Hoe u naleving van AVG kunt aantonen Artikel 47

Bindende bedrijfsregels

Boek een demo

mannen,hand,typen,op,computer,toetsenbord,terwijl,werken,vanuit,thuis

Als een ontvangend land geen betekenisvolle wetgeving inzake gegevensbescherming heeft (zie artikel 45), GDPR Artikel 47 maakt het voor organisaties mogelijk om te adopteren bindende bedrijfsregels, die fungeren als een passende beveiliging voor gegevens die moeten worden overgedragen.

AVG Artikel 47 Wettelijke tekst

EU AVG-versie

Bindende bedrijfsregels

  1. De bevoegde toezichthoudende autoriteit keurt bindende bedrijfsregels goed in overeenstemming met het consistentiemechanisme van artikel 63, op voorwaarde dat deze:

    • (a) zijn juridisch bindend en van toepassing op en worden afgedwongen door elk betrokken lid van de groep van ondernemingen of een groep van ondernemingen die een gezamenlijke economische activiteit uitoefenen, met inbegrip van hun werknemers;

    • (b) uitdrukkelijk afdwingbare rechten toekennen aan betrokkenen met betrekking tot de verwerking van hun persoonsgegevens; En

    • c) voldoen aan de vereisten van lid 2.

  2. De in lid 1 bedoelde bindende bedrijfsregels specificeren ten minste:

    • a) de structuur en contactgegevens van de groep ondernemingen, of de groep ondernemingen die een gezamenlijke economische activiteit uitoefenen, en van elk van haar leden;

    • b) de gegevensoverdrachten of het geheel van overdrachten, met inbegrip van de categorieën persoonsgegevens, het soort verwerking en de doeleinden ervan, het type betrokkenen en de identificatie van het derde land of de derde landen in kwestie;

    • c) hun juridisch bindende karakter, zowel intern als extern;

    • d) de toepassing van de algemene beginselen van gegevensbescherming, met name doelbinding, gegevensminimalisatie, beperkte opslagperioden, gegevenskwaliteit, gegevensbescherming door ontwerp en door standaardinstellingen, rechtsgrondslag voor verwerking, verwerking van bijzondere categorieën persoonsgegevens, maatregelen om het waarborgen van gegevensbeveiliging en de vereisten met betrekking tot verdere overdracht aan instanties die niet gebonden zijn aan de bindende bedrijfsregels;

    • e) de rechten van betrokkenen met betrekking tot de verwerking en de middelen om deze rechten uit te oefenen, met inbegrip van het recht om niet te worden onderworpen aan besluiten die uitsluitend op geautomatiseerde verwerking zijn gebaseerd, met inbegrip van profilering in overeenstemming met artikel 22, het recht om een ​​klacht in te dienen bij de bevoegde toezichthoudende autoriteit en voor de bevoegde rechtbanken van de lidstaten in overeenstemming met artikel 79, en om verhaal en, in voorkomend geval, compensatie te verkrijgen voor een schending van de bindende bedrijfsregels;

    • f) de aanvaarding door de op het grondgebied van een lidstaat gevestigde verwerkingsverantwoordelijke of verwerker van aansprakelijkheid voor eventuele inbreuken op de bindende bedrijfsregels door een betrokken lid dat niet in de Unie is gevestigd; de verwerkingsverantwoordelijke of de verwerker wordt alleen geheel of gedeeltelijk van deze aansprakelijkheid vrijgesteld als hij bewijst dat dat lid niet verantwoordelijk is voor de gebeurtenis die de schade veroorzaakt;

    • g) hoe de informatie over de bindende bedrijfsregels, met name over de bepalingen bedoeld in de punten d), e) en f) van dit lid, wordt verstrekt aan de betrokkenen in aanvulling op de artikelen 13 en 14;

    • h) de taken van elke overeenkomstig artikel 37 aangewezen functionaris voor gegevensbescherming of van elke andere persoon of entiteit die belast is met het toezicht op de naleving van de bindende bedrijfsregels binnen de groep van ondernemingen of een groep van ondernemingen die een gezamenlijke economische activiteit uitoefenen, evenals het monitoren van trainingen en klachtenafhandeling;

    • i) de klachtenprocedures;

    • j) de mechanismen binnen de groep van ondernemingen, of de groep van ondernemingen die een gezamenlijke economische activiteit uitoefenen, om de verificatie van de naleving van de bindende bedrijfsregels te garanderen. Dergelijke mechanismen omvatten gegevensbeschermingsaudits en methoden om corrigerende maatregelen te garanderen om de rechten van de betrokkene te beschermen. De resultaten van een dergelijke verificatie moeten worden medegedeeld aan de onder h) bedoelde persoon of entiteit en aan het bestuur van de onderneming die zeggenschap uitoefent over een groep ondernemingen, of van de groep ondernemingen die een gezamenlijke economische activiteit uitoefenen, en moeten beschikbaar zijn op verzoek aan de bevoegde toezichthoudende autoriteit;

    • k) de mechanismen voor het melden en vastleggen van wijzigingen in de regels en het rapporteren van deze wijzigingen aan de toezichthoudende autoriteit;

    • l) het samenwerkingsmechanisme met de toezichthoudende autoriteit om de naleving te garanderen door elk lid van de groep van ondernemingen of een groep ondernemingen die een gezamenlijke economische activiteit uitoefenen, met name door de resultaten van verificaties van de genoemde maatregelen ter beschikking te stellen van de toezichthoudende autoriteit tot punt (j);

    • m) de mechanismen voor het rapporteren aan de bevoegde toezichthoudende autoriteit van eventuele wettelijke vereisten waaraan een lid van de groep van ondernemingen, of een groep van ondernemingen die een gezamenlijke economische activiteit uitoefenen, in een derde land onderworpen is en die waarschijnlijk een substantieel negatief effect zullen hebben over de garanties die de bindende bedrijfsregels bieden; En

    • n) de passende opleiding op het gebied van gegevensbescherming voor personeel dat permanente of regelmatige toegang heeft tot persoonsgegevens.

  3. De Commissie kan het formaat en de procedures specificeren voor de uitwisseling van informatie tussen verwerkingsverantwoordelijken, verwerkers en toezichthoudende autoriteiten voor bindende bedrijfsregels in de zin van dit artikel. Deze uitvoeringshandelingen worden vastgesteld volgens de onderzoeksprocedure van artikel 93, lid 2.

Britse AVG-versie

Bindende bedrijfsregels

  1. De commissaris keurt bindende bedrijfsregels goed, op voorwaarde dat deze:

    • (a) zijn juridisch bindend en van toepassing op en worden afgedwongen door elk betrokken lid van de groep van ondernemingen of een groep van ondernemingen die een gezamenlijke economische activiteit uitoefenen, met inbegrip van hun werknemers;
    • (b) uitdrukkelijk afdwingbare rechten toekennen aan betrokkenen met betrekking tot de verwerking van hun persoonsgegevens; En

    • c) voldoen aan de vereisten van lid 2.

  2. De in lid 1 bedoelde bindende bedrijfsregels specificeren ten minste:

    • a) de structuur en contactgegevens van de groep ondernemingen, of de groep ondernemingen die een gezamenlijke economische activiteit uitoefenen, en van elk van haar leden;

    • b) de gegevensoverdrachten of het geheel van overdrachten, met inbegrip van de categorieën persoonsgegevens, het soort verwerking en de doeleinden ervan, het type betrokkenen en de identificatie van het derde land of de derde landen in kwestie;

    • c) hun juridisch bindende karakter, zowel intern als extern;

    • d) de toepassing van de algemene beginselen van gegevensbescherming, met name doelbinding, gegevensminimalisatie, beperkte opslagperioden, gegevenskwaliteit, gegevensbescherming door ontwerp en door standaardinstellingen, rechtsgrondslag voor verwerking, verwerking van bijzondere categorieën persoonsgegevens, maatregelen om het waarborgen van gegevensbeveiliging en de vereisten met betrekking tot verdere overdracht aan instanties die niet gebonden zijn aan de bindende bedrijfsregels;

    • (e) de rechten van betrokkenen met betrekking tot de verwerking en de middelen om deze rechten uit te oefenen, met inbegrip van het recht om niet te worden onderworpen aan beslissingen die uitsluitend op geautomatiseerde verwerking zijn gebaseerd, met inbegrip van profilering in overeenstemming met artikel 22, de commissaris en voor een rechtbank in in overeenstemming met artikel 79 (zie sectie 180 van de wet van 2018), en om verhaal en, indien van toepassing, compensatie te verkrijgen voor een schending van de bindende bedrijfsregels;

    • f) de aanvaarding door de in het Verenigd Koninkrijk gevestigde verwerkingsverantwoordelijke of verwerker van aansprakelijkheid voor eventuele inbreuken op de bindende bedrijfsregels door een betrokken lid dat niet in het Verenigd Koninkrijk is gevestigd; de verwerkingsverantwoordelijke of de verwerker wordt alleen geheel of gedeeltelijk van deze aansprakelijkheid vrijgesteld als hij bewijst dat dat lid niet verantwoordelijk is voor de gebeurtenis die de schade veroorzaakt;

    • g) hoe de informatie over de bindende bedrijfsregels, met name over de bepalingen bedoeld in de punten d), e) en f) van dit lid, wordt verstrekt aan de betrokkenen in aanvulling op de artikelen 13 en 14;

    • h) de taken van elke overeenkomstig artikel 37 aangewezen functionaris voor gegevensbescherming of van elke andere persoon of entiteit die belast is met het toezicht op de naleving van de bindende bedrijfsregels binnen de groep van ondernemingen of een groep van ondernemingen die een gezamenlijke economische activiteit uitoefenen, evenals het monitoren van trainingen en klachtenafhandeling;

    • i) de klachtenprocedures;

    • j) de mechanismen binnen de groep van ondernemingen, of de groep van ondernemingen die een gezamenlijke economische activiteit uitoefenen, om de verificatie van de naleving van de bindende bedrijfsregels te garanderen. Dergelijke mechanismen omvatten gegevensbeschermingsaudits en methoden om corrigerende maatregelen te garanderen om de rechten van de betrokkene te beschermen. De resultaten van een dergelijke verificatie moeten worden medegedeeld aan de onder h) bedoelde persoon of entiteit en aan het bestuur van de onderneming die zeggenschap uitoefent over een groep ondernemingen, of van de groep ondernemingen die een gezamenlijke economische activiteit uitoefenen, en moeten beschikbaar zijn op verzoek aan de commissaris;

    • k) de mechanismen voor het melden en vastleggen van wijzigingen in de regels en het rapporteren van deze wijzigingen aan de commissaris;

    • l) het samenwerkingsmechanisme met de toezichthoudende autoriteit om de naleving te garanderen door elk lid van de groep van ondernemingen, of een groep van ondernemingen die zich bezighouden met een gezamenlijke economische activiteit, met name door de resultaten van de verificaties van de genoemde maatregelen ter beschikking te stellen van de commissaris in punt (j);

    • (m) de mechanismen voor het rapporteren aan de commissaris van eventuele wettelijke vereisten waaraan een lid van de groep van ondernemingen of een groep van ondernemingen die een gezamenlijke economische activiteit uitoefenen in een derde land onderworpen is en die waarschijnlijk een substantieel negatief effect zullen hebben op de garanties geboden door de bindende bedrijfsregels; En

    • n) de passende opleiding op het gebied van gegevensbescherming voor personeel dat permanente of regelmatige toegang heeft tot persoonsgegevens.
Ga naar onderwerp
Eenvoudig. Zeker. Duurzaam.

Zie ons platform in actie met een praktijkgerichte sessie op maat, gebaseerd op uw behoeften en doelen.

Boek uw demo
img

Technisch commentaar

Bindende bedrijfsregels moeten:

  • Wees juridisch afdwingbaar.

  • Zorg voor een duidelijke set instructies voor alle betrokken partijen, medewerkers en partners.

  • Verleen betrokkenen tastbare rechten.

  • Een minimale hoeveelheid technische, contractuele en juridische informatie bevatten (ook wel 'minimale inhoud' genoemd).

  • Een goedkeuringsprocedure ondergaan, die de overeenkomst bekrachtigt in de ogen van de relevante gegevensbeschermingsautoriteit.

ISO 27701 Clausule 7.5.1 (Identificeer de basis voor PII-overdracht tussen rechtsgebieden) en EU AVG Artikel 47

In deze sectie praten we over AVG Artikelen 47 (1)(a), 47 (1)(b), 47 (1)(c), 47 (2)(a), 47 (2)(b), 47 ( 2)(c), 47 (2)(d), 47 (2)(e), 47 (2)(f), 47 (2)(g), 47 (2)(h), 47 (2) (i), 47 (2)(j), 47 (2)(k), 47 (2)(l), 47 (2)(m), 47 (2)(n) en 47 (3)

Van tijd tot tijd kan de noodzaak ontstaan ​​om PII tussen twee verschillende rechtsgebieden over te dragen. Wanneer dit gebeurt, moeten organisaties de noodzaak daartoe rechtvaardigen en documenteren.

Regionale regelgevende en wettelijke regels variëren afhankelijk van waar de gegevens vandaan komen en waar deze naartoe worden overgedragen.

Organisaties moeten rekening houden met alle relevante wetten, kaders en regelgeving wanneer zij gegevens tussen rechtsgebieden moeten overdragen, inclusief het gebruik van een aangewezen toezichthoudende autoriteit.

Index van gekoppelde EU AVG-artikelen en ISO 27701-clausules

AVG-artikelISO 27701-clausuleISO 27701 Ondersteunende clausules
EU AVG Artikelen 47 (1)(a) tot 47 (3)ISO 27701 7.5.1Geen

Hoe ISMS.online helpt

Met ISMS.online kunt u gemakkelijk direct aan de slag naar AVG-compliance en eenvoudig een beschermingsniveau aantonen dat verder gaat dan 'redelijk', en dat allemaal op één veilige, altijd beschikbare locatie waartoe u overal toegang hebt.

Als u op enig moment in uw reis naar de AVG, om welke reden dan ook, een gebrek aan vertrouwen, vermogen of motivatie voelt om actie te ondernemen, kunnen we ons team van interne experts voor u beschikbaar stellen of een van onze vertrouwde partners aanbevelen om u te helpen u bij het bereiken van uw doelen.

Meer informatie via een demo inplannen.

Het helpt ons gedrag op een positieve manier te sturen die voor ons werkt
& onze cultuur.

Emmie Cooney
Operations Manager, Amigo

Boek uw demo

Vertrouwd door bedrijven overal ter wereld
  • Eenvoudig en makkelijk te gebruiken
  • Ontworpen voor ISO 27001-succes
  • Bespaart u tijd en geld
Boek uw demo
img

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie