Hvordan demonstrere samsvar med GDPR artikkel 47

Bindende bedriftsregler

Bestill en demonstrasjon

menn,hånd,skriving,på,datamaskin,tastatur,mens,jobber,hjemmefra

Hvis et mottakerland mangler meningsfulle databeskyttelseslover (se artikkel 45), GDPR Artikkel 47 lar organisasjoner adoptere bindende bedriftsregler, som fungerer som en passende beskyttelse mot alle data som skal overføres.

GDPR artikkel 47 juridisk tekst

EU GDPR-versjon

Bindende bedriftsregler

  1. Den kompetente tilsynsmyndigheten skal godkjenne bindende selskapsregler i samsvar med konsistensmekanismen fastsatt i artikkel 63, forutsatt at de:

    • (a) er juridisk bindende og gjelder for og håndheves av hvert berørt medlem av gruppen av foretak, eller gruppe av foretak som driver en felles økonomisk aktivitet, inkludert deres ansatte;

    • (b) uttrykkelig gi håndhevbare rettigheter til registrerte med hensyn til behandlingen av deres personopplysninger; og

    • (c) oppfylle kravene fastsatt i nr. 2.

  2. De bindende selskapsreglene nevnt i nr. 1 skal minst spesifisere:

    • a) strukturen og kontaktopplysningene til gruppen av foretak, eller gruppen av foretak som deltar i en felles økonomisk aktivitet, og for hvert av dens medlemmer;

    • (b) dataoverføringene eller settet med overføringer, inkludert kategoriene av personopplysninger, typen behandling og dens formål, typen registrerte som berøres og identifikasjon av det eller de aktuelle tredjelandene;

    • (c) deres juridisk bindende natur, både internt og eksternt;

    • (d) anvendelsen av de generelle databeskyttelsesprinsippene, særlig formålsbegrensning, dataminimering, begrensede lagringsperioder, datakvalitet, databeskyttelse ved design og som standard, rettslig grunnlag for behandling, behandling av spesielle kategorier av personopplysninger, tiltak for å sikre datasikkerhet, og kravene med hensyn til videre overføringer til organer som ikke er bundet av de bindende selskapsreglene;

    • (e) rettighetene til registrerte personer med hensyn til behandling og midler til å utøve disse rettighetene, inkludert retten til ikke å bli underlagt avgjørelser utelukkende basert på automatisert behandling, inkludert profilering i samsvar med artikkel 22, retten til å sende inn en klage til den kompetente tilsynsmyndigheten og for de kompetente domstolene i medlemsstatene i samsvar med artikkel 79, og å oppnå oppreisning og, der det er hensiktsmessig, kompensasjon for brudd på de bindende selskapsreglene;

    • (f) godkjennelsen av den behandlingsansvarlige eller databehandleren etablert på territoriet til en medlemsstat av ansvar for eventuelle brudd på de bindende selskapsreglene fra et berørt medlem som ikke er etablert i Unionen; den behandlingsansvarlige eller databehandleren skal være unntatt fra dette ansvaret, helt eller delvis, bare hvis det beviser at medlemmet ikke er ansvarlig for hendelsen som forårsaket skaden;

    • (g) hvordan informasjonen om de bindende selskapsreglene, særlig om bestemmelsene nevnt i punkt (d), (e) og (f) i dette avsnittet, gis til de registrerte i tillegg til artikkel 13 og 14;

    • h) oppgavene til et databeskyttelsesansvarlig utpekt i samsvar med artikkel 37 eller enhver annen person eller enhet som har ansvaret for å overvåke overholdelse av de bindende selskapsreglene innenfor gruppen av foretak, eller gruppen av foretak som driver en felles økonomisk aktivitet, samt overvåking av opplæring og klagebehandling;

    • (i) klageprosedyrene;

    • (j) mekanismene innenfor gruppen av foretak, eller gruppen av foretak som er engasjert i en felles økonomisk aktivitet, for å sikre verifisering av overholdelse av de bindende selskapsreglene. Slike mekanismer skal omfatte databeskyttelsesrevisjon og metoder for å sikre korrigerende tiltak for å beskytte rettighetene til den registrerte. Resultatene av slik verifisering bør formidles til personen eller enheten nevnt i bokstav h) og til styret for det kontrollerende foretaket i en gruppe av foretak, eller for gruppen av foretak som driver en felles økonomisk aktivitet, og bør være tilgjengelige. på forespørsel til den kompetente tilsynsmyndigheten;

    • k) mekanismene for rapportering og registrering av endringer i reglene og rapportering av disse endringene til tilsynsmyndigheten;

    • l) samarbeidsmekanismen med tilsynsmyndigheten for å sikre overholdelse av ethvert medlem av gruppen av foretak eller gruppe av foretak som deltar i en felles økonomisk aktivitet, særlig ved å gjøre tilgjengelig for tilsynsmyndigheten resultatene av verifikasjoner av de henviste tiltakene til i punkt (j);

    • (m) mekanismene for å rapportere til vedkommende tilsynsmyndighet eventuelle juridiske krav som et medlem av gruppen av foretak, eller gruppen av foretak som er engasjert i en felles økonomisk aktivitet er underlagt i et tredjeland som sannsynligvis vil ha en vesentlig negativ virkning på garantiene gitt av de bindende bedriftsreglene; og

    • (n) passende databeskyttelsesopplæring til personell som har permanent eller regelmessig tilgang til personopplysninger.

  3. Kommisjonen kan spesifisere formatet og prosedyrene for utveksling av informasjon mellom behandlingsansvarlige, databehandlere og tilsynsmyndigheter for bindende selskapsregler i henhold til denne artikkel. Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren fastsatt i artikkel 93 nr. 2.

UK GDPR-versjon

Bindende bedriftsregler

  1. Kommissæren skal godkjenne bindende selskapsregler, forutsatt at de:

    • (a) er juridisk bindende og gjelder for og håndheves av hvert berørt medlem av gruppen av foretak, eller gruppe av foretak som driver en felles økonomisk aktivitet, inkludert deres ansatte;
    • (b) uttrykkelig gi håndhevbare rettigheter til registrerte med hensyn til behandlingen av deres personopplysninger; og

    • (c) oppfylle kravene fastsatt i nr. 2.

  2. De bindende selskapsreglene nevnt i nr. 1 skal minst spesifisere:

    • a) strukturen og kontaktopplysningene til gruppen av foretak, eller gruppen av foretak som deltar i en felles økonomisk aktivitet, og for hvert av dens medlemmer;

    • (b) dataoverføringene eller settet med overføringer, inkludert kategoriene av personopplysninger, typen behandling og dens formål, typen registrerte som berøres og identifikasjon av det eller de aktuelle tredjelandene;

    • (c) deres juridisk bindende natur, både internt og eksternt;

    • (d) anvendelsen av de generelle databeskyttelsesprinsippene, særlig formålsbegrensning, dataminimering, begrensede lagringsperioder, datakvalitet, databeskyttelse ved design og som standard, rettslig grunnlag for behandling, behandling av spesielle kategorier av personopplysninger, tiltak for å sikre datasikkerhet, og kravene med hensyn til videre overføringer til organer som ikke er bundet av de bindende selskapsreglene;

    • (e) rettighetene til registrerte personer med hensyn til behandling og midler til å utøve disse rettighetene, inkludert retten til ikke å bli gjenstand for avgjørelser basert utelukkende på automatisert behandling, inkludert profilering i samsvar med artikkel 22, kommissæren og for en domstol i i samsvar med artikkel 79 (se § 180 i 2018-loven), og for å oppnå oppreisning og, der det er hensiktsmessig, erstatning for brudd på de bindende selskapsreglene;

    • (f) den behandlingsansvarlige eller databehandleren etablert i Storbritannia aksepterer ansvar for eventuelle brudd på de bindende selskapsreglene fra et berørt medlem som ikke er etablert i Storbritannia; den behandlingsansvarlige eller databehandleren skal være unntatt fra dette ansvaret, helt eller delvis, bare hvis det beviser at medlemmet ikke er ansvarlig for hendelsen som forårsaket skaden;

    • (g) hvordan informasjonen om de bindende selskapsreglene, særlig om bestemmelsene nevnt i punkt (d), (e) og (f) i dette avsnittet, gis til de registrerte i tillegg til artikkel 13 og 14;

    • h) oppgavene til et databeskyttelsesansvarlig utpekt i samsvar med artikkel 37 eller enhver annen person eller enhet som har ansvaret for å overvåke overholdelse av de bindende selskapsreglene innenfor gruppen av foretak, eller gruppen av foretak som driver en felles økonomisk aktivitet, samt overvåking av opplæring og klagebehandling;

    • (i) klageprosedyrene;

    • (j) mekanismene innenfor gruppen av foretak, eller gruppen av foretak som er engasjert i en felles økonomisk aktivitet, for å sikre verifisering av overholdelse av de bindende selskapsreglene. Slike mekanismer skal omfatte databeskyttelsesrevisjon og metoder for å sikre korrigerende tiltak for å beskytte rettighetene til den registrerte. Resultatene av slik verifisering bør formidles til personen eller enheten nevnt i bokstav h) og til styret for det kontrollerende foretaket i en gruppe av foretak, eller for gruppen av foretak som driver en felles økonomisk aktivitet, og bør være tilgjengelige. på forespørsel til kommissæren;

    • (k) mekanismene for å rapportere og registrere endringer i reglene og rapportere disse endringene til kommissæren;

    • l) samarbeidsmekanismen med tilsynsmyndigheten for å sikre overholdelse av ethvert medlem av gruppen av foretak, eller gruppe av foretak som deltar i en felles økonomisk aktivitet, særlig ved å gjøre tilgjengelig for kommissæren resultatene av verifikasjoner av tiltakene nevnt i i punkt (j);

    • (m) mekanismene for å rapportere til kommisjonæren eventuelle juridiske krav som et medlem av gruppen av foretak, eller gruppen av foretak som er engasjert i en felles økonomisk aktivitet er underlagt i et tredjeland som sannsynligvis vil ha en vesentlig negativ innvirkning på garantier gitt av de bindende bedriftsreglene; og

    • (n) passende databeskyttelsesopplæring til personell som har permanent eller regelmessig tilgang til personopplysninger.
Gå til emnet
Enkel. Sikre. Bærekraftig.

Se vår plattform i aksjon med en skreddersydd praktisk økt basert på dine behov og mål.

Bestill demoen din
img

Teknisk kommentar

Bindende bedriftsregler må:

  • Vær juridisk håndhevbar.

  • Inneholder et klart sett med instruksjoner for alle berørte parter, ansatte og partnere.

  • Gi registrerte konkrete rettigheter.

  • Inneholder en minimumsmengde teknisk, kontraktsmessig og juridisk informasjon (også kjent som "minimumsinnhold").

  • Gjennomgå en godkjenningsprosedyre, som ratifiserer avtalen i øynene til den relevante databeskyttelsesmyndigheten.

ISO 27701 klausul 7.5.1 (Identifiser grunnlag for PII-overføring mellom jurisdiksjoner) og EU GDPR artikkel 47

I denne delen snakker vi om GDPR artikkel 47 (1)(a), 47 (1)(b), 47 (1)(c), 47 (2)(a), 47 (2)(b), 47 ( 2)(c), 47 (2)(d), 47 (2)(e), 47 (2)(f), 47 (2)(g), 47 (2)(h), 47 (2) (i), 47 (2)(j), 47 (2)(k), 47 (2)(l), 47 (2)(m), 47 (2)(n) og 47 (3)

Fra tid til annen kan det oppstå behov for å overføre PII mellom to distinkte jurisdiksjoner. Når dette skjer, bør organisasjoner begrunne og dokumentere behovet for å gjøre det.

Regionale reguleringer og juridiske regler varierer avhengig av hvor dataene kommer fra, og hvor de skal overføres til.

Organisasjoner bør ta alle relevante lover, rammer og forskrifter i betraktning når de trenger å overføre data mellom jurisdiksjoner, inkludert bruk av en utpekt tilsynsmyndighet.

Indeks over tilknyttede EU GDPR-artikler og ISO 27701-klausuler

GDPR-artikkelISO 27701 klausulISO 27701 Støtteklausuler
EU GDPR artikkel 47 (1) (a) til 47 (3)ISO 27701none

Hvordan ISMS.online Hjelp

Med ISMS.online er det enkelt for deg å hoppe rett inn på reisen til GDPR-samsvar og enkelt demonstrere et beskyttelsesnivå som strekker seg utover "rimelig", alt på ett sikkert sted som alltid er på som du kan få tilgang til fra hvor som helst.

Hvis du på et tidspunkt i reisen mot GDPR, uansett grunn, føler mangel på selvtillit, evne eller handlingskraft, kan vi gjøre vårt team av interne eksperter tilgjengelig for deg eller anbefale en av våre pålitelige partnere for å hjelpe deg for å nå dine mål.

Finn ut mer av planlegger en demo.

Det hjelper å drive oppførselen vår på en positiv måte som fungerer for oss
og vår kultur.

Emmie Cooney
Driftsleder, Amigo

Bestill demoen din

Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer