Egyéb
Navigáció
I. FEJEZET Általános rendelkezések (1-4)
1. cikk. Tárgy2. cikk. Tárgyi hatály3. cikk. Területi hatály4. cikk. Fogalommeghatározások
II. FEJEZET Elvek (5-11)
5. cikk. A személyes adatok kezelésére vonatkozó elvek6. cikk. Az adatkezelés jogszerűsége7. cikk. A hozzájárulás feltételei8. cikk. A gyermek hozzájárulására vonatkozó feltételek az információs társadalommal összefüggő szolgáltatások vonatkozásában9. cikk. A személyes adatok különleges kategóriáinak kezelése10. cikk. A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelése11. cikk. Azonosítást nem igénylő adatkezelés
III. FEJEZET Az érintett jogai (12-23)
12. cikk. Átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések13. cikk. Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik14. cikk. Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg15. cikk. Az érintett hozzáférési joga16. cikk. A helyesbítéshez való jog17. cikk. A törléshez való jog („az elfeledtetéshez való jog”)18. cikk. Az adatkezelés korlátozásához való jog19. cikk. A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség20. cikk. Az adathordozhatósághoz való jog21. cikk. A tiltakozáshoz való jog22. cikk. Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást23. cikk. Korlátozások
IV. FEJEZET Az adatkezelő és az adatfeldolgozó (24-43)
24. cikk. Tárgy25. cikk. Beépített és alapértelmezett adatvédelem26. cikk. Közös adatkezelők27. cikk. Az Unióban tevékenységi hellyel nem rendelkező adatkezelők vagy adatfeldolgozók képviselői28. cikk. Az adatfeldolgozó29. cikk. Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés30. cikk. Az adatkezelési tevékenységek nyilvántartása31. cikk. Együttműködés a felügyeleti hatósággal32. cikk. Az adatkezelés biztonsága33. cikk. Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak34. cikk. Az érintett tájékoztatása az adatvédelmi incidensről35. cikk. Adatvédelmi hatásvizsgálat36. cikk. Előzetes konzultáció37. cikk. Az adatvédelmi tisztviselő kijelölése38. cikk. Az adatvédelmi tisztviselő jogállása39. cikk. Az adatvédelmi tisztviselő feladatai40. cikk. Magatartási kódexek41. cikk. A jóváhagyott magatartási kódexeknek való megfelelés ellenőrzése42. cikk. Tanúsítás43. cikk. Tanúsító szervezetek
V. FEJEZET A személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása (44-50)
44. cikk. Az adattovábbításra vonatkozó általános elv45. cikk. Adattovábbítás megfelelőségi határozat alapján46. cikk. Megfelelő garanciák alapján történő adattovábbítások
47. cikk. Kötelező erejű vállalati szabályok
48. cikk. Az uniós jog által nem engedélyezett továbbítás és közlés49. cikk. Különös helyzetekben biztosított eltérések50. cikk. A személyes adatok védelmével kapcsolatos nemzetközi együttműködés
VI. FEJEZET Független felügyeleti hatóságok (51-59)
51. cikk. Felügyeleti hatóság52. cikk. Függetlenség53. cikk. A felügyeleti hatóság tagjaira vonatkozó általános feltételek54. cikk. A felügyeleti hatóság létrehozására vonatkozó szabályok55. cikk. Illetékesség56. cikk. A fő felügyeleti hatóság illetékessége57. cikk. Feladatok58. cikk. Hatáskörök59. cikk. Tevékenységi jelentés
VII. FEJEZET Együttműködés és egységesség (60-70)
60. cikk. Együttműködés a fő felügyeleti hatóság és a többi érintett felügyeleti hatóság között61. cikk. Kölcsönös segítségnyújtás62. cikk. A felügyeleti hatóságok közös műveletei63. cikk. Az egységességi mechanizmus64. cikk. Az Európai Adatvédelmi Testület véleménye65. cikk. A Testület vitarendezési eljárása66. cikk. Sürgősségi eljárás67. cikk. Információcsere68. cikk. Az Európai Adatvédelmi Testület69. cikk. Függetlenség70. cikk. Az Európai Adatvédelmi Testület feladatai71. cikk. Jelentések72. cikk. Eljárás73. cikk. Az elnök74. cikk. Az elnök feladatai75. cikk. Titkárság76. cikk. Titoktartás
VIII. FEJEZET Jogorvoslat, felelősség és szankciók (77-84)
77. cikk. A felügyeleti hatóságnál történő panasztételhez való jog78. cikk. A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog79. cikk. Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog80. cikk. Az érintettek képviselete81. cikk. Az eljárás felfüggesztése82. cikk. A kártérítéshez való jog és a felelősség83. cikk. A közigazgatási bírságok kiszabására vonatkozó általános feltételek84. cikk. Szankciók
IX. FEJEZET Az adatkezelés különös eseteire vonatkozó rendelkezések (85-91)
85. cikk. A személyes adatok kezelése és a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog86. cikk. A személyes adatok kezelése és a hivatalos dokumentumokhoz való nyilvános hozzáférés87. cikk. A nemzeti azonosító számok kezelése88. cikk. Adatkezelés a foglalkoztatással összefüggően89. cikk. A közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott adatkezelésre vonatkozó garanciák és eltérések90. cikk. Titoktartási kötelezettségek91. cikk. Egyházak és vallási szervezetek létező adatvédelmi szabályai
X. FEJEZET Felhatalmazáson alapuló jogi aktusok és végrehajtási jogi aktusok (92-93)
92. cikk. A felhatalmazás gyakorlása93. cikk. Bizottsági eljárásrend
XI. FEJEZET Záró rendelkezések (94-95)
94. cikk. A 95/46/EK irányelv hatályon kívül helyezése95. cikk. Kapcsolat a 2002/58/EK irányelvvel96. cikk. Kapcsolat korábban kötött megállapodásokkal97. cikk. A Bizottság jelentései98. cikk. Az egyéb uniós adatvédelmi aktusok felülvizsgálata99. cikk. Hatálybalépés és alkalmazás
GDPR > 47. cikk. Kötelező erejű vállalati szabályok
Letöltés PDF

47. cikk GDPR. Kötelező erejű vállalati szabályok

Article 47 GDPR. Binding corporate rules

(1) Az illetékes felügyeleti hatóság a 63. cikkben meghatározott, egységességi mechanizmusnak megfelelően jóváhagyja a kötelező erejű vállalati szabályokat, ha az:

1. The competent supervisory authority shall approve binding corporate rules in accordance with the consistency mechanism set out in Article 63, provided that they:

Kapcsolatok
Kapcsolatok

a) a vállalkozáscsoport vagy a közös gazdasági tevékenységet folytató vállalkozások csoportja minden érintett tagjára, beleértve az alkalmazottakat is, jogilag kötelező erejű, alkalmazandó és általuk érvényesített;

(a) are legally binding and apply to and are enforced by every member concerned of the group of undertakings, or group of enterprises engaged in a joint economic activity, including their employees;

b) kifejezetten rendelkezik az érintetteknek a személyes adataik kezelése tekintetében kikényszeríthető jogairól; és

(b) expressly confer enforceable rights on data subjects with regard to the processing of their personal data; and

c) megfelel a (2) bekezdés szerinti követelményeknek.

(c) fulfil the requirements laid down in paragraph 2.

(2) Az (1) bekezdésben említett kötelező erejű vállalati szabályok tartalmazzák legalább:

2. The binding corporate rules referred to in paragraph 1 shall specify at least:

a) a vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportja minden egyes tagjának szervezeti felépítését és az elérhetőségét;

(a) the structure and contact details of the group of undertakings, or group of enterprises engaged in a joint economic activity and of each of its members;

b) az adattovábbításokat vagy a továbbítások sorozatát, beleértve a személyes adatok kategóriáit, az adatkezelés fajtáját és céljait, az érintettek fajtáit és a szóban forgó harmadik ország vagy országok azonosítását;

(b) the data transfers or set of transfers, including the categories of personal data, the type of processing and its purposes, the type of data subjects affected and the identification of the third country or countries in question;

c) a vállalkozások adatvédelmi szabályzatának belső és külső tekintetben jogilag kötelező jellegét;

(c) their legally binding nature, both internally and externally;

d) az általános adatvédelmi elvek alkalmazását, különösen a célhoz kötöttség, az adattakarékosság, a korlátozott tárolási időtartamok, az adatminőség, a beépített és alapértelmezett adatvédelem, az adatkezelés jogalapja, a személyes adatok különleges kategóriáinak kezelése, az adatbiztonságot garantáló intézkedések, valamint az olyan szervezeteknek történő újbóli továbbítás feltételeit, amelyekre nézve nem kötelezőek a kötelező erejű vállalati szabályok;

(d) the application of the general data protection principles, in particular purpose limitation, data minimisation, limited storage periods, data quality, data protection by design and by default, legal basis for processing, processing of special categories of personal data, measures to ensure data security, and the requirements in respect of onward transfers to bodies not bound by the binding corporate rules;

Kapcsolatok
Kapcsolatok

e) az érintettek személyes adataik kezelése tekintetében fennálló jogait és e jogok gyakorlásának módjait, beleértve a 22. cikk szerinti, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntések alóli mentesülés jogát, az érintett 79. cikkben meghatározott jogát, hogy az illetékes felügyeleti hatóságnál és a tagállamok illetékes bíróságainál panaszt nyújthat be, továbbá a jogorvoslathoz való jogát, valamint adott esetben a kötelező erejű vállalati szabályok megsértése esetén a kártérítéshez való jogát;

(e) the rights of data subjects in regard to processing and the means to exercise those rights, including the right not to be subject to decisions based solely on automated processing, including profiling in accordance with Article 22, the right to lodge a complaint with the competent supervisory authority and before the competent courts of the Member States in accordance with Article 79, and to obtain redress and, where appropriate, compensation for a breach of the binding corporate rules;

Kapcsolatok
Kapcsolatok

f) a valamely tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó felelősségének elismerését abban az esetben, ha a kötelező erejű vállalati szabályokat a csoportnak az Unióban tevékenységi hellyel nem rendelkező bármely érintett tagja megsérti; az adatkezelő vagy adatfeldolgozó részben vagy egészben csak akkor mentesül e felelőség alól, ha bizonyítja, hogy tagja nem felelős a kár előidézésében;

(f) the acceptance by the controller or processor established on the territory of a Member State of liability for any breaches of the binding corporate rules by any member concerned not established in the Union; the controller or the processor shall be exempt from that liability, in whole or in part, only if it proves that that member is not responsible for the event giving rise to the damage;

g) azt, hogy a 13. és a 14. cikkben említetten kívül miként biztosítják az érintetteknek a kötelező erejű vállalati szabályokra, különösen az e bekezdés d), e) és f) pontja szerinti rendelkezésekre vonatkozó információkat;

(g) how the information on the binding corporate rules, in particular on the provisions referred to in points (d), (e) and (f) of this paragraph is provided to the data subjects in addition to Articles 13 and 14;

Kapcsolatok
Kapcsolatok

h) a 37. cikk értelmében kijelölt adatvédelmi tisztviselők vagy a vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások csoportján belül a kötelező erejű vállalati szabályoknak való megfelelés, valamint a képzés és a panaszkezelés nyomon követéséért felelős személyek vagy szervezetek feladatait;

(h) the tasks of any data protection officer designated in accordance with Article 37 or any other person or entity in charge of the monitoring compliance with the binding corporate rules within the group of undertakings, or group of enterprises engaged in a joint economic activity, as well as monitoring training and complaint-handling;

Kapcsolatok
Kapcsolatok

i) a panasztételi eljárásokat;

(i) the complaint procedures;

j) a kötelező erejű vállalati szabályoknak való megfelelés ellenőrzésének biztosítására szolgáló, a vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások csoportján belüli mechanizmusokat. E mechanizmusok tartalmazzák az adatvédelmi auditokat és az érintettek jogainak védelmét szolgáló korrekciós intézkedéseket biztosító mechanizmusokat. Az ilyen ellenőrzések eredményeit közölni kell a h) pontban említett személlyel vagy szervezettel, valamint a vállalkozáscsoportot vagy a közös gazdasági tevékenységet folytató vállalkozások csoportját ellenőrző vállalkozás felügyelőbizottságával, és kérésre az illetékes felügyeleti hatóság rendelkezésére kell bocsátani őket;

(j) the mechanisms within the group of undertakings, or group of enterprises engaged in a joint economic activity for ensuring the verification of compliance with the binding corporate rules. Such mechanisms shall include data protection audits and methods for ensuring corrective actions to protect the rights of the data subject. Results of such verification should be communicated to the person or entity referred to in point (h) and to the board of the controlling undertaking of a group of undertakings, or of the group of enterprises engaged in a joint economic activity, and should be available upon request to the competent supervisory authority;

k) a kötelező erejű vállalati szabályok változásainak bejelentésére és rögzítésére, valamint e változásoknak a felügyeleti hatóság számára történő bejelentésére szolgáló mechanizmusokat;

(k) the mechanisms for reporting and recording changes to the rules and reporting those changes to the supervisory authority;

l) a kötelező erejű vállalati szabályoknak a vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportjának tagjai általi betartásának biztosítása érdekében a felügyeleti hatósággal folytatott együttműködési mechanizmust, beleértve különösen azt, hogy a felügyeleti hatóság számára elérhetővé teszik az intézkedések e bekezdés j) pontja szerinti ellenőrzésének eredményeit;

(l) the cooperation mechanism with the supervisory authority to ensure compliance by any member of the group of undertakings, or group of enterprises engaged in a joint economic activity, in particular by making available to the supervisory authority the results of verifications of the measures referred to in point (j);

m) arra vonatkozó mechanizmusokat, hogy hogyan kell jelenteni az illetékes felügyeleti hatóság számára a vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportjának tagjára valamely harmadik országban vonatkozó azon jogi előírásokat, amelyek valószínűsíthetően jelentős mértékben hátrányosan érintenék a kötelező erejű vállalati szabályokban előírt garanciákat; valamint

(m) the mechanisms for reporting to the competent supervisory authority any legal requirements to which a member of the group of undertakings, or group of enterprises engaged in a joint economic activity is subject in a third country which are likely to have a substantial adverse effect on the guarantees provided by the binding corporate rules; and

n) a személyes adatokba állandó jelleggel vagy rendszeresen betekintő személyzetnek nyújtandó megfelelő adatvédelmi képzést.

(n) the appropriate data protection training to personnel having permanent or regular access to personal data.

(3) A Bizottság meghatározhatja az e cikk szerinti, a kötelező erejű vállalati szabályokra vonatkozóan az adatkezelők, az adatfeldolgozók és a felügyeleti hatóságok között folytatott információcsere formátumát és eljárásait. Ezeket a végrehajtási jogi aktusokat a 93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.

3. The Commission may specify the format and procedures for the exchange of information between controllers, processors and supervisory authorities for binding corporate rules within the meaning of this Article. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 93(2).

Kapcsolatok
Kapcsolatok
Általános adatvédelmi rendelet (GDPR)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Preambulumbekezdése Irányelvek & Case Law Szólj hozzá
ISO 27701

(EN) ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 47 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).

(EN) […]


to read the full text

Preambulumbekezdése

(110) A vállalkozáscsoportok és a közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportjai számára lehetővé kell tenni, hogy jóváhagyott kötelező erejű vállalati szabályokat alkalmazzanak az Unióból a vállalkozáscsoporton vagy a közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli szervezetekhez irányuló nemzetközi adattovábbítások során, feltéve hogy e kötelező erejű vállalati szabályok minden olyan alapvető elvet és érvényesíthető jogot magukban foglalnak, amelyek megfelelő garanciát nyújtanak a személyes adatoknak vagy azok bizonyos kategóriáinak a továbbítására vonatkozóan.

(110) A group of undertakings, or a group of enterprises engaged in a joint economic activity, should be able to make use of approved binding corporate rules for its international transfers from the Union to organisations within the same group of undertakings, or group of enterprises engaged in a joint economic activity, provided that such corporate rules include all essential principles and enforceable rights to ensure appropriate safeguards for transfers or categories of transfers of personal data.

Irányelvek & Case Law Szólj hozzá
[js-disqus]