Als een ontvangend land geen betekenisvolle wetgeving inzake gegevensbescherming heeft (zie artikel 45), GDPR Artikel 47 maakt het voor organisaties mogelijk om te adopteren bindende bedrijfsregels, die fungeren als een passende beveiliging voor gegevens die moeten worden overgedragen.
Bindende bedrijfsregels
- De bevoegde toezichthoudende autoriteit keurt bindende bedrijfsregels goed in overeenstemming met het consistentiemechanisme van artikel 63, op voorwaarde dat deze:
- (a) zijn juridisch bindend en van toepassing op en worden afgedwongen door elk betrokken lid van de groep van ondernemingen of een groep van ondernemingen die een gezamenlijke economische activiteit uitoefenen, met inbegrip van hun werknemers;
- (b) uitdrukkelijk afdwingbare rechten toekennen aan betrokkenen met betrekking tot de verwerking van hun persoonsgegevens; En
- c) voldoen aan de vereisten van lid 2.
- De in lid 1 bedoelde bindende bedrijfsregels specificeren ten minste:
- a) de structuur en contactgegevens van de groep ondernemingen, of de groep ondernemingen die een gezamenlijke economische activiteit uitoefenen, en van elk van haar leden;
- b) de gegevensoverdrachten of het geheel van overdrachten, met inbegrip van de categorieën persoonsgegevens, het soort verwerking en de doeleinden ervan, het type betrokkenen en de identificatie van het derde land of de derde landen in kwestie;
- c) hun juridisch bindende karakter, zowel intern als extern;
- d) de toepassing van de algemene beginselen van gegevensbescherming, met name doelbinding, gegevensminimalisatie, beperkte opslagperioden, gegevenskwaliteit, gegevensbescherming door ontwerp en door standaardinstellingen, rechtsgrondslag voor verwerking, verwerking van bijzondere categorieën persoonsgegevens, maatregelen om het waarborgen van gegevensbeveiliging en de vereisten met betrekking tot verdere overdracht aan instanties die niet gebonden zijn aan de bindende bedrijfsregels;
- e) de rechten van betrokkenen met betrekking tot de verwerking en de middelen om deze rechten uit te oefenen, met inbegrip van het recht om niet te worden onderworpen aan besluiten die uitsluitend op geautomatiseerde verwerking zijn gebaseerd, met inbegrip van profilering in overeenstemming met artikel 22, het recht om een klacht in te dienen bij de bevoegde toezichthoudende autoriteit en voor de bevoegde rechtbanken van de lidstaten in overeenstemming met artikel 79, en om verhaal en, in voorkomend geval, compensatie te verkrijgen voor een schending van de bindende bedrijfsregels;
- f) de aanvaarding door de op het grondgebied van een lidstaat gevestigde verwerkingsverantwoordelijke of verwerker van aansprakelijkheid voor eventuele inbreuken op de bindende bedrijfsregels door een betrokken lid dat niet in de Unie is gevestigd; de verwerkingsverantwoordelijke of de verwerker wordt alleen geheel of gedeeltelijk van deze aansprakelijkheid vrijgesteld als hij bewijst dat dat lid niet verantwoordelijk is voor de gebeurtenis die de schade veroorzaakt;
- g) hoe de informatie over de bindende bedrijfsregels, met name over de bepalingen bedoeld in de punten d), e) en f) van dit lid, wordt verstrekt aan de betrokkenen in aanvulling op de artikelen 13 en 14;
- h) de taken van elke overeenkomstig artikel 37 aangewezen functionaris voor gegevensbescherming of van elke andere persoon of entiteit die belast is met het toezicht op de naleving van de bindende bedrijfsregels binnen de groep van ondernemingen of een groep van ondernemingen die een gezamenlijke economische activiteit uitoefenen, evenals het monitoren van trainingen en klachtenafhandeling;
- i) de klachtenprocedures;
- j) de mechanismen binnen de groep van ondernemingen, of de groep van ondernemingen die een gezamenlijke economische activiteit uitoefenen, om de verificatie van de naleving van de bindende bedrijfsregels te garanderen. Dergelijke mechanismen omvatten gegevensbeschermingsaudits en methoden om corrigerende maatregelen te garanderen om de rechten van de betrokkene te beschermen. De resultaten van een dergelijke verificatie moeten worden medegedeeld aan de onder h) bedoelde persoon of entiteit en aan het bestuur van de onderneming die zeggenschap uitoefent over een groep ondernemingen, of van de groep ondernemingen die een gezamenlijke economische activiteit uitoefenen, en moeten beschikbaar zijn op verzoek aan de bevoegde toezichthoudende autoriteit;
- k) de mechanismen voor het melden en vastleggen van wijzigingen in de regels en het rapporteren van deze wijzigingen aan de toezichthoudende autoriteit;
- l) het samenwerkingsmechanisme met de toezichthoudende autoriteit om de naleving te garanderen door elk lid van de groep van ondernemingen of een groep ondernemingen die een gezamenlijke economische activiteit uitoefenen, met name door de resultaten van verificaties van de genoemde maatregelen ter beschikking te stellen van de toezichthoudende autoriteit tot punt (j);
- m) de mechanismen voor het rapporteren aan de bevoegde toezichthoudende autoriteit van eventuele wettelijke vereisten waaraan een lid van de groep van ondernemingen, of een groep van ondernemingen die een gezamenlijke economische activiteit uitoefenen, in een derde land onderworpen is en die waarschijnlijk een substantieel negatief effect zullen hebben over de garanties die de bindende bedrijfsregels bieden; En
- n) de passende opleiding op het gebied van gegevensbescherming voor personeel dat permanente of regelmatige toegang heeft tot persoonsgegevens.
- De Commissie kan het formaat en de procedures specificeren voor de uitwisseling van informatie tussen verwerkingsverantwoordelijken, verwerkers en toezichthoudende autoriteiten voor bindende bedrijfsregels in de zin van dit artikel. Deze uitvoeringshandelingen worden vastgesteld volgens de onderzoeksprocedure van artikel 93, lid 2.
Bindende bedrijfsregels
- De commissaris keurt bindende bedrijfsregels goed, op voorwaarde dat deze:
- (a) zijn juridisch bindend en van toepassing op en worden afgedwongen door elk betrokken lid van de groep van ondernemingen of een groep van ondernemingen die een gezamenlijke economische activiteit uitoefenen, met inbegrip van hun werknemers;
- (b) uitdrukkelijk afdwingbare rechten toekennen aan betrokkenen met betrekking tot de verwerking van hun persoonsgegevens; En
- c) voldoen aan de vereisten van lid 2.
- De in lid 1 bedoelde bindende bedrijfsregels specificeren ten minste:
- a) de structuur en contactgegevens van de groep ondernemingen, of de groep ondernemingen die een gezamenlijke economische activiteit uitoefenen, en van elk van haar leden;
- b) de gegevensoverdrachten of het geheel van overdrachten, met inbegrip van de categorieën persoonsgegevens, het soort verwerking en de doeleinden ervan, het type betrokkenen en de identificatie van het derde land of de derde landen in kwestie;
- c) hun juridisch bindende karakter, zowel intern als extern;
- d) de toepassing van de algemene beginselen van gegevensbescherming, met name doelbinding, gegevensminimalisatie, beperkte opslagperioden, gegevenskwaliteit, gegevensbescherming door ontwerp en door standaardinstellingen, rechtsgrondslag voor verwerking, verwerking van bijzondere categorieën persoonsgegevens, maatregelen om het waarborgen van gegevensbeveiliging en de vereisten met betrekking tot verdere overdracht aan instanties die niet gebonden zijn aan de bindende bedrijfsregels;
- (e) de rechten van betrokkenen met betrekking tot de verwerking en de middelen om deze rechten uit te oefenen, met inbegrip van het recht om niet te worden onderworpen aan beslissingen die uitsluitend op geautomatiseerde verwerking zijn gebaseerd, met inbegrip van profilering in overeenstemming met artikel 22, de commissaris en voor een rechtbank in in overeenstemming met artikel 79 (zie sectie 180 van de wet van 2018), en om verhaal en, indien van toepassing, compensatie te verkrijgen voor een schending van de bindende bedrijfsregels;
- f) de aanvaarding door de in het Verenigd Koninkrijk gevestigde verwerkingsverantwoordelijke of verwerker van aansprakelijkheid voor eventuele inbreuken op de bindende bedrijfsregels door een betrokken lid dat niet in het Verenigd Koninkrijk is gevestigd; de verwerkingsverantwoordelijke of de verwerker wordt alleen geheel of gedeeltelijk van deze aansprakelijkheid vrijgesteld als hij bewijst dat dat lid niet verantwoordelijk is voor de gebeurtenis die de schade veroorzaakt;
- g) hoe de informatie over de bindende bedrijfsregels, met name over de bepalingen bedoeld in de punten d), e) en f) van dit lid, wordt verstrekt aan de betrokkenen in aanvulling op de artikelen 13 en 14;
- h) de taken van elke overeenkomstig artikel 37 aangewezen functionaris voor gegevensbescherming of van elke andere persoon of entiteit die belast is met het toezicht op de naleving van de bindende bedrijfsregels binnen de groep van ondernemingen of een groep van ondernemingen die een gezamenlijke economische activiteit uitoefenen, evenals het monitoren van trainingen en klachtenafhandeling;
- i) de klachtenprocedures;
- j) de mechanismen binnen de groep van ondernemingen, of de groep van ondernemingen die een gezamenlijke economische activiteit uitoefenen, om de verificatie van de naleving van de bindende bedrijfsregels te garanderen. Dergelijke mechanismen omvatten gegevensbeschermingsaudits en methoden om corrigerende maatregelen te garanderen om de rechten van de betrokkene te beschermen. De resultaten van een dergelijke verificatie moeten worden medegedeeld aan de onder h) bedoelde persoon of entiteit en aan het bestuur van de onderneming die zeggenschap uitoefent over een groep ondernemingen, of van de groep ondernemingen die een gezamenlijke economische activiteit uitoefenen, en moeten beschikbaar zijn op verzoek aan de commissaris;
- k) de mechanismen voor het melden en vastleggen van wijzigingen in de regels en het rapporteren van deze wijzigingen aan de commissaris;
- l) het samenwerkingsmechanisme met de toezichthoudende autoriteit om de naleving te garanderen door elk lid van de groep van ondernemingen, of een groep van ondernemingen die zich bezighouden met een gezamenlijke economische activiteit, met name door de resultaten van de verificaties van de genoemde maatregelen ter beschikking te stellen van de commissaris in punt (j);
- (m) de mechanismen voor het rapporteren aan de commissaris van eventuele wettelijke vereisten waaraan een lid van de groep van ondernemingen of een groep van ondernemingen die een gezamenlijke economische activiteit uitoefenen in een derde land onderworpen is en die waarschijnlijk een substantieel negatief effect zullen hebben op de garanties geboden door de bindende bedrijfsregels; En
- n) de passende opleiding op het gebied van gegevensbescherming voor personeel dat permanente of regelmatige toegang heeft tot persoonsgegevens.
Bindende bedrijfsregels moeten:
In deze sectie praten we over AVG Artikelen 47 (1)(a), 47 (1)(b), 47 (1)(c), 47 (2)(a), 47 (2)(b), 47 ( 2)(c), 47 (2)(d), 47 (2)(e), 47 (2)(f), 47 (2)(g), 47 (2)(h), 47 (2) (i), 47 (2)(j), 47 (2)(k), 47 (2)(l), 47 (2)(m), 47 (2)(n) en 47 (3)
Van tijd tot tijd kan de noodzaak ontstaan om PII tussen twee verschillende rechtsgebieden over te dragen. Wanneer dit gebeurt, moeten organisaties de noodzaak daartoe rechtvaardigen en documenteren.
Regionale regelgevende en wettelijke regels variëren afhankelijk van waar de gegevens vandaan komen en waar deze naartoe worden overgedragen.
Organisaties moeten rekening houden met alle relevante wetten, kaders en regelgeving wanneer zij gegevens tussen rechtsgebieden moeten overdragen, inclusief het gebruik van een aangewezen toezichthoudende autoriteit.
AVG-artikel | ISO 27701-clausule | ISO 27701 Ondersteunende clausules |
---|---|---|
EU AVG Artikelen 47 (1)(a) tot 47 (3) | ISO 27701 7.5.1 | Geen |
Met ISMS.online kunt u gemakkelijk direct aan de slag naar AVG-compliance en eenvoudig een beschermingsniveau aantonen dat verder gaat dan 'redelijk', en dat allemaal op één veilige, altijd beschikbare locatie waartoe u overal toegang hebt.
Als u op enig moment in uw reis naar de AVG, om welke reden dan ook, een gebrek aan vertrouwen, vermogen of motivatie voelt om actie te ondernemen, kunnen we ons team van interne experts voor u beschikbaar stellen of een van onze vertrouwde partners aanbevelen om u te helpen u bij het bereiken van uw doelen.
Meer informatie via een demo inplannen.
Het helpt ons gedrag op een positieve manier te sturen die voor ons werkt
& onze cultuur.