GDPR - BG CS DE EL EN ES ET FI FR GA IT LV LT MT PT SK SL SV
KAPITEL V
Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
Abschnitt 5
Verhaltensregeln und Zertifizierung
Artikel 47 Verbindliche interne Datenschutzvorschriften
(1) Die zuständige Aufsichtsbehörde genehmigt gemäß dem Kohärenzverfahren nach Artikel 63 verbindliche interne Datenschutzvorschriften, sofern diese
|
a)
|
rechtlich bindend sind, für alle betreffenden Mitglieder der Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, gelten und von diesen Mitgliedern durchgesetzt werden, und dies auch für ihre Beschäftigten gilt,
|
|
b)
|
den betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten übertragen und
|
|
c)
|
die in Absatz 2 festgelegten Anforderungen erfüllen.
|
(2) Die verbindlichen internen Datenschutzvorschriften nach Absatz 1 enthalten mindestens folgende Angaben:
|
a)
|
Struktur und Kontaktdaten der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und jedes ihrer Mitglieder;
|
|
b)
|
die betreffenden Datenübermittlungen oder Reihen von Datenübermittlungen einschließlich der betreffenden Arten personenbezogener Daten, Art und Zweck der Datenverarbeitung, Art der betroffenen Personen und das betreffende Drittland beziehungsweise die betreffenden Drittländer;
|
|
c)
|
interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften;
|
|
d)
|
die Anwendung der allgemeinen Datenschutzgrundsätze, insbesondere Zweckbindung, Datenminimierung, begrenzte Speicherfristen, Datenqualität, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Rechtsgrundlage für die Verarbeitung, Verarbeitung besonderer Kategorien von personenbezogenen Daten, Maßnahmen zur Sicherstellung der Datensicherheit und Anforderungen für die Weiterübermittlung an nicht an diese internen Datenschutzvorschriften gebundene Stellen;
|
|
e)
|
die Rechte der betroffenen Personen in Bezug auf die Verarbeitung und die diesen offenstehenden Mittel zur Wahrnehmung dieser Rechte einschließlich des Rechts, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung nach Artikel 22 unterworfen zu werden sowie des in Artikel 79 niedergelegten Rechts auf Beschwerde bei der zuständigen Aufsichtsbehörde beziehungsweise auf Einlegung eines Rechtsbehelfs bei den zuständigen Gerichten der Mitgliedstaaten und im Falle einer Verletzung der verbindlichen internen Datenschutzvorschriften Wiedergutmachung und gegebenenfalls Schadenersatz zu erhalten;
|
|
f)
|
die von dem in einem Mitgliedstaat niedergelassenen Verantwortlichen oder Auftragsverarbeiter übernommene Haftung für etwaige Verstöße eines nicht in der Union niedergelassenen betreffenden Mitglieds der Unternehmensgruppe gegen die verbindlichen internen Datenschutzvorschriften; der Verantwortliche oder der Auftragsverarbeiter ist nur dann teilweise oder vollständig von dieser Haftung befreit, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, dem betreffenden Mitglied nicht zur Last gelegt werden kann;
|
|
g)
|
die Art und Weise, wie die betroffenen Personen über die Bestimmungen der Artikel 13 und 14 hinaus über die verbindlichen internen Datenschutzvorschriften und insbesondere über die unter den Buchstaben d, e und f dieses Absatzes genannten Aspekte informiert werden;
|
|
h)
|
die Aufgaben jedes gemäß Artikel 37 benannten Datenschutzbeauftragten oder jeder anderen Person oder Einrichtung, die mit der Überwachung der Einhaltung der verbindlichen internen Datenschutzvorschriften in der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, sowie mit der Überwachung der Schulungsmaßnahmen und dem Umgang mit Beschwerden befasst ist;
|
|
i)
|
die Beschwerdeverfahren;
|
|
j)
|
die innerhalb der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, bestehenden Verfahren zur Überprüfung der Einhaltung der verbindlichen internen Datenschutzvorschriften. Derartige Verfahren beinhalten Datenschutzüberprüfungen und Verfahren zur Gewährleistung von Abhilfemaßnahmen zum Schutz der Rechte der betroffenen Person. Die Ergebnisse derartiger Überprüfungen sollten der in Buchstabe h genannten Person oder Einrichtung sowie dem Verwaltungsrat des herrschenden Unternehmens einer Unternehmensgruppe oder der Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, mitgeteilt werden und sollten der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden;
|
|
k)
|
die Verfahren für die Meldung und Erfassung von Änderungen der Vorschriften und ihre Meldung an die Aufsichtsbehörde;
|
|
l)
|
die Verfahren für die Zusammenarbeit mit der Aufsichtsbehörde, die die Befolgung der Vorschriften durch sämtliche Mitglieder der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, gewährleisten, insbesondere durch Offenlegung der Ergebnisse von Überprüfungen der unter Buchstabe j genannten Maßnahmen gegenüber der Aufsichtsbehörde;
|
|
m)
|
die Meldeverfahren zur Unterrichtung der zuständigen Aufsichtsbehörde über jegliche für ein Mitglied der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem Drittland geltenden rechtlichen Bestimmungen, die sich nachteilig auf die Garantien auswirken könnten, die die verbindlichen internen Datenschutzvorschriften bieten, und
|
|
n)
|
geeignete Datenschutzschulungen für Personal mit ständigem oder regelmäßigem Zugang zu personenbezogenen Daten.
|
(3) Die Kommission kann das Format und die Verfahren für den Informationsaustausch über verbindliche interne Datenschutzvorschriften im Sinne des vorliegenden Artikels zwischen Verantwortlichen, Auftragsverarbeitern und Aufsichtsbehörden festlegen. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
- oder 15
- datenschutzvorschriften 11
- für 10
- internen 9
- unternehmensgruppe 8
- gemeinsame 7
- eine 7
- gruppe 7
- betreffenden 7
- wirtschaftstätigkeit 7
- unternehmen 7
- ausüben 7
- verbindlichen 7
- aufsichtsbehörde 7
- werden 7
- verfahren 6
- artikel 6
- einer 5
- betroffenen 5
- verarbeitung 5
- durch 5
- über 5
- personen 4
- daten 4
- rechte 4
- zuständigen 4
- nach 4
- nicht 4
- mitglieder 3
- die 3
- diese 3
- person 3
|
GDPR - BG CS DE EL EN ES ET FI FR GA IT LV LT MT PT SK SL SV
KAPITOLA V
Prenosy osobných údajov do tretích krajín alebo medzinárodným organizáciám
Oddiel 5
Kódexy správania a certifikácia
Článok 47 Záväzné vnútropodnikové pravidlá
1. Príslušný dozorný orgán schváli záväzné vnútropodnikové pravidlá v súlade s mechanizmom konzistentnosti uvedeným v článku 63, ak:
|
a)
|
sú právne záväzné a vzťahujú sa na každého dotknutého člena skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti vrátane ich zamestnancov, a títo členovia ich uplatňujú;
|
|
b)
|
sa nimi výslovne udeľujú vymáhateľné práva dotknutým osobám, pokiaľ ide o spracúvanie ich osobných údajov, a
|
|
c)
|
spĺňajú požiadavky stanovené v odseku 2.
|
2. V záväzných vnútropodnikových pravidlách uvedených v odseku 1 sa uvedie aspoň:
|
a)
|
štruktúra a kontaktné údaje skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a každého z jej členov;
|
|
b)
|
prenosy údajov alebo súbor prenosov vrátane kategórií osobných údajov, typu spracúvania a jeho účelov, typu dotknutých osôb, ktorých sa spracúvanie týka, a identifikácia predmetnej tretej krajiny alebo krajín;
|
|
c)
|
ich právna záväznosť, a to vnútorne a navonok;
|
|
d)
|
uplatňovanie všeobecných zásad ochrany údajov, najmä obmedzenie účelu, minimalizácia údajov, obmedzené doby uchovávania, kvalita údajov, špecificky navrhnutá a štandardná ochrana údajov, právny základ pre spracúvanie, spracúvanie osobitných kategórií osobných údajov, opatrenia na zaistenie bezpečnosti údajov, ako aj požiadavky v súvislosti s následnými prenosmi subjektom, ktoré nie sú viazané záväznými vnútropodnikovými pravidlami;
|
|
e)
|
práva dotknutých osôb v súvislosti so spracúvaním a prostriedky na uplatnenie týchto práv vrátane práva na to, aby sa na ne nevzťahovalo rozhodovanie založené výlučne na automatizovanom spracúvaní, vrátane profilovania podľa článku 22, právo podať sťažnosť na príslušný dozorný orgán a na príslušné súdy členských štátov v súlade s článkom 79 a právo vymôcť nápravu a prípadnú náhradu škody za porušenie záväzných vnútropodnikových pravidiel;
|
|
f)
|
vyhlásenie, že prevádzkovateľ alebo sprostredkovateľ usadení na území členského štátu prijímajú zodpovednosť za všetky porušenia záväzných vnútropodnikových pravidiel ktorýmkoľvek dotknutým členom, ktorý nie je usadený v Únii; prevádzkovateľ alebo sprostredkovateľ sú úplne alebo čiastočne oslobodení od tejto zodpovednosti, len ak preukážu, že predmetný člen nie je zodpovedný za udalosť, ktorá spôsobila škodu;
|
|
g)
|
spôsob, akým sa okrem spôsobov podľa článkov 13 a 14 poskytujú dotknutým osobám informácie o záväzných vnútropodnikových pravidlách, najmä pokiaľ ide o ustanovenia, ktoré sa uvádzajú v písmenách d), e) a f) tohto odseku;
|
|
h)
|
úlohy akejkoľvek zodpovednej osoby určenej v súlade s článkom 37 alebo akejkoľvek inej osoby alebo subjektu zodpovedného za monitorovanie dodržiavania záväzných vnútropodnikových pravidiel v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti, ako aj za monitorovanie odbornej prípravy a vybavovania sťažností;
|
|
i)
|
postupy týkajúce sa sťažností;
|
|
j)
|
mechanizmy v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti na zabezpečenie overovania dodržiavania záväzných vnútropodnikových pravidiel. Takéto mechanizmy zahŕňajú audity ochrany údajov a metódy na zabezpečenie nápravných opatrení s cieľom chrániť práva dotknutej osoby. Výsledky takéhoto overovania by sa mali oznámiť osobe alebo subjektu uvedenému v písmene h) a správnej rade riadiaceho podniku skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a na požiadanie by mali byť k dispozícii príslušnému dozornému orgánu;
|
|
k)
|
mechanizmy pre ohlasovanie a zaznamenávanie zmien pravidiel a ohlasovanie týchto zmien dozornému orgánu;
|
|
l)
|
mechanizmus spolupráce s dozorným orgánom na zabezpečenie dodržiavania pravidiel zo strany všetkých členov skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti, najmä poskytnutím výsledkov overovania opatrení uvedených v písmene j) dozornému orgánu;
|
|
m)
|
mechanizmy pre ohlasovanie určené príslušnému dozornému orgánu, ktoré sa týka akýchkoľvek právnych požiadaviek, ktorým člen skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti podlieha v tretej krajine a ktoré pravdepodobne budú mať podstatné nepriaznivé dôsledky na záruky poskytované záväznými vnútropodnikových pravidlami, a
|
|
n)
|
primeraná odborná príprava personálu, ktorý má stály alebo pravidelný prístup k osobným údajom, v oblasti ochrany údajov.
|
3. Komisia môže stanoviť formát a postupy pre výmenu informácií medzi prevádzkovateľmi, sprostredkovateľmi a dozornými orgánmi pre záväzné vnútropodnikových pravidlá v zmysle tohto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.
- alebo 16
- podnikov 14
- údajov 11
- vnútropodnikových 8
- spoločnej 7
- činnosti 7
- skupiny 7
- hospodárskej 7
- zapojených 7
- záväzných 6
- pravidiel 6
- orgánu 4
- práva 4
- dozornému 4
- vrátane 4
- mechanizmy 4
- odseku 3
- ktoré 3
- ochrany 3
- článku 3
- dotknutým 3
- ohlasovanie 3
- osobných 3
- zabezpečenie 3
- najmä 3
- osoby 3
- spracúvanie 3
- záväzné 3
- dodržiavania 3
- overovania 3
- osôb 2
- pravidlami 2
|
