Meer
Navigatie
HOOFDSTUK I Algemene bepalingen (1-4)
Artikel 1. Onderwerp en doelstellingenArtikel 2. Materieel toepassingsgebiedArtikel 3. Territoriaal toepassingsgebiedArtikel 4. Definities
HOOFDSTUK II Beginselen (5-11)
Artikel 5. Beginselen inzake verwerking van persoonsgegevensArtikel 6. Rechtmatigheid van de verwerkingArtikel 7. Voorwaarden voor toestemmingArtikel 8. Voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappijArtikel 9. Verwerking van bijzondere categorieën van persoonsgegevensArtikel 10. Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feitenArtikel 11. Verwerking waarvoor identificatie niet is vereist
HOOFDSTUK III Rechten van de betrokkene (12-23)
Artikel 12. Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkeneArtikel 13. Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameldArtikel 14. Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregenArtikel 15. Recht van inzage van de betrokkeneArtikel 16. Recht op rectificatieArtikel 17. Recht op gegevenswissing („recht op vergetelheid”)Artikel 18. Recht op beperking van de verwerkingArtikel 19. Kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperkingArtikel 20. Recht op overdraagbaarheid van gegevensArtikel 21. Recht van bezwaarArtikel 22. Geautomatiseerde individuele besluitvorming, waaronder profileringArtikel 23. Beperkingen
HOOFDSTUK IV Verwerkingsverantwoordelijke en verwerker (24-43)
Artikel 24. Onderwerp en doelstellingenArtikel 25. Gegevensbescherming door ontwerp en door standaardinstellingenArtikel 26. Gezamenlijke verwerkingsverantwoordelijkenArtikel 27. Vertegenwoordigers van niet in de Unie gevestigde verwerkingsverantwoordelijken of verwerkersArtikel 28. VerwerkerArtikel 29. Verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerkerArtikel 30. Register van de verwerkingsactiviteitenArtikel 31. Medewerking met de toezichthoudende autoriteitArtikel 32. Beveiliging van de verwerkingArtikel 33. Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteitArtikel 34. Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkeneArtikel 35. GegevensbeschermingseffectbeoordelingArtikel 36. Voorafgaande raadplegingArtikel 37. Aanwijzing van de functionaris voor gegevensbeschermingArtikel 38. Positie van de functionaris voor gegevensbeschermingArtikel 39. Taken van de functionaris voor gegevensbeschermingArtikel 40. GedragscodesArtikel 41. Toezicht op goedgekeurde gedragscodesArtikel 42. CertificeringArtikel 43. Certificeringsorganen
HOOFDSTUK V Doorgiften van persoonsgegevens aan derde landen of internationale organisaties (44-50)
Artikel 44. Algemeen beginsel inzake doorgiftenArtikel 45. Doorgiften op basis van adequaatheidsbesluitenArtikel 46. Doorgiften op basis van passende waarborgen
Artikel 47. Bindende bedrijfsvoorschriften
Artikel 48. Niet bij Unierecht toegestane doorgiften of verstrekkingenArtikel 49. Afwijkingen voor specifieke situatiesArtikel 50. Internationale samenwerking voor de bescherming van persoonsgegevens
HOOFDSTUK VI Onafhankelijke toezichthoudende autoriteiten (51-59)
Artikel 51. Toezichthoudende autoriteitArtikel 52. OnafhankelijkheidArtikel 53. Algemene voorwaarden voor de leden van de toezichthoudende autoriteitArtikel 54. Regels inzake de oprichting van de toezichthoudende autoriteitArtikel 55. CompetentieArtikel 56. Competentie van de leidende toezichthoudende autoriteitArtikel 57. TakenArtikel 58. BevoegdhedenArtikel 59. Activiteitenverslagen
HOOFDSTUK VII Samenwerking en coherentie (60-70)
Artikel 60. Samenwerking tussen de leidende toezichthoudende autoriteit en de andere betrokken toezichthoudende autoriteitenArtikel 61. Wederzijdse bijstandArtikel 62. Gezamenlijke werkzaamheden van toezichthoudende autoriteitenArtikel 63. CoherentiemechanismeArtikel 64. Advies van het ComitéArtikel 65. Geschillenbeslechting door het ComitéArtikel 66. SpoedprocedureArtikel 67. Uitwisseling van informatieArtikel 68. Europees Comité voor gegevensbeschermingArtikel 69. OnafhankelijkheidArtikel 70. Taken van het ComitéArtikel 71. RapportageArtikel 72. ProcedureArtikel 73. VoorzitterArtikel 74. Taken van de voorzitterArtikel 75. SecretariaatArtikel 76. Vertrouwelijkheid
HOOFDSTUK VIII Beroep, aansprakelijkheid en sancties (77-84)
Artikel 77. Recht om klacht in te dienen bij een toezichthoudende autoriteitArtikel 78. Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteitArtikel 79. Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerkerArtikel 80. Vertegenwoordiging van betrokkenenArtikel 81. Schorsing van de procedureArtikel 82. Recht op schadevergoeding en aansprakelijkheidArtikel 83. Algemene voorwaarden voor het opleggen van administratieve geldboetenArtikel 84. Sancties
HOOFDSTUK IX Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking (85-91)
Artikel 85. Verwerking en vrijheid van meningsuiting en van informatieArtikel 86. Verwerking en recht van toegang van het publiek tot officiële documentenArtikel 87. Verwerking van het nationaal identificatienummerArtikel 88. Verwerking in het kader van de arbeidsverhoudingArtikel 89. Waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleindenArtikel 90. GeheimhoudingsplichtArtikel 91. Bestaande gegevensbeschermingsregels van kerken en religieuze verenigingen
HOOFDSTUK X Gedelegeerde handelingen en uitvoeringshandelingen (92-93)
Artikel 92. Uitoefening van de bevoegdheidsdelegatieArtikel 93. Comitéprocedure
HOOFDSTUK XI Slotbepalingen (94-95)
Artikel 94. Intrekking van Richtlijn 95/46/EGArtikel 95. Verhouding tot Richtlijn 2002/58/EGArtikel 96. Verhouding tot eerder gesloten overeenkomstenArtikel 97. CommissieverslagenArtikel 98. Toetsing van andere Unierechtshandelingen inzake gegevensbeschermingArtikel 99. Inwerkingtreding en toepassing
AVG (GDPR) > Artikel 47. Bindende bedrijfsvoorschriften
Download PDF

Artikel 47 AVG (GDPR). Bindende bedrijfsvoorschriften

Article 47 GDPR. Binding corporate rules

1. De bevoegde toezichthoudende autoriteit keurt in overeenstemming met het in artikel 63 bedoelde coherentiemechanism bindende bedrijfsvoorschriften goed, op voorwaarde dat deze:

1. The competent supervisory authority shall approve binding corporate rules in accordance with the consistency mechanism set out in Article 63, provided that they:

Verbindingen
Verbindingen

a) juridisch bindend zijn voor, van toepassing zijn op en worden gehandhaafd door alle betrokken leden van het concern, of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen, met inbegrip van hun werknemers;

(a) are legally binding and apply to and are enforced by every member concerned of the group of undertakings, or group of enterprises engaged in a joint economic activity, including their employees;

b) betrokkenen uitdrukkelijk afdwingbare rechten toekennen met betrekking tot de verwerking van hun persoonsgegevens; en

(b) expressly confer enforceable rights on data subjects with regard to the processing of their personal data; and

c) voldoen aan de in lid 2 vastgestelde vereisten.

(c) fulfil the requirements laid down in paragraph 2.

2. In de in lid 1 bedoelde bindende bedrijfsvoorschriften worden minstens de volgende elementen vastgelegd:

2. The binding corporate rules referred to in paragraph 1 shall specify at least:

a) de structuur en de contactgegevens van het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen en van elk van haar leden;

(a) the structure and contact details of the group of undertakings, or group of enterprises engaged in a joint economic activity and of each of its members;

b) de gegevensdoorgiften of reeks van doorgiften, met inbegrip van de categorieën van persoonsgegevens, het soort verwerking en de doeleinden daarvan, het soort betrokkenen in kwestie en de identificatie van het derde land of de derde landen in kwestie;

(b) the data transfers or set of transfers, including the categories of personal data, the type of processing and its purposes, the type of data subjects affected and the identification of the third country or countries in question;

c) het intern en extern juridisch bindende karakter;

(c) their legally binding nature, both internally and externally;

d) de toepassing van de algemene beginselen inzake gegevensbescherming, met name doelbinding, minimale gegevensverwerking, beperkte opslagtermijnen, kwaliteit van gegevens, gegevensbescherming door standaardinstellingen en door ontwerp, rechtsgrond voor verwerking, verwerking van bijzondere categorieën van persoonsgegevens, maatregelen om gegevensbeveiliging te waarborgen, en de vereisten inzake verdere doorgiften aan organen die niet door bindende bedrijfsvoorschriften zijn gebonden;

(d) the application of the general data protection principles, in particular purpose limitation, data minimisation, limited storage periods, data quality, data protection by design and by default, legal basis for processing, processing of special categories of personal data, measures to ensure data security, and the requirements in respect of onward transfers to bodies not bound by the binding corporate rules;

Verbindingen
Verbindingen

e) de rechten van betrokkenen in verband met verwerking en de middelen om die rechten uit te oefenen, waaronder het recht om niet te worden onderworpen aan louter op geautomatiseerde verwerking gebaseerde besluiten, met inbegrip van profilering overeenkomstig artikel 22, het recht om een klacht in te dienen bij de bevoegde toezichthoudende autoriteit, om een vordering in te stellen bij de bevoegde gerechten van de lidstaten overeenkomstig artikel 79, en om schadeloosstelling en, in voorkomend geval, een vergoeding te verkrijgen voor een inbreuk op de bindende bedrijfsvoorschriften;

(e) the rights of data subjects in regard to processing and the means to exercise those rights, including the right not to be subject to decisions based solely on automated processing, including profiling in accordance with Article 22, the right to lodge a complaint with the competent supervisory authority and before the competent courts of the Member States in accordance with Article 79, and to obtain redress and, where appropriate, compensation for a breach of the binding corporate rules;

Verbindingen
Verbindingen

f) de aanvaarding door de op het grondgebied van een lidstaat gevestigde verwerkingsverantwoordelijke of verwerker van aansprakelijkheid voor alle inbreuken op de bindende bedrijfsvoorschriften door een niet in de Unie gevestigd betrokken lid; de verwerkingsverantwoordelijke of de verwerker wordt alleen geheel of gedeeltelijk van deze aansprakelijkheid ontheven, indien hij bewijst dat dat lid niet verantwoordelijk is voor het schadebrengende feit;

(f) the acceptance by the controller or processor established on the territory of a Member State of liability for any breaches of the binding corporate rules by any member concerned not established in the Union; the controller or the processor shall be exempt from that liability, in whole or in part, only if it proves that that member is not responsible for the event giving rise to the damage;

g) de wijze waarop, in aanvulling op de in de artikelen 13 en 14 bedoelde informatie, aan betrokkenen informatie wordt verschaft over de bindende bedrijfsvoorschriften, met name over de bepalingen in de punten d), e) en f);

(g) how the information on the binding corporate rules, in particular on the provisions referred to in points (d), (e) and (f) of this paragraph is provided to the data subjects in addition to Articles 13 and 14;

Verbindingen
Verbindingen

h) de taken van elke overeenkomstig artikel 37 aangewezen functionaris voor gegevensbescherming, of elke andere persoon of entiteit die is belast met het toezicht op de naleving van de bindende bedrijfsvoorschriften binnen het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen, op opleiding en op de behandeling van klachten;

(h) the tasks of any data protection officer designated in accordance with Article 37 or any other person or entity in charge of the monitoring compliance with the binding corporate rules within the group of undertakings, or group of enterprises engaged in a joint economic activity, as well as monitoring training and complaint-handling;

Verbindingen
Verbindingen

i) de klachtenprocedures;

(i) the complaint procedures;

j) de binnen het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen bestaande procedures om te controleren of de bindende bedrijfsvoorschriften zijn nageleefd. Dergelijke procedures omvatten gegevensbeschermingsaudits en -methoden om te zorgen voor corrigerende maatregelen ter bescherming van de rechten van de betrokkene. De resultaten van dergelijke controles dienen te worden meegedeeld aan de in punt h) bedoelde persoon of entiteit en aan de raad van bestuur van de onderneming die zeggenschap uitoefent over een concern, of van de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen, en dienen op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit te worden gesteld;

(j) the mechanisms within the group of undertakings, or group of enterprises engaged in a joint economic activity for ensuring the verification of compliance with the binding corporate rules. Such mechanisms shall include data protection audits and methods for ensuring corrective actions to protect the rights of the data subject. Results of such verification should be communicated to the person or entity referred to in point (h) and to the board of the controlling undertaking of a group of undertakings, or of the group of enterprises engaged in a joint economic activity, and should be available upon request to the competent supervisory authority;

k) de procedures om die veranderingen in de regels te melden, te registreren en aan de toezichthoudende autoriteit te melden;

(k) the mechanisms for reporting and recording changes to the rules and reporting those changes to the supervisory authority;

l) de procedure voor samenwerking met de toezichthoudende autoriteit om ervoor te zorgen dat alle leden van het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen de bindende bedrijfsvoorschriften naleven, in het bijzonder door de resultaten van de in punt j) bedoelde controles ter beschikking van de toezichthoudende autoriteit te stellen;

(l) the cooperation mechanism with the supervisory authority to ensure compliance by any member of the group of undertakings, or group of enterprises engaged in a joint economic activity, in particular by making available to the supervisory authority the results of verifications of the measures referred to in point (j);

m) de procedures om eventuele wettelijke voorschriften waaraan een lid van het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen in een derde land is onderworpen en die waarschijnlijk een aanzienlijk negatief effect zullen hebben op de door de bindende bedrijfsvoorschriften geboden waarborgen, aan de bevoegde toezichthoudende autoriteit te melden; en

(m) the mechanisms for reporting to the competent supervisory authority any legal requirements to which a member of the group of undertakings, or group of enterprises engaged in a joint economic activity is subject in a third country which are likely to have a substantial adverse effect on the guarantees provided by the binding corporate rules; and

n) de passende opleiding inzake gegevensbescherming voor personeel dat permanent of op regelmatige basis toegang tot persoonsgegevens heeft.

(n) the appropriate data protection training to personnel having permanent or regular access to personal data.

3. De Commissie kan het model en de procedures voor de uitwisseling van informatie over bindende bedrijfsvoorschriften in de zin van dit artikel tussen verwerkingsverantwoordelijken, verwerkers en toezichthoudende autoriteiten nader bepalen. Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure.

3. The Commission may specify the format and procedures for the exchange of information between controllers, processors and supervisory authorities for binding corporate rules within the meaning of this Article. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 93(2).

Verbindingen
Verbindingen
Algemene verordening gegevensbescherming (AVG, GDPR)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Overwegingen Richtlijnen & Case Law laat een reactie achter
ISO 27701

(EN) ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 47 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).

(EN) […]


to read the full text

Overwegingen

(110) Een concern of een groepering van ondernemingen die een gezamenlijke economische activiteit beoefent, dient voor zijn internationale doorgiften uit de Unie naar organisaties binnen hetzelfde concern of dezelfde groepering van ondernemingen die een gezamenlijke economische activiteit beoefent te kunnen gebruikmaken van goedgekeurde bindende bedrijfsvoorschriften, mits daarin alle essentiële beginselen en afdwingbare rechten zijn vastgelegd die passende waarborgen bieden ten aanzien van de doorgifte of categorieën van doorgiften van persoonsgegevens.

(110) A group of undertakings, or a group of enterprises engaged in a joint economic activity, should be able to make use of approved binding corporate rules for its international transfers from the Union to organisations within the same group of undertakings, or group of enterprises engaged in a joint economic activity, provided that such corporate rules include all essential principles and enforceable rights to ensure appropriate safeguards for transfers or categories of transfers of personal data.

Richtlijnen & Case Law laat een reactie achter
[js-disqus]