1. Właściwy organ nadzorczy zatwierdza wiążące reguły korporacyjne zgodnie z mechanizmem spójności przewidzianym w art. 63,
pod warunkiem że:
a) są one prawnie wiążące oraz mają zastosowanie do każdego
z członków grupy przedsiębiorstw lub grupy przedsiębiorców
prowadzących wspólną działalność gospodarczą, w tym ich pracowników, i są przez każdego z tych członków egzekwowane;
b) wyraźnie przyznają osobom, których dane dotyczą, egzekwowalne prawa w związku z przetwarzaniem ich danych osobowych;
oraz
c) spełniają wymogi określone w ust. 2.
2. W wiążących regułach korporacyjnych, o których mowa
w ust. 1, określone zostają co najmniej:
a) struktura i dane kontaktowe odnośnej grupy przedsiębiorstw
lub grupy przedsiębiorców prowadzących wspólną działalność
gospodarczą i każdego z jej członków;
b) jednorazowe lub wielokrotne przekazanie danych, w tym kategorie danych osobowych, rodzaj przetwarzania i jego cele, rodzaje osób, których dane dotyczą, oraz nazwa danego państwa trzeciego lub danych państw trzecich;
c) ich prawnie wiążący charakter, wewnętrzny i zewnętrzny;
d) zastosowanie ogólnych zasad ochrony danych – w szczególności ograniczenia celu, minimalizacji danych, ograniczonych okresów przechowywania, jakości danych, uwzględnianie ochrony
danych w fazie projektowania oraz domyślnej ochrony danych,
podstawa prawna przetwarzania, przetwarzanie szczególnych
kategorii danych osobowych, środki zapewniające bezpieczeństwo danych, wymogi w zakresie dalszego przekazywania podmiotom niezwiązanym wiążącymi regułami korporacyjnymi;
e) prawa osób, których dane dotyczą, w związku z przetwarzaniem
oraz sposoby wykonywania tych praw, w tym z prawa do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym
przetwarzaniu – w tym profilowaniu – zgodnie z art. 22, prawa
do wnoszenia skarg do właściwego organu nadzorczego i właściwych sądów państw członkowskich zgodnie z art. 79 oraz prawa
do środka zaskarżenia, a w stosownych przypadkach – odszkodowania za naruszenie wiążących reguł korporacyjnych;
f) przyjęcie przez administratora lub podmiot przetwarzający
posiadających jednostki organizacyjnej na terytorium państwa
członkowskiego odpowiedzialności prawnej za naruszenie wiążących reguł korporacyjnych przez odnośnego członka niemającego jednostki organizacyjne w Unii; administrator lub podmiot
przetwarzający są zwolnieni z tej odpowiedzialności – w całości lub w części – wyłącznie, gdy udowodni, że członek ten nie
ponosi odpowiedzialności za wydarzenie, które doprowadziło do
powstania szkody;
g) sposób, w jaki osobom, których dane dotyczą, podaje się –
oprócz informacji, o których mowa w art. 13 i 14 – informacje
o wiążących regułach korporacyjnych, w szczególności o postanowieniach, o których mowa w lit. d), e) i f) niniejszego ustępu;
h) zadania inspektora ochrony danych wyznaczonego zgodnie
z art. 37 lub innej osoby lub podmiotu odpowiedzialnych za
monitorowanie przestrzegania wiążących reguł korporacyjnych
w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą oraz monitorowanie szkoleń i rozpatrywanie skarg;
i) procedury dotyczące skarg;
j) stosowane w grupie przedsiębiorstw lub w grupie przedsiębiorców prowadzących wspólną działalność gospodarczą mechanizmy zapewniające weryfikację przestrzegania wiążących reguł
korporacyjnych. Mechanizmy takie obejmują audyty w zakresie ochrony danych oraz metody zapewniania działań naprawczych mających chronić prawa osób, których dane dotyczą. Wyniki takiej weryfikacji powinny być przekazywane osobie lub
podmiotowi, o których mowa w lit. h), oraz zarządowi przedsiębiorstwa sprawującego kontrolę w grupie przedsiębiorstw lub
organowi kierującemu grupą przedsiębiorców prowadzących
wspólną działalność gospodarczą i powinny być dostępne na
żądanie właściwego organu nadzorczego;
k) mechanizmy zgłaszania i rejestrowania zmian w zasadach i zgłaszania tych zmian organowi nadzorczemu;
l) mechanizm współpracy z organem nadzorczym zapewniający przestrzeganie zasad przez wszystkich członków grupy przedsiębiorstw
lub grupy przedsiębiorców prowadzących wspólną działalność
gospodarczą, w szczególności poprzez udostępnianie organowi
nadzorczemu wyników weryfikacji środków, o której mowa w lit. j);
m) mechanizm zgłaszania właściwemu organowi nadzorczemu
wszelkich wymogów prawnych, którym podlega w państwie
trzecim członek grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą i które
mogą mieć istotny niekorzystny wpływ na gwarancje przewidziane w wiążących regułach korporacyjnych; oraz
n) właściwe szkolenia z zakresu ochrony danych dla personelu
mającego stały lub regularny dostęp do danych osobowych.
3. Komisja może określić format i procedury wymiany informacji między administratorami, podmiotami przetwarzającymi i organami nadzorczymi dotyczących wiążących reguł korporacyjnych w rozumieniu niniejszego artykułu. Te akty wykonawcze są przyjmowane
zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2.
*
Tytuł artykułu 47 zmieniony sprostowaniem z dnia 23.05.2018 r. (Dz.Urz. UE
L z 2018 r., Nr 127, poz. 2), które wchodzi w życie 23.05.2018 r.
Każdy czytelnik naszego biuletunu
otrzymuje pakiet 4 bezpłatnych
poradników i 4 mikroszkoleń RODO.
Biuletyn z nowościami z obszaru ochrony danych osobowych
i bezpieczeństwa informacji wysyłamy raz w miesiącu.
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812)
przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny
na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu
przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w
Polityce prywatności.
Potwierdź swój adres e-mail
Wysłaliśmy do Ciebie wiadomość.
Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu
poradników i szkoleń. Potwierdź swój adres e-mail klikając
w link, który znajdziesz w wiadomości od ODO 24.
Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w
przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij
prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość
pożądaną”).