Artikel 28

PersonuppgiftsbitrÀden

  • Om en behandling ska genomföras pĂ„ en personuppgiftsansvarigs vĂ€gnar ska den personuppgiftsansvarige endast anlita personuppgiftsbitrĂ€den som ger tillrĂ€ckliga garantier om att genomföra lĂ€mpliga tekniska och organisatoriska Ă„tgĂ€rder pĂ„ ett sĂ„dant sĂ€tt att behandlingen uppfyller kraven i denna förordning och sĂ€kerstĂ€ller att den registrerades rĂ€ttigheter skyddas.
  • PersonuppgiftsbitrĂ€det fĂ„r inte anlita ett annat personuppgiftsbitrĂ€de utan att ett sĂ€rskilt eller allmĂ€nt skriftligt förhandstillstĂ„nd har erhĂ„llits av den personuppgiftsansvarige. Om ett allmĂ€nt skriftligt tillstĂ„nd har erhĂ„llits, ska personuppgiftsbitrĂ€det informera den personuppgiftsansvarige om eventuella planer pĂ„ att anlita nya personuppgiftsbitrĂ€den eller ersĂ€tta personuppgiftsbitrĂ€den, sĂ„ att den personuppgiftsansvarige har möjlighet att göra invĂ€ndningar mot sĂ„dana förĂ€ndringar.
  • NĂ€r uppgifter behandlas av ett personuppgiftsbitrĂ€de ska hanteringen regleras genom ett avtal eller en annan rĂ€ttsakt enligt unionsrĂ€tten eller enligt medlemsstaternas nationella rĂ€tt som Ă€r bindande för personuppgiftsbitrĂ€det med avseende pĂ„ den personuppgiftsansvarige och i vilken föremĂ„let för behandlingen, behandlingens varaktighet, art och Ă€ndamĂ„l, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och rĂ€ttigheter anges. I det avtalet eller den rĂ€ttsakten ska det sĂ€rskilt föreskrivas att personuppgiftsbitrĂ€det
    • a) endast fĂ„r behandla personuppgifter pĂ„ dokumenterade instruktioner frĂ„n den personuppgiftsansvarige, inbegripet nĂ€r det gĂ€ller överföringar av personuppgifter till ett tredjeland eller en internationell organisation, sĂ„vida inte denna behandling krĂ€vs enligt unionsrĂ€tten eller enligt en medlemsstats nationella rĂ€tt som personuppgiftsbitrĂ€det omfattas av, och i sĂ„ fall ska personuppgiftsbitrĂ€det informera den personuppgiftsansvarige om det rĂ€ttsliga kravet innan uppgifterna behandlas, sĂ„vida sĂ„dan information inte Ă€r förbjuden med hĂ€nvisning till ett viktigt allmĂ€nintresse enligt denna rĂ€tt,
    • b) sĂ€kerstĂ€ller att personer med behörighet att behandla personuppgifterna har Ă„tagit sig att iaktta konfidentialitet eller omfattas av en lĂ€mplig lagstadgad tystnadsplikt,
    • c) ska vidta alla Ă„tgĂ€rder som krĂ€vs enligt artikel 32,
    • d) ska respektera de villkor som avses i punkterna 2 och 4 för anlitandet av ett annat personuppgiftsbitrĂ€de,
    • e) med tanke pĂ„ behandlingens art, ska hjĂ€lpa den personuppgiftsansvarige genom lĂ€mpliga tekniska och organisatoriska Ă„tgĂ€rder, i den mĂ„n detta Ă€r möjligt, sĂ„ att den personuppgiftsansvarige kan fullgöra sin skyldighet att svara pĂ„ begĂ€ran om utövande av den registrerades rĂ€ttigheter i enlighet med kapitel III,
    • f) ska bistĂ„ den personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 32–36 fullgörs, med beaktande av typen av behandling och den information som personuppgiftsbitrĂ€det har att tillgĂ„,
    • g) beroende pĂ„ vad den personuppgiftsansvarige vĂ€ljer, ska radera eller Ă„terlĂ€mna alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahĂ„llandet av behandlingstjĂ€nster har avslutats, och radera befintliga kopior sĂ„vida inte lagring av personuppgifterna krĂ€vs enligt unionsrĂ€tten eller medlemsstaternas nationella rĂ€tt, och
    • h) ska ge den personuppgiftsansvarige tillgĂ„ng till all information som krĂ€vs för att visa att de skyldigheter som faststĂ€lls i denna artikel har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av en annan revisor som bemyndigats av den personuppgiftsansvarige.
      Med avseende pÄ led h i första stycket ska personuppgiftsbitrÀdet omedelbart informera den personuppgiftsansvarige om han anser att en instruktion strider mot denna förordning eller mot andra av unionens eller medlemsstaternas dataskyddsbestÀmmelser.
  • I de fall dĂ€r ett personuppgiftsbitrĂ€de anlitar ett annat personuppgiftsbitrĂ€de för utförande av specifik behandling pĂ„ den personuppgiftsansvariges vĂ€gnar ska det andra personuppgiftsbitrĂ€det, genom ett avtal eller en annan rĂ€ttsakt enligt unionsrĂ€tten eller enligt medlemsstaternas nationella rĂ€tt, Ă„lĂ€ggas samma skyldigheter i frĂ„ga om dataskydd som de som faststĂ€lls i avtalet eller den andra rĂ€ttsakten mellan den personuppgiftsansvarige och personuppgiftsbitrĂ€det enligt punkt 3, och framför allt att ge tillrĂ€ckliga garantier om att genomföra lĂ€mpliga tekniska och organisatoriska Ă„tgĂ€rder pĂ„ ett sĂ„dant sĂ€tt att behandlingen uppfyller kraven i denna förordning. Om det andra personuppgiftsbitrĂ€det inte fullgör sina skyldigheter i frĂ„ga om dataskydd ska det ursprungliga personuppgiftsbitrĂ€det vara fullt ansvarig gentemot den personuppgiftsansvarige för utförandet av det andra personuppgiftsbitrĂ€dets skyldigheter.
  • Ett personuppgiftsbitrĂ€des anslutning till en godkĂ€nd uppförandekod som avses i artikel 40 eller en godkĂ€nd certifieringsmekanism som avses i artikel 42 fĂ„r anvĂ€ndas för att visa att tillrĂ€ckliga garantier tillhandahĂ„lls, sĂ„ som avses punkterna 1 och 4 i den hĂ€r artikeln.
  • Det avtal eller den andra rĂ€ttsakt som avses i punkterna 3 och 4 i den hĂ€r artikeln fĂ„r, utan att det pĂ„verkar tillĂ€mpningen av ett enskilt avtal mellan den personuppgiftsansvarige och personuppgiftsbitrĂ€det, helt eller delvis baseras pĂ„ sĂ„dana standardavtalsklausuler som avses i punkterna 7 och 8 i den hĂ€r artikeln, inbegripet nĂ€r de ingĂ„r i en certifiering som i enlighet med artiklarna 42 och 43 beviljats den personuppgiftsansvarige eller personuppgiftsbitrĂ€det.
  • Kommissionen fĂ„r faststĂ€lla standardavtalsklausuler för de frĂ„gor som avses i punkterna 3 och 4 i den hĂ€r artikeln, i enlighet med det granskningsförfarande som avses i artikel 93.2.
  • En tillsynsmyndighet fĂ„r faststĂ€lla standardavtalsklausuler för de frĂ„gor som avses i punkterna 3 och 4 i den hĂ€r artikeln, i enlighet med den mekanism för enhetlighet som avses i artikel 63.
  • Det avtal eller den andra rĂ€ttsakt som avses i punkterna 3 och 4 ska upprĂ€ttas skriftligen, inbegripet i ett elektroniskt format.
  • Om ett personuppgiftsbitrĂ€de övertrĂ€der denna förordning genom att faststĂ€lla Ă€ndamĂ„len med och medlen för behandlingen, ska personuppgiftsbitrĂ€det anses vara personuppgiftsansvarig med avseende pĂ„ den behandlingen, utan att det pĂ„verkar tillĂ€mpningen av artiklarna 82, 83 och 84.