interactive GDPR 2016/0679 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Article 13 Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
- 2 Article 14 Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée
- 3 Article 30 Registre des activités de traitement
- 1 Article 33 Notification à l'autorité de contrôle d'une violation de données à caractère personnel
- 1 Article 36 Consultation préalable
- 1 Article 37 Désignation du délégué à la protection des données
- 1 Article 47 Règles d'entreprise contraignantes
- données à caractère personnel
- traitement
- limitation du traitement
- profilage
- pseudonymisation
- fichier
- responsable du traitement
- sous-traitant
- destinataire
- tiers
- consentement
- violation de données à caractère personnel
- données génétiques
- données biométriques
- données concernant la santé
- établissement principal
- représentant
- entreprise
- groupe d'entreprises
- règles d'entreprise contraignantes
- autorité de contrôle
- autorité de contrôle concernée
- traitement transfrontalier
- objection pertinente et motivée
- service de la société de l'information
- organisation internationale
- traitement 101
- responsable 50
- données_à_caractère_personnel 47
- données 38
- pour 36
- dans 34
- article 31
- informations 28
- paragraphe 27
- protection 27
- personne 24
- autorité_de_contrôle 24
- échéant 21
- concernée 20
- droit 20
- délégué 18
- sous-traitant 17
- groupe 16
- catégories 16
- entreprises 16
- sont 16
- compris 15
- règles 14
- visées 14
- violation 14
- ainsi 13
- entreprise 13
- lorsque 13
- contraignantes 12
- mesures 12
- coordonnées 11
- être 11
- autre 11
- concernées 11
- tiers 11
- mesure 10
- article 10
- personnes 10
- existence 10
- transferts 9
- le 9
- représentant 9
- pays 9
- peut 9
- visés 8
- droits 8
- visée 8
- toutes 8
- possible 8
- auprès 8
Article 13
Informations à fournir lorsque des données_à_caractère_personnel sont collectées auprès de la personne concernée
1. Lorsque des données_à_caractère_personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes:
| a) | l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement |
| b) | le cas échéant, les coordonnées du délégué à la protection des données; |
| c) | les finalités du traitement auquel sont destinées les données_à_caractère_personnel ainsi que la base juridique du traitement; |
| d) | lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers; |
| e) | les destinataires ou les catégories de destinataires des données_à_caractère_personnel, s'ils existent; et |
| f) | le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données_à_caractère_personnel vers un pays tiers ou à une organisation_internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition; |
2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données_à_caractère_personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent:
| a) | la durée de conservation des données_à_caractère_personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée; |
| b) | l'existence du droit de demander au responsable du traitement l'accès aux données_à_caractère_personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données; |
| c) | lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci; |
| d) | le droit d'introduire une réclamation auprès d'une autorité_de_contrôle; |
| e) | des informations sur la question de savoir si l'exigence de fourniture de données_à_caractère_personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données_à_caractère_personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données; |
| f) | l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée. |
3. Lorsqu'il a l'intention d'effectuer un traitement ultérieur des données_à_caractère_personnel pour une finalité autre que celle pour laquelle les données_à_caractère_personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.
4. Les paragraphes 1, 2 et 3 ne s'appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations.
Article 14
Informations à fournir lorsque les données_à_caractère_personnel n'ont pas été collectées auprès de la personne concernée
1. Lorsque les données_à_caractère_personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes:
| a) | l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement; |
| b) | le cas échéant, les coordonnées du délégué à la protection des données; |
| c) | les finalités du traitement auquel sont destinées les données_à_caractère_personnel ainsi que la base juridique du traitement; |
| d) | les catégories de données_à_caractère_personnel concernées; |
| e) | le cas échéant, les destinataires ou les catégories de destinataires des données_à_caractère_personnel; |
| f) | le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données_à_caractère_personnel à un destinataire dans un pays tiers ou une organisation_internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition; |
2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l'égard de la personne concernée:
| a) | la durée pendant laquelle les données_à_caractère_personnel seront conservées ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée; |
| b) | lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers; |
| c) | l'existence du droit de demander au responsable du traitement l'accès aux données_à_caractère_personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s'opposer au traitement et du droit à la portabilité des données; |
| d) | lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci; |
| e) | le droit d'introduire une réclamation auprès d'une autorité_de_contrôle; |
| f) | la source d'où proviennent les données_à_caractère_personnel et, le cas échéant, une mention indiquant qu'elles sont issues ou non de sources accessibles au public; |
| g) | l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée. |
3. Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2:
| a) | dans un délai raisonnable après avoir obtenu les données_à_caractère_personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données_à_caractère_personnel sont traitées; |
| b) | si les données_à_caractère_personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne; ou |
| c) | s'il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données_à_caractère_personnel sont communiquées pour la première fois. |
4. Lorsqu'il a l'intention d'effectuer un traitement ultérieur des données_à_caractère_personnel pour une finalité autre que celle pour laquelle les données_à_caractère_personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.
5. Les paragraphes 1 à 4 ne s'appliquent pas lorsque et dans la mesure où:
| a) | la personne concernée dispose déjà de ces informations; |
| b) | la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l'article 89, paragraphe 1, ou dans la mesure où l'obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles; |
| c) | l'obtention ou la communication des informations sont expressément prévues par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée; ou |
| d) | les données_à_caractère_personnel doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée par le droit de l'Union ou le droit des États membre, y compris une obligation légale de secret professionnel. |
Article 30
Registre des activités de traitement
1. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:
| a) | le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données; |
| b) | les finalités du traitement; |
| c) | une description des catégories de personnes concernées et des catégories de données_à_caractère_personnel; |
| d) | les catégories de destinataires auxquels les données_à_caractère_personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales; |
| e) | le cas échéant, les transferts de données_à_caractère_personnel vers un pays tiers ou à une organisation_internationale, y compris l'identification de ce pays tiers ou de cette organisation_internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées; |
| f) | dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données; |
| g) | dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1. |
2. Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement, comprenant:
| a) | le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données; |
| b) | les catégories de traitements effectués pour le compte de chaque responsable du traitement; |
| c) | le cas échéant, les transferts de données_à_caractère_personnel vers un pays tiers ou à une organisation_internationale, y compris l'identification de ce pays tiers ou de cette organisation_internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées; |
| d) | dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1. |
3. Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique.
4. Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l' autorité_de_contrôle sur demande.
5. Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte notamment sur les catégories particulières de données visées à l'article 9, paragraphe 1, ou sur des données_à_caractère_personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.
Article 33
Notification à l' autorité_de_contrôle d'une violation de données_à_caractère_personnel
1. En cas de violation de données_à_caractère_personnel, le responsable du traitement en notifie la violation en question à l' autorité_de_contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l' autorité_de_contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
2. Le sous-traitant notifie au responsable du traitement toute violation de données_à_caractère_personnel dans les meilleurs délais après en avoir pris connaissance.
3. La notification visée au paragraphe 1 doit, à tout le moins:
| a) | décrire la nature de la violation de données_à_caractère_personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données_à_caractère_personnel concernés; |
| b) | communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues; |
| c) | décrire les conséquences probables de la violation de données_à_caractère_personnel; |
| d) | décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données_à_caractère_personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. |
4. Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.
5. Le responsable du traitement documente toute violation de données_à_caractère_personnel, en indiquant les faits concernant la violation des données_à_caractère_personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l' autorité_de_contrôle de vérifier le respect du présent article.
Article 36
Consultation préalable
1. Le responsable du traitement consulte l' autorité_de_contrôle préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données effectuée au titre de l'article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.
2. Lorsque l' autorité_de_contrôle est d'avis que le traitement envisagé visé au paragraphe 1, constituerait une violation du présent règlement, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, l' autorité_de_contrôle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage des pouvoirs visés à l'article 58. Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé. L' autorité_de_contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d'un mois à compter de la réception de la demande de consultation. Ces délais peuvent être suspendus jusqu'à ce que l' autorité_de_contrôle ait obtenu les informations qu'elle a demandées pour les besoins de la consultation.
3. Lorsque le responsable du traitement consulte l' autorité_de_contrôle en application du paragraphe 1, il lui communique:
| a) | le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants participant au traitement, en particulier pour le traitement au sein d'un groupe d' entreprises; |
| b) | les finalités et les moyens du traitement envisagé; |
| c) | les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées en vertu du présent règlement; |
| d) | le cas échéant, les coordonnées du délégué à la protection des données; |
| e) | l'analyse d'impact relative à la protection des données prévue à l'article 35; et |
| f) | toute autre information que l' autorité_de_contrôle demande. |
4. Les États membres consultent l' autorité_de_contrôle dans le cadre de l'élaboration d'une proposition de mesure législative devant être adoptée par un parlement national, ou d'une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement.
5. Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent l' autorité_de_contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable du traitement dans le cadre d'une mission d'intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique.
Article 37
Désignation du délégué à la protection des données
1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:
| a) | le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle; |
| b) | les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou |
| c) | les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données_à_caractère_personnel relatives à des condamnations pénales et à des infractions visées à l'article 10. |
2. Un groupe d' entreprises peut désigner un seul délégué à la protection des données à condition qu'un délégué à la protection des données soit facilement joignable à partir de chaque lieu d'établissement.
3. Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille.
4. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner ou, si le droit de l'Union ou le droit d'un État membre l'exige, sont tenus de désigner un délégué à la protection des données. Le délégué à la protection des données peut agir pour ces associations et autres organismes représentant des responsables du traitement ou des sous-traitants.
5. Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l'article 39.
6. Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d'un contrat de service.
7. Le responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l' autorité_de_contrôle.
Article 47
Règles d' entreprise contraignantes
1. L' autorité_de_contrôle compétente approuve des règles d' entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 63, à condition que:
| a) | ces règles soient juridiquement contraignantes, et soient mises en application par toutes les entités concernées du groupe d' entreprises ou du groupe d' entreprises engagées dans une activité économique conjointe, y compris leurs employés; |
| b) | elles confèrent expressément aux personnes concernées des droits opposables en ce qui concerne le traitement de leurs données_à_caractère_personnel; et |
| c) | elles répondent aux exigences prévues au paragraphe 2. |
2. Les règles d' entreprise contraignantes visées au paragraphe 1 précisent au moins:
| a) | la structure et les coordonnées du groupe d' entreprises ou du groupe d' entreprises engagées dans une activité économique conjointe et de chacune de leurs entités; |
| b) | les transferts ou l'ensemble des transferts de données, y compris les catégories de données_à_caractère_personnel, le type de traitement et ses finalités, le type de personnes concernées affectées et le nom du ou des pays tiers en question; |
| c) | leur nature juridiquement contraignante, tant interne qu'externe; |
| d) | l'application des principes généraux relatifs à la protection des données, notamment la limitation de la finalité, la minimisation des données, la limitation des durées de conservation des données, la qualité des données, la protection des données dès la conception et la protection des données par défaut, la base juridique du traitement, le traitement de catégories particulières de données_à_caractère_personnel, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les règles d' entreprise contraignantes; |
| e) | les droits des personnes concernées à l'égard du traitement et les moyens d'exercer ces droits y compris le droit de ne pas faire l'objet de décisions fondées exclusivement sur un traitement automatisé, y compris le profilage, conformément à l'article 22, le droit d'introduire une réclamation auprès de l' autorité_de_contrôle compétente et devant les juridictions compétentes des États membres conformément à l'article 79 et d'obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d' entreprise contraignantes; |
| f) | l'acceptation, par le responsable du traitement ou le sous-traitant établi sur le territoire d'un État membre, de l'engagement de sa responsabilité pour toute violation des règles d' entreprise contraignantes par toute entité concernée non établie dans l'Union; le responsable du traitement ou le sous-traitant ne peut être exonéré, en tout ou en partie, de cette responsabilité que s'il prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause; |
| g) | la manière dont les informations sur les règles d' entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f) du présent paragraphe sont fournies aux personnes concernées, en sus des informations visées aux articles 13 et 14; |
| h) | les missions de tout délégué à la protection des données, désigné conformément à l'article 37, ou de toute autre personne ou entité chargée de la surveillance du respect des règles d' entreprise contraignantes au sein du groupe d' entreprises, ou du groupe d' entreprises engagées dans une activité économique conjointe, ainsi que le suivi de la formation et le traitement des réclamations; |
| i) | les procédures de réclamation; |
| j) | les mécanismes mis en place au sein du groupe d' entreprises, ou du groupe d' entreprises engagées dans une activité économique conjointe pour garantir que le contrôle du respect des règles d' entreprise contraignantes. Ces mécanismes prévoient des audits sur la protection des données et des méthodes assurant que des mesures correctrices seront prises pour protéger les droits de la personne concernée. Les résultats de ce contrôle devraient être communiqués à la personne ou à l'entité visée au point h) et au conseil d'administration de l' entreprise qui exerce le contrôle du groupe d' entreprises, ou du groupe d' entreprises engagées dans une activité économique conjointe, et devraient être mis à la disposition de l' autorité_de_contrôle compétente sur demande; |
| k) | les mécanismes mis en place pour communiquer et consigner les modifications apportées aux règles et pour communiquer ces modifications à l' autorité_de_contrôle; |
| l) | le mécanisme de coopération avec l' autorité_de_contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d' entreprises, ou du groupe d' entreprises engagées dans une activité économique conjointe, notamment en mettant à la disposition de l' autorité_de_contrôle les résultats des contrôles des mesures visés au point j); |
| m) | les mécanismes permettant de communiquer à l' autorité_de_contrôle compétente toutes les obligations juridiques auxquelles une entité du groupe d' entreprises, ou du groupe d' entreprises engagées dans une activité économique conjointe, est soumise dans un pays tiers qui sont susceptibles d'avoir un effet négatif important sur les garanties fournies par les règles d' entreprise contraignantes; et |
| n) | la formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données_à_caractère_personnel. |
3. La Commission peut, pour les règles d' entreprise contraignantes au sens du présent article, préciser la forme de l'échange d'informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.
whereas
dal 2004 diritto e informatica