Artikel 28

Databehandler

  • Hvis en behandling skal foretages p√• vegne af en dataansvarlig, benytter den dataansvarlige udelukkende databehandlere, der kan stille de forn√łdne garantier for, at de vil gennemf√łre de passende tekniske og organisatoriske foranstaltninger p√• en s√•dan m√•de, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder.
  • Databehandleren m√• ikke g√łre brug af en anden databehandler uden forudg√•ende specifik eller generel skriftligt godkendelse fra den dataansvarlige. I tilf√¶lde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte √¶ndringer vedr√łrende tilf√łjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at g√łre indsigelse mod s√•danne √¶ndringer.
  • En databehandlers behandling skal v√¶re reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og der fasts√¶tter genstanden for og varigheden af behandlingen, behandlingens karakter og form√•l, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. Denne kontrakt eller dette andet retlige dokument fasts√¶tter navnlig, at databehandleren:
    • a) kun m√• behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for s√• vidt ang√•r overf√łrsel af personoplysninger til et tredjeland eller en international organisation, medmindre det kr√¶ves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i s√• fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den p√•g√¶ldende ret forbyder en s√•dan underretning af hensyn til vigtige samfundsm√¶ssige interesser
    • b) sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt
    • c) iv√¶rks√¶tter alle foranstaltninger, som kr√¶ves i henhold til artikel 32
    • d) opfylder de betingelser, der er omhandlet i stk. 2 og 4, for at g√łre brug af en anden databehandler
    • e) under hensyntagen til behandlingens karakter, s√• vidt muligt bist√•r den dataansvarlige ved hj√¶lp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om ud√łvelse af de registreredes rettigheder som fastlagt i kapitel III
    • f) bist√•r den dataansvarlige med at sikre overholdelse af forpligtelserne i medf√łr af artikel¬†32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilg√¶ngelige for databehandleren
    • g) efter den dataansvarliges valg sletter eller tilbageleverer alle personoplysninger til den dataansvarlige, efter at tjenesterne vedr√łrende behandling er oph√łrt, og sletter eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne
    • h) stiller alle oplysninger, der er n√łdvendige for at p√•vise overholdelse af kravene i denne artikel, til r√•dighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
      For s√• vidt ang√•r f√łrste afsnit, litra h), underretter databehandleren omg√•ende den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
  • G√łr en databehandler brug af en anden databehandler i forbindelse med udf√łrelse af specifikke behandlingsaktiviteter p√• vegne af den dataansvarlige, p√•l√¶gges denne anden databehandler de samme databeskyttelsesforpligtelser som dem, der er fastsat i kontrakten eller et andet retligt dokument mellem den dataansvarlige og databehandleren som omhandlet i stk. 3, gennem en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de forn√łdne garantier for, at de vil gennemf√łre de passende tekniske og organisatoriske foranstaltninger p√• en s√•dan m√•de, at behandlingen opfylder kravene i denne forordning. Hvis denne anden databehandler ikke opfylder sine databeskyttelsesforpligtelser, forbliver den oprindelige databehandler fuldt ansvarlig over for den dataansvarlige for opfyldelsen af denne anden databehandlers forpligtelser.
  • En databehandlers overholdelse af en godkendt adf√¶rdskodeks som omhandlet i artikel 40 eller en godkendt certificeringsmekanisme som omhandlet i artikel 42 kan bruges som et element til at p√•vise forn√łdne garantier som omhandlet i n√¶rv√¶rende artikels stk. 1 og 4.
  • Uden at det ber√łrer en individuel kontrakt mellem den dataansvarlige og databehandleren, kan kontrakten eller det andet retlige dokument, der er omhandlet i denne artikels stk.¬†3 og 4, helt eller delvis baseres p√• de standardkontraktbestemmelser, der er anf√łrt i denne artikels stk.¬†7 og 8, herunder n√•r de indg√•r i en certificering, der er meddelt den dataansvarlige eller databehandleren i henhold til artikel¬†42 og 43.
  • Kommissionen kan fasts√¶tte standardkontraktbestemmelser i de tilf√¶lde, der er omhandlet i denne artikels stk.¬†3 og 4, og i overensstemmelse med unders√łgelsesproceduren, der er omhandlet i artikel¬†93, stk.¬†2.
  • En tilsynsmyndighed kan vedtage standardkontraktbestemmelser i de tilf√¶lde, der er omhandlet i denne artikels stk.¬†3 og 4, og i overensstemmelse med sammenh√¶ngsmekanismen, der er omhandlet i artikel¬†63.
  • Kontrakten eller det andet retlige dokument, der er omhandlet i stk.¬†3 og 4, skal foreligge skriftligt, herunder elektronisk.
  • Hvis en databehandler overtr√¶der denne forordning ved at fastl√¶gge form√•lene med og hj√¶lpemidlerne til behandling, anses databehandleren for at v√¶re en dataansvarlig for s√• vidt ang√•r den p√•g√¶ldende behandling, uden at dette ber√łrer artikel 82, 83 og 84.