Hvis et modtagerland mangler nogen meningsfuld databeskyttelseslovgivning (se artikel 45), GDPR artikel 47 giver organisationer mulighed for at adoptere bindende virksomhedsregler, der fungerer som en passende beskyttelse mod enhver data, der skal overføres.
Bindende forretningsregler
- Den kompetente tilsynsmyndighed skal godkende bindende virksomhedsregler i overensstemmelse med sammenhængsmekanismen i artikel 63, forudsat at de:
- a) er juridisk bindende og gælder for og håndhæves af ethvert berørt medlem af koncernen af virksomheder eller gruppe af virksomheder, der er involveret i en fælles økonomisk aktivitet, herunder deres ansatte
- (b) udtrykkeligt tildele de registrerede håndhævede rettigheder med hensyn til behandlingen af deres personoplysninger; og
- c) opfylde kravene i stk.
- De i stk. 1 nævnte bindende virksomhedsregler skal mindst specificere:
- a) strukturen og kontaktoplysningerne for den virksomhedsgruppe eller gruppe af virksomheder, der udøver en fælles økonomisk aktivitet, og for hver af dens medlemmer
- b) dataoverførsler eller sæt af overførsler, herunder kategorierne af personoplysninger, typen af behandling og dens formål, typen af berørte registrerede og identifikation af det eller de pågældende tredjelande
- (c) deres juridisk bindende karakter, både internt og eksternt;
- d) anvendelsen af de generelle databeskyttelsesprincipper, især formålsbegrænsning, dataminimering, begrænsede opbevaringsperioder, datakvalitet, databeskyttelse ved design og som standard, retsgrundlag for behandling, behandling af særlige kategorier af personoplysninger, foranstaltninger til sikre datasikkerhed og kravene i forbindelse med videre overførsler til organer, der ikke er bundet af de bindende virksomhedsregler;
- e) de registreredes rettigheder med hensyn til behandling og midlerne til at udøve disse rettigheder, herunder retten til ikke at blive underlagt afgørelser udelukkende baseret på automatiseret behandling, herunder profilering i overensstemmelse med artikel 22, retten til at indgive en klage til den kompetente tilsynsmyndighed og for de kompetente domstole i medlemsstaterne i overensstemmelse med artikel 79, og at opnå erstatning og, hvor det er relevant, erstatning for en overtrædelse af de bindende virksomhedsregler
- f) den registeransvarlige eller databehandler, der er etableret på en medlemsstats område, accepterer ansvar for eventuelle overtrædelser af de bindende virksomhedsregler fra et berørt medlem, der ikke er etableret i Unionen den dataansvarlige eller databehandleren er kun fritaget for dette ansvar, helt eller delvist, hvis det beviser, at det pågældende medlem ikke er ansvarlig for den begivenhed, der har givet anledning til skaden.
- g) hvordan oplysningerne om de bindende virksomhedsregler, især om bestemmelserne i litra d), e) og f) i dette stykke gives til de registrerede ud over artikel 13 og 14;
- h) opgaverne for enhver databeskyttelsesrådgiver, der er udpeget i overensstemmelse med artikel 37, eller enhver anden person eller enhed, der er ansvarlig for overvågningen af overholdelsen af de bindende virksomhedsregler inden for gruppen af virksomheder eller koncerner, der er involveret i en fælles økonomisk aktivitet samt overvågning af uddannelse og klagebehandling;
- (i) klageprocedurerne;
- j) mekanismerne inden for koncernen eller koncernen af virksomheder, der er involveret i en fælles økonomisk aktivitet, for at sikre kontrollen af overholdelsen af de bindende selskabsregler. Sådanne mekanismer skal omfatte databeskyttelsesrevisioner og metoder til at sikre korrigerende handlinger for at beskytte den registreredes rettigheder. Resultaterne af en sådan verifikation bør meddeles den person eller enhed, der er omhandlet i litra h) og til bestyrelsen for den kontrollerende virksomhed i en koncern eller til den gruppe af virksomheder, der er involveret i en fælles økonomisk aktivitet, og bør være tilgængelige efter anmodning til den kompetente tilsynsmyndighed;
- k) mekanismerne til indberetning og registrering af ændringer af reglerne og indberetning af disse ændringer til tilsynsmyndigheden
- l) samarbejdsmekanismen med tilsynsmyndigheden for at sikre, at ethvert medlem af gruppen af virksomheder eller koncerner af virksomheder, der deltager i en fælles økonomisk aktivitet, overholder, navnlig ved at stille resultaterne af verifikationer af de nævnte foranstaltninger til rådighed for tilsynsmyndigheden til i punkt (j);
- m) mekanismerne for indberetning til den kompetente tilsynsmyndighed af juridiske krav, som et medlem af koncernen af virksomheder eller en gruppe af virksomheder, der er involveret i en fælles økonomisk aktivitet, er underlagt i et tredjeland, og som sandsynligvis vil have en væsentlig negativ virkning om de garantier, som de bindende virksomhedsregler giver; og
- n) passende databeskyttelsesuddannelse til personale, der har permanent eller regelmæssig adgang til personoplysninger.
- Kommissionen kan specificere formatet og procedurerne for udveksling af oplysninger mellem registeransvarlige, databehandlere og tilsynsmyndigheder for bindende virksomhedsregler i henhold til denne artikel. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 93, stk.
Bindende forretningsregler
- Kommissæren skal godkende bindende virksomhedsregler, forudsat at de:
- a) er juridisk bindende og gælder for og håndhæves af ethvert berørt medlem af koncernen af virksomheder eller gruppe af virksomheder, der er involveret i en fælles økonomisk aktivitet, herunder deres ansatte
- (b) udtrykkeligt tildele de registrerede håndhævede rettigheder med hensyn til behandlingen af deres personoplysninger; og
- c) opfylde kravene i stk.
- De i stk. 1 nævnte bindende virksomhedsregler skal mindst specificere:
- a) strukturen og kontaktoplysningerne for den virksomhedsgruppe eller gruppe af virksomheder, der udøver en fælles økonomisk aktivitet, og for hver af dens medlemmer
- b) dataoverførsler eller sæt af overførsler, herunder kategorierne af personoplysninger, typen af behandling og dens formål, typen af berørte registrerede og identifikation af det eller de pågældende tredjelande
- (c) deres juridisk bindende karakter, både internt og eksternt;
- d) anvendelsen af de generelle databeskyttelsesprincipper, især formålsbegrænsning, dataminimering, begrænsede opbevaringsperioder, datakvalitet, databeskyttelse ved design og som standard, retsgrundlag for behandling, behandling af særlige kategorier af personoplysninger, foranstaltninger til sikre datasikkerhed og kravene i forbindelse med videre overførsler til organer, der ikke er bundet af de bindende virksomhedsregler;
- e) de registreredes rettigheder med hensyn til behandling og midlerne til at udøve disse rettigheder, herunder retten til ikke at blive underlagt afgørelser udelukkende baseret på automatiseret behandling, herunder profilering i overensstemmelse med artikel 22, kommissæren og for en domstol i i overensstemmelse med artikel 79 (se paragraf 180 i 2018-loven), og for at opnå kompensation og, hvor det er relevant, kompensation for en overtrædelse af de bindende virksomhedsregler;
- (f) den dataansvarlige eller databehandler, der er etableret i Det Forenede Kongerige, accepterer ansvar for eventuelle brud på de bindende virksomhedsregler af ethvert berørt medlem, der ikke er etableret i Det Forenede Kongerige; den dataansvarlige eller databehandleren er kun fritaget for dette ansvar, helt eller delvist, hvis det beviser, at det pågældende medlem ikke er ansvarlig for den begivenhed, der har givet anledning til skaden.
- g) hvordan oplysningerne om de bindende virksomhedsregler, især om bestemmelserne i litra d), e) og f) i dette stykke gives til de registrerede ud over artikel 13 og 14;
- h) opgaverne for enhver databeskyttelsesrådgiver, der er udpeget i overensstemmelse med artikel 37, eller enhver anden person eller enhed, der er ansvarlig for overvågningen af overholdelsen af de bindende virksomhedsregler inden for gruppen af virksomheder eller koncerner, der er involveret i en fælles økonomisk aktivitet samt overvågning af uddannelse og klagebehandling;
- (i) klageprocedurerne;
- j) mekanismerne inden for koncernen eller koncernen af virksomheder, der er involveret i en fælles økonomisk aktivitet, for at sikre kontrollen af overholdelsen af de bindende selskabsregler. Sådanne mekanismer skal omfatte databeskyttelsesrevisioner og metoder til at sikre korrigerende handlinger for at beskytte den registreredes rettigheder. Resultaterne af en sådan verifikation bør meddeles den person eller enhed, der er omhandlet i litra h) og til bestyrelsen for den kontrollerende virksomhed i en koncern eller til den gruppe af virksomheder, der er involveret i en fælles økonomisk aktivitet, og bør være tilgængelige efter anmodning til kommissæren;
- (k) mekanismerne til indberetning og registrering af ændringer af reglerne og indberetning af disse ændringer til kommissæren;
- l) samarbejdsmekanismen med tilsynsmyndigheden for at sikre overholdelse af ethvert medlem af gruppen af virksomheder eller koncerner, der deltager i en fælles økonomisk aktivitet, især ved at stille resultaterne af verifikationer af de nævnte foranstaltninger til rådighed for kommissæren. i punkt (j);
- (m) mekanismerne til at indberette til kommissæren eventuelle lovkrav, som et medlem af koncernen af virksomheder eller en gruppe af virksomheder, der er involveret i en fælles økonomisk aktivitet, er underlagt i et tredjeland, og som sandsynligvis vil have en væsentlig negativ indvirkning på garantier givet af de bindende virksomhedsregler; og
- n) passende databeskyttelsesuddannelse til personale, der har permanent eller regelmæssig adgang til personoplysninger.
Bindende virksomhedsregler skal:
I dette afsnit taler vi om GDPR artikel 47(1)(a), 47(1)(b), 47(1)(c), 47(2)(a), 47(2)(b), 47( 2)(c), 47 (2)(d), 47 (2)(e), 47 (2)(f), 47 (2)(g), 47 (2)(h), 47 (2) (i), 47 (2)(j), 47 (2)(k), 47 (2)(l), 47 (2)(m), 47 (2)(n) og 47 (3)
Fra tid til anden kan der opstå behov for at overføre PII mellem to adskilte jurisdiktioner. Når dette sker, bør organisationer begrunde og dokumentere behovet for at gøre det.
Regionale lovgivningsmæssige og juridiske regler varierer afhængigt af, hvor dataene stammer fra, og hvor de skal overføres til.
Organisationer bør tage alle relevante love, rammer og bestemmelser i betragtning, når de har behov for at overføre data mellem jurisdiktioner, herunder brugen af en udpeget tilsynsmyndighed.
| GDPR artikel | ISO 27701 klausul | ISO 27701 understøttende klausuler |
|---|---|---|
| EU GDPR artikel 47 (1)(a) til 47 (3) | ISO 27701 7.5.1 | Ingen |
Med ISMS.online er det nemt for dig at springe direkte ind på rejsen til GDPR-overholdelse og nemt at demonstrere et beskyttelsesniveau, der rækker ud over 'rimeligt', alt sammen på én sikker, altid aktiv placering, som du kan få adgang til fra hvor som helst.
Hvis du på noget tidspunkt i din rejse mod GDPR af en eller anden grund føler en mangel på selvtillid, evne eller drive til at handle, kan vi stille vores team af interne eksperter til rådighed for dig eller anbefale en af vores betroede partnere til at hjælpe dig til at nå dine mål.
Find ud af mere ved planlægning af en demo.
Det hjælper med at drive vores adfærd på en positiv måde, der virker for os
& vores kultur.
