28. pants

Apstrādātājs

  • GadÄ«jumos, kad apstrāde ir jāveic pārziņa vārdā, pārzinis izmanto tikai tādus apstrādātājus, kas sniedz pietiekamas garantijas, ka tiks Ä«stenoti atbilstoÅ¡i tehniskie un organizatoriskie pasākumi tādā veidā, ka apstrādē tiks ievērotas Å¡Ä«s regulas prasÄ«bas un tiks nodroÅ¡ināta datu subjekta tiesÄ«bu aizsardzÄ«ba.
  • Apstrādātājs bez iepriekšējas konkrētas vai vispārējas rakstiskas pārziņa atļaujas nepiesaista citu apstrādātāju. Vispārējas rakstiskas atļaujas gadÄ«jumā apstrādātājs informē pārzini par jebkādām iecerētām pārmaiņām saistÄ«bā ar papildu apstrādātāju vai apstrādātāja aizstāšanu, tādējādi sniedzot pārzinim iespēju iebilst pret šādām izmaiņām.
  • Apstrādi, ko veic apstrādātājs, reglamentē ar lÄ«gumu vai ar citu juridisku aktu saskaņā ar SavienÄ«bas vai dalÄ«bvalsts tiesÄ«bu aktiem, kas ir saistoÅ¡s apstrādātājam un pārzinim un kurā norāda lÄ«guma priekÅ¡metu un apstrādes ilgumu, apstrādes raksturu un nolÅ«ku, personas datu veidu un datu subjektu kategorijas un pārziņa pienākumus un tiesÄ«bas. Minētais lÄ«gums vai cits juridiskais akts jo Ä«paÅ¡i paredz, ka apstrādātājs:
    • a) personas datus apstrādā tikai pēc pārziņa dokumentētiem norādÄ«jumiem, tostarp saistÄ«bā ar nosÅ«tÄ«Å¡anu uz treÅ¡o valsti vai starptautisku organizāciju, izņemot, ja tas ir jādara saskaņā ar SavienÄ«bas vai dalÄ«bvalsts tiesÄ«bu aktiem, kas piemērojami apstrādātājam, un šādā gadÄ«jumā apstrādātājs par minēto juridisko prasÄ«bu informē pārzini pirms apstrādes, izņemot, ja ar attiecÄ«go tiesÄ«bu aktu šāda informēšana ir aizliegta svarÄ«gu sabiedrÄ«bas intereÅ¡u dēļ;
    • b) nodroÅ¡ina, ka personas, kuras ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecÄ«gs likumisks pienākums ievērot konfidencialitāti;
    • c) Ä«steno visus pasākumus, kas nepiecieÅ¡ami saskaņā ar 32. pantu;
    • d) ievēro 2. un 4. punktā minētos nosacÄ«jumus, saskaņā ar kuriem tiek piesaistÄ«ts cits apstrādātājs;
    • e) ciktāl tas ir iespējams ņemot vērā apstrādes bÅ«tÄ«bu, palÄ«dz pārzinim ar atbilstÄ«giem tehniskiem un organizatoriskiem pasākumiem, kas nodroÅ¡ina, ka pārzinis var izpildÄ«t savu pienākumu atbildēt uz pieprasÄ«jumiem par III nodaļā paredzēto datu subjekta tiesÄ«bu Ä«stenoÅ¡anu;
    • f) palÄ«dz pārzinim nodroÅ¡ināt 32. lÄ«dz 36. pantā minēto pienākumu izpildi, ņemot vērā apstrādes veidu un apstrādātājam pieejamo informāciju;
    • g) pēc apstrādes pakalpojumu sniegÅ¡anas pabeigÅ¡anas pēc pārziņa izvēles dzēš vai atdod visus personas datus un dzēš esošās kopijas, ja vien SavienÄ«bas vai dalÄ«bvalsts tiesÄ«bu aktos nav paredzēta personas datu glabāšana;
    • h) pārzinim dara pieejamu visu informāciju, kas nepiecieÅ¡ama, lai apliecinātu, ka tiek pildÄ«ti Å¡ajā pantā paredzētie pienākumi, un lai ļautu pārzinim vai citam pārziņa pilnvarotam revidentam veikt revÄ«zijas, tostarp pārbaudes, un sniegtu tajās ieguldÄ«jumu.
      Attiecībā uz pirmās daļas h) apakšpunktu apstrādātājs nekavējoties informē pārzini, ja, viņaprāt, kāds norādījums pārkāpj šo regulu vai citus Savienības vai dalībvalstu datu aizsardzības noteikumus.
  • Ja apstrādātājs ar lÄ«gumu vai citu juridisku aktu saskaņā ar SavienÄ«bas vai dalÄ«bvalsts tiesÄ«bu aktiem piesaista citu apstrādātāju konkrētu apstrādes darbÄ«bu veikÅ¡anai pārziņa vārdā, Å¡im citam apstrādātājam nosaka tos paÅ¡us datu aizsardzÄ«bas pienākumus, kas noteikti lÄ«gumā vai citā juridiskā aktā, kas noslēgts starp pārzini un apstrādātāju, kā minēts 3. punktā, jo Ä«paÅ¡i pietiekami garantējot, ka tiks Ä«stenoti piemēroti tehniskie un organizatoriskie pasākumi tādā veidā, lai apstrādē tiktu ievērotas Å¡ajā regulā noteiktās prasÄ«bas. Ja minētais cits apstrādātājs nepilda savus datu aizsardzÄ«bas pienākumus, sākotnējais apstrādātājs paliek pilnÄ«bā atbildÄ«gs pārzinim par šā cita apstrādātāja pienākumu izpildi.
  • Apstrādātāja atbilstÄ«bu apstiprinātam rÄ«cÄ«bas kodeksam, kā minēts 40. pantā, vai apstiprinātam sertifikācijas mehānismam, kā minēts 42. pantā, var izmantot kā elementu, ar ko apliecina šā panta 1. un 4. punktā minētās pietiekamās garantijas.
  • Neskarot atseviÅ¡Ä·u lÄ«gumu starp pārzini un apstrādātāju, šā panta 3. un 4. punktā minēto lÄ«gumu vai citu juridisku aktu var pilnÄ«bā vai daļēji balstÄ«t uz šā panta 7. un 8. punktā minētajām lÄ«guma standartklauzulām, tostarp ja tās ir daļa no sertifikāta, kurÅ¡ pārzinim vai apstrādātājam pieÅ¡Ä·irts saskaņā ar 42. un 43. pantu.
  • Komisija var izstrādāt lÄ«guma standartklauzulas šā panta 3. un 4. punktā minētajiem jautājumiem saskaņā ar pārbaudes procedÅ«ru, kas minēta 93. panta 2. punktā.
  • UzraudzÄ«bas iestāde var pieņemt lÄ«guma standartklauzulas šā panta 3. un 4. punktā minētajiem jautājumiem saskaņā ar konsekvences mehānismu, kas minēts 63. pantā.
  • Šā panta 3. un 4. punktā minētais lÄ«gums vai cits juridiskais akts ir sagatavots rakstiskā formā, tostarp elektroniski.
  • Neskarot 82., 83. un 84. pantu – ja apstrādātājs pārkāpj Å¡o regulu, nosakot apstrādes nolÅ«kus un lÄ«dzekļus, apstrādātāju uzskata par pārzini attiecÄ«bā uz minēto apstrādi.