GDPR - BG CS DE EL EN ES ET FI FR GA IT LV LT MT PT SK SL SV
CAPÍTULO V
Transferências de dados pessoais para países terceiros ou organizações internacionais
Secção 5
Códigos de conduta e certificação
Artigo 47.o
Regras vinculativas aplicáveis às empresas
1. Pelo procedimento de controlo da coerência previsto no artigo 63.o, a autoridade de controlo competente aprova regras vinculativas aplicáveis às empresas, que devem:
|
a)
|
Ser juridicamente vinculativas e aplicáveis a todas as entidades em causa do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, incluindo os seus funcionários, as quais deverão assegurar o seu cumprimento;
|
|
b)
|
Conferir expressamente aos titulares dos dados direitos oponíveis relativamente ao tratamento dos seus dados pessoais; e
|
|
c)
|
Preencher os requisitos estabelecidos no n.o 2.
|
2. As regras vinculativas aplicáveis às empresas a que se refere o n.o 1 especificam, pelo menos:
|
a)
|
A estrutura e os contactos do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta e de cada uma das entidades que o compõe;
|
|
b)
|
As transferências ou conjunto de transferências de dados, incluindo as categorias de dados pessoais, o tipo de tratamento e suas finalidades, o tipo de titulares de dados afetados e a identificação do país ou países terceiros em questão;
|
|
c)
|
O seu caráter juridicamente vinculativo, a nível interno e externo;
|
|
d)
|
A aplicação dos princípios gerais de proteção de dados, nomeadamente a limitação das finalidades, a minimização dos dados, a limitação dos prazos de conservação, a qualidade dos dados, a proteção dos dados desde a conceção e por defeito, o fundamento jurídico para o tratamento, o tratamento de categorias especiais de dados pessoais, as medidas de garantia da segurança dos dados e os requisitos aplicáveis a transferências posteriores para organismos não abrangidos pelas regras vinculativas aplicáveis às empresas;
|
|
e)
|
Os direitos dos titulares dos dados relativamente ao tratamento e regras de exercício desses direitos, incluindo o direito de não ser objeto de decisões baseadas unicamente no tratamento automatizado, nomeadamente a definição de perfis a que se refere o artigo 22.o, o direito de apresentar uma reclamação à autoridade de controlo competente e aos tribunais competentes dos Estados-Membros nos termos do artigo 79.o, bem como o de obter reparação e, se for caso disso, indemnização pela violação das regras vinculativas aplicáveis às empresas;
|
|
f)
|
A aceitação, por parte do responsável pelo tratamento ou subcontratante estabelecido no território de um Estado-Membro, da responsabilidade por toda e qualquer violação das regras vinculativas aplicáveis às empresas cometida por uma entidade envolvida que não se encontre estabelecida na União; o responsável pelo tratamento ou o subcontratante só pode ser exonerado dessa responsabilidade, no todo ou em parte, mediante prova de que o facto que causou o dano não é imputável à referida entidade;
|
|
g)
|
A forma como as informações sobre as regras vinculativas aplicáveis às empresas, nomeadamente, sobre as disposições referidas nas alíneas d), e) e f) do presente número, são comunicadas aos titulares dos dados para além das informações referidas nos artigos 13.o e 14.o;
|
|
h)
|
As funções de qualquer encarregado da proteção de dados, designado nos termos do artigo 37.o ou de qualquer outra pessoa ou entidade responsável pelo controlo do cumprimento das regras vinculativas aplicáveis às empresas, a nível do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, e pela supervisão das ações de formação e do tratamento de reclamações;
|
|
i)
|
Os procedimentos de reclamação;
|
|
j)
|
Os procedimentos existentes no grupo empresarial ou no grupo de empresas envolvidas numa atividade económica conjunta para assegurar a verificação do cumprimento das regras vinculativas aplicáveis às empresas. Esses procedimentos incluem a realização de auditorias sobre a proteção de dados e o recurso a métodos que garantam a adoção de medidas corretivas capazes de preservar os direitos dos respetivos titulares. Os resultados dessa verificação devem ser comunicados à pessoa ou entidade referida na alínea h) e ao Conselho de Administração da empresa ou grupo empresarial que exerce o controlo ou do grupo de empresas envolvidas numa atividade económica conjunta, devendo também ser facultados à autoridade de controlo competente, a pedido desta;
|
|
k)
|
Os procedimentos de elaboração de relatórios e de registo de alterações às regras, bem como de comunicação dessas alterações à autoridade de controlo;
|
|
l)
|
O procedimento de cooperação com a autoridade de controlo para assegurar o cumprimento, por qualquer entidade do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, em especial facultando à autoridade de controlo os resultados de verificações das medidas referidas na alínea j);
|
|
m)
|
Os procedimentos de comunicação, à autoridade de controlo competente, de todos os requisitos legais a que uma entidade do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta esteja sujeita num país terceiro que sejam passíveis de ter forte impacto negativo nas garantias dadas pelas regras vinculativas aplicáveis às empresas; e
|
|
n)
|
Ações de formação especificamente dirigidas a pessoas que tenham, em permanência ou regularmente, acesso a dados de natureza pessoal.
|
3. A Comissão pode especificar o formato e os procedimentos de intercâmbio de informações entre os responsáveis pelo tratamento, os subcontratantes e as autoridades de controlo no que respeita às regras vinculativas aplicáveis às empresas na aceção do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.
- empresas 17
- dados 16
- grupo 14
- regras 12
- aplicáveis 12
- controlo 11
- vinculativas 11
- tratamento 10
- numa 7
- conjunta 7
- económica 7
- atividade 7
- empresarial 7
- envolvidas 7
- autoridade 7
- pelo 6
- procedimentos 6
- entidade 6
- artigo o 5
- titulares 5
- para 5
- não 4
- proteção 4
- competente 4
- cumprimento 4
- qualquer 4
- direitos 4
- no 3
- pessoais 3
- requisitos 3
- como 3
- medidas 3
|
GDPR - BG CS DE EL EN ES ET FI FR GA IT LV LT MT PT SK SL SV
V LUKU
Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille
5 Jakso
Käytännesäännöt ja sertifiointi
47 artikla Yritystä koskevat sitovat säännöt
1. Toimivaltainen valvontaviranomainen vahvistaa yrityksiä koskevat sitovat säännöt 63 artiklassa säädetyn yhdenmukaisuusmekanismin mukaisesti, jos
|
a)
|
säännöt ovat oikeudellisesti sitovat ja niitä sovelletaan kaikkiin asianomaisiin konsernin tai yritysryhmän jäseniin, jotka harjoittavat yhteistä taloudellista toimintaa, työntekijät mukaan luettuna, ja kaikki nämä yksiköt myös panevat säännöt täytäntöön;
|
|
b)
|
säännöissä nimenomaisesti annetaan rekisteröidyille täytäntöönpanokelpoisia heidän henkilötietojensa käsittelyä koskevia oikeuksia; ja
|
|
c)
|
säännöt täyttävät 2 kohdassa säädetyt vaatimukset.
|
2. Näissä 1 kohdassa tarkoitetuissa yritystä koskevissa sitovissa säännöissä on määritettävä vähintään
|
a)
|
konsernin tai yritysryhmän, joka harjoittaa yhteistä taloudellista toimintaa, ja sen kaikkien jäsenten rakenne ja yhteystiedot;
|
|
b)
|
tiedonsiirrot tai tiedonsiirtojen sarjat, henkilötietoryhmät mukaan lukien, käsittelytoimien tyyppi ja käsittelyn tarkoitukset, käsittelyn kohteena olevien rekisteröityjen ryhmä sekä tieto siitä, mistä kolmannesta maasta tai kolmansista maista on kyse;
|
|
c)
|
sääntöjen oikeudellinen sitovuus sekä unionin sisällä että sen ulkopuolella;
|
|
d)
|
yleisten tietosuojaperiaatteiden soveltaminen, erityisesti käyttötarkoitussidonnaisuus, tietojen minimointi, rajoitetut säilytysajat, tietojen laatu, sisäänrakennettu ja oletusarvoinen tietosuoja, käsittelyn oikeusperuste, erityisten henkilötietoryhmien käsittely, tietoturvallisuuden takaavat toimenpiteet ja vaatimukset, jotka koskevat henkilötietojen siirtämistä edelleen elimille, joita nämä yrityksiä koskevat sitovat säännöt eivät sido;
|
|
e)
|
rekisteröityjen henkilötietojen käsittelyä koskevat oikeudet ja keinot käyttää niitä, mukaan lukien oikeus olla joutumatta sellaisten 22 artiklassa tarkoitettujen päätösten kohteeksi, jotka perustuvat pelkästään automaattiseen käsittelyyn, mukaan lukien profilointi, oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle ja oikeus oikeussuojakeinoihin jäsenvaltioiden toimivaltaisissa tuomioistuimissa 79 artiklan mukaisesti sekä oikeus muutoksenhakuun ja tarvittaessa korvauksen saamiseen yritystä koskevien sitovien sääntöjen rikkomisen vuoksi;
|
|
f)
|
jäsenvaltion alueelle sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän suostumus kantaa vastuu siitä, että asianomainen yritysryhmän jäsen, joka ei ole sijoittautunut unionin alueelle, rikkoo yritystä koskevia sitovia sääntöjä; rekisterinpitäjä tai henkilötietojen käsittelijä voidaan vapauttaa tästä vastuusta osittain tai kokonaan vain edellä mainitun rekisterinpitäjän tai henkilötietojen käsittelijän osoitettua, ettei kyseinen jäsen ole vastuussa vahingon aiheuttaneesta tapahtumasta;
|
|
g)
|
se, miten yritystä koskevista sitovista säännöistä ja erityisesti tämän kohdan d–f alakohdassa tarkoitetuista säännöksistä ilmoitetaan rekisteröidyille 13 ja 14 artiklan vaatimusten lisäksi;
|
|
h)
|
kaikkien 37 artiklan mukaisesti nimitettyjen tietosuojavastaavien taikka konsernissa tai yritysryhmässä, joka harjoittaa yhteistä taloudellista toimintaa, yritystä koskevien sitovien sääntöjen noudattamisen valvonnasta sekä koulutuksen ja valitusten käsittelyn seurannasta vastaavan minkä tahansa muun henkilön tai yksikön tehtävät;
|
|
j)
|
mekanismit, joiden avulla konsernissa tai yritysryhmässä, joka harjoittaa yhteistä taloudellista toimintaa, pyritään varmistamaan, että yritystä koskevien sitovien sääntöjen noudattaminen varmistetaan. Tällaisia mekanismeja ovat tietosuojaa koskevat tarkastukset ja menetelmät, joilla varmistetaan korjaavat toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Tällaisten varmistusten tulokset olisi ilmoitettava h alakohdassa tarkoitetulle henkilölle tai yksikölle sekä konsernissa määräysvaltaa käyttävän yrityksen tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän hallitukselle, ja niiden olisi oltava pyynnöstä toimivaltaisen valvontaviranomaisen saatavilla;
|
|
k)
|
mekanismit sääntöihin tehtävistä muutoksista ilmoittamista ja niiden kirjaamista varten sekä niistä valvontaviranomaiselle ilmoittamista varten;
|
|
l)
|
yhteistyömenettely valvontaviranomaisen kanssa sen varmistamiseksi, että kaikki konsernin tai yritysryhmän, joka harjoittaa yhteistä taloudellista toimintaa, jäsenet noudattavat sääntöjä, erityisesti toimittamalla valvontaviranomaisen käyttöön j alakohdassa tarkoitettujen toimenpiteiden varmistamisen tulokset;
|
|
m)
|
mekanismit, joilla ilmoitetaan toimivaltaiselle valvontaviranomaiselle kolmannessa maassa konsernin tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän jäseneen mahdollisesta sovellettavista oikeudellisista vaatimuksista, jotka todennäköisesti merkittävästi haittaavat yritystä koskeviin sitoviin sääntöihin sisältyviä takeita; ja
|
|
n)
|
asianmukainen tietosuojakoulutus henkilöstölle, jolla on pysyvä tai säännöllinen pääsy henkilötietoihin.
|
3. Komissio voi vahvistaa muodon ja menettelyt sitä tietojenvaihtoa varten, jota käydään rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välillä tässä artiklassa tarkoitetuista yritystä koskevista sitovista säännöistä. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
- yritystä 8
- toimintaa 7
- taloudellista 7
- yhteistä 7
- yritysryhmän 6
- henkilötietojen 6
- sekä 6
- joka 5
- säännöt 5
- koskevat 5
- jotka 4
- mukaan 4
- käsittelyn 4
- artiklan 4
- oikeus 4
- sääntöjen 4
- harjoittaa 4
- että 4
- konsernin 4
- koskevien 3
- artiklassa 3
- sitovien 3
- mukaisesti 3
- konsernissa 3
- valvontaviranomaiselle 3
- mekanismit 3
- valvontaviranomaisen 3
- erityisesti 3
- varten 3
- sitovat 3
- kohdassa 3
- lukien 3
|
