Законодательство Нидерландов

Статья 47

действует

Doorgiften van persoonsgegevens aan derde landen of internationale organisaties

Общий регламент защиты данных (GDPR) · Глава 5 · Редакция действует с None

Оригинал

1. Компетентный надзорный орган утверждает обязательные корпоративные правила в соответствии с механизмом обеспечения согласованности, указанным в статье 63, при условии, что они:

а) являться юридически обязательными для, применяться к и обеспечиваться исполнением всеми вовлеченными членами концерна или группы предприятий, которые совместно осуществляют экономическую деятельность, включая их работников;

b) вовлеченным лицам предоставлять прямо принудительные права в отношении обработки их персональных данных; и

c) соответствовать требованиям, установленным в части 2.

2. В обязательных корпоративных правилах (bindende bedrijfsvoorschriften), указанных в пункте 1, закрепляются как минимум следующие элементы:

а) структура и контактные данные концерна или группы предприятий, которые совместно осуществляют экономическую деятельность, а также каждого из их участников;

b) передача данных или совокупность передач, включая категории персональных данных, вид обработки и цели таковой, вид соответствующих субъектов данных, а также идентификацию соответствующей третьей страны или соответствующих третьих стран;

c) внутренний и внешний юридически обязательный характер;

d) применение общих принципов в отношении защиты данных, в частности, ограничение цели, минимизация данных, ограничение сроков хранения, качество данных, защита данных по умолчанию и на этапе проектирования, правовое основание для обработки, обработка особых категорий персональных данных, меры по обеспечению безопасности данных, а также требования в отношении дальнейшей передачи данных органам, на которых не распространяются обязательные корпоративные правила;

e) права субъектов данных в связи с обработкой и средства осуществления этих прав, включая право не подвергаться решению, основанному исключительно на автоматизированной обработке, в том числе профилировании, в соответствии со статьей 22, право подать жалобу в компетентный надзорный орган, право предъявить иск в компетентные суды государств-членов в соответствии со статьей 79, а также право на возмещение ущерба и, в соответствующих случаях, на получение компенсации за нарушение обязательных корпоративных правил;

f) принятие контролером или обработчиком, учрежденным на территории государства-члена, ответственности за все нарушения обязательных корпоративных правил (binding corporate rules) со стороны участника, не учрежденного в Союзе; контролер или обработчик освобождается от этой ответственности полностью или частично только в том случае, если докажет, что данный участник не несет ответственности за событие, повлекшее ущерб;

g) порядок, в котором, в дополнение к информации, указанной в статьях 13 и 14, субъектам данных предоставляется информация об обязательных корпоративных правилах, в частности о положениях, предусмотренных в пунктах d), e) и f);

h) задачи каждого сотрудника по защите данных, назначенного в соответствии со статьей 37, или любого другого лица или организации, на которых возложен надзор за соблюдением обязательных корпоративных правил внутри концерна или группы предприятий, совместно осуществляющих экономическую деятельность, а также задачи по обучению и рассмотрению жалоб;

i) процедуры рассмотрения жалоб;

j) процедуры, существующие в рамках концерна или группы предприятий, совместно осуществляющих экономическую деятельность, для проверки соблюдения обязательных корпоративных правил. Такие процедуры включают в себя аудиты по защите данных и методы обеспечения корректирующих мер для защиты прав субъекта данных. Результаты таких проверок должны доводиться до сведения лица или организации, указанных в пункте h), а также совета директоров предприятия, осуществляющего контроль над концерном, или группы предприятий, совместно осуществляющих экономическую деятельность, и по запросу должны быть предоставлены компетентному надзорному органу;

k) процедуры уведомления о таких изменениях в правилах, их регистрации и уведомления надзорного органа;

l) процедура сотрудничества с надзорным органом для обеспечения того, чтобы все участники концерна или группы предприятий, совместно осуществляющие экономическую деятельность, соблюдали обязательные корпоративные правила, в частности, путем предоставления надзорному органу результатов проверок, указанных в пункте j);

m) процедуры уведомления компетентного надзорного органа о любых законодательных требованиях, которым подчиняется член концерна или группы предприятий, совместно осуществляющих экономическую деятельность в третьей стране, и которые, вероятно, окажут существенное негативное воздействие на гарантии, предоставляемые обязательными корпоративными правилами; и

n) соответствующее обучение по вопросам защиты данных для персонала, который на постоянной или регулярной основе имеет доступ к персональным данным.

3. Комиссия может более детально определить форму и процедуры обмена информацией об обязательных корпоративных правилах в значении настоящей статьи между контролерами, обработчиками и надзорными органами. Данные имплементационные акты принимаются в соответствии с процедурой проверки, указанной в статье 93, часть 2.

1. De bevoegde toezichthoudende autoriteit keurt in overeenstemming met het in artikel 63 bedoelde coherentiemechanism bindende bedrijfsvoorschriften goed, op voorwaarde dat deze:

a) juridisch bindend zijn voor, van toepassing zijn op en worden gehandhaafd door alle betrokken leden van het concern, of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen, met inbegrip van hun werknemers;

b) betrokkenen uitdrukkelijk afdwingbare rechten toekennen met betrekking tot de verwerking van hun persoonsgegevens; en

c) voldoen aan de in lid 2 vastgestelde vereisten.

2. In de in lid 1 bedoelde bindende bedrijfsvoorschriften worden minstens de volgende elementen vastgelegd:

a) de structuur en de contactgegevens van het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen en van elk van haar leden;

b) de gegevensdoorgiften of reeks van doorgiften, met inbegrip van de categorieën van persoonsgegevens, het soort verwerking en de doeleinden daarvan, het soort betrokkenen in kwestie en de identificatie van het derde land of de derde landen in kwestie;

c) het intern en extern juridisch bindende karakter;

d) de toepassing van de algemene beginselen inzake gegevensbescherming, met name doelbinding, minimale gegevensverwerking, beperkte opslagtermijnen, kwaliteit van gegevens, gegevensbescherming door standaardinstellingen en door ontwerp, rechtsgrond voor verwerking, verwerking van bijzondere categorieën van persoonsgegevens, maatregelen om gegevensbeveiliging te waarborgen, en de vereisten inzake verdere doorgiften aan organen die niet door bindende bedrijfsvoorschriften zijn gebonden;

e) de rechten van betrokkenen in verband met verwerking en de middelen om die rechten uit te oefenen, waaronder het recht om niet te worden onderworpen aan louter op geautomatiseerde verwerking gebaseerde besluiten, met inbegrip van profilering overeenkomstig artikel 22, het recht om een klacht in te dienen bij de bevoegde toezichthoudende autoriteit, om een vordering in te stellen bij de bevoegde gerechten van de lidstaten overeenkomstig artikel 79, en om schadeloosstelling en, in voorkomend geval, een vergoeding te verkrijgen voor een inbreuk op de bindende bedrijfsvoorschriften;

f) de aanvaarding door de op het grondgebied van een lidstaat gevestigde verwerkingsverantwoordelijke of verwerker van aansprakelijkheid voor alle inbreuken op de bindende bedrijfsvoorschriften door een niet in de Unie gevestigd betrokken lid; de verwerkingsverantwoordelijke of de verwerker wordt alleen geheel of gedeeltelijk van deze aansprakelijkheid ontheven, indien hij bewijst dat dat lid niet verantwoordelijk is voor het schadebrengende feit;

g) de wijze waarop, in aanvulling op de in de artikelen 13 en 14 bedoelde informatie, aan betrokkenen informatie wordt verschaft over de bindende bedrijfsvoorschriften, met name over de bepalingen in de punten d), e) en f);

h) de taken van elke overeenkomstig artikel 37 aangewezen functionaris voor gegevensbescherming, of elke andere persoon of entiteit die is belast met het toezicht op de naleving van de bindende bedrijfsvoorschriften binnen het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen, op opleiding en op de behandeling van klachten;

i) de klachtenprocedures;

j) de binnen het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen bestaande procedures om te controleren of de bindende bedrijfsvoorschriften zijn nageleefd. Dergelijke procedures omvatten gegevensbeschermingsaudits en -methoden om te zorgen voor corrigerende maatregelen ter bescherming van de rechten van de betrokkene. De resultaten van dergelijke controles dienen te worden meegedeeld aan de in punt h) bedoelde persoon of entiteit en aan de raad van bestuur van de onderneming die zeggenschap uitoefent over een concern, of van de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen, en dienen op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit te worden gesteld;

k) de procedures om die veranderingen in de regels te melden, te registreren en aan de toezichthoudende autoriteit te melden;

l) de procedure voor samenwerking met de toezichthoudende autoriteit om ervoor te zorgen dat alle leden van het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen de bindende bedrijfsvoorschriften naleven, in het bijzonder door de resultaten van de in punt j) bedoelde controles ter beschikking van de toezichthoudende autoriteit te stellen;

m) de procedures om eventuele wettelijke voorschriften waaraan een lid van het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen in een derde land is onderworpen en die waarschijnlijk een aanzienlijk negatief effect zullen hebben op de door de bindende bedrijfsvoorschriften geboden waarborgen, aan de bevoegde toezichthoudende autoriteit te melden; en

n) de passende opleiding inzake gegevensbescherming voor personeel dat permanent of op regelmatige basis toegang tot persoonsgegevens heeft.

3. De Commissie kan het model en de procedures voor de uitwisseling van informatie over bindende bedrijfsvoorschriften in de zin van dit artikel tussen verwerkingsverantwoordelijken, verwerkers en toezichthoudende autoriteiten nader bepalen. Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure.