kun toimivaltainen valvontaviranomainen on hyväksynyt yritystä koskevat sitovat säännöt, eikä toimivaltainen valvontaviranomainen näin ollen arvioi niitä osana yritystä koskevien sitovien sääntöjen hyväksymisprosessia.
  4. Jos tietojen viejä jäsenvaltiossa ei pysty toteuttamaan tarvittavia lisätoimenpiteitä, joilla varmistetaan olennaisilta osin vastaava tietosuojan taso kuin EU:ssa, henkilötietoja ei voida laillisesti siirtää kolmanteen maahan näiden yritystä koskevien sitovien sääntöjen nojalla. Vastaavasti jos tietojen viejälle ilmoitetaan asiaan liittyvän kolmannen maan lainsäädännön muutoksista, jotka heikentävät EU:n lainsäädännössä vaadittua tietosuojan tasoa, tietojen viejän on keskeytettävä tai lopetettava kyseessä olevien henkilötietojen siirto kyseisiin kolmansiin maihin.
  5. Toimivaltaisena valvontaviranomaisena tietosuojavaltuutetun toimisto tarkasteli Nokian toimittamat hakemusasiakirjat yhdessä kahden yhteisarvioijana toimineen valvontaviranomaisen kanssa Tietosuojaryhmän asiakirjassa WP263 rev.01 esitetyn yhteistyömenettelyn mukaisesti. Yhteistyömenettelyn seuraavassa vaiheessa hakemus toimitettiin nähtäväksi myös muille osallistuville valvontaviranomaisille.
  6. Tarkastelussa todettiin, että Nokian BCR-C täyttää yleisen tietosuoja-asetuksen 47 artiklan 1 kohdassa ja suosituksissa 1/2022 asetetut vaatimukset. Erityisesti todetaan, että edellä mainitut yritystä koskevat sitovat säännöt:

ovat oikeudellisesti sitovia ja sisältävät selkeän velvoitteen, jonka mukaan kunkin osallistuvan yritysryhmän jäsenen, myös yhtiöiden työntekijöiden, on noudatettava yritystä koskevia sitovia sääntöjä liittymällä konsernin sisäiseen sopimukseen (Intra-Group sopimus). BCR-C kattaa vain ne Nokia-konsernin yhtiöt, jotka ovat allekirjoittaneet BCR Intra-Group sopimuksen. BCR-C:n oikeudellinen sitovuus on kuvattu BCR-C:n kohdissa 1, 2.1 ja 8.1. Konsernin sisäisen sopimuksen lisäksi BCR-C-määräykset on sisällytetty kaikkiin Nokia-konsernin yhteisöihin sovellettaviin Nokian sisäisiin toimintaperiaatteisiin ja menettelytapoihin, mukaan lukien Nokian Code of Conduct -toimintaohjeisiin;

nimenomaisesti antavat rekisteröidyille täytäntöönpanokelpoiset kolmannen osapuolen etua suojaavat oikeudet, jotka koskevat heidän henkilötietojensa käsittelyä yritystä koskevia sitovia sääntöjen nojalla (BCR-C:n kohta 11);

täyttävät yleisen tietosuoja-asetuksen 47 artiklan 2 kohdassa säädetyt vaatimukset:

  • Konsernin ja kunkin siihen kuuluvan jäsenen rakenne ja yhteystiedot on kuvattu suositusten 1/2022 mukaisessa hakulomakkeessa, asiakirja-aineiston tarkastelun yhteydessä toimitetussa Nokia-konsernin yhteisöjen luettelossa sekä BCR-C:n kohdassa 2.1.,
  • tiedonsiirrot tai tiedonsiirtojen sarjat, henkilötietoryhmät mukaan lukien, käsittelytoimien tyyppi ja käsittelyn tarkoitukset, käsittelyn kohteena olevien rekisteröityjen ryhmät sekä tieto siitä, mistä kolmannesta maasta tai kolmansista maista on kyse, on täsmennetty BCR-C:n kohdassa 2,
  • rekisterinpitäjän yritystä koskevien sitovien sääntöjen oikeudellinen sitovuus sekä unionin sisällä että sen ulkopuolella on tunnustettu BCR-C:n kohdissa 1 ja 8.1,
  • yleisten tietosuojaperiaatteiden soveltaminen, erityisesti käyttötarkoitussidonnaisuus, tietojen minimointi, rajoitetut säilytysajat, tietojen laatu, sisäänrakennettu ja oletusarvoinen tietosuoja, käsittelyn oikeusperuste, erityisten henkilötietoryhmien käsittely, tietoturvallisuuden takaavat toimenpiteet ja vaatimukset, jotka koskevat henkilötietojen siirtämistä edelleen elimille, joita nämä yrityksiä koskevat sitovat säännöt eivät sido, on täsmennetty BCR-C:n kohdissa 4, 8.2 ja 8.3,
  • rekisteröityjen henkilötietojen käsittelyä koskevat oikeudet ja keinot käyttää niitä, mukaan lukien oikeus olla joutumatta sellaisten 22 artiklassa tarkoitettujen päätösten kohteeksi, jotka perustuvat pelkästään automaattiseen käsittelyyn, mukaan lukien profilointi, oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle ja oikeus oikeussuojakeinoihin jäsenvaltioiden toimivaltaisissa tuomioistuimissa 79 artiklan mukaisesti sekä oikeus muutoksenhakuun ja tarvittaessa korvauksen saamiseen yritystä koskevien sitovien sääntöjen rikkomisen vuoksi on kuvattu BCR-C:n kohdissa 6, 7, 11 ja 12,
  • jäsenvaltion alueelle sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän suostumus kantaa vastuu siitä, että asianomainen yritysryhmän jäsen, joka ei ole sijoittautunut unionin alueelle, rikkoo yritystä koskevia sitovia sääntöjä; rekisterinpitäjä tai henkilötietojen käsittelijä voidaan vapauttaa tästä vastuusta osittain tai kokonaan vain edellä mainitun rekisterinpitäjän tai henkilötietojen käsittelijän osoitettua, ettei kyseinen jäsen ole vastuussa vahingon aiheuttaneesta tapahtumasta (BCR-C:n kohta 12),
  • se, miten yritystä koskevista sitovista säännöistä ja erityisesti yleisen tietosuoja-asetuksen 47 artiklan 2 kohdan d, e ja f alakohdassa tarkoitetuista säännöksistä ilmoitetaan rekisteröidyille yleisen tietosuoja-asetuksen 13 ja 14 artiklan vaatimusten lisäksi, on täsmennetty BCR-C:n kohdissa 11,14 ja 17,
  • kaikkien tietosuoja-asetuksen 37 artiklan mukaisesti nimitettyjen tietosuojavastaavien taikka konsernissa yritystä koskevien sitovien sääntöjen noudattamisen valvonnasta sekä koulutuksen ja valitusten käsittelyn seurannasta vastaavan minkä tahansa muun henkilön tai yksikön tehtävät on määritelty BCR-C:n 5 kohdassa,
  • valitusmenettelyt on eritelty BCR-C:n kohdissa 7 ja 11,
  • konsernissa käyttöön otetut mekanismit, joilla varmistetaan yritystä koskevien sitovien sääntöjen noudattamisen valvonta, on yksityiskohtaisesti esitetty BCR-C:n kohdassa 10. Tällaisiin mekanismeihin kuuluvat tietosuojatarkastukset ja menetelmät, joilla varmistetaan korjaavat toimet rekisteröidyn oikeuksien suojaamiseksi. Tällaisen valvonnan tulokset ilmoitetaan h alakohdassa tarkoitetulle henkilölle tai yhteisölle sekä konsernissa määräysvaltaa käyttävän yrityksen hallitukselle (tässä tapauksessa Nokian pääkonttorille sekä tietosuojasta vastaavalle organisaatiolle) ja ne ovat pyynnöstä toimivaltaisen valvontaviranomaisen saatavilla,
  • mekanismit sääntöihin tehtävistä muutoksista ilmoittamista ja kirjaamista sekä kyseisistä muutoksista valvontaviranomaisille ilmoittamista varten määritellään BCR-C:n 14 kohdassa,
  • valvontaviranomaisen kanssa käyttöön otettu yhteistyömekanismi sen varmistamiseksi, että kaikki konsernin jäsenet noudattavat sääntöjä, täsmennetään BCR-C:n 13 kohdassa. Velvollisuus asettaa valvontaviranomaisen saataville edellä j alakohdassa tarkoitettujen toimenpiteiden seurannan tulokset on todettu BCR- C:n 10 kohdassa,
  • mekanismit, joilla raportoidaan toimivaltaiselle valvontaviranomaiselle konsernin jäseneen kolmannessa maassa sovellettavista oikeudellisista vaatimuksista, joilla on todennäköisesti merkittävä haitallinen vaikutus yritystä koskevissa sitovissa säännöissä annettuihin takeisiin, on kuvattu BCR-C:n 13 kohdassa,
  • velvollisuus tarjota asianmukaista tietosuojakoulutusta henkilöstölle, jolla on pysyvä tai säännöllinen pääsy henkilötietoihin on täsmennetty BCR-C:n 9 kohdassa.

Tietosuojaneuvosto antoi lausuntonsa 8. huhtikuuta 2025 yleisen tietosuoja-asetuksen 64 artiklan 1 kohdan f alakohdan mukaisesti. Tietosuojavaltuutettu otti lausunnon huomioon.

Tietosuojavaltuutetun päätös

  1. Tietosuojavaltuutettu hyväksyy Nokian rekisterinpitäjän yritystä koskevat sitovat säännöt asianmukaisiksi suojatoimiksi henkilötietojen siirrolle yleisen tietosuoja-asetuksen 46 artiklan 1 ja 2 kohdan b alakohdan sekä 47 artiklan 1 ja 2 kohdan mukaisesti. Selvyyden vuoksi todettakoon, että yritystä koskevien sitovien sääntöjen hyväksyminen ei merkitse yksittäisten henkilötietojen siirtojen hyväksymistä näiden sääntöjen perusteella. Näin ollen yritystä koskevien sitovien sääntöjen hyväksyntää ei tule tulkita hyväksynnäksi henkilötietojen siirroille sellaisiin kolmansiin maihin, jotka on mainittu näissä sitovissa säännöissä mutta joiden osalta ei voida taata, että tietosuojasuojan taso vastaa olennaisilta osin EU:n tietosuojasäännöksiä.
  2. Hyväksytyt yritystä koskevat sitovat säännöt eivät edellytä erityistä lupaa osallistuvilta valvontaviranomaisilta.
  3. Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan j alakohdan mukaisesti jokaisella osallistuvalla valvontaviranomaisella on edelleen valtuudet määrätä kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle suuntautuvien tiedonsiirtojen keskeyttämisestä, jos Nokian henkilötietojen käsittelijän yritystä koskevien sitovien sääntöjen mukaisia asianmukaisia suojatoimia ei noudateta.

Päätös saa lainvoiman, kun valitusaika päättyy.

Päätöksen liitteet

Tällä päätöksellä hyväksytyt Nokian rekisterinpitäjän yritystä koskevat sitovat säännöt kattavat seuraavat:

  1. Soveltamisala : Vain rekisterinpitäjinä toimivat Nokia-konsernin jäsenet, jotka ovat oikeudellisesti sitoutuneet sääntöihin BCR-C:n kohdassa 2.1 kuvatulla tavalla.
  2. ETA-maat, joista siirrot tehdään : Alankomaat, Belgia, Bulgaria, Espanja, Irlanti, Italia, Itävalta, Kreikka, Kroatia, Latvia, Liettua, Luxemburg, Norja, Portugali, Puola, Ranska, Romania, Ruotsi, Saksa, Slovakia, Slovenia, Suomi, Tanska, Tšekki, Unkari, Viro sekä ETA:n ulkopuoliset maat Sveitsi ja Yhdistynyt kuningaskunta.
  3. Kolmannet maat, joihin siirtoja tehdään : BCR-C:hen osallistuvat Nokia-konsernin yhteisöt on lueteltu Nokia-konsernin yhteisöjen luettelossa. Soveltamisala kuvataan myös BCR-C:n kohdassa 2.1.
  4. Siirron tarkoitus : Tarkoitukset luetellaan BCR-C:n kohdassa 2.3.
  5. Siirron kohteena olevien rekisteröityjen ryhmät : Nokian nykyiset ja entiset työntekijät, työnhakijat, ulkopuolinen tilapäinen työvoima, yrityskontaktit (toimittajat, muut rahoitus- ja kaupalliset tahot, sekä julkiset laitokset), potentiaaliset asiakkaat ja kuluttajat. Rekisteröityjen ryhmät on lueteltu BCR-C:n kohdassa 2.2.
  6. Siirrettävien henkilötietojen kategoriat : Työntekijätiedot, kuten perustiedot, palkka- ja eläketiedot, työntekijöiden suoritustiedot; hakijatiedot, kuten työhakemukset ja ansioluettelot, työhistoria, taustaselvitykset turvallisuustiedot, kuten lokitiedot, valvontakameratiedot, henkilökortin tiedot; asiakkaiden, toimittajien ja potentiaalisten asiakkaiden yhteystiedot. BCR-C:n kohdissa 2.3.1–2.3.3 on lueteltu esimerkkejä henkilötietojen luokista.
Top of page