1. 관할 감독기관은 제63조에 명시된 일관성 메커니즘에 따라 의무적 기업 규칙을 승인해야 한다. 단, 그 규칙이 다음 각 호를 전제로 해야 한다.

(a) 법적 구속력이 있으며 피고용인 등 공동 경제활동에 관여하는 사업체 집단 또는 기업 집단의 모든 구성원들에게 적용되고 그들에 의해 이행되는 경우

(b) 본인의 개인정보 처리와 관련하여 정보주체에게 명시적으로 구속력 있는 권리를 부여하는 경우

(c) 제2항의 요건을 충족시키는 경우

2. 제1항의 의무적 기업 규칙은 최소한 다음 각 호를 명시해야 한다.

(a) 공동 경제활동에 관여하는 사업체 집단이나 기업 집단 및 각 구성원의 구조와 연락처

(b) 개인정보의 범주, 처리 유형과 목적, 관련 정보주체의 유형 및 해당 제3국의 신원 확인 등의 정보 이전 또는 이전 건 일체

(c) 내외부적으로 법적 구속력이 있는 특성

(d) 특히 목적제한과 데이터 최소화, 보관기간 제한, 정보 품질, 설계 및 기본설정에 의한 정보보호, 정보처리의 법적 근거, 특별 범주의 개인정보 처리, 정보 보안 확보 대책 등의 일반 정보보호 원칙 및 향후 의무적 기업 규칙의 구속을 받지 않는 기관에 대한 재이전과 관련된 요건의 적용

(e) 제22조에 의거한 프로파일링 등 자동 처리만을 근거로 한 결정을 따르지 않을 권리, 제79조에 의거한 관할 감독기관 및 회원국 관할 법원에 민원을 제기할 권리 그리고 구제 및 해당하는 경우 의무적 기업 규칙 위반에 대한 보상을 받을 권리 등 개인정보 처리에 관한 정보주체의 권리 및 이 권리를 행사하기 위한 수단

(f) 회원국 영토에 설립된 컨트롤러 또는 프로세서가 유럽연합 역내에 설립되지 않은 구성원의 의무적 기업 규칙 위반에 대한 책임을 인정. 컨트롤러 또는 프로세서는 해당 구성원이 피해를 초래한 사건에 대한 책임이 없음을 입증하는 경우에 한해 전적 또는 부분적으로 그 책임을 면제받아야 한다.

(g) 제13조 및 제14조에 더하여, 특히 본 항의 (d), (e), (f)호에 명시된 규정 등 의무적 기업 규칙에 관한 정보가 정보주체에 제공되는 방식

(h) 제37조에 따라 지정된 데이터보호담당관, 또는 공동 경제활동에 종사하는 사업체 집단이나 기업 집단 내에서 의무적 기업 규칙의 준수 여부 모니터링, 모니터링 교육 및 민원처리를 담당하는 제3자 또는 주체의 업무

(i) 민원 절차

(j) 공동 경제활동에 관여하는 사업체 집단 또는 기업 집단 내의 의무적 기업 규칙의 준수 여부를 검증하기 위한 메커니즘. 그러한 메커니즘은 정보주체의 권리를 보호하기 위한 시정조치를 보장할 정보보호 감사 및 방법을 포함해야 한다. 해당 검증 결과는 (h)호의 개인이나 개체 및 기업 집단이나 그 사업을 총괄하는 이사회에게 통지해야 하고, 요청 시 관할 감독기관에 제공되어야 한다.

(k) 규칙의 변경사항을 보고 및 기록하기 위한 메커니즘과 해당 변경사항을 감독기관에 보고하기 위한 메커니즘

(l) 특히 (j)호의 조치 검증 결과를 감독기관에 공개함으로써 공동 경제활동에 종사하는 사업체 집단 또는 사업체 집단 구성원의 규칙 준수를 보장하기 위한 감독기관과의 협력 메커니즘

(m) 공동 경제활동에 종사하는 사업체 집단이나 기업 집단의 구성원이 제3국에서 적용을 받고, 의무적 기업 규칙이 보장하는 바에 상당한 악영향을 미칠 것으로 예상되는 법적 요건을 관할 감독기관에 보고하는 메커니즘

(n) 상시적 또는 정기적으로 개인정보를 열람할 수 있는 직원을 대상으로 한 적절한 정보보호 교육

3. 집행위원회는 본 조의 의미 내에서 의무적 기업 규칙에 대해 컨트롤러 또는 프로세서, 프로세서, 감독기관 간에 이루어지는 정보 교환에 필요한 양식과 절차를 정할 수 있다. 그러한 이행 법률은 제93조(2)의 검토 절차에 따라 채택되어야 한다.