cikk 47
EU általános adatvédelmi rendelet
"Kötelező erejű vállalati szabályok"


=> alap: 110
=> administrative fine: Art. 83 (5) lit c
(1) Az illetékes felügyeleti hatóság a 3. cikk - Az egységességi mechanizmus">63. cikkben meghatározott, egységességi mechanizmusnak megfelelően jóváhagyja a kötelező erejű vállalati szabályokat, ha az:
a) a vállalkozáscsoport vagy a közös gazdasági tevékenységet folytató vállalkozások csoportja minden érintett tagjára, beleértve az alkalmazottakat is, jogilag kötelező erejű, alkalmazandó és általuk érvényesített;
b) kifejezetten rendelkezik az érintetteknek a személyes adataik kezelése tekintetében kikényszeríthető jogairól; és
c) megfelel a (2) bekezdés szerinti követelményeknek.

NEW: The practical guide PrivazyPlan® explains all dataprotection obligations and helps you to be compliant. Click here!



(2) Az (1) bekezdésben említett kötelező erejű vállalati szabályok tartalmazzák legalább:
a) a vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportja minden egyes tagjának szervezeti felépítését és az elérhetőségét;
b) az adattovábbításokat vagy a továbbítások sorozatát, beleértve a személyes adatok kategóriáit, az adatkezelés fajtáját és céljait, az érintettek fajtáit és a szóban forgó harmadik ország vagy országok azonosítását;
c) a vállalkozások adatvédelmi szabályzatának belső és külső tekintetben jogilag kötelező jellegét;
d) az általános adatvédelmi elvek alkalmazását, különösen a célhoz kötöttség, az adattakarékosság, a korlátozott tárolási időtartamok, az adatminőség, a beépített és alapértelmezett adatvédelem, az adatkezelés jogalapja, a személyes adatok különleges kategóriáinak kezelése, az adatbiztonságot garantáló intézkedések, valamint az olyan szervezeteknek történő újbóli továbbítás feltételeit, amelyekre nézve nem kötelezőek a kötelező erejű vállalati szabályok;
e) az érintettek személyes adataik kezelése tekintetében fennálló jogait és e jogok gyakorlásának módjait, beleértve a 2. cikk - Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást">22. cikk szerinti, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntések alóli mentesülés jogát, az érintett 9. cikk - Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog">79. cikkben meghatározott jogát, hogy az illetékes felügyeleti hatóságnál és a tagállamok illetékes bíróságainál panaszt nyújthat be, továbbá a jogorvoslathoz való jogát, valamint adott esetben a kötelező erejű vállalati szabályok megsértése esetén a kártérítéshez való jogát;
f) a valamely tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó felelősségének elismerését abban az esetben, ha a kötelező erejű vállalati szabályokat a csoportnak az Unióban tevékenységi hellyel nem rendelkező bármely érintett tagja megsérti; az adatkezelő vagy adatfeldolgozó részben vagy egészben csak akkor mentesül e felelőség alól, ha bizonyítja, hogy tagja nem felelős a kár előidézésében;
g) azt, hogy a 13. és a 4. cikk - Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg">14. cikkben említetten kívül miként biztosítják az érintetteknek a kötelező erejű vállalati szabályokra, különösen az e bekezdés d), e) és f) pontja szerinti rendelkezésekre vonatkozó információkat;
h) a 7. cikk - Az adatvédelmi tisztviselő kijelölése">37. cikk értelmében kijelölt adatvédelmi tisztviselők vagy a vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások csoportján belül a kötelező erejű vállalati szabályoknak való megfelelés, valamint a képzés és a panaszkezelés nyomon követéséért felelős személyek vagy szervezetek feladatait;
i) a panasztételi eljárásokat;
j) a kötelező erejű vállalati szabályoknak való megfelelés ellenőrzésének biztosítására szolgáló, a vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások csoportján belüli mechanizmusokat. E mechanizmusok tartalmazzák az adatvédelmi auditokat és az érintettek jogainak védelmét szolgáló korrekciós intézkedéseket biztosító mechanizmusokat. Az ilyen ellenőrzések eredményeit közölni kell a h) pontban említett személlyel vagy szervezettel, valamint a vállalkozáscsoportot vagy a közös gazdasági tevékenységet folytató vállalkozások csoportját ellenőrző vállalkozás felügyelőbizottságával, és kérésre az illetékes felügyeleti hatóság rendelkezésére kell bocsátani őket;
k) a kötelező erejű vállalati szabályok változásainak bejelentésére és rögzítésére, valamint e változásoknak a felügyeleti hatóság számára történő bejelentésére szolgáló mechanizmusokat;
l) a kötelező erejű vállalati szabályoknak a vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportjának tagjai általi betartásának biztosítása érdekében a felügyeleti hatósággal folytatott együttműködési mechanizmust, beleértve különösen azt, hogy a felügyeleti hatóság számára elérhetővé teszik az intézkedések e bekezdés j) pontja szerinti ellenőrzésének eredményeit;
m) arra vonatkozó mechanizmusokat, hogy hogyan kell jelenteni az illetékes felügyeleti hatóság számára a vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportjának tagjára valamely harmadik országban vonatkozó azon jogi előírásokat, amelyek valószínűsíthetően jelentős mértékben hátrányosan érintenék a kötelező erejű vállalati szabályokban előírt garanciákat; valamint
n) a személyes adatokba állandó jelleggel vagy rendszeresen betekintő személyzetnek nyújtandó megfelelő adatvédelmi képzést.
(3) A Bizottság meghatározhatja az e cikk szerinti, a kötelező erejű vállalati szabályokra vonatkozóan az adatkezelők, az adatfeldolgozók és a felügyeleti hatóságok között folytatott információcsere formátumát és eljárásait. Ezeket a végrehajtási jogi aktusokat a 3. cikk - Bizottsági eljárásrend">93. cikk (2) bekezdésében említett vizsgálóbizottsági eljárásnak megfelelően kell elfogadni.