GDPR - BG CS DE EL EN ES ET FI FR GA IT LV LT MT PT SK SL SV
KAPITOLU IV
Kontrollur u proċessur
Taqsima 1
Obbligi ġenerali
Artikolu 28 Proċessur
1. Fejn l-ipproċessar ikun ser isir f'isem kontrollur, il-kontrollur għandu juża biss proċessuri li jagħtu garanziji suffiċjenti biex jiġu implimentati miżuri tekniċi u organizzattivi xierqa b'tali mod li l-ipproċessar jissodisfa r-rekwiżiti ta' dan ir-Regolament u jiżgura l-protezzjoni tad-drittijiet tas-suġġett tad-data. 2. Il-proċessur m'għandux jimpjega proċessur ieħor mingħajr l-awtorizzazzjoni bil-miktub, speċifika jew ġenerali, minn qabel tal-kontrollur. Fil-każ tal-awtorizzazzjoni ġenerali bil-miktub, il-proċessur għandu jgħarraf lill-kontrollur bi kwalunkwe intenzjoni ta' tibdil rigward iż-żieda jew is-sostituzzjoni ta' proċessuri oħrajn, biex b'hekk jagħti l-opportunità lill-kontrollur joġġezzjona għal tali bidliet. 3. L-ipproċessar minn proċessur għandu jkun regolat minn kuntratt jew att legali ieħor taħt il-liġi tal-Unjoni jew ta' Stat Membru, li jorbot lill-proċessur fir-rigward tal-kontrollur, u li jistabbilixxi s-suġġett u t-tul tal-ipproċessar, in-natura u l-għan tal-ipproċessar, it-tip ta' data personali u l-kategoriji tas-suġġetti tad-data u l-obbligi u d-drittijiet tal-kontrollur. Dak il-kuntratt jew att legali ieħor għandu jistipula, b'mod partikolari, li l-proċessur:
Fir-rigward tal-punt (h) tal-ewwel subparagrafu, il-proċessur għandu minnufih jgħarraf lill-kontrollur jekk, fl-opinjoni tiegħu, istruzzjoni tikser dan ir-Regolament jew dispożizzjonijiet oħrajn tal-Unjoni jew ta' Stat Membru dwar il-protezzjoni tad-data. 4. Fejn proċessur jimpjega proċessur ieħor biex iwettaq attivitajiet speċifiċi ta' pproċessar f'isem il-kontrollur, l-istess obbligi ta' protezzjoni tad-data kif jinsabu fil-kuntratt jew att legali ieħor bejn il-kontrollur u l-proċessur kif imsemmijin fil-paragrafu 3 għandhom jiġu imposti fuq dak il-proċessur l-ieħor permezz ta' kuntratt jew att legali ieħor skont il-liġi tal-Unjoni jew ta' Stat Membru, li b'mod partikolari jagħtu garanziji suffiċjenti biex jiġu implimentati miżuri tekniċi u organizzattivi xierqa b'tali mod li l-ipproċessar jissodisfa r-rekwiżiti ta' dan ir-Regolament. Fejn dak il-proċessur l-ieħor jonqos milli jħares l-obbligi tiegħu għall-protezzjoni tad-data, il-proċessur inizjali għandu jibqa' kompletament responsabbli quddiem il-kontrollur għat-twettiq tal-obbligi ta' dak il-proċessur l-ieħor. 5. Il-konformità minn proċessur ma' kodiċi ta' kondotta approvat kif imsemmi fl- Artikolu 40 jew mekkaniżmu ta' ċertifikazzjoni approvat kif imsemmi fl- Artikolu 42 jistgħu jintużaw bħala element li bih jintwerew il-garanziji suffiċjenti kif imsemmija fil-paragrafi 1 u 4 ta'dan l-Artikolu. 6. Mingħajr preġudizzju għal kuntratt individwali bejn il-kontrollur u l-proċessur, il-kuntratt jew l-att legali l-ieħor imsemmi fil-paragrafu 3 u 4 ta'dan l-Artikolu jistgħu jkunu bbażati, b'mod sħiħ jew parzjalment, fuq klawżoli kuntrattwali standard imsemmija fil-paragrafi 7 u 8 ta'dan l-Artikolu inkluż meta jagħmlu parti minn ċertifikazzjoni mogħtija lill-kontrollur jew lill-proċessur skont l-Artikoli 42 u 43. 7. Il-Kummissjoni tista' tistabbilixxi klawżoli kuntrattwali standard għal kwistjonijiet imsemmijin fil-paragrafu 3 u 4 ta'dan l-Artikolu u f'konformità mal-proċedura ta' eżami msemmija fl-Artikolu 93(2). 8. Awtorità superviżorja tista' tadotta klawżoli kuntrattwali standard għall-kwistjonijiet imsemmijin fil-paragrafu 3 u 4 ta'dan l-Artikolu u f'konformità mal-mekkaniżmu ta' konsistenza msemmi fl-Artikolu 63. 9. Il-kuntratt jew l-att legali ieħor imsemmi fil-paragrafi 3 u 4 għandu jkun bil-miktub, inkluż f'forma elettronika. 10. Mingħajr preġudizzju għall-Artikoli 82, 83 u 84, jekk proċessur jikser dan ir-Regolament billi jiddetermina l-għanijiet u l-mezzi tal-ipproċessar, il-proċessur għandu jitqies bħala kontrollur fir-rigward ta' dak l-ipproċessar.
|
GDPR - BG CS DE EL EN ES ET FI FR GA IT LV LT MT PT SK SL SV
IV LUKU
Rekisterinpitäjä ja henkilötietojen käsittelijä
1 Jakso
Yleiset velvollisuudet
28 artikla Henkilötietojen käsittelijä
1. Jos käsittely on määrä suorittaa rekisterinpitäjän lukuun, rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tämän asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu. 2. Henkilötietojen käsittelijä ei saa käyttää toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa. Kun kyse on kirjallisesta ennakkoluvasta, henkilötietojen käsittelijän on tiedotettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden henkilötietojen käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia. 3. Henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on säädettävä erityisesti, että henkilötietojen käsittelijä
Ensimmäisen alakohdan h alakohdan osalta henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos hän katsoo, että ohjeistus rikkoo tätä asetusta tai muita unionin tai jäsenvaltion tietosuojasäännöksiä. 4. Kun henkilötietojen käsittelijä käyttää toisen henkilötietojen käsittelijän palveluksia erityisten käsittelytoimintojen suorittamiseksi rekisterinpitäjän puolesta, kyseiseen toiseen henkilötietojen käsittelijään sovelletaan sopimuksen tai unionin oikeuden tai jäsenvaltion lainsäädännön mukaisen muun oikeudellisen asiakirjan mukaisesti samoja tietosuojavelvoitteita kuin ne, jotka on vahvistettu 3 kohdassa tarkoitetussa rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa tai muussa oikeudellisessa asiakirjassa erityisesti antaen riittävät takeet siitä, että käsittelyyn liittyvät asianmukaiset tekniset ja organisatoriset toimet toteutetaan niin, että käsittely täyttää tämän asetuksen vaatimukset. Kun toinen henkilötietojen käsittelijä ei täytä tietosuojavelvoitteitaan, alkuperäinen henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa toisen henkilötietojen käsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään. 5. Jäljempänä 40 artiklassa tarkoitettujen hyväksyttyjen käytännesääntöjen tai 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää osatekijänä, jolla osoitetaan, että tämän artiklan 1 ja 4 kohdassa tarkoitetut riittävät takeet on annettu. 6. Sanotun rajoittamatta rekisterinpitäjän ja henkilötietojen käsittelijän yksittäistä sopimusta, tämän artiklan 3 ja 4 kohdassa tarkoitettu sopimus tai muu oikeudellinen asiakirja voi perustua kokonaan tai osittain tämän artiklan 7 ja 8 kohdassa tarkoitettuihin vakiosopimuslausekkeisiin; tämä koskee myös tilannetta, jossa ne ovat osa rekisterinpitäjälle tai henkilötietojen käsittelijälle 42 tai 43 artiklan mukaisesti myönnettyä sertifiointia. 7. Komissio voi laatia vakiosopimuslausekkeita tämän artiklan 3 ja 4 kohdassa tarkoitettuja seikkoja varten ja 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. 8. Valvontaviranomainen voi hyväksyä vakiosopimuslausekkeita tämän artiklan 3 ja 4 kohdassa tarkoitettuja seikkoja varten ja 63 artiklassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti. 9. Edellä 3 ja 4 kohdassa tarkoitetun sopimuksen tai muun oikeudellisen asiakirjan on oltava kirjallinen, mukaan lukien sähköisessä muodossa. 10. Jos henkilötietojen käsittelijä rikkoo tätä asetusta määrittämällä käsittelyn tarkoitukset ja keinot, kyseistä henkilötietojen käsittelijää on pidettävä tämän käsittelyn rekisterinpitäjänä, sanotun kuitenkaan rajoittamatta 82, 83 ja 84 artiklan soveltamista.
|
dal 2004 diritto e informatica