- (1) 所轄監督機関は、拘束的企業準則を、第63条に定める一貫性メカニズムに従い、次に掲げる場合に承認しなければならない:
-
(2)
拘束的企業準則は、少なくとも、以下の事項を明記しなくてはならない:
- 企業グループ若しくは共同経済活動に従事する企業グループ又はそれらを構成する個々のメンバーの組織体制及び連絡先;
- データ移転又はデータ移転の集合、含まれる個人データの類型、取扱いの種類及びその目的、影響を受けるデータ主体の類型、及び問題となっている特定された第三国若しくは複数の第三国の事項;
- 内部的及び対外的拘束力の法的性質;
- 一般的なデータ保護の原則の適用。特に、目的の制限、データの最小化、記録保存期間の制限、データの品質、データ保護バイデザイン及びバイデフォルト、取扱いの法的根拠、特別な種類の個人データの取扱い、データの安全性を確保するための措置、並びに、拘束的企業準則によって拘束されない組織に対するデータ再移転に関する要件;
- 取扱いに関するデータ主体の権利及び当該権利行使の履行手段。第22条に従うプロファイリングを含む自動のみによる取扱いに基づく決定に服しない権利、所轄の監督機関に対し異議を申し立てる権利、第79条に従い加盟国の裁判所に異議を申し立てる権利、並びに、救済の権利、及び、適切な場合、拘束的企業準則の侵害に関する損害賠償を求める権利を含む;
- 加盟国の領土に拠点のある管理者又は処理者による、EU 域外に拠点のある関連するあらゆるメンバーによる拘束的企業準則の違反行為に関する法的責任の承諾; 当該管理者又は処理者は、当該メンバーがその損害の発生を生じさせる出来事に関して責任を負わないことを証明した場合に限り、その法的責任の全部又は一部を免れる;
- 拘束的企業準則に関する情報、特に本項の(d)、(e)及び(f)に言及される規定に関する情報を、データ主体に提供する方法(第13条及び第14条に加えて);
- 第37条に従って任命されたデータ保護オフィサー、又は企業グループ内又は共同で経済活動に従事する企業グループ内において、拘束的企業準則の遵守並びに訓練及び異議申立ての取扱いの監視を実施する責任があるあらゆるその他の人物若しくは組織の業務;
- 異議申立て手続;
- 企業グループ若しくは共同で経済活動に従事する企業グループのメンバー内における、拘束的企業準則の遵守の確認を確保するための仕組み。 その仕組みは、データ保護監査、及び、データ主体の権利を保護するための是正活動を確保するための方法を含むものでなければならない。 その確認の結果は、点(h)で定める者若しくは組織並びに企業グループ若しくは共同で経済活動に従事する企業グループの内の事業を管理している会議に対して通知され、また、要求に応じて、所轄の監督機関に利用可能なものにしなければならない;
- 規則の変更の報告及び記録の仕組み、並びに、監督機関に対する当該変更の報告;
- 監督機関との協力の仕組みであって、企業グループ若しくは共同で経済活動に従事する企業グループのいかなるメンバーによる遵守を確保するためのもの、特に、点(j)で定める措置の有効性検証の結果を監督機関に提供することにより実現するもの;
- 第三国において、企業グループ若しくは共同で経済活動に従事する企業グループのメンバーが服する法律上の要件であって、拘束的企業準則によって提供される保証に対して実質的な悪影響を及ぼすおそれのあるものを、所轄の監督機関に報告するための仕組み;
- 永続的に又は継続的に個人データへのアクセスをもつ者に対する適切なデータ保護トレーニング。
- (3) 欧州委員会は、本条の趣旨における管理者、処理者及び監督機関の間の拘束的企業準則に関する情報交換の形式及び手続を定めることができる。 当該実施行為は、第93条第2項で規定された審議手続に従って採択される。
一般データ保護規則(GDPR)条項
第47条