Hur man visar efterlevnad av GDPR artikel 47

Om ett mottagarland saknar meningsfulla dataskyddslagar (se artikel 45), GDPR Artikel 47 tillåter organisationer att adoptera bindande företagsregler, som fungerar som ett lämpligt skydd mot all data som ska överföras.

GDPR Artikel 47 Lagtext

EU GDPR-version

Bindande företagsregler

1. Den behöriga tillsynsmyndigheten ska godkänna bindande företagsregler i enlighet med den konsekvensmekanism som anges i artikel 63, förutsatt att de:
• a) är rättsligt bindande och tillämpas på och tillämpas av varje berörd medlem av företagsgruppen eller företagsgrupp som bedriver en gemensam ekonomisk verksamhet, inklusive deras anställda.
• (b) uttryckligen ge de registrerade verkställbara rättigheter med avseende på behandlingen av deras personuppgifter; och
• c) uppfylla kraven i punkt 2.
2. De bindande företagsregler som avses i punkt 1 ska minst ange:
• a) Struktur och kontaktuppgifter för företagsgruppen eller företagsgruppen som bedriver en gemensam ekonomisk verksamhet och för var och en av dess medlemmar.
• b) Uppgiftsöverföringarna eller uppsättningen av överföringar, inklusive kategorierna av personuppgifter, typen av behandling och dess syften, typen av berörda registrerade och identifieringen av det eller de tredje länderna i fråga.
• (c) Deras rättsligt bindande karaktär, både internt och externt.
• d) Tillämpningen av de allmänna dataskyddsprinciperna, särskilt ändamålsbegränsning, dataminimering, begränsade lagringsperioder, datakvalitet, dataskydd genom design och som standard, rättslig grund för behandling, behandling av särskilda kategorier av personuppgifter, åtgärder för att säkerställa datasäkerheten och kraven på vidare överföringar till organ som inte är bundna av de bindande företagsreglerna;
• e) de registrerades rättigheter med avseende på behandling och sätten att utöva dessa rättigheter, inklusive rätten att inte bli föremål för beslut som enbart baseras på automatiserad behandling, inklusive profilering i enlighet med artikel 22, rätten att lämna in ett klagomål till den behöriga tillsynsmyndigheten och inför de behöriga domstolarna i medlemsstaterna i enlighet med artikel 79, och att få upprättelse och, i förekommande fall, kompensation för ett brott mot de bindande företagsreglerna.
• (f) Den registeransvarige eller registerföraren som är etablerad på en medlemsstats territorium accepterar ansvar för eventuella brott mot de bindande företagsreglerna av en berörd medlem som inte är etablerad i unionen. Den registeransvarige eller registerföraren ska vara befriad från detta ansvar, helt eller delvis, endast om det bevisar att den medlemmen inte är ansvarig för den händelse som gav upphov till skadan;
• g) Hur informationen om de bindande företagsreglerna, särskilt om de bestämmelser som avses i punkterna d, e och fi denna punkt, tillhandahålls de registrerade utöver artiklarna 13 och 14.
• h) uppgifterna för ett dataskyddsombud som utsetts i enlighet med artikel 37 eller någon annan person eller enhet som ansvarar för övervakningen av efterlevnaden av de bindande företagsreglerna inom företagsgruppen eller företagsgruppen som bedriver en gemensam ekonomisk verksamhet, samt övervakning av utbildning och hantering av klagomål;
• (i) Klagomålsförfarandena.
• j) Mekanismerna inom företagsgruppen eller företagsgruppen som bedriver en gemensam ekonomisk verksamhet för att säkerställa kontrollen av efterlevnaden av de bindande företagsreglerna. Sådana mekanismer ska innefatta dataskyddsrevisioner och metoder för att säkerställa korrigerande åtgärder för att skydda den registrerades rättigheter. Resultaten av en sådan kontroll bör meddelas den person eller enhet som avses i led h och till styrelsen för det kontrollerande företaget i en företagsgrupp eller den grupp av företag som bedriver en gemensam ekonomisk verksamhet, och bör vara tillgängliga på begäran till den behöriga tillsynsmyndigheten;
• k) Mekanismerna för att rapportera och registrera ändringar av reglerna och rapportera dessa ändringar till tillsynsmyndigheten.
• l) Samarbetsmekanismen med tillsynsmyndigheten för att säkerställa efterlevnaden av varje medlem av företagsgruppen eller företagsgrupp som deltar i en gemensam ekonomisk verksamhet, särskilt genom att tillhandahålla tillsynsmyndigheten resultaten av kontroller av de åtgärder som avses. till i punkt (j);
• m) Mekanismerna för att till den behöriga tillsynsmyndigheten rapportera alla rättsliga krav som en medlem av företagsgruppen eller företagsgruppen som bedriver en gemensam ekonomisk verksamhet omfattas av i ett tredjeland och som sannolikt kommer att ha en väsentlig negativ effekt om de garantier som tillhandahålls av de bindande företagsreglerna; och
• (n) Lämplig dataskyddsutbildning för personal som har permanent eller regelbunden tillgång till personuppgifter.
3. Kommissionen får specificera formatet och förfarandena för utbyte av information mellan registeransvariga, registerförare och tillsynsmyndigheter för bindande företagsregler i den mening som avses i denna artikel. Dessa genomförandeakter ska antas i enlighet med granskningsförfarandet i artikel 93.

Storbritanniens GDPR-version

Bindande företagsregler

1. Kommissionären ska godkänna bindande företagsregler, förutsatt att de:
• a) är rättsligt bindande och tillämpas på och tillämpas av varje berörd medlem av företagsgruppen eller företagsgrupp som bedriver en gemensam ekonomisk verksamhet, inklusive deras anställda.
• (b) uttryckligen ge de registrerade verkställbara rättigheter med avseende på behandlingen av deras personuppgifter; och
• c) uppfylla kraven i punkt 2.
2. De bindande företagsregler som avses i punkt 1 ska minst ange:
• a) Struktur och kontaktuppgifter för företagsgruppen eller företagsgruppen som bedriver en gemensam ekonomisk verksamhet och för var och en av dess medlemmar.
• b) Uppgiftsöverföringarna eller uppsättningen av överföringar, inklusive kategorierna av personuppgifter, typen av behandling och dess syften, typen av berörda registrerade och identifieringen av det eller de tredje länderna i fråga.
• (c) Deras rättsligt bindande karaktär, både internt och externt.
• d) Tillämpningen av de allmänna dataskyddsprinciperna, särskilt ändamålsbegränsning, dataminimering, begränsade lagringsperioder, datakvalitet, dataskydd genom design och som standard, rättslig grund för behandling, behandling av särskilda kategorier av personuppgifter, åtgärder för att säkerställa datasäkerheten och kraven på vidare överföringar till organ som inte är bundna av de bindande företagsreglerna;
• e) de registrerades rättigheter med avseende på behandling och sätten att utöva dessa rättigheter, inklusive rätten att inte bli föremål för beslut som enbart baseras på automatiserad behandling, inklusive profilering i enlighet med artikel 22, kommissionären och inför en domstol i i enlighet med artikel 79 (se avsnitt 180 i 2018 års lag), och att få upprättelse och, i förekommande fall, kompensation för ett brott mot de bindande företagsreglerna;
• (f) Den registeransvarige eller registerföraren som är etablerad i Förenade kungariket accepterar ansvar för eventuella brott mot de bindande företagsreglerna av en berörd medlem som inte är etablerad i Förenade kungariket; Den registeransvarige eller registerföraren ska vara befriad från detta ansvar, helt eller delvis, endast om det bevisar att den medlemmen inte är ansvarig för den händelse som gav upphov till skadan;
• g) Hur informationen om de bindande företagsreglerna, särskilt om de bestämmelser som avses i punkterna d, e och fi denna punkt, tillhandahålls de registrerade utöver artiklarna 13 och 14.
• h) uppgifterna för ett dataskyddsombud som utsetts i enlighet med artikel 37 eller någon annan person eller enhet som ansvarar för övervakningen av efterlevnaden av de bindande företagsreglerna inom företagsgruppen eller företagsgruppen som bedriver en gemensam ekonomisk verksamhet, samt övervakning av utbildning och hantering av klagomål;
• (i) Klagomålsförfarandena.
• j) Mekanismerna inom företagsgruppen eller företagsgruppen som bedriver en gemensam ekonomisk verksamhet för att säkerställa kontrollen av efterlevnaden av de bindande företagsreglerna. Sådana mekanismer ska innefatta dataskyddsrevisioner och metoder för att säkerställa korrigerande åtgärder för att skydda den registrerades rättigheter. Resultaten av en sådan kontroll bör meddelas den person eller enhet som avses i led h och till styrelsen för det kontrollerande företaget i en företagsgrupp eller den grupp av företag som bedriver en gemensam ekonomisk verksamhet, och bör vara tillgängliga på begäran till kommissionären;
• (k) Mekanismerna för att rapportera och registrera ändringar av reglerna och rapportera dessa ändringar till kommissionsledamoten.
• l) Samarbetsmekanismen med tillsynsmyndigheten för att säkerställa efterlevnaden av varje medlem av företagsgruppen eller företagsgrupp som deltar i en gemensam ekonomisk verksamhet, särskilt genom att tillhandahålla kommissionsledamoten resultaten av kontroller av de åtgärder som avses i punkt (j);
• m) mekanismerna för att rapportera till kommissionsledamoten alla rättsliga krav som en medlem av företagsgruppen eller företagsgruppen som bedriver en gemensam ekonomisk verksamhet omfattas av i ett tredjeland som sannolikt kommer att ha en väsentlig negativ effekt på garantier som tillhandahålls av de bindande företagsreglerna; och
• (n) Lämplig dataskyddsutbildning för personal som har permanent eller regelbunden tillgång till personuppgifter.