1. Pokud má být zpracování provedeno pro správce,
využije správce pouze ty zpracovatele, kteří poskytují dostatečné
záruky zavedení vhodných technických a organizačních opatření tak, aby
dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna
ochrana práv subjektu údajů.
2. Zpracovatel nezapojí do zpracování žádného
dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného
povolení správce. V případě obecného písemného povolení zpracovatel
správce informuje o veškerých zamýšlených změnách týkajících se přijetí
dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci
příležitost vyslovit vůči těmto změnám námitky.
3. Zpracování zpracovatelem se řídí smlouvou nebo
jiným právním aktem podle práva Unie nebo členského státu, které
zavazují zpracovatele vůči správci a v nichž je stanoven předmět a doba
trvání zpracování, povaha a účel zpracování, typ osobních údajů
a kategorie subjektů údajů, povinnosti a práva správce. Tato smlouva
nebo jiný právní akt zejména stanoví, že zpracovatel:
a) zpracovává osobní údaje pouze na
základě doložených pokynů správce, včetně v otázkách předání osobních
údajů do třetí země nebo mezinárodní organizaci, pokud mu toto
zpracování již neukládají právo Unie nebo členského státu, které se na
správce vztahuje; v takovém případě zpracovatel správce informuje o
tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy
toto informování zakazovaly z důležitých důvodů veřejného zájmu;
b) zajišťuje, aby se osoby oprávněné
zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně
vztahovala zákonná povinnost mlčenlivosti;
c) přijme všechna opatření požadovaná podle článku 32;
d) dodržuje podmínky pro zapojení dalšího zpracovatele uvedené v odstavcích 2 a 4;
e) zohledňuje povahu zpracování, je
správci nápomocen prostřednictvím vhodných technických a organizačních
opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat
na žádosti o výkon práv subjektu údajů stanovených v kapitole III;
f) je správci nápomocen při zajišťování
souladu s povinnostmi podle článků 32 až 36, a to při zohlednění povahy
zpracování a informací, jež má zpracovatel k dispozici;
g) v souladu s rozhodnutím správce všechny
osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování
služeb spojených se zpracováním, a vymaže existující kopie, pokud právo
Unie nebo členského státu nepožaduje uložení daných osobních údajů;
h) poskytne správci veškeré informace
potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto
článku, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným
auditorem, kterého správce pověřil, a k těmto auditům přispěje.
Pokud jde o první pododstavec písm. h), informuje
zpracovatel neprodleně správce v případě, že podle jeho názoru určitý
pokyn porušuje toto nařízení nebo jiné předpisy Unie nebo členského
státu týkající se ochrany údajů.
4. Pokud zpracovatel zapojí dalšího zpracovatele,
aby jménem správce provedl určité činnosti zpracování, musí být tomuto
dalšímu zpracovateli uloženy na základě smlouvy nebo jiného právního
aktu podle práva Unie nebo členského státu stejné povinnosti na ochranu
údajů, jaké jsou uvedeny ve smlouvě nebo jiném právním aktu mezi
správcem a zpracovatelem podle odstavce 3, a to zejména poskytnutí
dostatečných záruk, pokud jde o zavedení vhodných technických a
organizačních opatření tak, aby zpracování splňovalo požadavky tohoto
nařízení. Neplní-li uvedený další zpracovatel své povinnosti v oblasti
ochrany údajů, odpovídá správci za plnění povinností dotčeného dalšího
zpracovatele i nadále plně prvotní zpracovatel.
5. Jedním z prvků, jimiž lze doložit dostatečné
záruky podle odstavců 1 a 4 tohoto článku, je skutečnost, že zpracovatel
dodržuje schválený kodex chování uvedených v článku 40 nebo schválený
mechanismus pro vydávání osvědčení uvedený v článku 42.
6. Aniž jsou dotčeny individuální smlouvy mezi
správcem a zpracovatelem, mohou být smlouvy nebo jiné právní akty podle
odstavců 3 a 4 tohoto článku založeny zcela nebo částečně na
standardních smluvních doložkách podle odstavců 7 a 8 tohoto článku,
mimo jiné i v případě, že jsou součástí osvědčení uděleného správci či
zpracovateli podle článků 42 a 43.
7. Pro záležitosti uvedené v odstavcích 3 a 4
tohoto článku může standardní smluvní doložky stanovit Komise přezkumným
postupem podle čl. 93 odst. 2.
8. Pro záležitosti uvedené v odstavcích 3 a 4
tohoto článku může standardní smluvní doložky přijmout dozorový úřad v
souladu s mechanismem jednotnosti uvedeným v článku 63.
9. Smlouva nebo jiný právní akt podle odstavců 3 a 4 musí být vyhotoveny písemně, v to počítaje i elektronickou formu.
10. Aniž jsou dotčeny články 82, 83 a 84, pokud
zpracovatel poruší toto nařízení tím, že určí účely a prostředky
zpracování, považuje se ve vztahu k takovému zpracování za správce.