GDPR - BG CS DE EL EN ES ET FI FR GA IT LV LT MT PT SK SL SV
IV LUKU
Rekisterinpitäjä ja henkilötietojen käsittelijä
1 Jakso
Yleiset velvollisuudet
28 artikla Henkilötietojen käsittelijä
1. Jos käsittely on määrä suorittaa rekisterinpitäjän lukuun, rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tämän asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu. 2. Henkilötietojen käsittelijä ei saa käyttää toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa. Kun kyse on kirjallisesta ennakkoluvasta, henkilötietojen käsittelijän on tiedotettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden henkilötietojen käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia. 3. Henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on säädettävä erityisesti, että henkilötietojen käsittelijä
Ensimmäisen alakohdan h alakohdan osalta henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos hän katsoo, että ohjeistus rikkoo tätä asetusta tai muita unionin tai jäsenvaltion tietosuojasäännöksiä. 4. Kun henkilötietojen käsittelijä käyttää toisen henkilötietojen käsittelijän palveluksia erityisten käsittelytoimintojen suorittamiseksi rekisterinpitäjän puolesta, kyseiseen toiseen henkilötietojen käsittelijään sovelletaan sopimuksen tai unionin oikeuden tai jäsenvaltion lainsäädännön mukaisen muun oikeudellisen asiakirjan mukaisesti samoja tietosuojavelvoitteita kuin ne, jotka on vahvistettu 3 kohdassa tarkoitetussa rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa tai muussa oikeudellisessa asiakirjassa erityisesti antaen riittävät takeet siitä, että käsittelyyn liittyvät asianmukaiset tekniset ja organisatoriset toimet toteutetaan niin, että käsittely täyttää tämän asetuksen vaatimukset. Kun toinen henkilötietojen käsittelijä ei täytä tietosuojavelvoitteitaan, alkuperäinen henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa toisen henkilötietojen käsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään. 5. Jäljempänä 40 artiklassa tarkoitettujen hyväksyttyjen käytännesääntöjen tai 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää osatekijänä, jolla osoitetaan, että tämän artiklan 1 ja 4 kohdassa tarkoitetut riittävät takeet on annettu. 6. Sanotun rajoittamatta rekisterinpitäjän ja henkilötietojen käsittelijän yksittäistä sopimusta, tämän artiklan 3 ja 4 kohdassa tarkoitettu sopimus tai muu oikeudellinen asiakirja voi perustua kokonaan tai osittain tämän artiklan 7 ja 8 kohdassa tarkoitettuihin vakiosopimuslausekkeisiin; tämä koskee myös tilannetta, jossa ne ovat osa rekisterinpitäjälle tai henkilötietojen käsittelijälle 42 tai 43 artiklan mukaisesti myönnettyä sertifiointia. 7. Komissio voi laatia vakiosopimuslausekkeita tämän artiklan 3 ja 4 kohdassa tarkoitettuja seikkoja varten ja 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. 8. Valvontaviranomainen voi hyväksyä vakiosopimuslausekkeita tämän artiklan 3 ja 4 kohdassa tarkoitettuja seikkoja varten ja 63 artiklassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti. 9. Edellä 3 ja 4 kohdassa tarkoitetun sopimuksen tai muun oikeudellisen asiakirjan on oltava kirjallinen, mukaan lukien sähköisessä muodossa. 10. Jos henkilötietojen käsittelijä rikkoo tätä asetusta määrittämällä käsittelyn tarkoitukset ja keinot, kyseistä henkilötietojen käsittelijää on pidettävä tämän käsittelyn rekisterinpitäjänä, sanotun kuitenkaan rajoittamatta 82, 83 ja 84 artiklan soveltamista.
|
GDPR - BG CS DE EL EN ES ET FI FR GA IT LV LT MT PT SK SL SV
IV SKYRIUS
Duomenų valdytojas ir duomenų tvarkytojas
1 skirsnis
Bendrosios prievolės
28 straipsnis Duomenų tvarkytojas
1. Kai duomenys turi būti tvarkomi duomenų valdytojo vardu, duomenų valdytojas pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga. 2. Duomenų tvarkytojas nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus arba bendro rašytinio duomenų valdytojo leidimo. Bendro rašytinio leidimo atveju duomenų tvarkytojas informuoja duomenų valdytoją apie visus planuojamus pakeitimus, susijusius su kitų duomenų tvarkytojų pasitelkimu ar pakeitimu, ir tokiu būdu suteikdamas duomenų valdytojui galimybę nesutikti su tokiais pakeitimais. 3. Duomenų tvarkytojo atliekamas duomenų tvarkymas reglamentuojamas sutartimi ar kitu teisės aktu pagal Sąjungos arba valstybės narės teisę, kurie yra privalomi duomenų tvarkytojui duomenų valdytojo atžvilgiu ir kurioje nustatomi duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobūdis ir tikslas, asmens duomenų rūšis ir duomenų subjektų kategorijos bei duomenų valdytojo prievolės ir teisės. Toje sutartyje ar kitame teisės akte visų pirma nustatoma, kad duomenų tvarkytojas:
Pirmos pastraipos h punkto atžvilgiu duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei, jo nuomone, nurodymas pažeidžia šį reglamentą ar kitas Sąjungos ar valstybės narės duomenų apsaugos nuostatas. 4. Kai duomenų tvarkytojas konkrečiai duomenų tvarkymo veiklai duomenų valdytojo vardu atlikti pasitelkia kitą duomenų tvarkytoją, sutartimi ar kitu teisės aktu pagal Sąjungos ar valstybės narės teisę tam kitam duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos 3 dalyje nurodytoje duomenų valdytojo ir duomenų tvarkytojo sutartyje ar kitame teisės akte, visų pirma prievolė pakankamai užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus. Kai tas kitas duomenų tvarkytojas nevykdo duomenų apsaugos prievolių, pirminis duomenų tvarkytojas išlieka visiškai atsakingas duomenų valdytojui už to kito duomenų tvarkytojo prievolių vykdymą. 5. Tuo, kad duomenų tvarkytojas laikosi patvirtinto elgesio kodekso, kaip nurodyta 40 straipsnyje, arba patvirtinto sertifikavimo mechanizmo, kaip nurodyta 42 straipsnyje, gali būti remiamasi kaip vienu iš elementų, kuriuo siekiama įrodyti pakankamą užtikrinimą, kaip nurodyta šio straipsnio 1 ir 4 dalyse. 6. Nedarant poveikio atskirai duomenų valdytojo ir duomenų tvarkytojo sutarčiai, šio straipsnio 3 ir 4 dalyse nurodyta sutartis ar kitas teisės aktas visas arba iš dalies gali būti grindžiamas standartinėmis sutarčių sąlygomis, nurodytomis šio straipsnio 7 ir 8 dalyse, įskaitant kai jos yra pagal 42 ir 43 straipsnius duomenų valdytojui ar duomenų tvarkytojui suteikiamo sertifikavimo dalis. 7. Komisija šio straipsnio 3 ir 4 dalyse nurodytais klausimais gali nustatyti standartines sutarčių sąlygas, laikydamasi 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros. 8. Priežiūros institucija šio straipsnio 3 ir 4 dalyse nurodytais klausimais gali nustatyti standartines sutarčių sąlygas, taikydama 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą. 9. 3 ir 4 dalyse nurodyta sutartis ar kitas teisės aktas sudaromas raštu, įskaitant elektronine forma. 10. Nedarant poveikio 82, 83 ir 84 straipsniams, jei duomenų tvarkytojas nustatydamas duomenų tvarkymo tikslus ir priemones pažeidžia šį reglamentą, to duomenų tvarkymo atžvilgiu duomenų tvarkytojas yra laikomas duomenų valdytoju.
|
dal 2004 diritto e informatica