28 artikla

Henkilötietojen käsittelijä

  • Jos k√§sittely on m√§√§r√§ suorittaa rekisterinpit√§j√§n lukuun, rekisterinpit√§j√§ saa k√§ytt√§√§ ainoastaan sellaisia henkil√∂tietojen k√§sittelij√∂it√§, jotka toteuttavat riitt√§v√§t suojatoimet asianmukaisten teknisten ja organisatoristen toimien t√§yt√§nt√∂√∂npanemiseksi niin, ett√§ k√§sittely t√§ytt√§√§ t√§m√§n asetuksen vaatimukset ja sill√§ varmistetaan rekister√∂idyn oikeuksien suojelu.
  • Henkil√∂tietojen k√§sittelij√§ ei saa k√§ytt√§√§ toisen henkil√∂tietojen k√§sittelij√§n palveluksia ilman rekisterinpit√§j√§n erityist√§ tai yleist√§ kirjallista ennakkolupaa. Kun kyse on kirjallisesta ennakkoluvasta, henkil√∂tietojen k√§sittelij√§n on tiedotettava rekisterinpit√§j√§lle kaikista suunnitelluista muutoksista, jotka koskevat muiden henkil√∂tietojen k√§sittelij√∂iden lis√§√§mist√§ tai vaihtamista, ja annettava siten rekisterinpit√§j√§lle mahdollisuus vastustaa t√§llaisia muutoksia.
  • Henkil√∂tietojen k√§sittelij√§n suorittamaa k√§sittely√§ on m√§√§ritett√§v√§ sopimuksella tai muulla unionin oikeuden tai j√§senvaltion lains√§√§d√§nn√∂n mukaisella oikeudellisella asiakirjalla, joka sitoo henkil√∂tietojen k√§sittelij√§√§ suhteessa rekisterinpit√§j√§√§n ja jossa vahvistetaan k√§sittelyn kohde ja kesto, k√§sittelyn luonne ja tarkoitus, henkil√∂tietojen tyyppi ja rekister√∂ityjen ryhm√§t, rekisterinpit√§j√§n velvollisuudet ja oikeudet. T√§ss√§ sopimuksessa tai muussa oikeudellisessa asiakirjassa on s√§√§dett√§v√§ erityisesti, ett√§ henkil√∂tietojen k√§sittelij√§
    • a) k√§sittelee henkil√∂tietoja ainoastaan rekisterinpit√§j√§n antamien dokumentoitujen ohjeiden mukaisesti, mik√§ koskee my√∂s henkil√∂tietojen siirtoja kolmanteen maahan tai kansainv√§liselle j√§rjest√∂lle, paitsi jos henkil√∂tietojen k√§sittelij√§√§n sovellettavassa unionin oikeudessa tai j√§senvaltion lains√§√§d√§nn√∂ss√§ toisin vaaditaan, miss√§ tapauksessa henkil√∂tietojen k√§sittelij√§ tiedottaa rekisterinpit√§j√§lle t√§st√§ oikeudellisesta vaatimuksesta ennen k√§sittely√§, paitsi jos t√§llainen tiedottaminen kiellet√§√§n kyseisess√§ laissa yleist√§ etua koskevien t√§rkeiden syiden vuoksi;
    • b) varmistaa, ett√§ henkil√∂t, joilla on oikeus k√§sitell√§ henkil√∂tietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heit√§ koskee asianmukainen lakis√§√§teinen salassapitovelvollisuus;
    • c) toteuttaa kaikki 32 artiklassa vaaditut toimenpiteet;
    • d) noudattaa 2 ja 4 kohdassa tarkoitettuja toisen henkil√∂tietojen k√§sittelij√§n k√§yt√∂n edellytyksi√§;
    • e) ottaen huomioon k√§sittelytoimen luonteen auttaa rekisterinpit√§j√§√§ asianmukaisilla teknisill√§ ja organisatorisilla toimenpiteill√§ mahdollisuuksien mukaan t√§ytt√§m√§√§n rekisterinpit√§j√§n velvollisuuden vastata pyynt√∂ihin, jotka koskevat III luvussa s√§√§dettyjen rekister√∂idyn oikeuksien k√§ytt√§mist√§;
    • f) auttaa rekisterinpit√§j√§√§ varmistamaan, ett√§ 32‚Äď36 artiklassa s√§√§dettyj√§ velvollisuuksia noudatetaan ottaen huomioon k√§sittelyn luonteen ja henkil√∂tietojen k√§sittelij√§n saatavilla olevat tiedot;
    • g) rekisterinpit√§j√§n valinnan mukaan poistaa tai palauttaa k√§sittelyyn liittyvien palveluiden tarjoamisen p√§√§tytty√§ kaikki henkil√∂tiedot rekisterinpit√§j√§lle ja poistaa olemassa olevat j√§ljenn√∂kset, paitsi jos unionin oikeudessa tai j√§senvaltion lains√§√§d√§nn√∂ss√§ vaaditaan s√§ilytt√§m√§√§n henkil√∂tiedot;
    • h) saattaa rekisterinpit√§j√§n saataville kaikki tiedot, jotka ovat tarpeen t√§ss√§ artiklassa s√§√§dettyjen velvollisuuksien noudattamisen osoittamista varten, ja sallii rekisterinpit√§j√§n tai muun rekisterinpit√§j√§n valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sek√§ osallistuu niihin.
      Ensimmäisen alakohdan h alakohdan osalta henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos hän katsoo, että ohjeistus rikkoo tätä asetusta tai muita unionin tai jäsenvaltion tietosuojasäännöksiä.
  • Kun henkil√∂tietojen k√§sittelij√§ k√§ytt√§√§ toisen henkil√∂tietojen k√§sittelij√§n palveluksia erityisten k√§sittelytoimintojen suorittamiseksi rekisterinpit√§j√§n puolesta, kyseiseen toiseen henkil√∂tietojen k√§sittelij√§√§n sovelletaan sopimuksen tai unionin oikeuden tai j√§senvaltion lains√§√§d√§nn√∂n mukaisen muun oikeudellisen asiakirjan mukaisesti samoja tietosuojavelvoitteita kuin ne, jotka on vahvistettu 3 kohdassa tarkoitetussa rekisterinpit√§j√§n ja henkil√∂tietojen k√§sittelij√§n v√§lisess√§ sopimuksessa tai muussa oikeudellisessa asiakirjassa erityisesti antaen riitt√§v√§t takeet siit√§, ett√§ k√§sittelyyn liittyv√§t asianmukaiset tekniset ja organisatoriset toimet toteutetaan niin, ett√§ k√§sittely t√§ytt√§√§ t√§m√§n asetuksen vaatimukset. Kun toinen henkil√∂tietojen k√§sittelij√§ ei t√§yt√§ tietosuojavelvoitteitaan, alkuper√§inen henkil√∂tietojen k√§sittelij√§ on edelleen t√§ysim√§√§r√§isesti vastuussa toisen henkil√∂tietojen k√§sittelij√§n velvoitteiden suorittamisesta suhteessa rekisterinpit√§j√§√§n.
  • J√§ljemp√§n√§ 40 artiklassa tarkoitettujen hyv√§ksyttyjen k√§yt√§nnes√§√§nt√∂jen tai 42 artiklassa tarkoitetun hyv√§ksytyn sertifiointimekanismin noudattamista voidaan k√§ytt√§√§ osatekij√§n√§, jolla osoitetaan, ett√§ t√§m√§n artiklan 1 ja 4 kohdassa tarkoitetut riitt√§v√§t takeet on annettu.
  • Sanotun rajoittamatta rekisterinpit√§j√§n ja henkil√∂tietojen k√§sittelij√§n yksitt√§ist√§ sopimusta, t√§m√§n artiklan 3 ja 4¬†kohdassa tarkoitettu sopimus tai muu oikeudellinen asiakirja voi perustua kokonaan tai osittain t√§m√§n artiklan 7 ja 8¬†kohdassa tarkoitettuihin vakiosopimuslausekkeisiin; t√§m√§ koskee my√∂s tilannetta, jossa ne ovat osa rekisterinpit√§j√§lle tai henkil√∂tietojen k√§sittelij√§lle 42 tai 43 artiklan mukaisesti my√∂nnetty√§ sertifiointia.
  • Komissio voi laatia vakiosopimuslausekkeita t√§m√§n artiklan 3 ja 4 kohdassa tarkoitettuja seikkoja varten ja 93¬†artiklan 2 kohdassa tarkoitettua tarkastelumenettely√§ noudattaen.
  • Valvontaviranomainen voi hyv√§ksy√§ vakiosopimuslausekkeita t√§m√§n artiklan 3 ja 4 kohdassa tarkoitettuja seikkoja varten ja 63 artiklassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti.
  • Edell√§ 3 ja 4 kohdassa tarkoitetun sopimuksen tai muun oikeudellisen asiakirjan on oltava kirjallinen, mukaan lukien s√§hk√∂isess√§ muodossa.
  • Jos henkil√∂tietojen k√§sittelij√§ rikkoo t√§t√§ asetusta m√§√§ritt√§m√§ll√§ k√§sittelyn tarkoitukset ja keinot, kyseist√§ henkil√∂tietojen k√§sittelij√§√§ on pidett√§v√§ t√§m√§n k√§sittelyn rekisterinpit√§j√§n√§, sanotun kuitenkaan rajoittamatta 82, 83 ja 84 artiklan soveltamista.