28 straipsnis

Duomenų tvarkytojas

  • Kai duomenys turi bÅ«ti tvarkomi duomenų valdytojo vardu, duomenų valdytojas pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu bÅ«du, kad duomenų tvarkymas atitiktų Å¡io reglamento reikalavimus ir bÅ«tų užtikrinta duomenų subjekto teisių apsauga.
  • Duomenų tvarkytojas nepasitelkia kito duomenų tvarkytojo be iÅ¡ankstinio konkretaus arba bendro raÅ¡ytinio duomenų valdytojo leidimo. Bendro raÅ¡ytinio leidimo atveju duomenų tvarkytojas informuoja duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, ir tokiu bÅ«du suteikdamas duomenų valdytojui galimybę nesutikti su tokiais pakeitimais.
  • Duomenų tvarkytojo atliekamas duomenų tvarkymas reglamentuojamas sutartimi ar kitu teisės aktu pagal Sąjungos arba valstybės narės teisę, kurie yra privalomi duomenų tvarkytojui duomenų valdytojo atžvilgiu ir kurioje nustatomi duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobÅ«dis ir tikslas, asmens duomenų rÅ«Å¡is ir duomenų subjektų kategorijos bei duomenų valdytojo prievolės ir teisės. Toje sutartyje ar kitame teisės akte visų pirma nustatoma, kad duomenų tvarkytojas:
    • a) tvarko asmens duomenis tik pagal duomenų valdytojo dokumentais įformintus nurodymus, įskaitant susijusius su asmens duomenų perdavimu į trečiąją valstybę ar tarptautinei organizacijai, iÅ¡skyrus atvejus, kai tai daryti reikalaujama pagal Sąjungos arba valstybės narės teisę, kuri yra taikoma duomenų tvarkytojui; tokiu atveju duomenų tvarkytojas prieÅ¡ pradėdamas tvarkyti duomenis praneÅ¡a apie tokį teisinį reikalavimą duomenų valdytojui, iÅ¡skyrus atvejus, kai pagal tą teisę toks praneÅ¡imas yra draudžiamas dėl svarbių vieÅ¡ojo intereso priežasčių;
    • b) užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys bÅ«tų įsipareigoję užtikrinti konfidencialumą arba jiems bÅ«tų taikoma atitinkama įstatais nustatyta konfidencialumo prievolė;
    • c) imasi visų priemonių, kurių reikalaujama pagal 32 straipsnį;
    • d) laikosi 2 ir 4 dalyse nurodytų kito duomenų tvarkytojo pasitelkimo sąlygų;
    • e) atsižvelgdamas į duomenų tvarkymo pobÅ«dį, padeda duomenų valdytojui taikydamas tinkamas technines ir organizacines priemones, kiek tai įmanoma, kad bÅ«tų įvykdyta duomenų valdytojo prievolė atsakyti į praÅ¡ymus pasinaudoti III skyriuje nustatytomis duomenų subjekto teisėmis;
    • f) padeda duomenų valdytojui užtikrinti 32–36 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdamas į duomenų tvarkymo pobÅ«dį ir duomenų tvarkytojo turimą informaciją;
    • g) pagal duomenų valdytojo pasirinkimą, užbaigus teikti su duomenų tvarkymu susijusias paslaugas, iÅ¡trina arba grąžina duomenų valdytojui visus asmens duomenis ir iÅ¡trina esamas jų kopijas, iÅ¡skyrus atvejus, kai Sąjungos ar valstybės narės teise reikalaujama asmens duomenis saugoti;
    • h) pateikia duomenų valdytojui visą informaciją, bÅ«tiną siekiant įrodyti, kad vykdomos Å¡iame straipsnyje nustatytos prievolės, ir sudaro sąlygas bei padeda duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus.
      Pirmos pastraipos h punkto atžvilgiu duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei, jo nuomone, nurodymas pažeidžia šį reglamentą ar kitas Sąjungos ar valstybės narės duomenų apsaugos nuostatas.
  • Kai duomenų tvarkytojas konkrečiai duomenų tvarkymo veiklai duomenų valdytojo vardu atlikti pasitelkia kitą duomenų tvarkytoją, sutartimi ar kitu teisės aktu pagal Sąjungos ar valstybės narės teisę tam kitam duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos 3 dalyje nurodytoje duomenų valdytojo ir duomenų tvarkytojo sutartyje ar kitame teisės akte, visų pirma prievolė pakankamai užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu bÅ«du, kad duomenų tvarkymas atitiktų Å¡io reglamento reikalavimus. Kai tas kitas duomenų tvarkytojas nevykdo duomenų apsaugos prievolių, pirminis duomenų tvarkytojas iÅ¡lieka visiÅ¡kai atsakingas duomenų valdytojui už to kito duomenų tvarkytojo prievolių vykdymą.
  • Tuo, kad duomenų tvarkytojas laikosi patvirtinto elgesio kodekso, kaip nurodyta 40 straipsnyje, arba patvirtinto sertifikavimo mechanizmo, kaip nurodyta 42 straipsnyje, gali bÅ«ti remiamasi kaip vienu iÅ¡ elementų, kuriuo siekiama įrodyti pakankamą užtikrinimą, kaip nurodyta Å¡io straipsnio 1 ir 4 dalyse.
  • Nedarant poveikio atskirai duomenų valdytojo ir duomenų tvarkytojo sutarčiai, Å¡io straipsnio 3 ir 4 dalyse nurodyta sutartis ar kitas teisės aktas visas arba iÅ¡ dalies gali bÅ«ti grindžiamas standartinėmis sutarčių sąlygomis, nurodytomis Å¡io straipsnio 7 ir 8 dalyse, įskaitant kai jos yra pagal 42 ir 43 straipsnius duomenų valdytojui ar duomenų tvarkytojui suteikiamo sertifikavimo dalis.
  • Komisija Å¡io straipsnio 3 ir 4 dalyse nurodytais klausimais gali nustatyti standartines sutarčių sąlygas, laikydamasi 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedÅ«ros.
  • PriežiÅ«ros institucija Å¡io straipsnio 3 ir 4 dalyse nurodytais klausimais gali nustatyti standartines sutarčių sąlygas, taikydama 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.
  • 3 ir 4 dalyse nurodyta sutartis ar kitas teisės aktas sudaromas raÅ¡tu, įskaitant elektronine forma.
  • Nedarant poveikio 82, 83 ir 84 straipsniams, jei duomenų tvarkytojas nustatydamas duomenų tvarkymo tikslus ir priemones pažeidžia šį reglamentą, to duomenų tvarkymo atžvilgiu duomenų tvarkytojas yra laikomas duomenų valdytoju.