1. Príslušný dozorný orgán schváli záväzné
vnútropodnikové pravidlá v súlade s mechanizmom konzistentnosti uvedeným
v článku 63, ak:
a) sú právne záväzné a vzťahujú sa na
každého dotknutého člena skupiny podnikov alebo podnikov zapojených do
spoločnej hospodárskej činnosti vrátane ich zamestnancov, a títo
členovia ich uplatňujú;
b) sa nimi výslovne udeľujú vymáhateľné práva dotknutým osobám, pokiaľ ide o spracúvanie ich osobných údajov, a
c) spĺňajú požiadavky stanovené v odseku 2.
2. V záväzných vnútropodnikových pravidlách uvedených v odseku 1 sa uvedie aspoň:
a) štruktúra a kontaktné údaje skupiny
podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a
každého z jej členov;
b) prenosy údajov alebo súbor prenosov
vrátane kategórií osobných údajov, typu spracúvania a jeho účelov, typu
dotknutých osôb, ktorých sa spracúvanie týka, a identifikácia predmetnej
tretej krajiny alebo krajín;
c) ich právna záväznosť, a to vnútorne a navonok;
d) uplatňovanie všeobecných zásad ochrany
údajov, najmä obmedzenie účelu, minimalizácia údajov, obmedzené doby
uchovávania, kvalita údajov, špecificky navrhnutá a štandardná ochrana
údajov, právny základ pre spracúvanie, spracúvanie osobitných kategórií
osobných údajov, opatrenia na zaistenie bezpečnosti údajov, ako aj
požiadavky v súvislosti s následnými prenosmi subjektom, ktoré nie sú
viazané záväznými vnútropodnikovými pravidlami;
e) práva dotknutých osôb v súvislosti so
spracúvaním a prostriedky na uplatnenie týchto práv vrátane práva na to,
aby sa na ne nevzťahovalo rozhodovanie založené výlučne
na automatizovanom spracúvaní, vrátane profilovania podľa článku 22,
právo podať sťažnosť na príslušný dozorný orgán a na príslušné súdy
členských štátov v súlade s článkom 79 a právo vymôcť nápravu a prípadnú
náhradu škody za porušenie záväzných vnútropodnikových pravidiel;
f) vyhlásenie, že prevádzkovateľ alebo
sprostredkovateľ usadení na území členského štátu prijímajú zodpovednosť
za všetky porušenia záväzných vnútropodnikových pravidiel ktorýmkoľvek
dotknutým členom, ktorý nie je usadený v Únii; prevádzkovateľ alebo
sprostredkovateľ sú úplne alebo čiastočne oslobodení od tejto
zodpovednosti, len ak preukážu, že predmetný člen nie je zodpovedný za
udalosť, ktorá spôsobila škodu;
g) spôsob, akým sa okrem spôsobov podľa
článkov 13 a 14 poskytujú dotknutým osobám informácie o záväzných
vnútropodnikových pravidlách, najmä pokiaľ ide o ustanovenia, ktoré sa
uvádzajú v písmenách d), e) a f) tohto odseku;
h) úlohy akejkoľvek zodpovednej osoby
určenej v súlade s článkom 37 alebo akejkoľvek inej osoby alebo subjektu
zodpovedného za monitorovanie dodržiavania záväzných vnútropodnikových
pravidiel v rámci skupiny podnikov alebo podnikov zapojených do
spoločnej hospodárskej činnosti, ako aj za monitorovanie odbornej
prípravy a vybavovania sťažností;
i) postupy týkajúce sa sťažností;
j) mechanizmy v rámci skupiny podnikov
alebo podnikov zapojených do spoločnej hospodárskej činnosti na
zabezpečenie overovania dodržiavania záväzných vnútropodnikových
pravidiel. Takéto mechanizmy zahŕňajú audity ochrany údajov a metódy na
zabezpečenie nápravných opatrení s cieľom chrániť práva dotknutej osoby.
Výsledky takéhoto overovania by sa mali oznámiť osobe alebo subjektu
uvedenému v písmene h) a správnej rade riadiaceho podniku skupiny
podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a
na požiadanie by mali byť k dispozícii príslušnému dozornému orgánu;
k) mechanizmy pre ohlasovanie a zaznamenávanie zmien pravidiel a ohlasovanie týchto zmien dozornému orgánu;
l) mechanizmus spolupráce s dozorným
orgánom na zabezpečenie dodržiavania pravidiel zo strany všetkých členov
skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej
činnosti, najmä poskytnutím výsledkov overovania opatrení uvedených v
písmene j) dozornému orgánu;
m) mechanizmy pre ohlasovanie určené
príslušnému dozornému orgánu, ktoré sa týka akýchkoľvek právnych
požiadaviek, ktorým člen skupiny podnikov alebo podnikov zapojených do
spoločnej hospodárskej činnosti podlieha v tretej krajine a ktoré
pravdepodobne budú mať podstatné nepriaznivé dôsledky na záruky
poskytované záväznými vnútropodnikových pravidlami, a
n) primeraná odborná príprava personálu, ktorý má stály alebo pravidelný prístup k osobným údajom, v oblasti ochrany údajov.
3. Komisia môže stanoviť formát a postupy pre
výmenu informácií medzi prevádzkovateľmi, sprostredkovateľmi a dozornými
orgánmi pre záväzné vnútropodnikových pravidlá v zmysle tohto článku.
Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania
uvedeným v článku 93 ods. 2.