- (1) 所轄監督機関は、次に掲げる場合、第63 条に定める一貫性メカニズムに従い、拘束的企業準則を承認しなければならない:
- (2) 第 1 項で定める拘束的企業準則は、少なくとも、以下の事項を明記しなくてはならない:
- 企業グループ若しくは共同経済活動に従事する企業グループ又はそれらを構成する個々のメンバーの組織体制及び連絡先;
- 個人データの種類、取扱いの種類及びその目的、影響を受けるデータ主体の類型、及び問題となっている特定された第三国若しくは複数の第三国の事項を含むデータ移転又はデータ移転の集合
- 内部的及び対外的拘束力の法的性質;
- 一般的なデータ保護の原則の適用。特に、目的の制限、データの最小化、記録保存期間の制限、データの品質、データ保護バイデザイン及びバイデフォルト、取扱いの法的根拠、特別な種類の個人データの取扱い、データの安全性を確保するための措置、並びに、拘束的企業準則によって拘束されない組織に対するデータ再移転に関する要件;
- 取扱いに関するデータ主体の権利及び当該権利行使の履行手段。第22 条に従うプロファイリングを含む自動取扱いのみによる決定に服しない権利、所轄監督機関に対し異議を申し立てる権利、第79 条に従い加盟国の裁判所に異議を申し立てる権利、並びに、救済の権利、及び、適切な場合、拘束的企業準則の侵害に関する損害賠償を求める権利を含む。;
- EU 域内に拠点のない関連するあらゆるメンバーによる拘束的企業準則の違反行為による法的責任を有する加盟国の領土に拠点のある管理者又は処理者の承諾;その管理者又は処理者は、当該メンバーがその損害の発生を生じさせる出来事に関して責任を負わないことを証明した場合に限り、その法的責任の全部又は一部を免れるものとする;
- 拘束的企業準則に関する情報、特に、第13 条及び第14 条に加え、本項(d)、(e)及び(f)で定める各条項に関する情報をデータ主体に提供する方法;
- 第37 条に従って任命されたデータ保護オフィサー、又は企業グループ内又は共同で経済活動に従事する企業グループ内において、拘束的企業準則の遵守並びに訓練及び異議申立ての取扱いの監視を実施する責任があるあらゆるその他の人物若しくは組織の業務;
- 異議申立て手続;
- 企業グループ若しくは共同で経済活動に従事する企業グループのメンバー内における拘束的企業準則の遵守の確認を確保するための仕組み。その仕組みは、データ保護監査、及び、データ主体の権利を保護するための是正活動を確保するための方法を含むものでなければならない。その確認の結果は、(h)で定める者若しくは組織並びに企業グループ若しくは共同で経済活動に従事する企業グループの内の事業を管理している会議に対して通知され、また、要求に応じて、所轄監督機関に利用可能なものにしなければなならない;
- 規則の変更の報告及び記録の仕組み、並びに、監督機関に対する当該変更の報告;
- 企業グループ若しくは共同で経済活動に従事する企業グループのメンバーによる遵守を確保するための、とりわけ、(j)で定める措置の有効性検証の結果を監督機関が利用できるようにすることによる、監督機関との協力の仕組み;
- 企業グループ若しくは共同で経済活動に従事する企業グループのメンバーが服する第三国における法律上の要件であって、その拘束的企業準則によって提供される保証に対して実質的な悪影響を及ぼすおそれのあるものを監督機関に報告するための仕組み;並びに、
- 永続的に又は継続的に個人データへのアクセスをもつ者に対する適切なデータ保護トレーニング。
- (3) 欧州委員会は、本条の趣旨における拘束的企業準則に関する管理者、処理者及び監督機関の間の情報交換の形式及び手続を定めることができる。この実装行為は、第93 条第 2 項で規定された審議手続に従って採択されるものとする。
GDPR 規則 (EU) 2016/679
第47条