1.   Ak sa má spracúvanie uskutočniť v mene prevádzkovateľa, prevádzkovateľ využíva len sprostredkovateľov poskytujúcich dostatočné záruky na to, že sa prijmú primerané technické a organizačné opatrenia tak, aby spracúvanie spĺňalo požiadavky tohto nariadenia a aby sa zabezpečila ochrana práv dotknutej osoby.

2.   Sprostredkovateľ nezapojí ďalšieho sprostredkovateľa bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa. V prípade všeobecného písomného povolenia sprostredkovateľ informuje prevádzkovateľa o akýchkoľvek zamýšľaných zmenách v súvislosti s pridaním alebo nahradením ďalších sprostredkovateľov, čím sa prevádzkovateľovi dá možnosť namietať voči takýmto zmenám.

3.   Spracúvanie sprostredkovateľom sa riadi zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktoré zaväzuje sprostredkovateľa voči prevádzkovateľovi a ktorým sa stanovuje predmet a doba spracúvania, povaha a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. Uvedená zmluva alebo iný právny akt najmä stanovia, že sprostredkovateľ:

a)

spracúva osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa, a to aj pokiaľ ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, s výnimkou prípadov, keď si to vyžaduje právo Únie alebo právo členského štátu, ktorému sprostredkovateľ podlieha; v takom prípade sprostredkovateľ oznámi prevádzkovateľovi túto právnu požiadavku pred spracúvaním, pokiaľ dané právo takéto oznámenie nezakazuje zo závažných dôvodov verejného záujmu;

b)	zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť informácií, alebo aby boli viazané vhodnou povinnosťou zachovávať dôvernosť informácií vyplývajúcou zo štatútu;

c)	vykoná všetky požadované opatrenia podľa článku 32;

d)	dodržiava podmienky zapojenia ďalšieho sprostredkovateľa uvedené v odsekoch 2 a 4;

e)	po zohľadnení povahy spracúvania v čo najväčšej miere pomáha prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti reagovať na žiadosti o výkon práv dotknutej osoby ustanovených v kapitole III;

f)	pomáha prevádzkovateľovi zabezpečiť plnenie povinností podľa článkov 32 až 36 s prihliadnutím na povahu spracúvania a informácie dostupné sprostredkovateľovi;

g)	po ukončení poskytovania služieb týkajúcich sa spracúvania na základe rozhodnutia prevádzkovateľa všetky osobné údaje vymaže alebo vráti prevádzkovateľovi a vymaže existujúce kópie, ak právo Únie alebo právo členského štátu nepožaduje uchovávanie týchto osobných údajov;

h)	poskytne prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v tomto článku a umožní audity, ako aj kontroly vykonávané prevádzkovateľom alebo iným audítorom, ktorého poveril prevádzkovateľ, a prispieva k nim.

So zreteľom na písmeno h) prvého pododseku sprostredkovateľ bezodkladne informuje prevádzkovateľa, ak sa podľa jeho názoru pokynom porušuje toto nariadenie alebo iné právne predpisy Únie alebo členského štátu týkajúce sa ochrany údajov.

4.   Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi sa prostredníctvom zmluvy alebo iného právneho aktu podľa práva Únie alebo práva členského štátu uložia rovnaké povinnosti ochrany údajov, ako sa stanovujú v zmluve alebo inom právnom akte uzatvorenom medzi prevádzkovateľom a sprostredkovateľom podľa odseku 3, a to predovšetkým poskytnutie dostatočných záruk na vykonanie primeraných technických a organizačných opatrení takým spôsobom, aby spracúvanie spĺňalo požiadavky tohto nariadenia. Ak tento ďalší sprostredkovateľ nesplní svoje povinnosti ochrany údajov, pôvodný sprostredkovateľ zostáva voči prevádzkovateľovi plne zodpovedný za plnenie povinností tohto ďalšieho sprostredkovateľa.

5.   Dodržiavanie schváleného kódexu správania uvedeného v článku 40 alebo schváleného certifikačného mechanizmu uvedeného v článku 42 sprostredkovateľom sa môže použiť ako prvok na preukázanie dostatočných záruk uvedených v odsekoch 1 a 4 tohto článku.

6.   Bez toho, aby tým bola dotknutá individuálna zmluva medzi prevádzkovateľom a sprostredkovateľom, zmluva alebo iný právny akt uvedené v odsekoch 3 a 4 tohto článku sa môžu vcelku alebo sčasti zakladať na štandardných zmluvných doložkách uvedených v odsekoch 7 a 8 tohto článku, a to aj v prípadoch, keď sú súčasťou certifikácie udelenej prevádzkovateľovi alebo sprostredkovateľovi podľa článkov 42 a 43.

7.   Komisia môže stanoviť štandardné zmluvné doložky pre záležitosti uvedené v odsekoch 3 a 4 tohto článku a v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

8.   Dozorný orgán môže prijať štandardné zmluvné doložky pre záležitosti uvedené v odsekoch 3 a 4 tohto článku a v súlade s mechanizmom konzistentnosti uvedeným v článku 63.

9.   Zmluva alebo iný právny akt uvedené v odsekoch 3 a 4 sa vypracujú v písomnej podobe vrátane elektronickej podoby.

10.   Bez toho, aby dotknuté články 82, 83 a 84, ak sprostredkovateľ poruší toto nariadenie tým, že určí účely a prostriedky spracúvania, považuje sa v súvislosti s daným spracúvaním za prevádzkovateľa.

1.   Quando o tratamento dos dados for efetuado por sua conta, o responsável pelo tratamento recorre apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento satisfaça os requisitos do presente regulamento e assegure a defesa dos direitos do titular dos dados.

2.   O subcontratante não contrata outro subcontratante sem que o responsável pelo tratamento tenha dado, previamente e por escrito, autorização específica ou geral. Em caso de autorização geral por escrito, o subcontratante informa o responsável pelo tratamento de quaisquer alterações pretendidas quanto ao aumento do número ou à substituição de outros subcontratantes, dando assim ao responsável pelo tratamento a oportunidade de se opor a tais alterações.

3.   O tratamento em subcontratação é regulado por contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, que vincule o subcontratante ao responsável pelo tratamento, estabeleça o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e as obrigações e direitos do responsável pelo tratamento. Esse contrato ou outro ato normativo estipulam, designadamente, que o subcontratante:

a)

Trata os dados pessoais apenas mediante instruções documentadas do responsável pelo tratamento, incluindo no que respeita às transferências de dados para países terceiros ou organizações internacionais, a menos que seja obrigado a fazê-lo pelo direito da União ou do Estado-Membro a que está sujeito, informando nesse caso o responsável pelo tratamento desse requisito jurídico antes do tratamento, salvo se a lei proibir tal informação por motivos importantes de interesse público;

b)	Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade;

c)	Adota todas as medidas exigidas nos termos do artigo 32.o;

d)	Respeita as condições a que se referem os n.os 2 e 4 para contratar outro subcontratante;

e)

Toma em conta a natureza do tratamento, e na medida do possível, presta assistência ao responsável pelo tratamento através de medidas técnicas e organizativas adequadas, para permitir que este cumpra a sua obrigação de dar resposta aos pedidos dos titulares dos dados tendo em vista o exercício dos seus direitos previstos no capítulo III;

f)	Presta assistência ao responsável pelo tratamento no sentido de assegurar o cumprimento das obrigações previstas nos artigos 32.o a 36.o, tendo em conta a natureza do tratamento e a informação ao dispor do subcontratante;

g)

Consoante a escolha do responsável pelo tratamento, apaga ou devolve-lhe todos os dados pessoais depois de concluída a prestação de serviços relacionados com o tratamento, apagando as cópias existentes, a menos que a conservação dos dados seja exigida ao abrigo do direito da União ou dos Estados-Membros; e

h)

Disponibiliza ao responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no presente artigo e facilita e contribui para as auditorias, inclusive as inspeções, conduzidas pelo responsável pelo tratamento ou por outro auditor por este mandatado.

No que diz respeito ao primeiro parágrafo, alínea h), o subcontratante informa imediatamente o responsável pelo tratamento se, no seu entender, alguma instrução violar o presente regulamento ou outras disposições do direito da União ou dos Estados-Membros em matéria de proteção de dados.

4.   Se o subcontratante contratar outro subcontratante para a realização de operações específicas de tratamento de dados por conta do responsável pelo tratamento, são impostas a esse outro subcontratante, por contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, as mesmas obrigações em matéria de proteção de dados que as estabelecidas no contrato ou outro ato normativo entre o responsável pelo tratamento e o subcontratante, referidas no n.o 3, em particular a obrigação de apresentar garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento seja conforme com os requisitos do presente regulamento. Se esse outro subcontratante não cumprir as suas obrigações em matéria de proteção de dados, o subcontratante inicial continua a ser plenamente responsável, perante o responsável pelo tratamento, pelo cumprimento das obrigações desse outro subcontratante.

5.   O facto de o subcontratante cumprir um código de conduta aprovado conforme referido no artigo 40.o ou um procedimento de certificação aprovado conforme referido no artigo 42.o pode ser utilizado como elemento para demonstrar as garantias suficientes a que se referem os n.os 1 e 4 do presente artigo.

6.   Sem prejuízo de um eventual contrato individual entre o responsável pelo tratamento e o subcontratante, o contrato ou outro ato normativo referidos nos n.os 3 e 4 do presente artigo podem ser baseados, totalmente ou em parte, nas cláusulas contratuais-tipo referidas nos n.os 7 e 8 do presente artigo, inclusivamente quando fazem parte de uma certificação concedida ao responsável pelo tratamento ou ao subcontratante por força dos artigos 42.o e 43.o.

7.   A Comissão pode estabelecer cláusulas contratuais-tipo para as matérias referidas nos n.os 3 e 4 do presente artigo pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

8.   A autoridade de controlo pode estabelecer cláusulas contratuais-tipo para as matérias referidas nos n.os 3 e 4 do presente artigo e de acordo com o procedimento de controlo da coerência referido no artigo 63.o.

9.   O contrato ou outro ato normativo a que se referem os n.os 3 e 4 devem ser feitos por escrito, incluindo em formato eletrónico.

10.   Sem prejuízo do disposto nos artigos 82.o, 83.o e 84.o, o subcontratante que, em violação do presente regulamento, determinar as finalidades e os meios de tratamento, é considerado responsável pelo tratamento no que respeita ao tratamento em questão.