1.   Fejn l-ipproċessar ikun ser isir f'isem kontrollur, il-kontrollur għandu juża biss proċessuri li jagħtu garanziji suffiċjenti biex jiġu implimentati miżuri tekniċi u organizzattivi xierqa b'tali mod li l-ipproċessar jissodisfa r-rekwiżiti ta' dan ir-Regolament u jiżgura l-protezzjoni tad-drittijiet tas-suġġett tad-data.

2.   Il-proċessur m'għandux jimpjega proċessur ieħor mingħajr l-awtorizzazzjoni bil-miktub, speċifika jew ġenerali, minn qabel tal-kontrollur. Fil-każ tal-awtorizzazzjoni ġenerali bil-miktub, il-proċessur għandu jgħarraf lill-kontrollur bi kwalunkwe intenzjoni ta' tibdil rigward iż-żieda jew is-sostituzzjoni ta' proċessuri oħrajn, biex b'hekk jagħti l-opportunità lill-kontrollur joġġezzjona għal tali bidliet.

3.   L-ipproċessar minn proċessur għandu jkun regolat minn kuntratt jew att legali ieħor taħt il-liġi tal-Unjoni jew ta' Stat Membru, li jorbot lill-proċessur fir-rigward tal-kontrollur, u li jistabbilixxi s-suġġett u t-tul tal-ipproċessar, in-natura u l-għan tal-ipproċessar, it-tip ta' data personali u l-kategoriji tas-suġġetti tad-data u l-obbligi u d-drittijiet tal-kontrollur. Dak il-kuntratt jew att legali ieħor għandu jistipula, b'mod partikolari, li l-proċessur:

(a)

jipproċessa d-data personali fil-każ biss ta' istruzzjonijiet dokumentati mill-kontrollur, inkluż fir-rigward tat-trasferimenti tad-data personali lil pajjiż terz jew organizzazzjoni internazzjonali, ħlief jekk ikun obbligat jagħmel dan skont il-liġi tal-Unjoni jew ta' Stat Membru li l-proċessur ikun soġġett għalih; f'dak il-każ, il-proċessur għandu jinforma lill-kontrollur b'dak ir-rekwiżit legali qabel l-ipproċessar, ħlief jekk dik il-liġi tipprojbixxi dik l-informazzjoni għal raġunijiet importanti ta' interess pubbliku;

(b)	jiżgura li l-persuni awtorizzati biex jipproċessaw id-data personali jkunu impenjaw ruħhom li jżommu l-kunfidenzjalità jew li jkunu taħt obbligu statutorju xieraq ta' kunfidenzjalità;

(c)	jieħu l-miżuri kollha mitluba skont l-Artikolu 32;

(d)	jirrispetta l-kundizzjonijiet imsemmija fil-paragrafi 2 u 4 għall-impjegar ta' proċessur ieħor;

(e)	jieħu kont tan-natura tal-ipproċessar, jassisti lill-kontrollur permezz ta' miżuri tekniċi u organizzattivi xierqa, sa fejn dan ikun possibbli, għat-twettiq tal-obbligu tal-kontrollur li jwieġeb għat-talbiet tal-eżerċitar tad-drittijiet tas-suġġett tad-data mniżżla fil-Kapitolu III;

(f)	jassisti lill-kontrollur sabiex jassigura l-konformità mal-obbligi skont l-Artikoli 32 sa 36 waqt li titqies in-natura tal-ipproċessar u l-informazzjoni disponibbli lill-proċessur;

(g)	fuq l-għażla tal-kontrollur, iħassar jew jirritorna d-data personali kollha lill-kontrollur wara li jintemm il-forniment ta' servizzi relatati mal-ipproċessar ta' data, u jħassar il-kopji eżistenti sakemm il-liġi tal-Unjoni jew ta' Stat Membru ma tirrikjedix li d-data personali tinħażen;

(h)	jagħmel disponibbli għall-kontrollur kull informazzjoni meħtieġa biex tintwera l-konformità mal-obbligi stabbiliti f'dan l-Artikolu u jippermetti u jikkontribwixxi għal verifiki, inklużi ispezzjonijiet imwettqa mill-kontrollur jew minn awditur ieħor li jkun ingħata l-mandat mill-kontrollur.

Fir-rigward tal-punt (h) tal-ewwel subparagrafu, il-proċessur għandu minnufih jgħarraf lill-kontrollur jekk, fl-opinjoni tiegħu, istruzzjoni tikser dan ir-Regolament jew dispożizzjonijiet oħrajn tal-Unjoni jew ta' Stat Membru dwar il-protezzjoni tad-data.

4.   Fejn proċessur jimpjega proċessur ieħor biex iwettaq attivitajiet speċifiċi ta' pproċessar f'isem il-kontrollur, l-istess obbligi ta' protezzjoni tad-data kif jinsabu fil-kuntratt jew att legali ieħor bejn il-kontrollur u l-proċessur kif imsemmijin fil-paragrafu 3 għandhom jiġu imposti fuq dak il-proċessur l-ieħor permezz ta' kuntratt jew att legali ieħor skont il-liġi tal-Unjoni jew ta' Stat Membru, li b'mod partikolari jagħtu garanziji suffiċjenti biex jiġu implimentati miżuri tekniċi u organizzattivi xierqa b'tali mod li l-ipproċessar jissodisfa r-rekwiżiti ta' dan ir-Regolament. Fejn dak il-proċessur l-ieħor jonqos milli jħares l-obbligi tiegħu għall-protezzjoni tad-data, il-proċessur inizjali għandu jibqa' kompletament responsabbli quddiem il-kontrollur għat-twettiq tal-obbligi ta' dak il-proċessur l-ieħor.

5.   Il-konformità minn proċessur ma' kodiċi ta' kondotta approvat kif imsemmi fl- Artikolu 40 jew mekkaniżmu ta' ċertifikazzjoni approvat kif imsemmi fl- Artikolu 42 jistgħu jintużaw bħala element li bih jintwerew il-garanziji suffiċjenti kif imsemmija fil-paragrafi 1 u 4 ta'dan l-Artikolu.

6.   Mingħajr preġudizzju għal kuntratt individwali bejn il-kontrollur u l-proċessur, il-kuntratt jew l-att legali l-ieħor imsemmi fil-paragrafu 3 u 4 ta'dan l-Artikolu jistgħu jkunu bbażati, b'mod sħiħ jew parzjalment, fuq klawżoli kuntrattwali standard imsemmija fil-paragrafi 7 u 8 ta'dan l-Artikolu inkluż meta jagħmlu parti minn ċertifikazzjoni mogħtija lill-kontrollur jew lill-proċessur skont l-Artikoli 42 u 43.

7.   Il-Kummissjoni tista' tistabbilixxi klawżoli kuntrattwali standard għal kwistjonijiet imsemmijin fil-paragrafu 3 u 4 ta'dan l-Artikolu u f'konformità mal-proċedura ta' eżami msemmija fl-Artikolu 93(2).

8.   Awtorità superviżorja tista' tadotta klawżoli kuntrattwali standard għall-kwistjonijiet imsemmijin fil-paragrafu 3 u 4 ta'dan l-Artikolu u f'konformità mal-mekkaniżmu ta' konsistenza msemmi fl-Artikolu 63.

9.   Il-kuntratt jew l-att legali ieħor imsemmi fil-paragrafi 3 u 4 għandu jkun bil-miktub, inkluż f'forma elettronika.

10.   Mingħajr preġudizzju għall-Artikoli 82, 83 u 84, jekk proċessur jikser dan ir-Regolament billi jiddetermina l-għanijiet u l-mezzi tal-ipproċessar, il-proċessur għandu jitqies bħala kontrollur fir-rigward ta' dak l-ipproċessar.

1.   Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

2.   Le sous-traitant ne recrute pas un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d'une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements.

3.   Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:

a)

ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public;

b)	veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;

c)	prend toutes les mesures requises en vertu de l'article 32;

d)	respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre sous-traitant;

e)

tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III;

f)	aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant;

g)

selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l'Union ou le droit de l'État membre n'exige la conservation des données à caractère personnel; et

h)

met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

En ce qui concerne le point h) du premier alinéa, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données.

4.   Lorsqu'un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d'un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l'exécution par l'autre sous-traitant de ses obligations.

5.   L'application, par un sous-traitant, d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer l'existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article.

6.   Sans préjudice d'un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes 7 et 8 du présent article, y compris lorsqu'elles font partie d'une certification délivrée au responsable du traitement ou au sous-traitant en vertu des articles 42 et 43.

7.   La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément à la procédure d'examen visée à l'article 93, paragraphe 2.

8.   Une autorité de contrôle peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément au mécanisme de contrôle de la cohérence visé à l'article 63.

9.   Le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 se présente sous une forme écrite, y compris en format électronique.

10.   Sans préjudice des articles 82, 83 et 84, si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.