Artikkel 47

Siduvad kontsernisisesed eeskirjad

  • PĂ€dev jĂ€relevalveasutus kiidab kooskĂ”las artiklis 63 sĂ€testatud jĂ€rjepidevuse mehhanismiga heaks siduvad kontsernisisesed eeskirjad, tingimusel et
    • a) need on Ă”iguslikult siduvad ja neid kohaldatakse kĂ”igi kontserni vĂ”i ĂŒhise majandustegevusega tegelevate ettevĂ”tjate rĂŒhma asjaomaste liikmete, sealhulgas nende töötajate suhtes, ning kĂ”ik liikmed tagavad nende tĂ€itmist;
    • b) nendega antakse andmesubjektidele selgesĂ”naliselt nende isikuandmete töötlemist kĂ€sitlevad kohtulikult kaitstavad Ă”igused, ning
    • c) need vastavad lĂ”ikes 2 sĂ€testatud nĂ”uetele.
  • LĂ”ikes 1 osutatud siduvates kontsernisisestes eeskirjades mÀÀratakse kindlaks vĂ€hemalt jĂ€rgmised elemendid:
    • a) kontserni vĂ”i ĂŒhise majandustegevusega tegelevate ettevĂ”tjate rĂŒhma ja kĂ”igi selle liikmete struktuur ja kontaktandmed;
    • b) isikuandmete ĂŒhekordne vĂ”i korduv edastamine, sealhulgas isikuandmete liigid, töötlemisviis ja selle eesmĂ€rgid, mĂ”jutatud andmesubjektide liik ning kĂ”nealuse kolmanda riigi vĂ”i kĂ”nealuste kolmandate riikide andmed;
    • c) nende Ă”iguslikult siduv olemus, nii ettevĂ”tte siseselt kui ka vĂ€liselt;
    • d) ĂŒldiste andmekaitsepĂ”himĂ”tete rakendamine, eelkĂ”ige eesmĂ€rgi piiritlemine, vĂ”imalikult vĂ€heste andmete kogumine, andmete piiratud sĂ€ilitamisaeg, andmete kvaliteet, lĂ”imitud andmekaitse ja vaikimisi andmekaitse, töötlemise Ă”iguslik alus, isikuandmete konkreetsete liikide töötlemine, meetmed andmeturbe tagamiseks ja nĂ”uded edasisaatmise kohta asutustele, kes ei ole seotud siduvate kontsernisiseste eeskirjadega;
    • e) andmesubjektide Ă”igused seoses isikuandmete töötlemisega ja nende Ă”iguste kasutamise vahendid, sealhulgas Ă”igus sellele, et nende suhtes ei tehta otsust ĂŒksnes andmete automatiseeritud töötlemise, sealhulgas artikli 22 kohase profiilianalĂŒĂŒsi alusel, Ă”igus esitada artikli 79 kohane kaebus liikmesriigi pĂ€devale jĂ€relevalveasutusele ja pĂ€devatele kohtutele ning Ă”igus taotleda siduvate kontsernisiseste eeskirjade rikkumise korral kahju hĂŒvitamist ja vajaduse korral kompensatsiooni;
    • f) liikmesriigi territooriumil asuva vastutava töötleja vĂ”i volitatud töötleja nĂ”usolek vĂ”tta vastutus siduvate kontsernisiseste eeskirjade rikkumise korral, kui selle paneb toime asjaomane liige, kelle asukoht ei ole liidus; vastutava töötleja vĂ”i volitatud töötleja vabastatakse vastutusest tĂ€ielikult vĂ”i osaliselt vaid siis, kui ta tĂ”estab, et kĂ”nealune liige ei ole kahju tekitamise eest vastutav;
    • g) kuidas lisaks artiklitega 13 ja 14 ette nĂ€htud teabele edastatakse andmesubjektidele teavet siduvate kontsernisiseste eeskirjade, eelkĂ”ige kĂ€esoleva lĂ”ike punktides d, e ja f osutatud sĂ€tete kohta;
    • h) kooskĂ”las artikliga 37 ametisse nimetatud andmekaitseametniku vĂ”i mis tahes muu sellise isiku vĂ”i ĂŒksuse ĂŒlesanded, kes vastutab jĂ€relevalve teostamise eest siduvate kontsernisiseste eeskirjade tĂ€itmise ĂŒle kontsernis vĂ”i ĂŒhise majandustegevusega tegelevate ettevĂ”tjate rĂŒhmas ning samuti koolitamise ja kaebuste kĂ€sitlemise ĂŒle;
    • i) kaebuse esitamise menetlused;
    • j) kontserni vĂ”i ĂŒhise majandustegevusega tegelevate ettevĂ”tjate rĂŒhma sisemehhanismid, et tagada siduvate kontsernisiseste eeskirjade tĂ€itmise kontrollimine. Sellised mehhanismid hĂ”lmavad andmekaitseauditeid ja andmesubjekti Ă”iguste kaitseks vĂ”etavate parandusmeetmete tagamise meetodeid. Sellise kontrollimise tulemused tuleks teatavaks teha punktis h osutatud isikule vĂ”i ĂŒksusele ning kontrolliva ettevĂ”tja vĂ”i ĂŒhise majandustegevusega tegelevate ettevĂ”tjate rĂŒhma juhatusele ning need peaksid olema taotluse alusel pĂ€devale jĂ€relevalveasutusele kĂ€ttesaadavad;
    • k) mehhanismid, et registreerida eeskirjades tehtavad muudatused ja teavitada neist jĂ€relevalveasutusi;
    • l) mehhanism koostööks jĂ€relevalveasutusega, et tagada kĂ”igi kontserni vĂ”i ĂŒhise majandustegevusega tegelevate ettevĂ”tjate rĂŒhma liikmete nĂ”uetele vastavus, eelkĂ”ige tehes jĂ€relevalveasutusele kĂ€ttesaadavaks punktis j osutatud meetmete kontrollimise tulemused;
    • m) mehhanismid pĂ€deva jĂ€relevalveasutuse teavitamiseks mis tahes sellistest juriidilistest nĂ”uetest, mida kolmandas riigis kontserni vĂ”i ĂŒhise majandustegevusega tegelevate ettevĂ”tjate rĂŒhma liikme suhtes kohaldatakse ning millel vĂ”ib olla oluline negatiivne mĂ”ju siduvate kontsernisiseste eeskirjadega ettenĂ€htud tagatistele, ning
    • n) asjakohane andmekaitsekoolitus töötajatele, kellel on isikuandmetele pidev vĂ”i korrapĂ€rane juurdepÀÀs.
  • Komisjon vĂ”ib mÀÀratleda vastutavate töötlejate, volitatud töötlejate ja jĂ€relevalveasutuste vahelise siduvaid kontsernisiseseid eeskirju kĂ€sitleva teabevahetuse vormi ja korra kĂ€esoleva artikli tĂ€henduses. Asjaomased rakendusaktid vĂ”etakse vastu kooskĂ”las artikli 93 lĂ”ikes 2 sĂ€testatud kontrollimenetlusega.