(a)

ikunu legalment vinkolanti u japplikaw għal, u jkunu infurzati minn, kull membru kkonċernat tal-grupp ta' impriżi, jew il-grupp ta' intrapriżi involuti f'attività ekonomika konġunta, inklużi l-impjegati tagħhom;

(b)

espressament jikkonferixxu drittijiet infurzabbli lis-suġġetti tad-data fir-rigward tal-ipproċessar tad-data personali tagħhom; u

(c)

jissodisfaw ir-rekwiżiti stipulati fil-paragrafu 2.

(a)

l-istruttura u d-dettalji ta' kuntatt tal-grupp ta' impriżi, jew grupp ta' intrapriżi involuti f'attività ekonomika konġunta u ta' kull wieħed mill-membri tiegħu;

(b)

it-trasferimenti tad-data jew is-sett ta' trasferimenti, inklużi l-kategoriji ta' data personali, it-tip ta' pproċessar u l-għanijiet tiegħu, it-tip ta' suġġetti tad-data affettwati u l-identifikazzjoni tal-pajjiż jew il-pajjiżi terzi inkwistjoni;

(c)

in-natura legalment vinkolanti tagħhom, kemm internament kif ukoll esternament;

(d)

l-applikazzjoni tal-prinċipji ġenerali tal-protezzjoni tad-data, b'mod partikolari l-limitazzjoni tal-għan, il-minimizzazzjoni tad-data, il-perijodi ta' ħżin limitati, il-kwalità tad-data, il-protezzjoni tad-data mid-disinn u b'mod awtomatiku, il-bażi legali għall-ipproċessar, l-ipproċessar ta' kategoriji speċjali ta' data personali, il-miżuri li jiżguraw is-sigurtà tad-data, u r-rekwiżiti fir-rigward ta' trasferimenti ulterjuri lejn korpi li ma jkunux marbuta bir-regoli korporattivi vinkolanti;

(e)

id-drittijiet tas-suġġetti tad-data fir-rigward tal-ipproċessar u l-mezzi għall-eżerċitar ta' dawk id-drittijiet, inkluż id-dritt li wieħed ma jkunx soġġett għal deċiżjonijiet ibbażati biss fuq ipproċessar awtomatizzat, inkluż it-tfassil ta' profili f'konformità mal-Artikolu 22, id-dritt li wieħed iressaq ilment mal-awtorità superviżorja kompetenti u quddiem il-qrati kompetenti tal-Istati Membri f'konformità mal-Artikolu 79, u li wieħed jikseb rimedju u, fejn xieraq, kumpens għal ksur tar-regoli korporattivi vinkolanti;

(f)

l-aċċettazzjoni mill-kontrollur jew il-proċessur stabbilit fit-territorju ta' Stat Membru tar-responsabbiltà għal kwalunkwe ksur tar-regoli korporattivi vinkolanti minn kwalunkwe membru kkonċernat mhux stabbilit fl-Unjoni; il-kontrollur jew il-proċessur għandu jkun eżentat minn dik ir-responsabbiltà, b'mod sħiħ jew parzjali, biss jekk jagħti prova li dak il-membru mhuwiex responsabbli għall-avveniment li ħoloq id-dannu;

(g)

kif l-informazzjoni dwar ir-regoli korporattivi vinkolanti, b'mod partikolari dwar id-dispożizzjonijiet imsemmija fil-punti (d), (e) u (f) ta' dan il-paragrafu tiġi pprovduta lis-suġġetti tad-data flimkien mal-informazzjoni msemmija fl-Artikoli 13 u 14;

(h)

il-kompiti ta' kwalunkwe uffiċjal tal-protezzjoni tad-data maħtur f'konformità mal-Artikolu 37 jew kwalunkwe persuna jew entità oħra inkarigata mill-monitoraġġ tal-konformità mar-regoli korporattivi vinkolanti fil-grupp ta' impriżi, jew grupp ta' intrapriżi involuti f'attività ekonomika konġunta, kif ukoll il-monitoraġġ tat-taħriġ u l-ġestjoni tal-ilmenti;

(i)

il-proċeduri tal-ilmenti;

(j)

il-mekkaniżmi fil-grupp ta' impriżi, jew grupp ta' intrapriżi involuti f'attività ekonomika konġunta li jiżguraw il-verifika tal-konformità mar-regoli korporattivi vinkolanti. Tali mekkaniżmi għandhom jinkludu awditi tal-protezzjoni tad-data u metodi li jiżguraw azzjonijiet korrettivi għall-protezzjoni tad-drittijiet tas-suġġett tad-data. Ir-riżultati ta' tali verifika għandhom jiġu kkomunikati lill-persuna jew l-entità msemmija fil-punt (h) u lill-bord tal-impriża ta' kontroll ta' grupp ta' impriżi jew tal-grupp ta' intrapriżi involuti f'attività ekonomika konġunta, u għandhom ikunu disponibbli, fuq talba, għall-awtorità superviżorja kompetenti;

(k)

il-mekkaniżmi għar-rappurtar u r-reġistrazzjoni ta' bidliet fir-regoli u r-rappurtar ta' dawk il-bidliet lill-awtorità superviżorja;

(l)

il-mekkaniżmu ta' kooperazzjoni mal-awtorità superviżorja biex tiġi żgurata konformità minn kwalunkwe membru tal-grupp ta' impriżi, jew grupp ta' intrapriżi involuti f'attività ekonomika konġunta, b'mod partikolari billi jagħmel disponibbli għall-awtorità superviżorja r-riżultati ta' verifiki tal-miżuri msemmija fil-punt (j);

(m)

il-mekkaniżmi għar-rappurtar lill-awtorità superviżorja kompetenti ta' kwalunkwe rekwiżit legali li għalih membru tal-grupp ta' impriżi jew grupp ta' intrapriżi involuti f'attività ekonomika konġunta ikun soġġett f'pajjiż terz li x'aktarx jista' jkollu effett negattiv sostanzjali fuq il-garanziji previsti mir-regoli korporattivi vinkolanti; u

(n)

it-taħriġ xieraq fil-protezzjoni tad-data lil persunal li jkollu aċċess permanenti jew regolari għad-data personali.

a)

sean jurídicamente vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados;

b)

confieran expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales, y

c)

cumplan los requisitos establecidos en el apartado 2.

a)

la estructura y los datos de contacto del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta y de cada uno de sus miembros;

b)

las transferencias o conjuntos de transferencias de datos, incluidas las categorías de datos personales, el tipo de tratamientos y sus fines, el tipo de interesados afectados y el nombre del tercer o los terceros países en cuestión;

c)

su carácter jurídicamente vinculante, tanto a nivel interno como externo;

d)

la aplicación de los principios generales en materia de protección de datos, en particular la limitación de la finalidad, la minimización de los datos, los periodos de conservación limitados, la calidad de los datos, la protección de los datos desde el diseño y por defecto, la base del tratamiento, el tratamiento de categorías especiales de datos personales, las medidas encaminadas a garantizar la seguridad de los datos y los requisitos con respecto a las transferencias ulteriores a organismos no vinculados por las normas corporativas vinculantes;

e)

los derechos de los interesados en relación con el tratamiento y los medios para ejercerlos, en particular el derecho a no ser objeto de decisiones basadas exclusivamente en un tratamiento automatizado, incluida la elaboración de perfiles de conformidad con lo dispuesto en el artículo 22, el derecho a presentar una reclamación ante la autoridad de control competente y ante los tribunales competentes de los Estados miembros de conformidad con el artículo 79, y el derecho a obtener una reparación, y, cuando proceda, una indemnización por violación de las normas corporativas vinculantes;

f)

la aceptación por parte del responsable o del encargado del tratamiento establecidos en el territorio de un Estado miembro de la responsabilidad por cualquier violación de las normas corporativas vinculantes por parte de cualquier miembro de que se trate no establecido en la Unión; el responsable o el encargado solo será exonerado, total o parcialmente, de dicha responsabilidad si demuestra que el acto que originó los daños y perjuicios no es imputable a dicho miembro;

g)

la forma en que se facilita a los interesados la información sobre las normas corporativas vinculantes, en particular en lo que respecta a las disposiciones contempladas en las letras d), e) y f) del presente apartado, además de los artículos 13 y 14;

h)

las funciones de todo delegado de protección de datos designado de conformidad con el artículo 37, o de cualquier otra persona o entidad encargada de la supervisión del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, así como de la supervisión de la formación y de la tramitación de las reclamaciones;

i)

los procedimientos de reclamación;

j)

los mecanismos establecidos dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta para garantizar la verificación del cumplimiento de las normas corporativas vinculantes. Dichos mecanismos incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado. Los resultados de dicha verificación deberían comunicarse a la persona o entidad a que se refiere la letra h) y al consejo de administración de la empresa que controla un grupo empresarial, o de la unión de empresas dedicadas a una actividad económica conjunta, y ponerse a disposición de la autoridad de control competente que lo solicite;

k)

los mecanismos establecidos para comunicar y registrar las modificaciones introducidas en las normas y para notificar esas modificaciones a la autoridad de control;

l)

el mecanismo de cooperación con la autoridad de control para garantizar el cumplimiento por parte de cualquier miembro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, en particular poniendo a disposición de la autoridad de control los resultados de las verificaciones de las medidas contempladas en la letra j);

m)

los mecanismos para informar a la autoridad de control competente de cualquier requisito jurídico de aplicación en un país tercero a un miembro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, que probablemente tengan un efecto adverso sobre las garantías establecidas en las normas corporativas vinculantes, y

n)

la formación en protección de datos pertinente para el personal que tenga acceso permanente o habitual a datos personales.