Статья 47

Обязательные корпоративные правила

  • Компетентный надзорный орган должен утвердить обязательные корпоративные правила в соответствии с механизмом согласованности, изложенным в Статье 63, при условии, что они:
    • (a) являются юридически обязательными, распространяются на каждого соответствующего члена группы предприятий или группы предприятий, занимающихся совместной экономической деятельностью, включая их работников, и подлежат исполнению;
    • (b) прямо предоставлять субъектам данных осуществимые права в отношении обработки их персональных данных; и
    • (c) соответствуют требованиям, изложенным в параграфе 2.
  • Обязательные корпоративные правила, упомянутые в параграфе 1, должны, как минимум, содержать:
    • (a) структура и контактные данные группы предприятий или группы предприятий, занимающихся совместной экономической деятельностью, и каждого из ее членов;
    • (b) передача данных или набор передач, включая категории персональных данных, тип обработки и ее цели, тип затрагиваемых субъектов данных и идентификацию третьей страны или стран, о которых идет речь;
    • (c) их юридически обязывающий характер, как внутри страны, так и за ее пределами;
    • (d) применение общих принципов защиты данных, в частности, ограничение целей, минимизация данных, ограниченные сроки хранения, качество данных, защита данных по замыслу и по умолчанию, правовая основа для обработки, обработка специальных категорий персональных данных, меры по обеспечению безопасности данных, а также требования в отношении передачи данных органам, не связанным обязательными корпоративными правилами;
    • (e) права субъектов данных в отношении обработки и способы осуществления этих прав, включая право не подвергаться решениям, основанным исключительно на автоматизированной обработке, включая профилирование в соответствии со Статьей 22, право на подачу жалобы в компетентный надзорный орган и в компетентные суды государств-членов в соответствии со Статьей 79, а также на получение возмещения и, при необходимости, компенсации за нарушение обязательных корпоративных правил;
    • (f) принятие контролером или обработчиком, учрежденным на территории государства-члена, ответственности за любые нарушения обязательных корпоративных правил любым соответствующим членом, не учрежденным в Союзе; контролер или обработчик освобождается от такой ответственности, полностью или частично, только если он докажет, что этот член не несет ответственности за событие, приведшее к ущербу;
    • (g) каким образом информация об обязательных корпоративных правилах, в частности, о положениях, упомянутых в пунктах (d), (e) и (f) этого параграфа предоставляется субъектам данных в дополнение к Статьям 13 и 14;
    • (h) задачи любого сотрудника по защите данных, назначенного в соответствии со Статьей 37, или любого другого физического или юридического лица, отвечающего за контроль соблюдения обязательных корпоративных правил в группе предприятий или группе предприятий, ведущих совместную экономическую деятельность, а также за контроль обучения и рассмотрения жалоб;
    • (i) процедуры рассмотрения жалоб;
    • (j) механизмы внутри группы предприятий или группы предприятий, занимающихся совместной экономической деятельностью, для обеспечения проверки соблюдения обязательных корпоративных правил. Такие механизмы должны включать в себя аудит защиты данных и методы обеспечения корректирующих действий для защиты прав субъекта данных. Результаты такой проверки должны быть доведены до сведения физического или юридического лица, указанного в пункте (h), и совета директоров контролирующего предприятия группы предприятий или группы предприятий, ведущих совместную экономическую деятельность, и должны быть доступны по запросу компетентного надзорного органа;
    • (k) механизмы отчетности и регистрации изменений в правилах, а также сообщения об этих изменениях в надзорный орган;
    • (l) механизм сотрудничества с надзорным органом для обеспечения соблюдения требований любым членом группы предприятий или группы предприятий, занимающихся совместной экономической деятельностью, в частности, путем предоставления в распоряжение надзорного органа результатов проверок мер, указанных в пункте (j);
    • (m) механизмы информирования компетентного надзорного органа о любых законодательных требованиях, которым подчиняется член группы предприятий или группы предприятий, осуществляющих совместную экономическую деятельность, в третьей стране, которые могут оказать существенное негативное влияние на гарантии, предоставляемые обязательными корпоративными правилами; и
    • (n) проведение соответствующего обучения по защите данных для персонала, имеющего постоянный или регулярный доступ к персональным данным.
  • Комиссия может определить формат и процедуры обмена информацией между контролерами, обработчиками и надзорными органами для обязательных корпоративных правил в значении данной статьи. Эти исполнительные акты должны быть приняты в соответствии с процедурой рассмотрения, изложенной в Статье 93(2).

This page is a part of Regulation (EU) 2016/679 (General Data Protection Regulation) of the European Parliament and of the Council of 27 April 2016 in the current version of the OJ L 119, 4.5.2016. Open Full PDF Document

About | Privacy Policy
Rate us:
Ø 4.9 / 4172 Votes
Please wait...