2.第1段所规定的有约束力的规则应当至少明确:
(a)进行联合经济活动的企业集团或一系列经济主体,及其每一个成员的架构和详细联系方式;
(b)数据转移或一系列的数据转移,包括个人数据的类型;处理类型及其目的;受影响的数据主体的类型;以及涉及到的对第三国或多个第三国的确定;
(c)规则的法律约束效力,既包括内部的约束力,也包括外部的约束力;
(d)对一般数据保护原则的适用,特别是目的限定、数据最小化、有限的储存期限、数据质量、通过设计的数据保护与默认的数据保护、处理的法律基础、对特定类型个人数据的处理;保障数据安全的措施;以及将数据转移到不受约束性公司规则所约束的实体所做的要求;
(e)和处理相关的数据主体的权利以及行使这些权利的方式,包括有权不被仅仅根据自动化处理——包括符合第22条的用户画像——而对数据主体做出决定,有权按照第79条向有权监管机构和成员国的有权管辖的法庭申诉,以及有权在违反有约束力的公司规则的情形下获取救济和——如果适用的话——赔偿;
(f)对于任何不在欧盟设立的控制者或处理者的相关成员违反约束性公司规则,在成员国的领域内设立的控制者或处理者愿意承担责任;只有当控制者或处理者证明,该成员对于导致损害的事件没有责任,控制者或处理者的此种责任才能被免除;
(g)关于约束性公司规则的信息如何提供给数据主体,特别是第13和14条之外关于本段所规定的(d)(e)(f)点的信息如何提供给数据主体;
(h)根据第37条所委任的所有数据保护官的任务,或者企业集团、或进行联合经济活动的一系列经济主体内部负责监控遵守约束性公司规则、监控培训和处置申诉的所有人或实体的任务;
(i)申诉程序;
(j)企业集团或进行联合经济活动的一系列经济主体,为了核实对约束性公司规则的遵守的而在内部所设立机制。此类机制应当包括数据保护核查以及能够确保采取矫正性活动保护数据主体权利的方法。此类核实结果应当告知(h)点所规定的个人或实体,企业集团或进行联合经济活动的一系列经济主体,而且在有权监管机构的要求下应当能够提供其核实结果;
(k)报告和记录规则变化的机制,以及将此类变化报告给监管机构的机制;
(l)为了保证企业集团或进行联合经济活动的一系列经济主体的合规性而和监管机构一起设立的合作机制,特别是向监管机构提供(j)点所规定的方法的核查结果;
(m)企业集团或进行联合经济活动的一系列经济主体的成员是第三国的主体,可能会对约束性企业规则所提供的保障产生实质性的负面影响,向有权监管机构报告对此类主体是否有法律要求的机制;以及
(n)对于可永 久性或经常性访问个人数据的员工进行的适当数据保护培训。
3.欧盟委员会可以明确控制者、处理者和监管机构之间为了本条含义内的约束性公司规则而进行信息交换的形式和程序。此类实施性法案的制定应当遵循第93(2)条所规定的验证程序。
