(a)

ikunu legalment vinkolanti u japplikaw għal, u jkunu infurzati minn, kull membru kkonċernat tal-grupp ta' impriżi, jew il-grupp ta' intrapriżi involuti f'attività ekonomika konġunta, inklużi l-impjegati tagħhom;

(b)

espressament jikkonferixxu drittijiet infurzabbli lis-suġġetti tad-data fir-rigward tal-ipproċessar tad-data personali tagħhom; u

(c)

jissodisfaw ir-rekwiżiti stipulati fil-paragrafu 2.

(a)

l-istruttura u d-dettalji ta' kuntatt tal-grupp ta' impriżi, jew grupp ta' intrapriżi involuti f'attività ekonomika konġunta u ta' kull wieħed mill-membri tiegħu;

(b)

it-trasferimenti tad-data jew is-sett ta' trasferimenti, inklużi l-kategoriji ta' data personali, it-tip ta' pproċessar u l-għanijiet tiegħu, it-tip ta' suġġetti tad-data affettwati u l-identifikazzjoni tal-pajjiż jew il-pajjiżi terzi inkwistjoni;

(c)

in-natura legalment vinkolanti tagħhom, kemm internament kif ukoll esternament;

(d)

l-applikazzjoni tal-prinċipji ġenerali tal-protezzjoni tad-data, b'mod partikolari l-limitazzjoni tal-għan, il-minimizzazzjoni tad-data, il-perijodi ta' ħżin limitati, il-kwalità tad-data, il-protezzjoni tad-data mid-disinn u b'mod awtomatiku, il-bażi legali għall-ipproċessar, l-ipproċessar ta' kategoriji speċjali ta' data personali, il-miżuri li jiżguraw is-sigurtà tad-data, u r-rekwiżiti fir-rigward ta' trasferimenti ulterjuri lejn korpi li ma jkunux marbuta bir-regoli korporattivi vinkolanti;

(e)

id-drittijiet tas-suġġetti tad-data fir-rigward tal-ipproċessar u l-mezzi għall-eżerċitar ta' dawk id-drittijiet, inkluż id-dritt li wieħed ma jkunx soġġett għal deċiżjonijiet ibbażati biss fuq ipproċessar awtomatizzat, inkluż it-tfassil ta' profili f'konformità mal-Artikolu 22, id-dritt li wieħed iressaq ilment mal-awtorità superviżorja kompetenti u quddiem il-qrati kompetenti tal-Istati Membri f'konformità mal-Artikolu 79, u li wieħed jikseb rimedju u, fejn xieraq, kumpens għal ksur tar-regoli korporattivi vinkolanti;

(f)

l-aċċettazzjoni mill-kontrollur jew il-proċessur stabbilit fit-territorju ta' Stat Membru tar-responsabbiltà għal kwalunkwe ksur tar-regoli korporattivi vinkolanti minn kwalunkwe membru kkonċernat mhux stabbilit fl-Unjoni; il-kontrollur jew il-proċessur għandu jkun eżentat minn dik ir-responsabbiltà, b'mod sħiħ jew parzjali, biss jekk jagħti prova li dak il-membru mhuwiex responsabbli għall-avveniment li ħoloq id-dannu;

(g)

kif l-informazzjoni dwar ir-regoli korporattivi vinkolanti, b'mod partikolari dwar id-dispożizzjonijiet imsemmija fil-punti (d), (e) u (f) ta' dan il-paragrafu tiġi pprovduta lis-suġġetti tad-data flimkien mal-informazzjoni msemmija fl-Artikoli 13 u 14;

(h)

il-kompiti ta' kwalunkwe uffiċjal tal-protezzjoni tad-data maħtur f'konformità mal-Artikolu 37 jew kwalunkwe persuna jew entità oħra inkarigata mill-monitoraġġ tal-konformità mar-regoli korporattivi vinkolanti fil-grupp ta' impriżi, jew grupp ta' intrapriżi involuti f'attività ekonomika konġunta, kif ukoll il-monitoraġġ tat-taħriġ u l-ġestjoni tal-ilmenti;

(i)

il-proċeduri tal-ilmenti;

(j)

il-mekkaniżmi fil-grupp ta' impriżi, jew grupp ta' intrapriżi involuti f'attività ekonomika konġunta li jiżguraw il-verifika tal-konformità mar-regoli korporattivi vinkolanti. Tali mekkaniżmi għandhom jinkludu awditi tal-protezzjoni tad-data u metodi li jiżguraw azzjonijiet korrettivi għall-protezzjoni tad-drittijiet tas-suġġett tad-data. Ir-riżultati ta' tali verifika għandhom jiġu kkomunikati lill-persuna jew l-entità msemmija fil-punt (h) u lill-bord tal-impriża ta' kontroll ta' grupp ta' impriżi jew tal-grupp ta' intrapriżi involuti f'attività ekonomika konġunta, u għandhom ikunu disponibbli, fuq talba, għall-awtorità superviżorja kompetenti;

(k)

il-mekkaniżmi għar-rappurtar u r-reġistrazzjoni ta' bidliet fir-regoli u r-rappurtar ta' dawk il-bidliet lill-awtorità superviżorja;

(l)

il-mekkaniżmu ta' kooperazzjoni mal-awtorità superviżorja biex tiġi żgurata konformità minn kwalunkwe membru tal-grupp ta' impriżi, jew grupp ta' intrapriżi involuti f'attività ekonomika konġunta, b'mod partikolari billi jagħmel disponibbli għall-awtorità superviżorja r-riżultati ta' verifiki tal-miżuri msemmija fil-punt (j);

(m)

il-mekkaniżmi għar-rappurtar lill-awtorità superviżorja kompetenti ta' kwalunkwe rekwiżit legali li għalih membru tal-grupp ta' impriżi jew grupp ta' intrapriżi involuti f'attività ekonomika konġunta ikun soġġett f'pajjiż terz li x'aktarx jista' jkollu effett negattiv sostanzjali fuq il-garanziji previsti mir-regoli korporattivi vinkolanti; u

(n)

it-taħriġ xieraq fil-protezzjoni tad-data lil persunal li jkollu aċċess permanenti jew regolari għad-data personali.

a)

са със задължителен характер, прилагат се спрямо и се привеждат в изпълнение от всеки съответен член на групата предприятия или групата дружества, участващи в съвместна стопанска дейност, включително техните служители;

б)

изрично предоставят на субектите на данни приложими права по отношение на обработването на техните лични данни; и

в)

изпълняват изискванията, установени в параграф 2.

a)

структурата и координатите за връзка на групата предприятия или групата дружества, участващи в съвместна стопанска дейност и на всеки техен член;

б)

предаването или съвкупността от предавания на данни, включително категориите лични данни, видът на обработването и неговите цели, видът на засегнатите субекти на данни, и се посочва въпросната трета държава или държави;

в)

тяхното правно обвързващо естество както на вътрешно, така и на външно равнище;

г)

прилагането на общите принципи за защита на данните, по-специално ограничението на целите, свеждането на данните до минимум, ограничените периоди на съхранение, качеството на данните, защитата на данните на етапа на проектирането и по подразбиране, правното основание за обработването, обработването на специални категории лични данни, мерките за гарантиране сигурността на данните, както и изискванията по отношение на последващото предаване на данни на образувания, които не са обвързани от задължителните фирмени правила;

д)

правата на субектите на данни по отношение на обработването и средствата за упражняване на тези права, включително правото на субекта на данни да не бъде обект на решения, основани единствено на автоматизирано обработване, включително профилиране в съответствие с член 22, правото на подаване на жалба до компетентния надзорен орган и до компетентните съдилища на държавите членки в съответствие с член 79, както и правото на съдебна защита, и когато е приложимо — на обезщетение за нарушаване на задължителните фирмени правила;

е)

поемането от администратора или обработващия лични данни, установен на територията на държава членка, на отговорност за всяко нарушение на задължителните фирмени правила от който и да е член на съответната група, който не е установен в Съюза; администраторът или обработващият лични данни е изцяло или частично освободен от такава отговорност само ако докаже, че този член не носи отговорност за събитието, довело до причиняването на вреда;

ж)

начинът, по който информацията относно задължителните фирмени правила, по-специално относно разпоредбите, посочени в букви г), д) и е) от настоящия параграф, се предоставя на субектите на данни в допълнение към информацията по членове 13 и 14;

з)

задачите на всяко длъжностно лице за защита на данните, определено в съответствие с член 37, или всяко друго лице или образувание, натоварено да наблюдава спазването на задължителните фирмени правила в рамките на групата предприятия или групата дружества, участващи в съвместна стопанска дейност, както и да наблюдава обучението и разглеждането на жалбите;

и)

процедурите по отношение на жалбите;

й)

механизмите в рамките на групата предприятия или групата дружества, участващи в съвместна стопанска дейност за осигуряване на проверка на спазването на задължителните фирмени правила. Тези механизми включват одити на защитата на данните и методи за осигуряване на коригиращи действия за защита на правата на субекта на данни. Резултатите от тази проверка следва да се съобщават на лицето или образуванието, посочено в буква з), и на управителния съвет на контролиращото предприятие на групата предприятия или на групата дружества, участващи в съвместна стопанска дейност, и следва при поискване да се предоставят на компетентния надзорен орган;

к)

механизмите за докладване и записване на промени в правилата и докладването на надзорния орган за тези промени;

л)

механизмът за сътрудничество с надзорния орган с цел осигуряване на спазването на правилата от всеки член на групата предприятия или на групата дружества, участващи в съвместна стопанска дейност, по-специално чрез предоставяне на надзорния орган на резултатите от проверките на мерките, посочени в буква й);

м)

механизмите за докладване на компетентния надзорен орган за всякакви правни изисквания, приложими към член на групата предприятия или групата дружества, участващи в съвместна стопанска дейност, в трета държава, които е вероятно да доведат до значими неблагоприятни последици за гаранциите, предоставяни от задължителните фирмени правила; както и

н)

подходящото обучение за защита на данните за персонала, който постоянно или редовно има достъп до лични данни.