1.   I gcás ina mbeidh próiseáil le déanamh thar ceann rialaitheora, ní bhainfidh an rialaitheoir úsáid ach as próiseálaithe a thugann ráthaíochtaí leordhóthanacha go gcuirfear bearta iomchuí teicniúla agus eagraíochtúla chun feidhme sa dóigh is go gcomhlíonfaidh an phróiseáil ceanglais an Rialacháin seo agus a áirithiú go gcosnófar cearta an ábhair sonraí.

2.   Ní fhostóidh próiseálaí cúnamh próiseálaí eile, gan údarú sonrach nó ginearálta a fháil ón rialaitheoir i scríbhinn. sin, i gcás údaraithe sonraigh nó ghinearálta, déanfaidh an próiseálaí an rialaitheoir a chur ar an eolas i gcónaí maidir le haon athrú a bheadh beartaithe a bhaineann le próiseálaithe a chur leis nó in ionad próiseálaithe eile, sa chaoi go mbeadh deis ag an rialaitheoir agóid a dhéanamh i gcoinne athruithe den chineál sin.

3.   Rialófar an phróiseáil a dhéanfaidh próiseálaí le conradh nó le gníomh dlí eile faoi dhlí an Aontais nó faoi dhlí Ballstáit atá ina cheangal ar an bpróiseálaí i dtaca leis an rialaitheoir ó thaobh dlí agus ina leagtar amach ábhar agus fad na próiseála, cineál agus críoch na próiseála, cineál na sonraí pearsanta agus catagóirí na n-ábhar sonraí do na sonraí agus oibleagáidí agus cearta an rialaitheora. Foráilfear sa chonradh nó sa ghníomh dlíthiúil eile go ndéanfaidh an próiseálaí an méid seo a leanas, go háirithe:

(a)

ní phróiseálfaidh sé na sonraí pearsanta ach amháin ar threoracha doiciméadaithe a fháil ón rialaitheoir chuige sin, lena n-áirítear maidir le haistrithe sonraí pearsanta chuig tríú tír nó chuig eagraíocht idirnáisiúnta, mura n-éilítear an phróiseáil sin a dhéanamh faoi dhlí an Aontais nó faoi dhlí Ballstáit ar faoina réir atá an próiseálaí; agus sa chás sin, cuirfidh an próiseálaí an rialaitheoir in iúl faoin gceanglas dlíthiúil sin sula ndéanfar an phróiseáil, ach amháin mura gcoisctear an fhaisnéis sin faoin dlí sin ar fhorais thábhachtacha leasa phoiblí;

(b)	áiritheoidh sé go bhfuil gealltanas rúndachta tugtha ag na daoine atá údaraithe chun na sonraí pearsanta a phróiseáil nó go bhfuil siad faoi cheangal oibleagáide rúndachta reachtúla iomchuí;

(c)	déanfaidh sé gach beart is gá de bhun Airteagal 32;

(d)	urramóidh sé na coinníollacha dá dtagraítear i mír 2 agus 4 faoina bhfostófar próiseálaí eile;

(e)	agus cineál na próiseála á chursan áireamh, cuideoidh sé leis an rialaitheoir, a mhéid is féidir, trí bhearta iomchuí teicniúla agus eagraíochtúla a bhaineann le comhlíonadh oibleagáid an rialaitheora iarrataí a fhreagairt maidir le feidhmiú chearta an ábhair sonraí a leagtar amach i gCaibidil III;

(f)	cúnamh a thabhairt don rialaitheoir chun a áirithiú go gcomhlíontar na hoibleagáidí de bhun Airteagal 32 go hAirteagal 36, á chur san áireamh dó cineál na próiseála agus an fhaisnéis atá ar fáil don phróiseálaí;

(g)

ar rogha an rialaitheora, tabharfaidh sé na sonraí pearsanta uile ar ais don rialaitheoir nó scriosfaidh sé iad, tar éis dheireadh sholáthar na seirbhísí a bhaineann leis an bpróiseáil sonraí agus na cóipeanna atá ar marthain a scriosadh, mura rud é go n-éilíonn dlí an Aontais nó dlí Ballstáit go ndéanfar na sonraí údarú sonrach nó ginearálta sin a stóráil; agus

(h)

cuirfidh sé ar fáil don rialaitheoir an fhaisnéis uile is gá chun comhlíonadh na n-oibleagáidí atá leagtha síos san Airteagal seo a thaipseáint agus ceadóidh sé go ndéanfaidh an rialaitheoir nó iniúchóir eile dá dtabharfaidh an rialaitheoir sainordú, iniúchtaí, lena n-áirítear cigireachtaí, agus beidh baint aige leis na hiniúchtaí agus leis na cigireachtaí sin.

I dtaca le pointe (h) den chéad fhomhír, cuirfidh an próiseálaí an rialaitheoir ar an eolas láithreach, más rud é, ina thuairim, go sáraíonn treoir an Rialachán seo nó forálacha maidir le cosaint sonraí de chuid an Aontais nó Ballstáit.

4.   I gcás ina bhfostóidh próiseálaí cúnamh próiseálaí eile d'fhonn gníomhaíochtaí sonracha próiseála a chur i gcrích thar ceann an rialaitheora, déanfar na hoibleagáidí cosanta sonraí céanna atá leagtha amach sa chonradh nó i ngníomh dlíthiúil eile idir an rialaitheoir agus an próiseálaí dá dtagraítear i mír 2 a fhorchur ar an bpróiseálaí eile, trí chonradh nó trí ghníomh dlíthiúil eile faoi dhlí an Aontais nó faoi dhlí Ballstáit, lena dtabharfar go háirithe ráthaíochtaí leordhóthanacha go gcuirfear na bearta iomchuí teicniúla agus eagraíochtúla chun feidhme sa dóigh is go gcomhlíonfaidh an phróiseáil ceanglais an Rialacháin seo. I gcás ina mainníonn an próiseálaí eile a oibleagáidí cosanta sonraí a chomhlíonadh, beidh an chéad phróiseálaí go hiomlán dlite don rialaitheoir as feidhmiú oibleagáidí an phróiseálaí eile.

5.   Má chloíonn próiseálaí le cód formheasta iompair amhail dá dtagraítear in Airteagal 40 nó le sásra deimhniúcháin amhail dá dtagraítear in Airteagal 42, féadfar sin a úsáid mar eilimint le ráthaíochtaí leordhóthanacha iomchuí amhail dá dtagraítear i mír 1 agus i mír 4 den Airteagal seo a thaispeáint.

6.   Gan dochar do chonradh aonair idir an rialaitheoir agus an próiseálaí, féadfaidh an conradh nó an gníomh dlíthiúil eile dá dtagraítear i mír 3 agus i mír 4 den Airteagal seo a bheith bunaithe, go hiomlán nó go páirteach, ar chlásail chaighdeánacha chonarthacha dá dtagraítear i mír 7 agus i mír 8 den Airteagal seo, lena n-áirítear nuair atá siad mar chuid de dheimhniúchán a dheonaítear don rialaitheoir nó don phróiseálaí de bhun Airteagal 42 agus Airteagal 43.

7.   Féadfaidh an Coimisiún clásail chaighdeánacha chonarthacha a leagan síos le haghaidh na n-ábhar dá dtagraítear i mír 3 agus i mír 4 den Airteagal seo agus i gcomhréir leis an nós imeachta scrúdúcháin dá dtagraítear in Airteagal 93(2).

8.   Féadfaidh údarás maoirseachta clásail chaighdeánacha chonarthacha a ghlacadh le haghaidh na n-ábhar dá dtagraítear i mír 3 agus i mír 4 i gcomhréir leis an sásra comhsheasmhachta dá dtagraítear in Airteagal 63.

9.   Is i scríbhinn, lena n-áirítear i bhfoirm leictreonach, a bheidh an conradh nó an gníomh dlíthiúil eile dá dtagraítear i mír 3 agus i mír 4.

10.   Gan dochar d'Airteagal 82, d'Airteagal 83 agus d'Airteagal 84, má sháraíonn próiseálaí an Rialachán seo trí chríocha agus modhanna na próiseála a chinneadh, measfar gur rialaitheoir é an próiseálaí i ndáil leis an bpróiseáil sin.

1.   Kadar se obdelava izvaja v imenu upravljavca, ta sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz te uredbe in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki.

2.   Obdelovalec ne zaposli drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.

3.   Obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

(a)

osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;

(b)	zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

(c)	sprejme vse ukrepe, potrebne v skladu s členom 32;

(d)	spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;

(e)	ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

(f)	upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;

(g)	v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;

(h)	da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

V zvezi s točko (h) prvega pododstavka obdelovalec nemudoma obvesti upravljavca, če po njegovem mnenju navodilo krši to uredbo ali druge določbe Unije ali predpisov držav članic o varstvu podatkov.

4.   Kadar obdelovalec zadolži drugega obdelovalca za izvajanje specifičnih dejavnosti obdelave v imenu upravljavca, za tega drugega obdelovalca na podlagi pogodbe ali drugega pravnega akta v skladu s pravom Unije ali pravom države članice veljajo enake obveznosti varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu med upravljavcem in obdelovalcem iz odstavka 3, zlasti za zagotovitev zadostnih jamstev za izvajanje ustreznih tehničnih in organizacijskih ukrepov na tak način, da bo obdelava izpolnjevala zahteve iz te uredbe. Kadar ta drugi obdelovalec ne izpolni obveznosti varstva podatkov, prvi obdelovalec še naprej v celoti odgovarja upravljavcu za izpolnjevanje obveznosti drugega obdelovalca.

5.   Zavezanost k odobrenemu kodeksu ravnanja iz člena 40 ali izvajanje odobrenega mehanizma potrjevanja iz člena 42 s strani obdelovalca se lahko uporabi za dokazovanje zagotavljanja zadostnih jamstev iz odstavkov 1 in 4 tega člena.

6.   Brez poseganja v individualno pogodbo med upravljavcem in obdelovalcem lahko pogodba ali drug pravni akt iz odstavkov 3 in 4 tega člena v celoti ali delno temelji na standardnih pogodbenih določilih iz odstavkov 7 in 8 tega člena, tudi ko so del potrdila, izdanega upravljavcu ali obdelovalcu v skladu s členoma 42 in 43.

7.   Komisija lahko določi standardna pogodbena določila za zadeve iz odstavkov 3 in 4 tega člena ter v skladu s postopkom pregleda iz člena 93(2).

8.   Nadzorni organ lahko sprejme standardna pogodbena določila za zadeve iz odstavkov 3 in 4 tega člena ter v skladu z mehanizmom za skladnost iz člena 63.

9.   Pogodba ali drug pravni akt iz odstavkov 3 in 4 je v pisni obliki, vključno z elektronsko obliko.

10.   Brez poseganja v člene 82, 83 in 84, če obdelovalec krši to uredbo s tem, ko določi namene in sredstva obdelave, se obdelovalec šteje za upravljavca v zvezi s to obdelavo.