(a)

go mbeidh siad ceangailteach ó thaobh dlí agus go mbeidh feidhm acu maidir le gach comhalta lena mbaineann i ngrúpa gnóthas, nó i ngrúpa fiontar a bhfuil gníomhaíocht chomhpháirteach eacnamaíoch ar bun acu, lena n-áirítear a gcuid fostaithe,agus go ndéanfaidh gach comhalta iad a fhorfheidhmiú;

(b)

go dtabharfaidh siad cearta in-fhorfheidhmithe go sainráite d'ábhar sonraí maidir lena sonraí pearsanta a phróiseáil; agus

(c)

go gcomhlíonfaidh siad na ceanglais atá leagtha síos i mír 2.

(a)

struchtúr agus sonraí teagmhála an ghrúpa gnóthas, nó an ghrúpa fiontar a bhfuil gníomhaíocht chomhpháirteach eacnamaíoch ar bun acu agus struchtúr agus sonraí teagmhála gach comhalta den ghrúpa sin;

(b)

na haistrithe sonraí nó na sraith d'aistrithe sonraí, lena n-áirítear na catagóirí sonraí pearsanta, an cineál próiseála agus críocha na próiseála sin, an cineál ábhair sonraí lena mbainfidh agus ainm nó ainmneacha an tríú tír nó na dtríú tíortha;

(c)

iad a bheith de chineál ceangailteach ó thaobh dlí, go hinmheánach agus go seachtrach;

(d)

cur i bhfeidhm na bprionsabal ginearálta maidir le cosaint sonraí, go háirithe teorannú de réir cuspóra, íoslaghdú sonraí, tréimhsí teoranta stórála, cáilíocht sonraí, cosaint sonraí trí dhearadh agus mar réamhshocrú, an bunús dlí atá leis an próiseáil, próiseáil catagóirí speisialta sonraí pearsanta, bearta chun slándáil sonraí a áirithiú agus na ceanglais maidir le sonraí a aistriú ar aghaidh chuig comhlachtaí nach bhfuil faoi cheangal na rialacha ceangailteacha corparáideacha;

(e)

cearta na n-ábhar sonraí maidir le próiseáil agus na modhanna chun na cearta sin a fheidhmiú, lena n-áirítear an ceart gan a bheith faoi réir cinntí atá bunaithe ar phróifíliú, lena n-áirítear próifíliú i gcomhréir le hAirteagal 22, an ceart gearán a thaisceadh leis an údarás inniúil maoirseachta agus le cúirteanna inniúla na mBallstát i gcomhréir le hAirteagal 79, agus an ceart chun sásaimh, agus, nuair is iomchuí, an ceart chun cúiteamh a fháil de bharr sárú ar na rialacha ceangailteacha corparáideacha;

(f)

go nglacann an rialaitheoir nó an próiseálaí atá bunaithe ar chríoch Ballstáit le dliteanas i gcás ina sáraíonn aon chomhalta lena mbaineann nach bhfuil bunaithe san Aontas na rialacha ceangailteacha corparáideacha; ní bheidh an rialitheoir nó an próisealaí díolmhaithe ón dliteanas sin, go páirteach nó go hiomlán, ach amháin má chruthaíonn sé nach bhfuil sé ar dhóigh ar bith freagrach as an imeacht ba shiocair leis an damáiste;

(g)

an bealach a gcuirtear an fhaisnéis faoi na rialacha ceangailteacha corparáideacha, agus faoi na forálacha dá dtagraítear i bpointí (d), (e) agus (f) den mhír seo go háirithe, ar fáil do na hábhair sonraí chomh maith le hAirteagal 13 agus le hAirteagal 14;

(h)

cúraimí aon oifigigh cosanta sonraí a cheaptar i gcomhréir le hAirteagal 37, nó aon duine nó aon eintitis eile atá i gceannas ar fhaireachán a dhéanamh ar chomhlíonadh na rialacha ceangailteacha corparáideacha laistigh de ghrúpa gnóthas, nó grúpa fiontar a bhfuil gníomhaíocht chomhpháirteach eacnamaíoch ar bun acu, chomh maith le faireachán ar oiliúint agus ar an dóigh a ndéileáiltear le gearáin;

(i)

na nósanna imeachta um ghearáin;

(j)

na sásraí laistigh de ghrúpa gnóthas, nó grúpa fiontar a bhfuil gníomhaíocht chomhpháirteach eacnamaíoch ar bun acu lena n-áirithítear go bhfíoraítear comhlíonadh na rialacha ceangailteacha corparáideacha. Áireofar ar na sásraí sin iniúchtaí ar chosaint sonraí agus modhanna lena n-áirithítear gníomhaíochtaí ceartaitheacha chun cearta an ábhair sonraí a chosaint. Ba cheart torthaí an fhíoraithe sin a chur in iúl don duine nó don eintiteas dá dtagraítear i bpointe (h) agus do bhord an ghnóthais rialaithe de ghrúpa gnóthas nóde ghrúpa fiontar a bhfuil gníomhaíocht chomhpháirteach eacnamaíoch ar bun acu, agus ba cheart iad a bheith ar fáil arna iarraidh sin don údarás inniúil maoirseachta;

(k)

na sásraí chun athruithe ar na rialacha a thaifeadadh agus a thuairisciú agus chun tuairisc a thabhairt don údarás maoirseachta faoi na hathruithe sin;

(l)

an sásra don chomhar leis an údarás maoirseachta chun comhlíonadh a áirithiú i gcás gach comhalta den ghrúpa gnóthas, nó grúpa fiontar a bhfuil gníomhaíocht chomhpháirteach eacnamaíoch ar bun acu, go háirithe trí thorthaí na bhfíoruithe ar na bearta dá dtagraítear i bpointe (j) den mhír seo a chur ar fáil don údarás maoirseachta;

(m)

na sásraí chun aon cheanglais dlí a bhfuil comhalta den ghrúpa gnóthas nó grúpa fiontar a bhfuil gníomhaíocht chomhpháirteach eacnamaíoch ar bun acu faoina réir i dtríú tír a thuairisciú don údarás inniúil maoirseachta, ar dóchúil go mbeadh éifeacht shuntasach dhíobhálach aige ar na ráthaíochtaí dá bhforáiltear leis na rialacha ceangailteacha corparáideacha; agus

(n)

an oiliúint iomchuí i ndáil le cosaint sonraí do phearsanra a bhfuil rochtain bhuan nó rialta acu ar shonraí pearsanta.

a)

sean jurídicamente vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados;

b)

confieran expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales, y

c)

cumplan los requisitos establecidos en el apartado 2.

a)

la estructura y los datos de contacto del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta y de cada uno de sus miembros;

b)

las transferencias o conjuntos de transferencias de datos, incluidas las categorías de datos personales, el tipo de tratamientos y sus fines, el tipo de interesados afectados y el nombre del tercer o los terceros países en cuestión;

c)

su carácter jurídicamente vinculante, tanto a nivel interno como externo;

d)

la aplicación de los principios generales en materia de protección de datos, en particular la limitación de la finalidad, la minimización de los datos, los periodos de conservación limitados, la calidad de los datos, la protección de los datos desde el diseño y por defecto, la base del tratamiento, el tratamiento de categorías especiales de datos personales, las medidas encaminadas a garantizar la seguridad de los datos y los requisitos con respecto a las transferencias ulteriores a organismos no vinculados por las normas corporativas vinculantes;

e)

los derechos de los interesados en relación con el tratamiento y los medios para ejercerlos, en particular el derecho a no ser objeto de decisiones basadas exclusivamente en un tratamiento automatizado, incluida la elaboración de perfiles de conformidad con lo dispuesto en el artículo 22, el derecho a presentar una reclamación ante la autoridad de control competente y ante los tribunales competentes de los Estados miembros de conformidad con el artículo 79, y el derecho a obtener una reparación, y, cuando proceda, una indemnización por violación de las normas corporativas vinculantes;

f)

la aceptación por parte del responsable o del encargado del tratamiento establecidos en el territorio de un Estado miembro de la responsabilidad por cualquier violación de las normas corporativas vinculantes por parte de cualquier miembro de que se trate no establecido en la Unión; el responsable o el encargado solo será exonerado, total o parcialmente, de dicha responsabilidad si demuestra que el acto que originó los daños y perjuicios no es imputable a dicho miembro;

g)

la forma en que se facilita a los interesados la información sobre las normas corporativas vinculantes, en particular en lo que respecta a las disposiciones contempladas en las letras d), e) y f) del presente apartado, además de los artículos 13 y 14;

h)

las funciones de todo delegado de protección de datos designado de conformidad con el artículo 37, o de cualquier otra persona o entidad encargada de la supervisión del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, así como de la supervisión de la formación y de la tramitación de las reclamaciones;

i)

los procedimientos de reclamación;

j)

los mecanismos establecidos dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta para garantizar la verificación del cumplimiento de las normas corporativas vinculantes. Dichos mecanismos incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado. Los resultados de dicha verificación deberían comunicarse a la persona o entidad a que se refiere la letra h) y al consejo de administración de la empresa que controla un grupo empresarial, o de la unión de empresas dedicadas a una actividad económica conjunta, y ponerse a disposición de la autoridad de control competente que lo solicite;

k)

los mecanismos establecidos para comunicar y registrar las modificaciones introducidas en las normas y para notificar esas modificaciones a la autoridad de control;

l)

el mecanismo de cooperación con la autoridad de control para garantizar el cumplimiento por parte de cualquier miembro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, en particular poniendo a disposición de la autoridad de control los resultados de las verificaciones de las medidas contempladas en la letra j);

m)

los mecanismos para informar a la autoridad de control competente de cualquier requisito jurídico de aplicación en un país tercero a un miembro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, que probablemente tengan un efecto adverso sobre las garantías establecidas en las normas corporativas vinculantes, y

n)

la formación en protección de datos pertinente para el personal que tenga acceso permanente o habitual a datos personales.