Статья 28

Процессор

  • Если обработка будет осуществляться от имени контроллера, контроллер должен использовать только процессоры, предоставляющие достаточные гарантии внедрения соответствующих технических и организационных мер таким образом, чтобы обработка соответствовала требованиям настоящего Положения и обеспечивала защиту прав субъекта данных.
  • Обработчик не должен привлекать другого обработчика без предварительного специального или общего письменного разрешения контроллера. В случае общего письменного разрешения обработчик должен информировать контролера о любых предполагаемых изменениях, касающихся добавления или замены других обработчиков, предоставляя тем самым контролеру возможность возразить против таких изменений.
  • Обработка процессором должна регулироваться договором или другим правовым актом в соответствии с законодательством Союза или государства-члена, который является обязательным для процессора по отношению к контролеру и в котором определены предмет и продолжительность обработки, характер и цель обработки, тип персональных данных и категории субъектов данных, а также обязанности и права контролера. Этот договор или иной правовой акт должен предусматривать, в частности, что обработчик:
    • (a) обрабатывает персональные данные только по документированным инструкциям контроллера, в том числе в отношении передачи персональных данных в третью страну или международную организацию, если только этого не требует законодательство Союза или государства-члена, которому подчиняется обработчик; в таком случае обработчик должен проинформировать контроллера об этом требовании законодательства до начала обработки, если только это законодательство не запрещает такую информацию по важным соображениям общественного интереса;
    • (b) гарантирует, что лица, уполномоченные обрабатывать персональные данные, обязались соблюдать конфиденциальность или находятся под соответствующим законодательным обязательством о соблюдении конфиденциальности;
    • (c) принимает все меры, требуемые в соответствии со Статьей 32;
    • (d) соблюдает условия, указанные в параграфах 2 и 4, для привлечения другого обработчика;
    • (e) принимая во внимание характер обработки, помогает контроллеру с помощью соответствующих технических и организационных мер, насколько это возможно, для выполнения обязанности контроллера отвечать на запросы по осуществлению прав субъекта данных, изложенных в Главе III;
    • (f) помогает контроллеру обеспечить соблюдение обязательств в соответствии со Статьями 32-36, принимая во внимание характер обработки и информацию, доступную обработчику;
    • (g) по выбору контролера удаляет или возвращает все персональные данные контролеру после окончания предоставления услуг, связанных с обработкой, и удаляет существующие копии, если только законодательство Союза или государства-члена не требует хранения персональных данных;
    • (h) предоставляет контролеру всю информацию, необходимую для демонстрации соблюдения обязательств, изложенных в данной Статье, а также позволяет проводить аудиторские проверки, включая инспекции, проводимые контролером или другим аудитором, уполномоченным контролером, и способствует их проведению.
      Что касается пункта (h) первого подпараграфа, обработчик должен немедленно сообщить контролеру, если, по его мнению, инструкция нарушает данный Регламент или другие положения Союза или государства-члена о защите данных.
  • Если процессор нанимает другого процессора для выполнения конкретных действий по обработке от имени контроллера, на этого другого процессора возлагаются те же обязательства по защите данных, которые изложены в договоре или другом правовом акте между контроллером и процессором, упомянутом в пункте 3, посредством договора или другого правового акта в соответствии с законодательством Союза или государства-члена, в частности, предоставление достаточных гарантий применения соответствующих технических и организационных мер таким образом, что обработка будет соответствовать требованиям настоящего Положения. Если этот другой обработчик не выполняет свои обязательства по защите данных, первоначальный обработчик остается полностью ответственным перед контролером за выполнение обязательств этого другого обработчика.
  • Приверженность переработчика утвержденному кодексу поведения, указанному в Статье 40, или утвержденному механизму сертификации, указанному в Статье 42, может использоваться в качестве элемента, демонстрирующего достаточные гарантии, указанные в параграфах 1 и 4 настоящей Статьи.
  • Без ущерба для индивидуального договора между контролером и обработчиком, договор или другой правовой акт, упомянутый в пунктах 3 и 4 настоящей Статьи, может быть полностью или частично основан на стандартных договорных положениях, упомянутых в пунктах 7 и 8 настоящей Статьи, в том числе, когда они являются частью сертификации, предоставленной контролеру или обработчику в соответствии со Статьями 42 и 43.
  • Комиссия может установить стандартные договорные положения по вопросам, упомянутым в параграфах 3 и 4 настоящей статьи, и в соответствии с процедурой экспертизы, упомянутой в Статье 93(2).
  • Надзорный орган может принять стандартные договорные положения по вопросам, указанным в параграфах 3 и 4 данной статьи, и в соответствии с механизмом согласованности, упомянутым в Статье 63.
  • Договор или иной юридический акт, указанный в параграфах 3 и 4, должен быть заключен в письменной форме, в том числе в электронной форме.
  • Без ущерба для Статей 82, 83 и 84, если обработчик нарушает настоящий Регламент, определяя цели и средства обработки, он должен считаться контролером в отношении этой обработки.

This page is a part of Regulation (EU) 2016/679 (General Data Protection Regulation) of the European Parliament and of the Council of 27 April 2016 in the current version of the OJ L 119, 4.5.2016. Open Full PDF Document

About | Privacy Policy
Rate us:
Ø 4.9 / 4172 Votes
Please wait...