(a) мають обов’язкову юридичну силу, їх застосовує і забезпечує їх виконання кожний зацікавлений член групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність, в тому числі, їхні працівники;
(b) прямо надають суб’єктам даних права, як можна реалізувати, у зв’язку з опрацюванням їхніх персональних даних; і
(a) структуру та контактні дані групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність, та кожного з їхніх членів;
(b) передавання даних чи низку актів передавання, у тому числі категорії персональних даних, тип опрацювання і його цілі, тип суб’єктів даних, що зазнали впливу, та визначення відповідної третьої країни чи країн;
(d) застосування загальних принципів захисту даних, зокрема, цільове обмеження, мінімізацію даних, обмежені періоди зберігання, якість даних, захист даних за призначенням і за замовчуванням, законодавчу базу опрацювання, опрацювання спеціальних категорій персональних даних, заходи для гарантування безпеки даних і вимоги щодо наступних актів передавання до органів, що не пов’язані зобов’язальними корпоративними правилами;
(e) права суб’єктів даних у сфері опрацювання і засоби реалізації таких прав, у тому числі, права не підлягати рішенням, що ґрунтуються винятково на автоматизованому опрацюванні, в тому числі, профайлінгу відповідно до статті 22, права подавати скаргу до компетентного наглядового органу та компетентних судів держав-членів згідно зі статтею 79, та отримувати правовий захист і, за необхідності, відшкодування за порушення зобов’язальних корпоративних правил;
(f) визнання контролером або оператором, що має осідок на території держави-члена, відповідальності за будь-які порушення зобов’язальних корпоративних правил будь-яким залученим членом, що перебуває поза межами Союзу; контролер або оператор звільняються від такої відповідальності, частково або повністю лише за умов доведення, що такий член не несе відповідальності за подію, внаслідок якої заподіяно шкоду;
(h) завдання будь-якого співробітника з питань захисту даних, призначеного відповідно до статті 37, або будь-якої іншої особи чи установи, відповідальної за моніторинг дотримання зобов’язальних корпоративних правил в межах групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність, а також моніторинг підготування та розгляду скарг;
(j) механізми в межах групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність, для забезпечення перевірки відповідності зобов’язальним корпоративним правилам. Такі механізми передбачають перевірки захисту даних і методи забезпечення вжиття виправних дій для захисту прав суб’єкта даних. Результати такої перевірки необхідно повідомляти особі чи установі, вказаній в пункті (h), і раді контролюючого підприємства групи підприємств чи групи підприємств, що здійснюють спільну господарську діяльність, та надавати на запит компетентного наглядового органу;
(k) механізми для звітування та запису змін до правил і звітування про такі зміни до наглядового органу;
(l) механізм співпраці з наглядовим органом для забезпечення дотримання будь-яким членом групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність, зокрема шляхом надання наглядовому органу результатів перевірок заходів, вказаних у пункті (j);
(m) механізми для звітування до компетентного наглядового органу про будь-які законні вимоги, які поширюються на члена групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність в третій країні, що ймовірно матимуть суттєві негативні наслідки для гарантій, передбачених зобов’язальними корпоративними правилами; та
(n) відповідне навчання з питань захисту даних для персоналу, що має постійний або регулярний доступ до персональних даних.
3. Комісія має право визначити формат і процедури для обміну інформацією між контролерами, операторами і наглядовими органами для виконання зобов’язальних корпоративних правил у значенні цієї статті. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, встановленої в статті 93(2).
Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf
(110) Група підприємств або група підприємств, що здійснюють спільну господарську діяльність, повинні мати можливість застосовувати зобов'язальні корпоративні правила для здійснення ними міжнародного передавання з Союзу до організацій у межах тієї самої групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність, за умови, що такі корпоративні правила містять усі суттєві принципи та права, які можна реалізувати, з метою надання відповідних гарантій для передавання або категорій передавання персональних даних.
(EN)
Article 29 Working Party, Explanatory Document on the Processor Binding Corporate Rules (2015).
Article 29 Working Party, Working Document Setting Forth a Co-Operation Procedure for the Approval of “Binding Corporate Rules” for Controllers and Processors Under the GDPR (2018).
Article 29 Working Party, Recommendation on the Standard Application for Approval of Controller Binding Corporate Rules for the Transfer of Personal Data (2018).
Article 29 Working Party, Recommendation on the Standard Application form for Approval of Processor Binding Corporate Rules for the Transfer of Personal Data (2018).
Article 29 Working Party, Working Document Setting Up a Table with the Elements and Principles to Be Found in Binding Corporate Rules, no. WP 256 rev. 01 (2018).
Article 29 Working Party, Working Document Setting Up a Table with the Elements and Principles to Be Found in Binding Corporate Rules, no. WP 257 rev. 01 (2018).
CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).
(EN) ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 47 GDPR:
7.5.1 Identify basis for PII transfer between jurisdictions
Control
The organization should identify and document the relevant basis for transfers of PII between jurisdictions.
Implementation guidance
PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).
(EN) […]
(EN) Sign in
to read the full text