|
Článek 47 EU obecné nařízení o ochraně osobních údajů "Závazná podniková pravidla"
=> důvod: 110 => administrative fine: Art. 83 (5) lit c |
|
1. Příslušný dozorový úřad schvaluje v souladu s mechanismem jednotnosti stanoveným v Článek 63 závazná podniková pravidla za předpokladu, že:
|
|
| a) jsou právně závazná a platná pro všechny a prosazovaná všemi dotčenými členy skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost, včetně jejich zaměstnanců;
|
|
|
| b) subjektům údajů výslovně přiznávají vymahatelná práva v souvislosti se zpracováním jejich osobních údajů; a
|
|
|
| c) splňují požadavky stanovené v odstavci 2.
|
|
|
NEW: The practical guide PrivazyPlan® explains all dataprotection obligations and helps you to be compliant. Click here! |
2. Závazná podniková pravidla uvedená v odstavci 1 vymezují přinejmenším:
|
|
| a) strukturu a kontaktní údaje skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost a každého z jejích členů;
|
|
|
| b) předání údajů nebo soubor předání, včetně kategorií osobních údajů, typu zpracování a jeho účelů, typu dotčených subjektů údajů a určení dané třetí země nebo daných třetích zemí;
|
|
|
| c) svoji právně závaznou povahu, a to interně i externě;
|
|
|
| d) použití obecných zásad pro ochranu údajů, zejména účelové omezení, minimalizaci údajů, omezenou dobu uložení, kvalitu údajů, záměrná a standardní ochranu osobních údajů, právní základ pro zpracování, zpracování zvláštních kategorií osobních údajů; opatření k zajištění zabezpečení údajů a požadavky ohledně dalšího předávání subjektům, které podnikovými pravidly nejsou vázány;
|
|
|
| e) práva subjektů údajů v souvislosti se zpracováním jejich osobních údajů a prostředky jejich výkonu, včetně práva nebýt předmětem rozhodnutí založených výhradně na automatizovaném zpracování, včetně profilování v souladu s článkem 22, práva podat stížnost u příslušného dozorového úřadu a příslušných soudů členských států v souladu s článkem 79, právní ochrany a případně i práva na odškodnění v případě porušení závazných podnikových pravidel;
|
|
|
| f) přijetí odpovědnosti správcem nebo zpracovatelem usazeným na území některého členského státu za jakékoli porušení závazných podnikových pravidel kterýmkoli dotčeným členem neusazeným v Unii; správce nebo zpracovatel se může této odpovědnosti zcela nebo zčásti zprostit, pouze pokud prokáže, že za okolnost, jež vedla ke vzniku škody, není daný člen odpovědný;
|
|
|
| g) způsob poskytování informací o závazných podnikových pravidlech, zejména o ustanoveních uvedených v písmenech d), e) a f) tohoto odstavce, subjektům údajů, vedle informací uvedených v článcích 13 a 14;
|
|
|
| h) úkoly všech pověřenců pro ochranu osobních údajů jmenovaných v souladu s článkem 37, nebo jakékoli jiné osoby či subjektu pověřeného monitorováním souladu se závaznými podnikovými pravidly v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost a sledování školení a vyřizování stížností;
|
|
|
| i) postupy pro vyřizování stížností;
|
|
|
| j) mechanismy, které mají v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost zajistit ověřování souladu se závaznými podnikovými pravidly. Tyto mechanismy zahrnují audity ochrany údajů a metody zajištění opravných opatření pro ochranu práv subjektu údajů. Výsledky takového ověření by měly být oznámeny osobě nebo subjektu uvedenému v písmenu h) a radě řídícího podniku skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost a na požádání by měly být zpřístupněny příslušnému dozorovému úřadu;
|
|
|
| k) mechanismy pro podávání zpráv a pro zaznamenávání změn pravidel a hlášení těchto změn dozorovému úřadu;
|
|
|
| l) mechanismus spolupráce s dozorovým úřadem, který zajistí dodržování pravidel každým členem skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost, zejména zpřístupňování výsledků ověřování opatření uvedených v písmenu j) dozorovému úřadu;
|
|
|
| m) mechanismy pro podávání zpráv příslušnému dozorovému úřadu o právních požadavcích, kterým je člen skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost podřízen ve třetí zemi a které mohou mít podstatný negativní účinek na záruky poskytované závaznými podnikovými pravidly; a
|
|
|
| n) vhodnou odbornou přípravu v oblasti ochrany údajů pro pracovníky, kteří mají k osobním údajům trvalý nebo pravidelný přístup.
|
|
|
3. Komise může u závazných podnikových pravidel ve smyslu tohoto článku určit formát a postupy pro výměnu informací mezi správci, zpracovateli a dozorovými úřady. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 93 odst. 2.
|