GDPR - BG CS DE EL EN ES ET FI FR GA IT LV LT MT PT SK SL SV
CAIBIDIL IV
Rialaitheoir agus próiseálaí
Roinn 1
Oibleagáidí ginearálta
Airteagal 28 An próiseálaí
1. I gcás ina mbeidh próiseáil le déanamh thar ceann rialaitheora, ní bhainfidh an rialaitheoir úsáid ach as próiseálaithe a thugann ráthaíochtaí leordhóthanacha go gcuirfear bearta iomchuí teicniúla agus eagraíochtúla chun feidhme sa dóigh is go gcomhlíonfaidh an phróiseáil ceanglais an Rialacháin seo agus a áirithiú go gcosnófar cearta an ábhair sonraí. 2. Ní fhostóidh próiseálaí cúnamh próiseálaí eile, gan údarú sonrach nó ginearálta a fháil ón rialaitheoir i scríbhinn. sin, i gcás údaraithe sonraigh nó ghinearálta, déanfaidh an próiseálaí an rialaitheoir a chur ar an eolas i gcónaí maidir le haon athrú a bheadh beartaithe a bhaineann le próiseálaithe a chur leis nó in ionad próiseálaithe eile, sa chaoi go mbeadh deis ag an rialaitheoir agóid a dhéanamh i gcoinne athruithe den chineál sin. 3. Rialófar an phróiseáil a dhéanfaidh próiseálaí le conradh nó le gníomh dlí eile faoi dhlí an Aontais nó faoi dhlí Ballstáit atá ina cheangal ar an bpróiseálaí i dtaca leis an rialaitheoir ó thaobh dlí agus ina leagtar amach ábhar agus fad na próiseála, cineál agus críoch na próiseála, cineál na sonraí pearsanta agus catagóirí na n-ábhar sonraí do na sonraí agus oibleagáidí agus cearta an rialaitheora. Foráilfear sa chonradh nó sa ghníomh dlíthiúil eile go ndéanfaidh an próiseálaí an méid seo a leanas, go háirithe:
I dtaca le pointe (h) den chéad fhomhír, cuirfidh an próiseálaí an rialaitheoir ar an eolas láithreach, más rud é, ina thuairim, go sáraíonn treoir an Rialachán seo nó forálacha maidir le cosaint sonraí de chuid an Aontais nó Ballstáit. 4. I gcás ina bhfostóidh próiseálaí cúnamh próiseálaí eile d'fhonn gníomhaíochtaí sonracha próiseála a chur i gcrích thar ceann an rialaitheora, déanfar na hoibleagáidí cosanta sonraí céanna atá leagtha amach sa chonradh nó i ngníomh dlíthiúil eile idir an rialaitheoir agus an próiseálaí dá dtagraítear i mír 2 a fhorchur ar an bpróiseálaí eile, trí chonradh nó trí ghníomh dlíthiúil eile faoi dhlí an Aontais nó faoi dhlí Ballstáit, lena dtabharfar go háirithe ráthaíochtaí leordhóthanacha go gcuirfear na bearta iomchuí teicniúla agus eagraíochtúla chun feidhme sa dóigh is go gcomhlíonfaidh an phróiseáil ceanglais an Rialacháin seo. I gcás ina mainníonn an próiseálaí eile a oibleagáidí cosanta sonraí a chomhlíonadh, beidh an chéad phróiseálaí go hiomlán dlite don rialaitheoir as feidhmiú oibleagáidí an phróiseálaí eile. 5. Má chloíonn próiseálaí le cód formheasta iompair amhail dá dtagraítear in Airteagal 40 nó le sásra deimhniúcháin amhail dá dtagraítear in Airteagal 42, féadfar sin a úsáid mar eilimint le ráthaíochtaí leordhóthanacha iomchuí amhail dá dtagraítear i mír 1 agus i mír 4 den Airteagal seo a thaispeáint. 6. Gan dochar do chonradh aonair idir an rialaitheoir agus an próiseálaí, féadfaidh an conradh nó an gníomh dlíthiúil eile dá dtagraítear i mír 3 agus i mír 4 den Airteagal seo a bheith bunaithe, go hiomlán nó go páirteach, ar chlásail chaighdeánacha chonarthacha dá dtagraítear i mír 7 agus i mír 8 den Airteagal seo, lena n-áirítear nuair atá siad mar chuid de dheimhniúchán a dheonaítear don rialaitheoir nó don phróiseálaí de bhun Airteagal 42 agus Airteagal 43. 7. Féadfaidh an Coimisiún clásail chaighdeánacha chonarthacha a leagan síos le haghaidh na n-ábhar dá dtagraítear i mír 3 agus i mír 4 den Airteagal seo agus i gcomhréir leis an nós imeachta scrúdúcháin dá dtagraítear in Airteagal 93(2). 8. Féadfaidh údarás maoirseachta clásail chaighdeánacha chonarthacha a ghlacadh le haghaidh na n-ábhar dá dtagraítear i mír 3 agus i mír 4 i gcomhréir leis an sásra comhsheasmhachta dá dtagraítear in Airteagal 63. 9. Is i scríbhinn, lena n-áirítear i bhfoirm leictreonach, a bheidh an conradh nó an gníomh dlíthiúil eile dá dtagraítear i mír 3 agus i mír 4. 10. Gan dochar d'Airteagal 82, d'Airteagal 83 agus d'Airteagal 84, má sháraíonn próiseálaí an Rialachán seo trí chríocha agus modhanna na próiseála a chinneadh, measfar gur rialaitheoir é an próiseálaí i ndáil leis an bpróiseáil sin.
|
GDPR - BG CS DE EL EN ES ET FI FR GA IT LV LT MT PT SK SL SV
CHAPITRE IV
Responsable du traitement et sous-traitant
Section 1
Obligations générales
Article 28 Sous-traitant
1. Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée. 2. Le sous-traitant ne recrute pas un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d'une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements. 3. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:
En ce qui concerne le point h) du premier alinéa, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données. 4. Lorsqu'un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d'un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l'exécution par l'autre sous-traitant de ses obligations. 5. L'application, par un sous-traitant, d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer l'existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article. 6. Sans préjudice d'un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes 7 et 8 du présent article, y compris lorsqu'elles font partie d'une certification délivrée au responsable du traitement ou au sous-traitant en vertu des articles 42 et 43. 7. La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément à la procédure d'examen visée à l'article 93, paragraphe 2. 8. Une autorité de contrôle peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément au mécanisme de contrôle de la cohérence visé à l'article 63. 9. Le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 se présente sous une forme écrite, y compris en format électronique. 10. Sans préjudice des articles 82, 83 et 84, si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.
|
dal 2004 diritto e informatica