a) siano giuridicamente vincolanti e si applichino a tutti i membri interessati del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune, compresi i loro dipendenti;
b) conferiscano espressamente agli interessati diritti azionabili in relazione al trattamento dei loro dati personali; e
a) la struttura e le coordinate di contatto del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune e di ciascuno dei suoi membri;
b) i trasferimenti o il complesso di trasferimenti di dati, in particolare le categorie di dati personali, il tipo di trattamento e relative finalità, il tipo di interessati cui si riferiscono i dati e l’identificazione del paese terzo o dei paesi terzi in questione;
d) l’applicazione dei principi generali di protezione dei dati, in particolare in relazione alla limitazione della finalità, alla minimizzazione dei dati, alla limitazione del periodo di conservazione, alla qualità dei dati, alla protezione fin dalla progettazione e alla protezione per impostazione predefinita, alla base giuridica del trattamento e al trattamento di categorie particolari di dati personali, le misure a garanzia della sicurezza dei dati e i requisiti per i trasferimenti successivi ad organismi che non sono vincolati dalle norme vincolanti d’impresa;
e) i diritti dell’interessato in relazione al trattamento e i mezzi per esercitarli, compresi il diritto di non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione ai sensi dell’articolo 22, il diritto di proporre reclamo all’autorità di controllo competente e di ricorrere alle autorità giurisdizionali competenti degli Stati membri conformemente all’articolo 79, e il diritto di ottenere riparazione e, se del caso, il risarcimento per violazione delle norme vincolanti d’impresa;
f) il fatto che il titolare del trattamento o il responsabile del trattamento stabilito nel territorio di uno Stato membro si assume la responsabilità per qualunque violazione delle norme vincolanti d’impresa commesse da un membro interessato non stabilito nell’Unione; il titolare del trattamento o il responsabile del trattamento può essere esonerato in tutto o in parte da tale responsabilità solo se dimostra che l’evento dannoso non è imputabile al membro in questione;
h) i compiti di qualunque responsabile della protezione dei dati designato ai sensi dell’articolo 35 o di ogni altra persona o entità incaricata del controllo del rispetto delle norme vincolanti d’impresa all’interno del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune e il controllo della formazione e della gestione dei reclami;
j) i meccanismi all’interno del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune per garantire la verifica della conformità alle norme vincolanti d’impresa. Tali meccanismi comprendono verifiche sulla protezione dei dati e metodi per assicurare provvedimenti correttivi intesi a proteggere i diritti dell’interessato. I risultati di tale verifica dovrebbero essere comunicati alla persona o entità di cui alla lettera h) e all’organo amministrativo dell’impresa controllante del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune e dovrebbero essere disponibili su richiesta all’autorità di controllo competente;
k) i meccanismi per riferire e registrare le modifiche delle norme e comunicarle all’autorità di controllo;
l) il meccanismo di cooperazione con l’autorità di controllo per garantire la conformità da parte di ogni membro del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune, in particolare la messa a disposizione dell’autorità di controllo dei risultati delle verifiche delle misure di cui alla lettera j);
m) i meccanismi per segnalare all’autorità di controllo competente ogni requisito di legge cui è soggetto un membro del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune in un paese terzo che potrebbe avere effetti negativi sostanziali sulle garanzie fornite dalle norme vincolanti d’impresa; e
n) l’appropriata formazione in materia di protezione dei dati al personale che ha accesso permanente o regolare ai dati personali.
3. La Commissione può specificare il formato e le procedure per lo scambio di informazioni tra titolari del trattamento, responsabili del trattamento e autorità di controllo in merito alle norme vincolanti d’impresa ai sensi del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.
(110) Un gruppo imprenditoriale o un gruppo di imprese che svolge un'attività economica comune dovrebbe poter applicare le norme vincolanti d'impresa approvate per i trasferimenti internazionali dall'Unione agli organismi dello stesso gruppo imprenditoriale o gruppo d'imprese che svolge un'attività economica comune, purché tali norme contemplino tutti i principi fondamentali e diritti azionabili che costituiscano adeguate garanzie per i trasferimenti o categorie di trasferimenti di dati personali.
(EN)
Article 29 Working Party, Explanatory Document on the Processor Binding Corporate Rules (2015).
Article 29 Working Party, Working Document Setting Forth a Co-Operation Procedure for the Approval of „Binding Corporate Rules” for Controllers and Processors Under the GDPR (2018).
Article 29 Working Party, Recommendation on the Standard Application for Approval of Controller Binding Corporate Rules for the Transfer of Personal Data (2018).
Article 29 Working Party, Recommendation on the Standard Application form for Approval of Processor Binding Corporate Rules for the Transfer of Personal Data (2018).
Article 29 Working Party, Working Document Setting Up a Table with the Elements and Principles to Be Found in Binding Corporate Rules, no. WP 256 rev. 01 (2018).
Article 29 Working Party, Working Document Setting Up a Table with the Elements and Principles to Be Found in Binding Corporate Rules, no. WP 257 rev. 01 (2018).
CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).
(EN) ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 47 GDPR:
7.5.1 Identify basis for PII transfer between jurisdictions
Control
The organization should identify and document the relevant basis for transfers of PII between jurisdictions.
Implementation guidance
PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).
…
Conectare
pentru a accesa textul integral