1. В случаях, если обработка осуществляется от имени контроллера, он использует только тех процессоров, которые предоставляют достаточные гарантии того, что соответствующие технические и организационные меры будут осуществляться таким образом, что при обработке будут соблюдаться требования настоящего регламента и будет обеспечена защита прав субъекта данных.
2. Процессор без предварительного конкретного или общего письменного разрешения контроллера не привлекает другого процессора. В случае общего письменного разрешения, процессор ставит в известность контроллера о любых запланированных изменениях, касающихся дополнительного процессора или замещения процессора, таким образом, давая контроллеру возможность возразить против таких изменений.
3. Обработка, осуществляемая процессором, регулируется договором или иным юридическим актом, согласно правовым актам Союза или государства-члена ЕС, который является обязательным для процессора или контроллера, и в котором указываются предмет договора и продолжительность, характер и цель обработки, тип персональных данных и категории субъектов данных, обязанности и права контроллера. Указанный договор или иной юридический акт, в частности, предусматривает, что процессор:
- обрабатывает персональные данные только по задокументированным указаниям контроллера, в том числе в отношении отправки персональных данных третьей стране или международной организации, кроме случаев, когда это необходимо, согласно правовым актам Союза или государства-члена ЕС, применимым к процессору, и, в таком случае, до начала обработки процессор информирует контроллера об указанном юридическом требовании, за исключением случаев, когда соответствующим правовым актом такое информирование запрещено по причине важных общественных интересов;
- обеспечивает то, чтобы лица, уполномоченные на обработку данных, обязались соблюдать конфиденциальность или для них законом установлена обязанность соблюдения конфиденциальности;
- принимает все необходимые меры, согласно статье 32;
- соблюдает условия, указанные в пунктах 2 и 4, согласно которым привлекается другой процессор;
- поскольку это возможно с учётом сущности обработки, содействует контроллеру посредством соответствующих технических и организационных мер, которые обеспечивают то, что контроллер может выполнять свою обязанность отвечать на запросы по осуществлению прав субъекта данных, предусмотренных в главе III;
- содействует контроллеру в обеспечении выполнения обязанностей, указанных в статьях 32 – 36, с учётом вида обработки и доступной процессору информации;
- после завершения предоставления услуг обработки, по выбору контроллера, удаляет или отдаёт все персональные данные и удаляет имеющиеся копии, если только правовыми актами Союза или государства-члена ЕС не предусмотрено хранение персональных данных;
- делает доступной контроллеру всю информацию, необходимую для подтверждения выполнения предусмотренных настоящей статьёй обязанностей, и для возможности контроллеру или другому уполномоченному контроллером ревизору провести ревизии, в том числе проверки, и внесения в них вклада.
В отношении подпункта h) пункта первого, процессор незамедлительно информирует контроллера, если, по его мнению, какое-либо указание нарушает настоящий регламент или другие положения Союза, или государства-члена ЕС по защите данных.
4. Если процессор по договору или иному юридическому акту привлекает к работе другого процессора для выполнения определенной обработки данных от имени контроллера, то для этого другого процессора устанавливают те же самые обязанности по защите данных, которые определены в договоре или другом юридическом акте, заключённом между контроллером и процессором, как указано в пункте 3, в частности, с достаточной гарантией, что будут осуществляться применимые технические и организаторские меры таким образом, чтобы при обработке были соблюдены требования, установленные в настоящем регламенте. Если упомянутый другой процессор не выполняет свои обязательства по защите данных, то первоначальный процессор остаётся полностью ответственным перед контроллером за выполнение обязанностей этим другим процессором.
5. Соответствие процессора утверждённому кодексу действий, как указано в статье 40, или утвержденному сертификационным механизмам, как упомянуто в статье 42, можно использовать в качестве элемента для подтверждения достаточных гарантий, указанных в пункте 1 и 4 настоящей статьи.
6. Не затрагивая отдельный договор между контроллером и процессором, договор или другой юридический акт, указанный в пунктах 3 и 4 настоящей статьи, может полностью или частично основываться на стандартных условиях, указанных в пунктах 7 и 8 настоящей статьи, в том числе, если они являются частью сертификата, выданного контроллеру или процессору, согласно статье 42 и 43.
7. Комиссия может разработать стандартные договорные условия для упомянутых в пункте 3 и 4 настоящей статьи вопросов, в соответствии с процедурой проверки, указанной в пункте 2 статьи 93.
8. Надзорное учреждение может принять стандартные договорные условия для упомянутых в пункте 3 и 4 вопросов настоящей статьи, согласно механизму согласования, указанному в статье 63.
9. Договор или иной юридический акт, указанный в пункте 3 и 4, должен быть подготовлен в письменной форме, в том числе в электронном виде.
10. Не затрагивая статью 82, 83 и 84, если процессор нарушает настоящий регламент, при определении целей и средствв обработки, то процессор считается контроллером в отношении указанной обработки.