第 47 條 📖 GDPR. 有拘束力之企業守則

第 47 條 GDPR. 有拘束力之企業守則

1. 於有拘束力之企業守則符合下列條件時，主管監管機關應依第 63 條之一致性機制核准之：

第 63 條 GDPR. 一致性機制

為有助於本規則於歐盟境內一致之適用，監管機關應透過本節所規定之一致性機制互相合作，並斟酌情形與執委會合作。

(a) 法律上拘束並由共同經濟活動中之各事業團體或企業團體之成員適用與遵守，包括其員工；

(b) 明文賦予資料主體關於其個人資料處理可執行之權利；及

(c) 符合第 2 項之要求。

2. 第 1 項所稱有拘束力之企業守則至少應特定：

(a) 共同經濟活動中之事業團體或企業團體及其各成員之組織與聯絡方式；

(b) 資料移轉或一系列移轉，包括個人資料之類型、處理之類型及目的、受影響之資料主體類型、及該第三國之識別；

(c) 其內部及外部具合法拘束力之本質；

(d) 一般資料保護原則之適用，尤其目的限制、資料最少蒐集原則、資料品質、設計或預設資料保護、處理之法律依據、特殊類型個人資料之處理、確保資料安全之措施、及進一步移轉至不受具拘束力之企業守則所拘束之機構時之要求；

(e) 資料主體關於處理之權利及行使該等權利之方式，包括不得僅受自動化處理決定之權利（含第 22 條之建檔）、依第 79 條向主管監管機關及會員國之管轄法院提起申訴、及如適合時，因有拘束力之企業守則之侵害而獲得補償之權利；

第 22 條 GDPR. 個人化之自動決策，包括建檔

第 79 條 GDPR. 對於控管者或處理者提出有效司法救濟之權利

1. 在不影響任何現有之行政或非司法救濟（包括依第 77 條向監管機關提出申訴之權利）之情況下，如資料主體認為其依本規則所定之權利因未遵守本規則處理其個人資料而遭受侵害者，資料主體應有權提出有效之司法救濟。

2. 對於控管者或處理者提起之訴訟應提交至該控管者或處理者設有分支機構之會員國法院。此外，除控管者或處理者係行使公權力之公務機關外，亦可向資料主體住所地之會員國法院提起之。

(f) 設立於會員國之控管者或處理者承受其歐盟境外之成員任何違反有拘束力之企業守則時之責任；控管者或處理者應僅於證明該成員對造成損害結果不負責任時，全部或部分免除責任；

(g) 有拘束力之企業守則之資訊，尤其本項第d、e及 f點所稱之規定，如何於第 13 條及第 14 條外提供予資料主體；

第 13 條 GDPR. 蒐集資料主體之個人資料時所提供之資訊

第 14 條 GDPR. 尚未自資料主體取得個人資料時所應提供之資訊

(h) 依第 37 條受指定之任何資料保護員、或共同經濟活動中之事業團體或企業團體內，其他任何負責監控有拘束力之企業守則之遵守情形、及監督培訓及申訴處理之人或實體之職務；

第 37 條 GDPR. 資料保護員之指定

(i) 申訴程序；

(j) 共同經濟活動中之事業團體或企業團體確保有拘束力之企業守則遵循之驗證機制。該等機制應包括資料保護審計及確保糾正措施以保護資料主體權利之方法。該等驗證之結果應向第 h 點所稱之個人或實體及共同經濟活動中之事業團體或企業團體之控管階層溝通，並應於主管監管機關請求時提供；

(k) 報告及紀錄規範之變更及向監管機關報告該等變更；

(l) 與監管機關之合作機制，以確保任何共同經濟活動中之事業團體或企業團體之成員遵循，尤其是監管機關請求依第 j點措施驗證之結果時，應予提供；

(m) 於共同經濟活動中之事業團體或企業團體之成員可能涉及對有拘束力之企業守則所保證者有實質不利影響時，向主管監管機關報告任何法律要求之機制；

(n) 針對永久或定期接觸個人資料之人員之適當資料保護訓練。

3. 執委會得特定本條意義下有拘束力之企業守則關於控管者、處理者及監管機關間交換資訊之形式與程序。該等執行規範應符合第 93 條第 2 項設定之檢驗程序。

第 93 條 GDPR. 執委會之程序

[…]

2. 於本項情形，歐盟規則第 182/2011 號第 5 條應適用之。

[…]

通用数据保护条例(EU GDPR)

Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30

ISO 27701 献技指南和案例法发表评论

ISO 27701

(EN) ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 47 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).

…

登入
访问全文

献技

(110) 企業集團或從事聯合經濟活動之企業團體就其從歐盟境內至相同團體組織內所為之國際移轉，應得使用經核准且具拘束力之企業守則，但以該等企業守則包括所有核心原則及可實現之權利以確保資料移轉或其分類設有適當保護措施者為限。

指南和案例法

(EN)

Documents

Article 29 Working Party, Explanatory Document on the Processor Binding Corporate Rules (2015).

Article 29 Working Party, Working Document Setting Forth a Co-Operation Procedure for the Approval of “Binding Corporate Rules” for Controllers and Processors Under the GDPR (2018).

Article 29 Working Party, Recommendation on the Standard Application for Approval of Controller Binding Corporate Rules for the Transfer of Personal Data (2018).

Article 29 Working Party, Recommendation on the Standard Application form for Approval of Processor Binding Corporate Rules for the Transfer of Personal Data (2018).

Article 29 Working Party, Working Document Setting Up a Table with the Elements and Principles to Be Found in Binding Corporate Rules, no. WP 256 rev. 01 (2018).

Article 29 Working Party, Working Document Setting Up a Table with the Elements and Principles to Be Found in Binding Corporate Rules, no. WP 257 rev. 01 (2018).

Case Law

CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).

发表评论

[js-disqus]