Artikel 47

Bindende virksomhedsregler

  • I overensstemmelse med den sammenh√¶ngsmekanisme, der er omhandlet i artikel¬†63, godkender den kompetente tilsynsmyndighed bindende virksomhedsregler, s√•fremt de:
    • a) er retligt bindende og g√¶lder for og h√•ndh√¶ves af alle ber√łrte medlemmer i den koncern eller gruppe af foretagender, der ud√łver en f√¶lles √łkonomisk aktivitet, herunder deres medarbejdere
    • b) udtrykkeligt till√¶gger registrerede rettigheder, som kan h√•ndh√¶ves, for s√• vidt ang√•r behandling af deres personoplysninger, og
    • c) opfylder kravene i stk. 2.
  • De bindende virksomhedsregler i stk. 1 skal mindst angive:
    • a) strukturen i og kontaktoplysningerne for den koncern eller gruppe af foretagender, der er ud√łver en f√¶lles √łkonomisk aktivitet, og hvert af dens medlemmer
    • b) overf√łrslerne eller r√¶kken af overf√łrsler af oplysninger, herunder kategorier af personoplysninger, behandlingstype og -form√•l, typen af ber√łrte registrerede og angivelse af det p√•g√¶ldende tredjeland eller de p√•g√¶ldende tredjelande
    • c) deres retligt bindende karakter, b√•de internt og eksternt
    • d) anvendelsen af de generelle databeskyttelsesprincipper, navnlig form√•lsbegr√¶nsning, dataminimering, begr√¶nsede opbevaringsperioder, datakvalitet, databeskyttelse gennem design og databeskyttelse gennem standardindstillinger, retsgrundlag for behandling, behandling af s√¶rlige kategorier af personoplysninger, foranstaltninger til at sikre datasikkerhed og krav til videreoverf√łrsel til organer, der ikke er underlagt de bindende virksomhedsregler
    • e) de registreredes rettigheder med hensyn til behandling og midler til at ud√łve disse rettigheder, herunder til ikke at blive gjort til genstand for afg√łrelser, som alene er truffet p√• grundlag af automatisk behandling, herunder profilering, jf. artikel¬†22, samt retten til at indgive klage til den kompetente tilsynsmyndighed og de kompetente domstole i medlemsstaterne, jf. artikel¬†79, og til at modtage godtg√łrelse og, hvis det er relevant, erstatning for brud p√• de bindende virksomhedsregler
    • f) den dataansvarliges eller databehandlerens accept af ansvaret for ethvert brud p√• de bindende virksomhedsregler, der beg√•s af en ber√łrt virksomhed i koncernen, som ikke er etableret i Unionen, n√•r den dataansvarlige eller databehandleren er etableret inden for en medlemsstats omr√•de; den dataansvarlige eller databehandleren fritages kun helt eller delvis for dette ansvar, hvis vedkommende beviser, at den p√•g√¶ldende virksomhed ikke er skyld i den begivenhed, der medf√łrte skaden
    • g) hvordan informationen om bindende virksomhedsregler, navnlig de bestemmelser, der er omhandlet i litra d), e) og¬†f), gives til de registrerede ud over den information, der er omhandlet i artikel 13 og 14
    • h) opgaverne for enhver databeskyttelsesr√•dgiver, der er udpeget i henhold til artikel 37, eller enhver anden person eller enhed med ansvar for overv√•gning af overholdelse af de bindende virksomhedsregler inden for koncernen eller gruppen af foretagender, der ud√łver en f√¶lles √łkonomisk aktivitet, samt overv√•gning af uddannelse og h√•ndtering af klager
    • i) klageprocedurerne
    • j) de mekanismer i koncernen eller gruppen af foretagender, der ud√łver en f√¶lles √łkonomisk aktivitet, som skal sikre kontrol af overholdelse af de bindende virksomhedsregler. S√•danne mekanismer skal omfatte databeskyttelsesrevisioner og metoder til at sikre korrigerende foranstaltninger med henblik p√• at beskytte de registreredes rettigheder. Resultaterne af denne revision b√łr meddeles den person eller enhed, der er omhandlet i litra h), og bestyrelsen i kontrolvirksomheden i en koncern eller i gruppen af foretagender, der ud√łver en f√¶lles √łkonomisk aktivitet, og b√łr v√¶re tilg√¶ngelige p√• anmodning af den kompetente tilsynsmyndighed
    • k) mekanismerne til indberetning og registrering af √¶ndringer af reglerne og indberetning af disse √¶ndringer til tilsynsmyndigheden
    • l) den mekanisme til samarbejde med tilsynsmyndigheden, som har til form√•l at sikre, at alle virksomheder i koncernen eller gruppen af foretagender, der ud√łver en f√¶lles √łkonomisk aktivitet, overholder reglerne, navnlig ved at forel√¶gge tilsynsmyndigheden resultaterne af revisionen af de foranstaltninger, der er omhandlet i litra j)
    • m) mekanismerne til indberetning til den kompetente tilsynsmyndighed af retlige forpligtelser, som en virksomhed i koncernen eller gruppen af foretagender, der ud√łver en f√¶lles √łkonomisk aktivitet, er omfattet af i et tredjeland, og som sandsynligvis vil have betydelig negativ indvirkning p√• garantierne i de bindende virksomhedsregler, og
    • n) den passende databeskyttelsesuddannelse, som personale, der har permanent eller regelm√¶ssig adgang til personoplysninger, skal f√łlge.
  • Kommissionen kan angive formatet og procedurerne for udveksling af oplysninger mellem dataansvarlige, databehandlere og tilsynsmyndigheder for bindende virksomhedsregler som omhandlet i denne artikel. Disse gennemf√łrelsesretsakter vedtages efter unders√łgelsesproceduren i artikel¬†93, stk. 2.