Artikkel 28

Volitatud töötleja

  • Kui töödeldakse vastutava töötleja nimel, kasutab vastutav töötleja ainult selliseid volitatud töötlejaid, kes annavad piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastab kĂ€esoleva mÀÀruse nĂ”uetele ja sealjuures tagatakse andmesubjekti Ă”iguste kaitse.
  • Volitatud töötleja ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva konkreetse vĂ”i ĂŒldise kirjaliku loata. Üldise kirjaliku loa korral teavitab volitatud töötleja vastutavat töötlejat kĂ”igist kavandatavatest muudatustest, mis puudutavad teiste volitatud töötlejate lisamist vĂ”i asendamist, andes seelĂ€bi vastutavale töötlejale vĂ”imaluse esitada selliste muudatuste suhtes vastuvĂ€iteid.
  • Volitatud töötleja töötleb andmeid volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu vĂ”i liidu vĂ”i liikmesriigi Ă”iguse kohase siduva Ă”igusakti alusel, mis on volitatud töötleja suhtes siduv ning milles sĂ€testatakse töötlemise sisu ja kestus, töötlemise laad ja eesmĂ€rk, isikuandmete liik ja andmesubjektide kategooriad, vastutava töötleja kohustused ja Ă”igused. KĂ”nealuses lepingus vĂ”i muus Ă”igusaktis sĂ€testatakse eelkĂ”ige see, et volitatud töötleja:
    • a) töötleb isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, sealhulgas seoses isikuandmete edastamisega kolmandale riigile vĂ”i rahvusvahelisele organisatsioonile, vĂ€lja arvatud juhul, kui ta on kohustatud seda tegema volitatud töötleja suhtes kohaldatava liidu vĂ”i liikmesriigi Ă”igusega; sellisel juhul teatab volitatud töötleja selle Ă”igusliku nĂ”ude enne isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole olulise avaliku huvi tĂ”ttu kĂ”nealuse Ă”igusega keelatud;
    • b) tagab, et isikuandmeid töötlema volitatud isikud on kohustunud jĂ€rgima konfidentsiaalsusnĂ”uet vĂ”i nende suhtes kehtib asjakohane pĂ”hikirjajĂ€rgne konfidentsiaalsuskohustus;
    • c) vĂ”tab kĂ”ik artikli 32 kohaselt nĂ”utavad meetmed;
    • d) jĂ€rgib lĂ”igetes 2 ja 4 osutatud tingimusi teise volitatud töötleja kaasamiseks;
    • e) vĂ”ttes arvesse isikuandmete töötlemise laadi, aitab vĂ”imaluse piires vastutaval töötlejal asjakohaste tehniliste ja korralduslike meetmete abil tĂ€ita vastutava töötleja kohustust vastata taotlustele III peatĂŒkis sĂ€testatud andmesubjekti Ă”iguste teostamiseks;
    • f) aitab vastutaval töötlejal tĂ€ita artiklites 32–36 sĂ€testatud kohustusi, vĂ”ttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kĂ€ttesaadavat teavet;
    • g) pĂ€rast andmetöötlusteenuste osutamise lĂ”ppu kustutab vĂ”i tagastab vastutavale töötlejale vastutava töötleja valikul kĂ”ik isikuandmed ja kustutab olemasolevad koopiad, vĂ€lja arvatud juhul, kui liidu vĂ”i liikmesriigi Ă”iguse kohaselt nĂ”utakse andmete sĂ€ilitamist;
    • h) teeb vastutavale töötlejale kĂ€ttesaadavaks kogu teabe, mis on vajalik kĂ€esolevas artiklis sĂ€testatud kohustuste tĂ€itmise tĂ”endamiseks, ning vĂ”imaldab vastutaval töötlejal vĂ”i tema poolt volitatud muul audiitoril teha auditeid, sealhulgas kontrolle, ja panustab sellesse.
      Esimese lÔigu punkti h osas teavitab volitatud töötleja vastutavat töötlejat kohe, kui korraldus lÀheb tema arvates vastuollu kÀesoleva mÀÀruse vÔi liikmesriigi vÔi liidu muude andmekaitsealaste sÀtetega.
  • Kui volitatud töötleja kaasab vastutava töötleja nimel konkreetsete isikuandmete töötlemise toimingute tegemiseks teise volitatud töötleja, nĂ€hakse lepingus vĂ”i muus liidu vĂ”i liikmesriigi Ă”iguse kohases Ă”igusaktis asjaomase teise volitatud töötleja suhtes ette samad andmekaitsekohustused, mis on sĂ€testatud lĂ”ikes 3 osutatud vastutava töötleja ja volitatud töötleja vahelises lepingus vĂ”i muus Ă”igusaktis; eelkĂ”ige annab see piisava tagatise, et rakendatakse asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastaks kĂ€esoleva mÀÀruse nĂ”uetele. Kui see teine volitatud töötleja ei tĂ€ida oma andmekaitsekohustusi, jÀÀb algne volitatud töötleja vastutava töötleja ees tĂ€ielikult vastutavaks kĂ”nealuse teise volitatud töötleja kohustuste tĂ€itmise eest.
  • Volitatud töötleja poolt artiklis 40 osutatud heakskiidetud toimimisjuhendite vĂ”i artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi jĂ€rgimist vĂ”ib kasutada elemendina selleks, et tĂ”endada kĂ€esoleva artikli lĂ”igetes 1 ja 4 osutatud piisava tagatise olemasolu.
  • Ilma et see mĂ”jutaks vastutava töötleja ja volitatud töötleja vahelist individuaalset lepingut, vĂ”ib kĂ€esoleva artikli lĂ”igetes 3 ja 4 osutatud leping vĂ”i muu Ă”igusliku toimega dokument pĂ”hineda tĂ€ielikult vĂ”i osaliselt kĂ€esoleva artikli lĂ”igetes 7 ja 8 osutatud lepingu tĂŒĂŒptingimustel, sealhulgas kui need on osa vastutavale töötlejale vĂ”i volitatud töötlejale artiklite 42 ja 43 kohaselt antud sertifikaadist.
  • Komisjon vĂ”ib sĂ€testada lepingu tĂŒĂŒptingimused kĂ€esoleva artikli lĂ”igetes 3 ja 4 osutatud kĂŒsimustes ja kooskĂ”las artikli 93 lĂ”ikes 2 osutatud kontrollimenetlusega.
  • JĂ€relevalveasutus vĂ”ib vastu vĂ”tta lepingu tĂŒĂŒptingimused kĂ€esoleva artikli lĂ”igetes 3 ja 4 osutatud kĂŒsimustes ja kooskĂ”las artiklis 63 osutatud jĂ€rjepidevuse mehhanismiga.
  • LĂ”igetes 3 ja 4 osutatud leping vĂ”i muu Ă”igusliku toimega dokument peab olema kirjalik, sealhulgas elektroonilisel kujul.
  • Kui volitatud töötleja mÀÀrab kĂ€esolevat mÀÀrust rikkudes andmete töötlemise eesmĂ€rgid ja vahendid, siis loetakse volitatud töötleja selle töötlemise suhtes vastutavaks töötlejaks, ilma et see piiraks artiklite 82, 83 ja 84 kohaldamist.