Nawigacja
RODO > Artyku艂 47. wi膮偶膮ce regu艂y korporacyjnych
Pobierz jako plik PDF

Artyku艂 47 RODO. wi膮偶膮ce regu艂y korporacyjnych

Article 47 GDPR. Binding corporate rules

1. W艂a艣ciwy organ nadzorczy zatwierdza wi膮偶膮ce regu艂y korporacyjne zgodnie z mechanizmem sp贸jno艣ci przewidzianym w art. 63, pod warunkiem 偶e:

1. The competent supervisory authority shall approve binding corporate rules in accordance with the consistency mechanism set out in Article 63, provided that they:

Powi膮zane teksty

a) s膮 one prawnie wi膮偶膮ce oraz maj膮 zastosowanie do ka偶dego z cz艂onk贸w grupy przedsi臋biorstw lub grupy przedsi臋biorc贸w prowadz膮cych wsp贸ln膮 dzia艂alno艣膰 gospodarcz膮, w tym ich pracownik贸w, i s膮 przez ka偶dego z tych cz艂onk贸w egzekwowane;

(a)聽are legally binding and apply to and are enforced by every member concerned of the group of undertakings, or group of enterprises engaged in a joint economic activity, including their employees;

b) wyra藕nie przyznaj膮 osobom, kt贸rych dane dotycz膮, egzekwowalne prawa w zwi膮zku z przetwarzaniem ich danych osobowych; oraz

(b)聽expressly confer enforceable rights on data subjects with regard to the processing of their personal data; and

c) spe艂niaj膮 wymogi okre艣lone w ust. 2.

(c)聽fulfil the requirements laid down in paragraph聽2.

2. W wi膮偶膮cych regu艂ach korporacyjnych, o kt贸rych mowa w ust. 1, okre艣lone zostaj膮 co najmniej:

2. The binding corporate rules referred to in paragraph聽1 shall specify at least:

a) struktura i dane kontaktowe odno艣nej grupy przedsi臋biorstw lub grupy przedsi臋biorc贸w prowadz膮cych wsp贸ln膮 dzia艂alno艣膰 gospodarcz膮 i ka偶dego z jej cz艂onk贸w;

(a)聽the structure and contact details of the group of undertakings, or group of enterprises engaged in a joint economic activity and of each of its members;

b) jednorazowe lub wielokrotne przekazanie danych, w tym kategorie danych osobowych, rodzaj przetwarzania i jego cele, rodzaje os贸b, kt贸rych dane dotycz膮, oraz nazwa danego pa艅stwa trzeciego lub danych pa艅stw trzecich;

(b)聽the data transfers or set of transfers, including the categories of personal data, the type of processing and its purposes, the type of data subjects affected and the identification of the third country or countries in question;

c) ich prawnie wi膮偶膮cy charakter, wewn臋trzny i zewn臋trzny;

(c)聽their legally binding nature, both internally and externally;

d) zastosowanie og贸lnych zasad ochrony danych 鈥 w szczeg贸lno艣ci ograniczenia celu, minimalizacji danych, ograniczonych okres贸w przechowywania, jako艣ci danych, uwzgl臋dnianie ochrony danych w fazie projektowania oraz domy艣lnej ochrony danych, podstawa prawna przetwarzania, przetwarzanie szczeg贸lnych kategorii danych osobowych, 艣rodki zapewniaj膮ce bezpiecze艅stwo danych, wymogi w zakresie dalszego przekazywania podmiotom niezwi膮zanym wi膮偶膮cymi regu艂ami korporacyjnymi;

(d)聽the application of the general data protection principles, in particular purpose limitation, data minimisation, limited storage periods, data quality, data protection by design and by default, legal basis for processing, processing of special categories of personal data, measures to ensure data security, and the requirements in respect of onward transfers to bodies not bound by the binding corporate rules;

Powi膮zane teksty

e) prawa os贸b, kt贸rych dane dotycz膮, w zwi膮zku z przetwarzaniem oraz sposoby wykonywania tych praw, w tym z prawa do niepodlegania decyzjom opartym wy艂膮cznie na zautomatyzowanym przetwarzaniu 鈥 w tym profilowaniu 鈥 zgodnie z art. 22, prawa do wnoszenia skarg do w艂a艣ciwego organu nadzorczego i w艂a艣ciwych s膮d贸w pa艅stw cz艂onkowskich zgodnie z art. 79 oraz prawa do 艣rodka zaskar偶enia, a w stosownych przypadkach 鈥 odszkodowania za naruszenie wi膮偶膮cych regu艂 korporacyjnych;

(e)聽the rights of data subjects in regard to processing and the means to exercise those rights, including the right not to be subject to decisions based solely on automated processing, including profiling in accordance with Article聽22, the right to lodge a complaint with the competent supervisory authority and before the competent courts of the Member States in accordance with Article聽79, and to obtain redress and, where appropriate, compensation for a breach of the binding corporate rules;

Powi膮zane teksty

f) przyj臋cie przez administratora lub podmiot przetwarzaj膮cy posiadaj膮cych jednostki organizacyjnej na terytorium pa艅stwa cz艂onkowskiego odpowiedzialno艣ci prawnej za naruszenie wi膮偶膮cych regu艂 korporacyjnych przez odno艣nego cz艂onka niemaj膮cego jednostki organizacyjne w Unii; administrator lub podmiot przetwarzaj膮cy s膮 zwolnieni z tej odpowiedzialno艣ci 鈥 w ca艂o艣ci lub w cz臋艣ci 鈥 wy艂膮cznie, gdy udowodni, 偶e cz艂onek ten nie ponosi odpowiedzialno艣ci za wydarzenie, kt贸re doprowadzi艂o do powstania szkody;

(f)聽the acceptance by the controller or processor established on the territory of a Member聽State of liability for any breaches of the binding corporate rules by any member concerned not established in the Union; the controller or the processor shall be exempt from that liability, in whole or in part, only if it proves that that member is not responsible for the event giving rise to the damage;

g) spos贸b, w jaki osobom, kt贸rych dane dotycz膮, podaje si臋 鈥 opr贸cz informacji, o kt贸rych mowa w art. 13 i 14 鈥 informacje o wi膮偶膮cych regu艂ach korporacyjnych, w szczeg贸lno艣ci o postanowieniach, o kt贸rych mowa w lit. d), e) i f) niniejszego ust臋pu;

(g)聽how the information on the binding corporate rules, in particular on the provisions referred to in points (d), (e) and聽(f) of this paragraph is provided to the data subjects in addition to Articles聽13 and 14;

Powi膮zane teksty

h) zadania inspektora ochrony danych wyznaczonego zgodnie z art. 37 lub innej osoby lub podmiotu odpowiedzialnych za monitorowanie przestrzegania wi膮偶膮cych regu艂 korporacyjnych w ramach grupy przedsi臋biorstw lub grupy przedsi臋biorc贸w prowadz膮cych wsp贸ln膮 dzia艂alno艣膰 gospodarcz膮 oraz monitorowanie szkole艅 i rozpatrywanie skarg;

(h)聽the tasks of any data protection officer designated in accordance with Article聽37 or any other person or entity in charge of the monitoring compliance with the binding corporate rules within the group of undertakings, or group of enterprises engaged in a joint economic activity, as well as monitoring training and complaint-handling;

Powi膮zane teksty

i) procedury dotycz膮ce skarg;

(i)聽the complaint procedures;

j) stosowane w grupie przedsi臋biorstw lub w grupie przedsi臋biorc贸w prowadz膮cych wsp贸ln膮 dzia艂alno艣膰 gospodarcz膮 mechanizmy zapewniaj膮ce weryfikacj臋 przestrzegania wi膮偶膮cych regu艂 korporacyjnych. Mechanizmy takie obejmuj膮 audyty w zakresie ochrony danych oraz metody zapewniania dzia艂a艅 naprawczych maj膮cych chroni膰 prawa os贸b, kt贸rych dane dotycz膮. Wyniki takiej weryfikacji powinny by膰 przekazywane osobie lub podmiotowi, o kt贸rych mowa w lit. h), oraz zarz膮dowi przedsi臋biorstwa sprawuj膮cego kontrol臋 w grupie przedsi臋biorstw lub organowi kieruj膮cemu grup膮 przedsi臋biorc贸w prowadz膮cych wsp贸ln膮 dzia艂alno艣膰 gospodarcz膮 i powinny by膰 dost臋pne na 偶膮danie w艂a艣ciwego organu nadzorczego;

(j)聽the mechanisms within the group of undertakings, or group of enterprises engaged in a joint economic activity for ensuring the verification of compliance with the binding corporate rules. Such mechanisms shall include data protection audits and methods for ensuring corrective actions to protect the rights of the data subject. Results of such verification should be communicated to the person or entity referred to in point聽(h) and to the board of the controlling undertaking of a group of undertakings, or of the group of enterprises engaged in a joint economic activity, and should be available upon request to the competent supervisory authority;

k) mechanizmy zg艂aszania i rejestrowania zmian w zasadach i zg艂aszania tych zmian organowi nadzorczemu;

(k)聽the mechanisms for reporting and recording changes to the rules and reporting those changes to the supervisory authority;

l) mechanizm wsp贸艂pracy z organem nadzorczym zapewniaj膮cy przestrzeganie zasad przez wszystkich cz艂onk贸w grupy przedsi臋biorstw lub grupy przedsi臋biorc贸w prowadz膮cych wsp贸ln膮 dzia艂alno艣膰 gospodarcz膮, w szczeg贸lno艣ci poprzez udost臋pnianie organowi nadzorczemu wynik贸w weryfikacji 艣rodk贸w, o kt贸rej mowa w lit. j);

(l)聽the cooperation mechanism with the supervisory authority to ensure compliance by any member of the group of undertakings, or group of enterprises engaged in a joint economic activity, in particular by making available to the supervisory authority the results of verifications of the measures referred to in point (j);

m) mechanizm zg艂aszania w艂a艣ciwemu organowi nadzorczemu wszelkich wymog贸w prawnych, kt贸rym podlega w pa艅stwie trzecim cz艂onek grupy przedsi臋biorstw lub grupy przedsi臋biorc贸w prowadz膮cych wsp贸ln膮 dzia艂alno艣膰 gospodarcz膮 i kt贸re mog膮 mie膰 istotny niekorzystny wp艂yw na gwarancje przewidziane w wi膮偶膮cych regu艂ach korporacyjnych; oraz

(m)聽the mechanisms for reporting to the competent supervisory authority any legal requirements to which a member of the group of undertakings, or group of enterprises engaged in a joint economic activity is subject in a third country which are likely to have a substantial adverse effect on the guarantees provided by the binding corporate rules; and

n) w艂a艣ciwe szkolenia z zakresu ochrony danych dla personelu maj膮cego sta艂y lub regularny dost臋p do danych osobowych.

(n)聽the appropriate data protection training to personnel having permanent or regular access to personal data.

3. Komisja mo偶e okre艣li膰 format i procedury wymiany informacji mi臋dzy administratorami, podmiotami przetwarzaj膮cymi i organami nadzorczymi dotycz膮cych wi膮偶膮cych regu艂 korporacyjnych w rozumieniu niniejszego artyku艂u. Te akty wykonawcze s膮 przyjmowane zgodnie z procedur膮 sprawdzaj膮c膮, o kt贸rej mowa w art. 93 ust. 2.

3. The Commission may specify the format and procedures for the exchange of information between controllers, processors and supervisory authorities for binding corporate rules within the meaning of this Article. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article聽93(2).

Powi膮zane teksty
ISO 27701 Motywy Wytyczne & Case Law zostaw komentarz
ISO 27701

(EN) ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 47 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).


aby uzyska膰 dost臋p do pe艂nego tekstu

Motywy

(110) Grupa przedsi臋biorstw lub grupa przedsi臋biorc贸w prowadz膮cych wsp贸ln膮 dzia艂alno艣膰 gospodarcz膮 powinna m贸c korzysta膰 z zatwierdzonych wi膮偶膮cych regu艂 korporacyjnych przy mi臋dzynarodowym przekazywaniu danych z Unii do organizacji w tej samej grupie przedsi臋biorstw lub w grupie przedsi臋biorc贸w prowadz膮cych wsp贸ln膮 dzia艂alno艣膰 gospodarcz膮, pod warunkiem, 偶e w takich regu艂ach korporacyjnych s膮 uj臋te wszystkie podstawowe zasady i egzekwowalne prawa zapewniaj膮ce odpowiednie zabezpieczenia na potrzeby przekazywania danych osobowych lub na potrzeby okre艣lonych kategorii przekaza艅 danych osobowych.

(110) A group of undertakings, or a group of enterprises engaged in a joint economic activity, should be able to make use of approved binding corporate rules for its international transfers from the Union to organisations within the same group of undertakings, or group of enterprises engaged in a joint economic activity, provided that such corporate rules include all essential principles and enforceable rights to ensure appropriate safeguards for transfers or categories of transfers of personal data.

Wytyczne & Case Law zostaw komentarz
[js-disqus]