Navigering
GDPR > Статья 47. Обязательные корпоративные правила
Hämta PDF

Статья 47 GDPR. Обязательные корпоративные правила

1. Компетентный надзорный орган утверждает обязательные корпоративные правила в соответствии с механизмом согласованности, предусмотренным в статье 63, при условии, что:

Relaterade texter

(a) они имеют юридически обязывающую силу и применяются к каждому из членов группы субъектов хозяйствования или группы предприятий, вовлеченных в совместную экономическую деятельность, включая их сотрудников;

(b) явно признают за субъектами данных осуществимые права в отношении обработки их персональных данных; и

(c) соблюдают требования, установленные в параграфе 2.

2. Обязательные корпоративные правила, упомянутые в параграфе 1, должны устанавливать как минимум:

(a) структуру и реквизиты группы компаний или группы предприятий, осуществляющих совместную экономическую деятельность, а также каждого из их членов;

(b) передачу данных или ряд таких передач, в том числе категории персональных данных, тип обработки и их цели, тип затронутых субъектов данных и наименование соответствующей третьей страны или стран;

(c) их юридически обязательных характер, как внутренний, так и внешний;

(d) применение общих принципов защиты персональных данных, в том числе, целевое ограничение, минимизация данных, ограничение сроков хранения, качество данных, защита персональных данных: спроектированная и по умолчанию, правовые основания для обработки, обработка специальных категорий персональных данных, меры обеспечения безопасности данных, а также требования, касающиеся дальнейшей передачи данных органам, не связанным обязательными корпоративными правилами;

Relaterade texter

(e) права субъектов данных в отношении обработки и средства осуществления этих прав, в том числе право не зависеть от решений, основанных исключительно на автоматизированной обработке, включая профилирование, в соответствии со Статей 22, а также право на подачу жалобы компетентному надзорному органу и в компетентные суды государств-членов, согласно Статье 79, и право на получение возмещения и, при необходимости, компенсации за нарушение обязательных корпоративных правил;

Relaterade texter

(f) принятие ответственности контролёром или процессором, учрежденных на территории государства-члена, за любые нарушения обязательных корпоративных правил любым заинтересованным членом, не учрежденным в Евросоюзе; контролёр или процессор полностью или частично освобождаются от указанной ответственности, только тогда, когда они докажут, что такой член не несет ответственности за событие, повлекшее за собой ущерб;

(g) каким образом информация об обязательных корпоративных правилах, в частности о положениях, указанных в пунктах (d), (e) и (f) настоящего параграфа, предоставляется субъектам данных в дополнение к Статьям 13 и 14;

Relaterade texter

(h) задачи любого инспектора по защите данных, назначенного в соответствии со Статьей 37, или любого иного лица или организации, ответственных за мониторинг соблюдения обязательных корпоративных правил в группе компаний или группе предприятий, осуществляющих совместную экономическую деятельность, а также мониторинг подготовки и обработки жалоб;

Relaterade texter

(i) процедуры рассмотрения жалоб;

(j) механизмы в рамках группы компаний или группы предприятий, осуществляющих совместную экономическую деятельность, для проверки соблюдения обязательных корпоративных правил. Такие механизмы должны охватывать аудиты защиты данных и методы, обеспечивающие устранение нарушений защиты прав субъектов данных. Результаты такой проверки должны быть представлены лицу или организации, указанных в пункте (h), и руководству, которое контролирует группу компаний или группу предприятий, осуществляющих совместную экономическую деятельность, а также должны быть доступны компетентному надзорному органу по его запросу;

(k) механизмы отчетности и учета изменений правил, а также представления отчетности о таких изменениях в надзорный орган;

(l) механизм сотрудничества с надзорным органом для обеспечения соблюдения любым членом группы компаний или группы предприятий, осуществляющих совместную экономическую деятельность, в том числе, посредством предоставления надзорному органу результатов проверок мер, предусмотренных пунктом (j);

(m) механизмы отчетности для компетентных надзорных органов по любым правовым требованиям, применимым к членам группы компаний или группы предприятий, осуществляющих совместную экономическую деятельность, в третьей стране, и которые с высокой долей вероятности могут иметь существенное неблагоприятное воздействие по гарантиям, предусмотренным обязательными корпоративными правилами; и

(n) соответствующее обучение сотрудников, имеющих постоянный или регулярный доступ к персональным данным, в области защиты персональных данных.

3. Комиссия может детализировать формат и процедуры обмена информацией между контролёрами, процессорами и надзорными органами относительно обязательных корпоративных правил в соответствии со смыслом настоящей Статьи. Такие имплементирующие акты должны быть приняты в соответствии с процедура экспертизы, предусмотренной Статьей 93 (2).

Relaterade texter
ISO 27701 Skälen Riktlinjer & Case Law Lämna en kommentar
ISO 27701

(EN) ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 47 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).


för att komma åt hela textenу

Skälen

(110) Группа компаний или группа предприятий, участвующих в совместной экономической деятельности, должна иметь возможность использовать утверждённые обязательные корпоративные правила для передачи своих данных из Союза за границу организациям в рамках той же группы компаний или предприятий, при условии, что такие корпоративные правила включают в себя все ключевые принципы и права, обеспечивающие соблюдение соответствующих гарантий при передаче персональных данных.

Riktlinjer & Case Law Lämna en kommentar
[js-disqus]