1. רשות הפיקוח המוסמכת תאשר כללי תאגיד מחייבים בהתאם למנגנון העקביות המפורטת בסעיף 63, בתנאי שהכללים:

• (א) יהיו מחייבים כדין ויחולו על כל ארגון שבאשכול חברות, או בקבוצת עסקים, העוסקת בפעילות כלכלית משותפת, לרבות עובדיהן, וייאכפו על ידן;
• (ב) יעניקו במפורש זכויות אכיפות לנושאי מידע ביחס לעיבוד המידע האישי שלהם; וכן
• (ג) יעמדו בדרישות המפורטות בפסקה 2.

2. לכל הפחות, בכללי התאגיד המחייבים הנזכרים בפסקה 1 יפורט האמור להלן:

• (א) המבנה ופרטי הקשר של אשכול החברות, או קבוצת העסקים העוסקת בפעילות כלכלית משותפת, ושל כל אחד מחבריהן;
• (ב) העברות המידע או מערכת ההעברות, לרבות קטגוריות המידע האישי, סוג העיבוד ומטרותיו, סוג נושאי המידע המושפעים וזיהוי המדינה השלישית או המדינות השלישיות הרלוונטיות;
• (ג) טבעם המחייב כדין, הן פנימית והן חיצונית;
• (ד) יישום העקרונות הכלליים להגנת מידע, במיוחד הגבלת מטרה, מזעור מידע, תקופות אחסון מוגבלות, איכות מידע, הגנת מידע בכללים שנקבעו באופן ספצפי וכברירת מחדל, בסיס חוקי לעיבוד, עיבוד קטגוריות מידע אישי מיוחדות, אמצעים להבטחת אבטחת מידע והדרישות ביחס להעברות הלאה לגופים שאינם כפופים לכללי התאגיד המחייבים;
• (ה) זכויות נושאי המידע ביחס לעיבוד והאמצעים להפעלת זכויות אלה, לרבות הזכות שלא להיות כפופים להחלטות המבוססות אך ורק על עיבוד אוטומטי, לרבות יצירת פרופיל בהתאם לסעיף 22, הזכות להגיש תלונה לרשות הפיקוח המוסמכת ולערכאות המוסמכות של המדינות החברות בהתאם לסעיף 79, לקבל סעד משפטי, ולפי העניין לקבל פיצוי בשל הפרת כללי התאגיד המחייבים;
• (ו) קבלת חבות על ידי בעל השליטה או המעבד המאורגן בשטח מדינה חברה ביחס להפרה של כללי התאגיד המחייבים על ידי חבר רלוונטי שמקם מושבו אינו באיחוד; בעל השליטה או המעבד יופטר מחבות זו, כולה או מקצתה, רק אם יוכיח שהחבר אינו אחראי לאירוע שהוביל לנזק;
• (ז) האופן בו המידע באשר לכללי התאגיד המחייבים, במיוחד ביחס לתניות הנזכרות בנקודות (ד), (ה) ו(ו) לפסקה זו, נמסר לנושאי המידע בנוסף לסעיפים 13 ו-14;
• (ח) המשימות של קצין  הגנת מידע שמונה בהתאם לסעיף 37 או של אדם או גורמים אחרים האחראיים לפיקוח על הציות לכללי התאגיד המחייבים בתוך אשכול חברות, או קבוצת העסקים, העוסקת בפעילות כלכלית משותפת, ולפיקוח על הכשרה וטיפול בתלונות;
• (ט) הליכי תלונה;
• (י) המנגנונים בתוך אשכול חברות, או קבוצת העסקים העוסקת בפעילות כלכלית משותפת, להבטחת הציות לכללי התאגיד המחייבים. מנגנונים אלה יכללו ביקורת הגנת מידע ושיטות להבטחת פעולות מתקנות להגנת זכויותיהם של נושאי המידע. תוצאות אותן ביקורות יועברו לאדם או לגורם הנזכרים בנקודה (ח) ולדירקטוריון הארגון השולט באשכול החברות, או בקבוצת ההעסקים, העוסקת בפעילות כלכלית משותפת, ויהיו זמינים לרשות הפיקוח המוסמכת לפי בקשתה;
• (יא) המנגנונים לתיעוד ולדיווח על שינויים בכללים ולדיווח על השינויים לרשות הפיקוח;
• (יב) מנגנון שיתוף הפעולה עם רשות הפיקוח שנועד להבטיח את ציות החברות שבאשכול החברות, או בקבוצת העסקים העוסקת בפעילות כלכלית משותפת, במיוחד בהנגשת תוצאות אימותי האמצעים הנזכרים בנקודה (י) לרשות הפיקוח;
• (יג) המנגנונים לדיווח לרשות הפיקוח המוסמכת על דרישה חוקית החלה על חברה באשכול חברות, או בקבוצת המפעלים, העוסקת בפעילות כלכלית משותפת במדינה שלישית וצפויה לפגוע באופן מהותי בערובות שנקבעו בכללי התאגיד הכובלים; וכן
• (יד) הכשרת הגנת המידע ההולמת לבעלי תפקידים בעלי גישה ישירה או רגילה למידע אישי.

3. הוועדה רשאית לפרט את הפורמט ואת ההליכים לחילופי מידע בין בעלי שליטה, מעבדים ורשויות פיקוח בהתאם לכללי תאגיד מחייבים כמוגדר סעיף זה. פרקטיקות אלה יאומצו בהתאם להליך הבחירה המפורט בסעיף 93(2).

ניווט: