GDPR - BG CS DE EL EN ES ET FI FR GA IT LV LT MT PT SK SL SV
CAPO V
Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali
Sezione 5
Codici di condotta e certificazione
Articolo 47 Norme vincolanti d'impresa
1. L'autorità di controllo competente approva le norme vincolanti d'impresa in conformità del meccanismo di coerenza di cui all'articolo 63, a condizione che queste:
|
a)
|
siano giuridicamente vincolanti e si applichino a tutti i membri interessati del gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune, compresi i loro dipendenti;
|
|
b)
|
conferiscano espressamente agli interessati diritti azionabili in relazione al trattamento dei loro dati personali; e
|
|
c)
|
soddisfino i requisiti di cui al paragrafo 2.
|
2. Le norme vincolanti d'impresa di cui al paragrafo 1 specificano almeno:
|
a)
|
la struttura e le coordinate di contatto del gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune e di ciascuno dei suoi membri;
|
|
b)
|
i trasferimenti o il complesso di trasferimenti di dati, in particolare le categorie di dati personali, il tipo di trattamento e relative finalità, il tipo di interessati cui si riferiscono i dati e l'identificazione del paese terzo o dei paesi terzi in questione;
|
|
c)
|
la loro natura giuridicamente vincolante, a livello sia interno che esterno;
|
|
d)
|
l'applicazione dei principi generali di protezione dei dati, in particolare in relazione alla limitazione della finalità, alla minimizzazione dei dati, alla limitazione del periodo di conservazione, alla qualità dei dati, alla protezione fin dalla progettazione e alla protezione per impostazione predefinita, alla base giuridica del trattamento e al trattamento di categorie particolari di dati personali, le misure a garanzia della sicurezza dei dati e i requisiti per i trasferimenti successivi ad organismi che non sono vincolati dalle norme vincolanti d'impresa;
|
|
e)
|
i diritti dell'interessato in relazione al trattamento e i mezzi per esercitarli, compresi il diritto di non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione ai sensi dell'articolo 22, il diritto di proporre reclamo all'autorità di controllo competente e di ricorrere alle autorità giurisdizionali competenti degli Stati membri conformemente all'articolo 79, e il diritto di ottenere riparazione e, se del caso, il risarcimento per violazione delle norme vincolanti d'impresa;
|
|
f)
|
il fatto che il titolare del trattamento o il responsabile del trattamento stabilito nel territorio di uno Stato membro si assume la responsabilità per qualunque violazione delle norme vincolanti d'impresa commesse da un membro interessato non stabilito nell'Unione; il titolare del trattamento o il responsabile del trattamento può essere esonerato in tutto o in parte da tale responsabilità solo se dimostra che l'evento dannoso non è imputabile al membro in questione;
|
|
g)
|
le modalità in base alle quali sono fornite all'interessato le informazioni sulle norme vincolanti d'impresa, in particolare sulle disposizioni di cui alle lettere d), e) e f), in aggiunta alle informazioni di cui agli articoli 13 e 14;
|
|
h)
|
i compiti di qualunque responsabile della protezione dei dati designato ai sensi dell'articolo 35 o di ogni altra persona o entità incaricata del controllo del rispetto delle norme vincolanti d'impresa all'interno del gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune e il controllo della formazione e della gestione dei reclami;
|
|
i)
|
le procedure di reclamo;
|
|
j)
|
i meccanismi all'interno del gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune per garantire la verifica della conformità alle norme vincolanti d'impresa. Tali meccanismi comprendono verifiche sulla protezione dei dati e metodi per assicurare provvedimenti correttivi intesi a proteggere i diritti dell'interessato. I risultati di tale verifica dovrebbero essere comunicati alla persona o entità di cui alla lettera h) e all'organo amministrativo dell'impresa controllante del gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune e dovrebbero essere disponibili su richiesta all'autorità di controllo competente;
|
|
k)
|
i meccanismi per riferire e registrare le modifiche delle norme e comunicarle all'autorità di controllo;
|
|
l)
|
il meccanismo di cooperazione con l'autorità di controllo per garantire la conformità da parte di ogni membro del gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune, in particolare la messa a disposizione dell'autorità di controllo dei risultati delle verifiche delle misure di cui alla lettera j);
|
|
m)
|
i meccanismi per segnalare all'autorità di controllo competente ogni requisito di legge cui è soggetto un membro del gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune in un paese terzo che potrebbe avere effetti negativi sostanziali sulle garanzie fornite dalle norme vincolanti d'impresa; e
|
|
n)
|
l'appropriata formazione in materia di protezione dei dati al personale che ha accesso permanente o regolare ai dati personali.
|
3. La Commissione può specificare il formato e le procedure per lo scambio di informazioni tra titolari del trattamento, responsabili del trattamento e autorità di controllo in merito alle norme vincolanti d'impresa ai sensi del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.
Link to art.:
- gruppo 14
- dati 13
- trattamento 12
- vincolanti 11
- norme 11
- impresa 11
- controllo 10
- autorità 9
- imprese 7
- svolgono 7
- attività 7
- economica 7
- comune 7
- imprenditoriale 7
- protezione 6
- membro 5
- personali 4
- interessato 4
- meccanismi 4
- competente 4
- responsabile 3
- informazioni 3
- relazione 3
- sensi 3
- trasferimenti 3
- diritti 3
- diritto 3
- paragrafo 3
- interno 3
- membri 3
- interessati 3
- conformità 3
|
GDPR - BG CS DE EL EN ES ET FI FR GA IT LV LT MT PT SK SL SV
V LUKU
Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille
5 Jakso
Käytännesäännöt ja sertifiointi
47 artikla Yritystä koskevat sitovat säännöt
1. Toimivaltainen valvontaviranomainen vahvistaa yrityksiä koskevat sitovat säännöt 63 artiklassa säädetyn yhdenmukaisuusmekanismin mukaisesti, jos
|
a)
|
säännöt ovat oikeudellisesti sitovat ja niitä sovelletaan kaikkiin asianomaisiin konsernin tai yritysryhmän jäseniin, jotka harjoittavat yhteistä taloudellista toimintaa, työntekijät mukaan luettuna, ja kaikki nämä yksiköt myös panevat säännöt täytäntöön;
|
|
b)
|
säännöissä nimenomaisesti annetaan rekisteröidyille täytäntöönpanokelpoisia heidän henkilötietojensa käsittelyä koskevia oikeuksia; ja
|
|
c)
|
säännöt täyttävät 2 kohdassa säädetyt vaatimukset.
|
2. Näissä 1 kohdassa tarkoitetuissa yritystä koskevissa sitovissa säännöissä on määritettävä vähintään
|
a)
|
konsernin tai yritysryhmän, joka harjoittaa yhteistä taloudellista toimintaa, ja sen kaikkien jäsenten rakenne ja yhteystiedot;
|
|
b)
|
tiedonsiirrot tai tiedonsiirtojen sarjat, henkilötietoryhmät mukaan lukien, käsittelytoimien tyyppi ja käsittelyn tarkoitukset, käsittelyn kohteena olevien rekisteröityjen ryhmä sekä tieto siitä, mistä kolmannesta maasta tai kolmansista maista on kyse;
|
|
c)
|
sääntöjen oikeudellinen sitovuus sekä unionin sisällä että sen ulkopuolella;
|
|
d)
|
yleisten tietosuojaperiaatteiden soveltaminen, erityisesti käyttötarkoitussidonnaisuus, tietojen minimointi, rajoitetut säilytysajat, tietojen laatu, sisäänrakennettu ja oletusarvoinen tietosuoja, käsittelyn oikeusperuste, erityisten henkilötietoryhmien käsittely, tietoturvallisuuden takaavat toimenpiteet ja vaatimukset, jotka koskevat henkilötietojen siirtämistä edelleen elimille, joita nämä yrityksiä koskevat sitovat säännöt eivät sido;
|
|
e)
|
rekisteröityjen henkilötietojen käsittelyä koskevat oikeudet ja keinot käyttää niitä, mukaan lukien oikeus olla joutumatta sellaisten 22 artiklassa tarkoitettujen päätösten kohteeksi, jotka perustuvat pelkästään automaattiseen käsittelyyn, mukaan lukien profilointi, oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle ja oikeus oikeussuojakeinoihin jäsenvaltioiden toimivaltaisissa tuomioistuimissa 79 artiklan mukaisesti sekä oikeus muutoksenhakuun ja tarvittaessa korvauksen saamiseen yritystä koskevien sitovien sääntöjen rikkomisen vuoksi;
|
|
f)
|
jäsenvaltion alueelle sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän suostumus kantaa vastuu siitä, että asianomainen yritysryhmän jäsen, joka ei ole sijoittautunut unionin alueelle, rikkoo yritystä koskevia sitovia sääntöjä; rekisterinpitäjä tai henkilötietojen käsittelijä voidaan vapauttaa tästä vastuusta osittain tai kokonaan vain edellä mainitun rekisterinpitäjän tai henkilötietojen käsittelijän osoitettua, ettei kyseinen jäsen ole vastuussa vahingon aiheuttaneesta tapahtumasta;
|
|
g)
|
se, miten yritystä koskevista sitovista säännöistä ja erityisesti tämän kohdan d–f alakohdassa tarkoitetuista säännöksistä ilmoitetaan rekisteröidyille 13 ja 14 artiklan vaatimusten lisäksi;
|
|
h)
|
kaikkien 37 artiklan mukaisesti nimitettyjen tietosuojavastaavien taikka konsernissa tai yritysryhmässä, joka harjoittaa yhteistä taloudellista toimintaa, yritystä koskevien sitovien sääntöjen noudattamisen valvonnasta sekä koulutuksen ja valitusten käsittelyn seurannasta vastaavan minkä tahansa muun henkilön tai yksikön tehtävät;
|
|
j)
|
mekanismit, joiden avulla konsernissa tai yritysryhmässä, joka harjoittaa yhteistä taloudellista toimintaa, pyritään varmistamaan, että yritystä koskevien sitovien sääntöjen noudattaminen varmistetaan. Tällaisia mekanismeja ovat tietosuojaa koskevat tarkastukset ja menetelmät, joilla varmistetaan korjaavat toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Tällaisten varmistusten tulokset olisi ilmoitettava h alakohdassa tarkoitetulle henkilölle tai yksikölle sekä konsernissa määräysvaltaa käyttävän yrityksen tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän hallitukselle, ja niiden olisi oltava pyynnöstä toimivaltaisen valvontaviranomaisen saatavilla;
|
|
k)
|
mekanismit sääntöihin tehtävistä muutoksista ilmoittamista ja niiden kirjaamista varten sekä niistä valvontaviranomaiselle ilmoittamista varten;
|
|
l)
|
yhteistyömenettely valvontaviranomaisen kanssa sen varmistamiseksi, että kaikki konsernin tai yritysryhmän, joka harjoittaa yhteistä taloudellista toimintaa, jäsenet noudattavat sääntöjä, erityisesti toimittamalla valvontaviranomaisen käyttöön j alakohdassa tarkoitettujen toimenpiteiden varmistamisen tulokset;
|
|
m)
|
mekanismit, joilla ilmoitetaan toimivaltaiselle valvontaviranomaiselle kolmannessa maassa konsernin tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän jäseneen mahdollisesta sovellettavista oikeudellisista vaatimuksista, jotka todennäköisesti merkittävästi haittaavat yritystä koskeviin sitoviin sääntöihin sisältyviä takeita; ja
|
|
n)
|
asianmukainen tietosuojakoulutus henkilöstölle, jolla on pysyvä tai säännöllinen pääsy henkilötietoihin.
|
3. Komissio voi vahvistaa muodon ja menettelyt sitä tietojenvaihtoa varten, jota käydään rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välillä tässä artiklassa tarkoitetuista yritystä koskevista sitovista säännöistä. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
- yritystä 8
- toimintaa 7
- taloudellista 7
- yhteistä 7
- yritysryhmän 6
- henkilötietojen 6
- sekä 6
- joka 5
- säännöt 5
- koskevat 5
- jotka 4
- mukaan 4
- käsittelyn 4
- artiklan 4
- oikeus 4
- sääntöjen 4
- harjoittaa 4
- että 4
- konsernin 4
- koskevien 3
- artiklassa 3
- sitovien 3
- mukaisesti 3
- konsernissa 3
- valvontaviranomaiselle 3
- mekanismit 3
- valvontaviranomaisen 3
- erityisesti 3
- varten 3
- sitovat 3
- kohdassa 3
- lukien 3
|
