GDPR - BG CS DE EL EN ES ET FI FR GA IT LV LT MT PT SK SL SV
ΚΕΦΑΛΑΙΟ IV
Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία
Τμήμα 1
Γενικές υποχρεώσεις
Άρθρο 28 Εκτελών την επεξεργασία
1. Όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων. 2. Ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας. Σε περίπτωση γενικής γραπτής άδειας, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές. 3. Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας. Η εν λόγω σύμβαση ή άλλη νομική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία:
Όσον αφορά το πρώτο εδάφιο στοιχείο η), ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον παρόντα κανονισμό ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων. 4. Όταν ο εκτελών την επεξεργασία προσλαμβάνει άλλον εκτελούντα για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας για λογαριασμό του υπευθύνου επεξεργασίας, οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση ή στην άλλη νομική πράξη μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία, κατά τα προβλεπόμενα στην παράγραφο 3, επιβάλλονται στον άλλον αυτόν εκτελούντα μέσω σύμβασης ή άλλης νομικής πράξης σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους, ιδίως ώστε να παρέχονται επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, ούτως ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού. Όταν ο άλλος εκτελών την επεξεργασία αδυνατεί να ανταποκριθεί στις σχετικές με την προστασία των δεδομένων υποχρεώσεις του, ο αρχικός εκτελών παραμένει πλήρως υπόλογος έναντι του υπευθύνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του άλλου εκτελούντος την επεξεργασία. 5. Η τήρηση εκ μέρους του εκτελούντος την επεξεργασία εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί ότι παρέχει επαρκείς διαβεβαιώσεις σύμφωνα με τις παραγράφους 1 και 4 του παρόντος άρθρου. 6. Με την επιφύλαξη ατομικής σύμβασης μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 του παρόντος άρθρου μπορεί να βασίζεται, εν όλω ή εν μέρει, σε τυποποιημένες συμβατικές ρήτρες που αναφέρονται στις παραγράφους 7 και 8 του παρόντος άρθρου, μεταξύ άλλων όταν αποτελούν μέρος πιστοποίησης που χορηγείται στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία σύμφωνα με τα άρθρα 42 και 43. 7. Η Επιτροπή μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4 του παρόντος άρθρου και σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2. 8. Μια εποπτική αρχή μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4 του παρόντος άρθρου και σύμφωνα με τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63. 9. Η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 υφίσταται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή. 10. Με την επιφύλαξη των άρθρων 82, 83 και 84, εάν ο εκτελών την επεξεργασία καθορίσει κατά παράβαση του παρόντος κανονισμού τους σκοπούς και τα μέσα της επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας για τη συγκεκριμένη επεξεργασία.
|
GDPR - BG CS DE EL EN ES ET FI FR GA IT LV LT MT PT SK SL SV
KAPITOLU IV
Kontrollur u proċessur
Taqsima 1
Obbligi ġenerali
Artikolu 28 Proċessur
1. Fejn l-ipproċessar ikun ser isir f'isem kontrollur, il-kontrollur għandu juża biss proċessuri li jagħtu garanziji suffiċjenti biex jiġu implimentati miżuri tekniċi u organizzattivi xierqa b'tali mod li l-ipproċessar jissodisfa r-rekwiżiti ta' dan ir-Regolament u jiżgura l-protezzjoni tad-drittijiet tas-suġġett tad-data. 2. Il-proċessur m'għandux jimpjega proċessur ieħor mingħajr l-awtorizzazzjoni bil-miktub, speċifika jew ġenerali, minn qabel tal-kontrollur. Fil-każ tal-awtorizzazzjoni ġenerali bil-miktub, il-proċessur għandu jgħarraf lill-kontrollur bi kwalunkwe intenzjoni ta' tibdil rigward iż-żieda jew is-sostituzzjoni ta' proċessuri oħrajn, biex b'hekk jagħti l-opportunità lill-kontrollur joġġezzjona għal tali bidliet. 3. L-ipproċessar minn proċessur għandu jkun regolat minn kuntratt jew att legali ieħor taħt il-liġi tal-Unjoni jew ta' Stat Membru, li jorbot lill-proċessur fir-rigward tal-kontrollur, u li jistabbilixxi s-suġġett u t-tul tal-ipproċessar, in-natura u l-għan tal-ipproċessar, it-tip ta' data personali u l-kategoriji tas-suġġetti tad-data u l-obbligi u d-drittijiet tal-kontrollur. Dak il-kuntratt jew att legali ieħor għandu jistipula, b'mod partikolari, li l-proċessur:
Fir-rigward tal-punt (h) tal-ewwel subparagrafu, il-proċessur għandu minnufih jgħarraf lill-kontrollur jekk, fl-opinjoni tiegħu, istruzzjoni tikser dan ir-Regolament jew dispożizzjonijiet oħrajn tal-Unjoni jew ta' Stat Membru dwar il-protezzjoni tad-data. 4. Fejn proċessur jimpjega proċessur ieħor biex iwettaq attivitajiet speċifiċi ta' pproċessar f'isem il-kontrollur, l-istess obbligi ta' protezzjoni tad-data kif jinsabu fil-kuntratt jew att legali ieħor bejn il-kontrollur u l-proċessur kif imsemmijin fil-paragrafu 3 għandhom jiġu imposti fuq dak il-proċessur l-ieħor permezz ta' kuntratt jew att legali ieħor skont il-liġi tal-Unjoni jew ta' Stat Membru, li b'mod partikolari jagħtu garanziji suffiċjenti biex jiġu implimentati miżuri tekniċi u organizzattivi xierqa b'tali mod li l-ipproċessar jissodisfa r-rekwiżiti ta' dan ir-Regolament. Fejn dak il-proċessur l-ieħor jonqos milli jħares l-obbligi tiegħu għall-protezzjoni tad-data, il-proċessur inizjali għandu jibqa' kompletament responsabbli quddiem il-kontrollur għat-twettiq tal-obbligi ta' dak il-proċessur l-ieħor. 5. Il-konformità minn proċessur ma' kodiċi ta' kondotta approvat kif imsemmi fl- Artikolu 40 jew mekkaniżmu ta' ċertifikazzjoni approvat kif imsemmi fl- Artikolu 42 jistgħu jintużaw bħala element li bih jintwerew il-garanziji suffiċjenti kif imsemmija fil-paragrafi 1 u 4 ta'dan l-Artikolu. 6. Mingħajr preġudizzju għal kuntratt individwali bejn il-kontrollur u l-proċessur, il-kuntratt jew l-att legali l-ieħor imsemmi fil-paragrafu 3 u 4 ta'dan l-Artikolu jistgħu jkunu bbażati, b'mod sħiħ jew parzjalment, fuq klawżoli kuntrattwali standard imsemmija fil-paragrafi 7 u 8 ta'dan l-Artikolu inkluż meta jagħmlu parti minn ċertifikazzjoni mogħtija lill-kontrollur jew lill-proċessur skont l-Artikoli 42 u 43. 7. Il-Kummissjoni tista' tistabbilixxi klawżoli kuntrattwali standard għal kwistjonijiet imsemmijin fil-paragrafu 3 u 4 ta'dan l-Artikolu u f'konformità mal-proċedura ta' eżami msemmija fl-Artikolu 93(2). 8. Awtorità superviżorja tista' tadotta klawżoli kuntrattwali standard għall-kwistjonijiet imsemmijin fil-paragrafu 3 u 4 ta'dan l-Artikolu u f'konformità mal-mekkaniżmu ta' konsistenza msemmi fl-Artikolu 63. 9. Il-kuntratt jew l-att legali ieħor imsemmi fil-paragrafi 3 u 4 għandu jkun bil-miktub, inkluż f'forma elettronika. 10. Mingħajr preġudizzju għall-Artikoli 82, 83 u 84, jekk proċessur jikser dan ir-Regolament billi jiddetermina l-għanijiet u l-mezzi tal-ipproċessar, il-proċessur għandu jitqies bħala kontrollur fir-rigward ta' dak l-ipproċessar.
|
dal 2004 diritto e informatica