Artikel 47

Bindande företagsbestÀmmelser

  • Den behöriga tillsynsmyndigheten ska godkĂ€nna bindande företagsbestĂ€mmelser i enlighet med den mekanism för enhetlighet som föreskrivs i artikel 63 under förutsĂ€ttning att de
    • a) Ă€r rĂ€ttslig bindande, tillĂ€mpas pĂ„, och verkstĂ€lls av alla delar som berörs inom den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet, inklusive deras anstĂ€llda,
    • b) innehĂ„ller uttryckliga bestĂ€mmelser om de registrerades lagstadgade rĂ€ttigheter nĂ€r det gĂ€ller behandlingen av deras personuppgifter, och
    • c) uppfyller villkoren i punkt 2.
  • De bindande företagsbestĂ€mmelser som avses i punkt 1 ska nĂ€rmare ange Ă„tminstone följande:
    • a) struktur och kontaktuppgifter för den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet och för var och en av dess medlemmar,
    • b) vilka överföringar eller uppsĂ€ttningar av överföringar av uppgifter som omfattas, inklusive kategorierna av personuppgifter, typen av behandling och dess Ă€ndamĂ„l, den typ av registrerade som berörs samt vilket eller vilka tredjelĂ€nder som avses,
    • c) bestĂ€mmelsernas rĂ€ttsligt bindande natur, sĂ„vĂ€l internt som externt,
    • d) tillĂ€mpningen av allmĂ€nna principer för dataskydd, sĂ€rskilt avgrĂ€nsning av syften, uppgiftsminimering, begrĂ€nsade lagringsperioder, datakvalitet, inbyggt dataskydd och dataskydd som standard, rĂ€ttslig grund för behandling, behandling av sĂ€rskilda kategorier av personuppgifter, Ă„tgĂ€rder för att sĂ€kerstĂ€lla datasĂ€kerhet och villkoren nĂ€r det gĂ€ller vidare överföring av uppgifter till organ som inte Ă€r bundna av bindande företagsbestĂ€mmelser,
    • e) de registrerades rĂ€ttigheter avseende behandling och medlen för att utöva dessa rĂ€ttigheter, inklusive rĂ€tten att inte bli föremĂ„l för beslut grundade enbart pĂ„ automatisk behandling, inklusive profilering, enligt artikel 22, rĂ€tten att inge klagomĂ„l till den behöriga tillsynsmyndigheten och till behöriga domstolar i medlemsstaterna enligt artikel 79, rĂ€tten till prövning samt i förekommande fall rĂ€tten till kompensation för övertrĂ€delse av de bindande företagsbestĂ€mmelserna,
    • f) att den personuppgiftsansvarige eller personuppgiftsbitrĂ€det som Ă€r etablerad inom en medlemsstats territorium tar pĂ„ sig ansvaret om en berörd enhet som inte Ă€r etablerad inom unionen bryter mot de bindande företagsbestĂ€mmelserna; den personuppgiftsansvarige eller personuppgiftsbitrĂ€det fĂ„r helt eller delvis undantas frĂ„n denna skyldighet endast pĂ„ villkor att det kan visas att den berörda enheten i företagsgruppen inte kan hĂ„llas ansvarig för den skada som har uppkommit,
    • g) hur de registrerade ska informeras om innehĂ„llet i de bindande företagsbestĂ€mmelserna, sĂ€rskilt de bestĂ€mmelser som avses i leden d, e och f i denna punkt utöver den information som avses i artiklarna 13 och 14,
    • h) uppgifterna för varje dataskyddsombud som utsetts i enlighet med artikel 37, eller varje annan person eller enhet med ansvar för kontrollen av att de bindande företagsbestĂ€mmelserna följs inom den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet, samt i frĂ„ga om utbildning och hantering av klagomĂ„l,
    • i) förfaranden för klagomĂ„l,
    • j) rutinerna inom den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet för att kontrollera att de bindande företagsreglerna följs; sĂ„dana rutiner ska inbegripa dataskyddstillsyn och metoder för att sĂ€kerstĂ€lla korrigerande Ă„tgĂ€rder för att skydda de registrerades rĂ€ttigheter; resultaten av sĂ„dana kontroller bör meddelas den person eller enhet som avses i led h och styrelsen i det kontrollerande företaget i koncernen eller gruppen av företag som deltar i gemensam ekonomisk verksamhet, och bör pĂ„ begĂ€ran vara tillgĂ€nglig för den behöriga tillsynsmyndigheten,
    • k) rutinerna för att rapportera och dokumentera Ă€ndringar i bestĂ€mmelserna, samt rutinerna för att rapportera dessa Ă€ndringar till tillsynsmyndigheten,
    • l) rutinerna för att samarbeta med tillsynsmyndigheten i syfte att se till att alla medlemmar i den koncern eller grupp av företag som deltar i gemensam ekonomisk verksamhet följer reglerna, sĂ€rskilt genom att meddela tillsynsmyndigheten resultaten av kontroller av de Ă„tgĂ€rder som avses i led j,
    • m) rutinerna för att till den behöriga tillsynsmyndigheten rapportera alla rĂ€ttsliga krav som en medlem i koncernen eller gruppen av företag som deltar i gemensam ekonomisk verksamhet Ă€r underkastad i ett tredjeland och som sannolikt kommer att ha en avsevĂ€rd negativ inverkan pĂ„ de garantier som ges genom de bindande företagsbestĂ€mmelserna, och
    • n) lĂ€mplig utbildning om dataskydd för personal som har stĂ€ndig eller regelbunden tillgĂ„ng till personuppgifter.
  • Kommissionen fĂ„r nĂ€rmare ange vilket format och vilka rutiner som ska anvĂ€ndas för de personuppgiftsansvarigas, personuppgiftsbitrĂ€denas och tillsynsmyndigheternas utbyte av information om bindande företagsbestĂ€mmelser i den mening som avses i denna artikel. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.