Статья 47. Юридически обязывающие корпоративные правила. Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27.04.2016 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных / General Data Protection Regulation /GDPR)

Статья 47
Юридически обязывающие корпоративные правила

1. Компетентный надзорный орган в соответствии с механизмом сопоставимости, указанным в Статье 63, должен утвердить юридически обязывающие корпоративные правила при условии, что они:

(a) являются юридически обязательными и применяются в отношении каждого члена группы предприятий или группы компаний, занятых в совместной экономической деятельности, в том числе их сотрудников, а также обеспечиваются указанными лицами;

(b) прямо предоставляют юридически защищенные права субъектам данных в отношении обработки их персональных данных;

(c) соблюдают требования, установленные в параграфе 2.

2. Юридически обязывающие корпоративные правила, указанные в параграфе 1, должны определять как минимум следующее:

(a) структуру и контактные данные группы предприятий или группы компаний, занятых в совместной экономической деятельности, а также контактные данные каждого из ее членов;

(b) передачу данных или ряд таких передач, включая категории персональных данных, тип обработки и ее цели, тип субъектов данных и идентификационную информацию относительно соответствующей третьей страны или стран;

(c) свой юридически обязательный характер, как внутренне, так и внешне;

(d) применение общих принципов защиты данных, в частности, целевое ограничение, минимизация данных, ограниченные сроки хранения, качество данных, защита данных, запланированная и по умолчанию, законное основание для обработки, обработка специальных категорий персональных данных, меры для обеспечения безопасности данных, требования относительно передачи данных органам, не связанным юридически обязывающими корпоративными правилами;

(e) права субъектов данных в отношении обработки и способы осуществления указанных прав, включая право не подчиняться решениям, основанным исключительно на автоматизированной обработке, включая формирование профиля, в соответствии со Статьей 22, а также право на подачу жалобы компетентному надзорному органу и в компетентные суда государств-членов ЕС в соответствии со Статьей 79, и право на возмещение и, в соответствующем случае, компенсацию за нарушение юридически обязывающих корпоративных правил;

(f) ответственность, которую контролер или обрабатывающее данные лицо, учрежденные на территории государства-члена ЕС, берут на себя за любое нарушение юридически обязывающих корпоративных правил любым членом группы предприятий, не учрежденным в Союзе; контролер или обрабатывающее данные лицо полностью или частично освобождаются от указанной обязанности только тогда, когда они докажут, что указанный член не несет ответственность за событие, послужившее причиной ущерба;

(g) способ предоставления субъектам данных информации о юридически обязывающих корпоративных правилах, в частности, о положениях, указанных в пунктах (d), (e) и (f) настоящего параграфа, в дополнение к Статьям 13 и 14;

(h) задачи любого инспектора по защите персональных данных, назначенного в соответствии со Статьей 37, или любого иного физического или юридического лица, отвечающего за контроль соблюдения юридически обязывающих корпоративных правил в рамках группы предприятий или группы компаний, занятых в совместной экономической деятельности, а также мониторинг обучения и рассмотрения жалоб;

(i) процедуры рассмотрения жалоб;

(j) механизмы в группе предприятий или группе компаний, занятых в совместной экономической деятельности, которые гарантирую проверку и подтверждение соблюдения юридически обязывающих корпоративных правил. Указанные механизмы должны включать в себя аудиторские проверки защиты данных и методы обеспечения корректирующих мер для защиты прав субъектов данных. Результаты указанной проверки должны быть представлены физическому или юридическому лицу, указанному в пункте (h), и совету, который осуществляет контроль предприятия в группе предприятий или группе компаний, занятых в совместной экономической деятельности, указанные результаты должны быть доступны компетентному надзорному органу по его запросу;

(k) механизмы для сообщения и учета изменений в правилах, а также механизмы информирования об указанных изменениях надзорного органа;

(l) механизм сотрудничества с надзорным органом в целях обеспечения соблюдения предписаний любым членом группы предприятий или группы компаний, задействованных в совместной экономической деятельности, в частности, посредством предоставления надзорному органу результатов проверок мер, указанных в пункте (j);

(m) механизм предоставления отчетов компетентному надзорному органу относительно любых законных требований, под действие которых подпадает член группы предприятий или группы компаний, задействованных в совместной экономической деятельности, в третьей стране, и которые могут оказать существенное негативное воздействие на гарантии, предоставленные юридически обязывающими корпоративными правилами; и

(n) соответствующее обучение защите данных для персонала, имеющего постоянный доступ к персональным данным.

3. Европейская Комиссия может установить формат и процедуры для обмена информацией относительно юридически обязывающих корпоративных правил в значении настоящей Статьи между контролерами, обрабатывающими данные лицами и надзорными органами. Указанные имплементационные акты должны быть приняты в соответствии с процедурой проверки, указанной в Статье 93(2).