1. Příslušný dozorový úřad schvaluje v souladu s
mechanismem jednotnosti stanoveným v článku 63 závazná podniková
pravidla za předpokladu, že:
a) jsou právně závazná a platná pro
všechny a prosazovaná všemi dotčenými členy skupiny podniků nebo
uskupení podniků vykonávajících společnou hospodářskou činnost, včetně
jejich zaměstnanců;
b) subjektům údajů výslovně přiznávají vymahatelná práva v souvislosti se zpracováním jejich osobních údajů; a
c) splňují požadavky stanovené v odstavci 2.
2. Závazná podniková pravidla uvedená v odstavci 1 vymezují přinejmenším:
a) strukturu a kontaktní údaje skupiny
podniků nebo uskupení podniků vykonávajících společnou hospodářskou
činnost a každého z jejích členů;
b) předání údajů nebo soubor předání,
včetně kategorií osobních údajů, typu zpracování a jeho účelů, typu
dotčených subjektů údajů a určení dané třetí země nebo daných třetích
zemí;
c) svoji právně závaznou povahu, a to interně i externě;
d) použití obecných zásad pro ochranu
údajů, zejména účelové omezení, minimalizaci údajů, omezenou dobu
uložení, kvalitu údajů, záměrná a standardní ochranu osobních údajů,
právní základ pro zpracování, zpracování zvláštních kategorií osobních
údajů; opatření k zajištění zabezpečení údajů a požadavky ohledně
dalšího předávání subjektům, které podnikovými pravidly nejsou vázány;
e) práva subjektů údajů v souvislosti se
zpracováním jejich osobních údajů a prostředky jejich výkonu, včetně
práva nebýt předmětem rozhodnutí založených výhradně na automatizovaném
zpracování, včetně profilování v souladu s článkem 22, práva podat
stížnost u příslušného dozorového úřadu a příslušných soudů členských
států v souladu s článkem 79, právní ochrany a případně i práva na
odškodnění v případě porušení závazných podnikových pravidel;
f) přijetí odpovědnosti správcem nebo
zpracovatelem usazeným na území některého členského státu za jakékoli
porušení závazných podnikových pravidel kterýmkoli dotčeným členem
neusazeným v Unii; správce nebo zpracovatel se může této odpovědnosti
zcela nebo zčásti zprostit, pouze pokud prokáže, že za okolnost, jež
vedla ke vzniku škody, není daný člen odpovědný;
g) způsob poskytování informací o
závazných podnikových pravidlech, zejména o ustanoveních uvedených v
písmenech d), e) a f) tohoto odstavce, subjektům údajů, vedle informací
uvedených v článcích 13 a 14;
h) úkoly všech pověřenců pro ochranu
osobních údajů jmenovaných v souladu s článkem 37, nebo jakékoli jiné
osoby či subjektu pověřeného monitorováním souladu se závaznými
podnikovými pravidly v rámci skupiny podniků nebo uskupení podniků
vykonávajících společnou hospodářskou činnost a sledování školení
a vyřizování stížností;
i) postupy pro vyřizování stížností;
j) mechanismy, které mají v rámci skupiny
podniků nebo uskupení podniků vykonávajících společnou hospodářskou
činnost zajistit ověřování souladu se závaznými podnikovými pravidly.
Tyto mechanismy zahrnují audity ochrany údajů a metody zajištění
opravných opatření pro ochranu práv subjektu údajů. Výsledky takového
ověření by měly být oznámeny osobě nebo subjektu uvedenému v písmenu h) a
radě řídícího podniku skupiny podniků nebo uskupení podniků
vykonávajících společnou hospodářskou činnost a na požádání by měly být
zpřístupněny příslušnému dozorovému úřadu;
k) mechanismy pro podávání zpráv a pro zaznamenávání změn pravidel a hlášení těchto změn dozorovému úřadu;
l) mechanismus spolupráce s dozorovým
úřadem, který zajistí dodržování pravidel každým členem skupiny podniků
nebo uskupení podniků vykonávajících společnou hospodářskou činnost,
zejména zpřístupňování výsledků ověřování opatření uvedených v písmenu
j) dozorovému úřadu;
m) mechanismy pro podávání zpráv
příslušnému dozorovému úřadu o právních požadavcích, kterým je člen
skupiny podniků nebo uskupení podniků vykonávajících společnou
hospodářskou činnost podřízen ve třetí zemi a které mohou mít podstatný
negativní účinek na záruky poskytované závaznými podnikovými pravidly; a
n) vhodnou odbornou přípravu v oblasti ochrany údajů pro pracovníky, kteří mají k osobním údajům trvalý nebo pravidelný přístup.
3. Komise může u závazných podnikových pravidel
ve smyslu tohoto článku určit formát a postupy pro výměnu informací mezi
správci, zpracovateli a dozorovými úřady. Tyto prováděcí akty se
přijímají přezkumným postupem podle čl. 93 odst. 2.