ΟΓΚΠΔ κατοχυρώνει πλέον ρητά τα ερμηνευτικά συμπεράσματα που είχε διατυπώσει η Ομάδα εργασίας του άρθρου 29 στα διάφορα κείμενα εργασίας (WP). Σύμφωνα με το άρθρο 4 παρ. 20, τα BCR είναι οι πολιτικές προστασίας προσωπικών δεδομένων τις οποίες ακολουθεί ένας υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία εγκατεστημένος στο έδαφος κράτους μέλους για διαβιβάσεις δεδομένων σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός ομίλου επιχειρήσεων ή ομίλου εταιρειών που ασκεί κοινή οικονομική δραστηριότητα (άρθρο 47, Εισ. Σκ. 110 ΓΚΠΔ).Ο ΓΚΠΔ διευρύνει εν προκειμένω την εφαρμογή BCR και την επεκτείνει όχι μόνο σε ομίλους επιχειρήσεων (ορισμός άρθρο 4 παρ. 19, εισ. σκ. 37), αλλά και σε χαλαρότερες μορφές συνεργασίας, π.χ. κοινοπραξίες.

Τα BCR διακρίνονται σε αυτά που αφορούν υπευθύνους επεξεργασίας και αυτά που απευθύνονται σε εκτελούντες την επεξεργασία. Σύμφωνα με το άρθρο 47 παρ. 1 ΓΚΠΔ, πρέπει να είναι νομικά δεσμευτικά, να εφαρμόζονται σε κάθε μέλος του ομίλου και να επιβάλλονται από κάθε μέλος του ομίλου, περιλαμβανομένων των υπαλλήλων, να απονέμουν εκτελεστά δικαιώματα στα υποκείμενα και να περιέχουν τα στοιχεία της παρ. 2 του άρ. 47.

Εν όψει των αλλαγών που επιφέρει ο Κανονισμός, πρέπει να επισημανθεί ότι όλοι οι όμιλοι επιχειρήσεων που διαβιβάζουν προσωπικά δεδομένα με βάση BCR ήδη εγκεκριμένα κατά την Οδηγία 95/46 θα πρέπει να τα τροποποιήσουν ώστε να είναι συμβατά με τον ΓΚΠΔ.

Τα BCR εγκρίνονται από την αρμόδια Εποπτική Αρχή, σύμφωνα με τον μηχανισμό συνεκτικότητας (άρ. 47, 63 ΓΚΠΔ). Η αρμόδια Εποπτική Αρχή ανακοινώνει το σχέδιο απόφασής της στο ΕΣΠΔ, το οποίο στη συνέχεια εκδίδει γνώμη σχετικά με τα BCR. Όταν τα υπό εξέταση BCR έχουν ολοκληρωθεί σε συμφωνία με τη γνώμη του ΕΣΠΔ, η αρμόδια Εποπτική Αρχή προχωρά στην έγκρισή τους.Δεν απαιτείται η έκδοση εθνικής άδειας από κάθε ενδιαφερόμενη Εποπτική Αρχή.