Mer
Navigasjon
KAPITTEL I Alminnelige bestemmelser (1-4)
Artikkel 1. Formål og målArtikkel 2. Saklig virkeområdeArtikkel 3. Geografisk virkeområdeArtikkel 4. Definisjoner
KAPITTEL II Prinsipper (5-11)
Artikkel 5. Prinsipper for behandling av personopplysningerArtikkel 6. Behandlingens lovlighetArtikkel 7. Vilkår for samtykkeArtikkel 8. Vilkår for barns samtykke i forbindelse med informasjonssamfunnstjenesterArtikkel 9. Behandling av særlige kategorier av personopplysningerArtikkel 10. Behandling av personopplysninger om straffedommer og lovovertredelserArtikkel 11. Behandling som ikke krever identifikasjon
KAPITTEL III Den registrertes rettigheter (12-23)
Artikkel 12. Klar og tydelig informasjon, kommunikasjon og nærmere regler om utøvelse av den registrertes rettigheterArtikkel 13. Informasjon som skal gis ved innsamling av personopplysninger fra den registrerteArtikkel 14. Informasjon som skal gis dersom personopplysninger ikke er blitt samlet inn fra den registrerteArtikkel 15. Den registrertes rett til innsynArtikkel 16. Rett til rettingArtikkel 17. Rett til sletting («rett til å bli glemt»)Artikkel 18. Rett til begrensning av behandlingArtikkel 19. Underretningsplikt i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandlingArtikkel 20. Rett til dataportabilitetArtikkel 21. Rett til å protestereArtikkel 22. Automatiserte individuelle avgjørelser, herunder profileringArtikkel 23. Begrensninger
KAPITTEL IV Behandlingsansvarlig og databehandler (24-43)
Artikkel 24. Formål og målArtikkel 25. Innebygd personvern og personvern som standardinnstillingArtikkel 26. Felles behandlingsansvarligeArtikkel 27. Representanter for behandlingsansvarlige eller databehandlere som ikke er etablert i Unionen
Artikkel 28. Databehandler
Artikkel 29. Behandling som utføres for den behandlingsansvarlige eller databehandlerenArtikkel 30. Protokoller over behandlingsaktiviteterArtikkel 31. Samarbeid med tilsynsmyndighetenArtikkel 32. Sikkerhet ved behandlingenArtikkel 33. Melding til tilsynsmyndigheten om brudd på personopplysningssikkerhetenArtikkel 34. Underretning av den registrerte om brudd på personopplysningssikkerhetenArtikkel 35. Vurdering av personvernkonsekvenserArtikkel 36. ForhåndsdrøftingerArtikkel 37. Utpeking av et personvernombudArtikkel 38. Personvernombudets stillingArtikkel 39. Personvernombudets oppgaverArtikkel 40. AtferdsnormerArtikkel 41. Kontroll av godkjente atferdsnormerArtikkel 42. SertifiseringArtikkel 43. Sertifiseringsorganer
KAPITTEL V Overføring av personopplysninger til tredjestater eller internasjonale organisasjoner (44-50)
Artikkel 44. Generelt prinsipp for overføringArtikkel 45. Overføringer på grunnlag av en beslutning om tilstrekkelig beskyttelsesnivåArtikkel 46. Overføringer som omfattes av nødvendige garantierArtikkel 47. Bindende virksomhetsreglerArtikkel 48. Overføring eller utlevering som ikke er tillatt i henhold til unionsrettenArtikkel 49. Unntak for særlige situasjonerArtikkel 50. Internasjonalt samarbeid om vern av personopplysninger
KAPITTEL VI Uavhengige tilsynsmyndigheter (51-59)
Artikkel 51. TilsynsmyndighetArtikkel 52. UavhengighetArtikkel 53. Generelle vilkår for medlemmer av tilsynsmyndighetenArtikkel 54. Regler om opprettelse av tilsynsmyndighetenArtikkel 55. KompetanseArtikkel 56. Den ledende tilsynsmyndighets kompetanseArtikkel 57. OppgaverArtikkel 58. MyndighetArtikkel 59. Årsrapporter
KAPITTEL VII Samarbeid og ensartet anvendelse (60-70)
Artikkel 60. Samarbeid mellom ledende tilsynsmyndighet og andre berørte tilsynsmyndigheterArtikkel 61. Gjensidig bistandArtikkel 62. Tilsynsmyndighetenes felles aktiviteterArtikkel 63. KonsistensmekanismeArtikkel 64. Uttalelse fra PersonvernrådetArtikkel 65. Tvisteløsning gjennom PersonvernrådetArtikkel 66. Framgangsmåte for behandling av hastesakerArtikkel 67. Utveksling av informasjonArtikkel 68. Det europeiske personvernrådArtikkel 69. UavhengighetArtikkel 70. Personvernrådets oppgaverArtikkel 71. RapporterArtikkel 72. FramgangsmåteArtikkel 73. LederArtikkel 74. Lederens oppgaverArtikkel 75. SekretariatArtikkel 76. Konfidensialitet
KAPITTEL VIII Rettsmidler, ansvar og sanksjoner (77-84)
Artikkel 77. Rett til å klage til en tilsynsmyndighetArtikkel 78. Rett til et effektivt rettsmiddel overfor en tilsynsmyndighetArtikkel 79. Rett til et effektivt rettsmiddel overfor en behandlingsansvarlig eller databehandlerArtikkel 80. Representasjon av registrerteArtikkel 81. Utsettelse av en sakArtikkel 82. Rett til erstatning og erstatningsansvarArtikkel 83. Generelle vilkår for ilegging av overtredelsesgebyrArtikkel 84. Sanksjoner
KAPITTEL IX Bestemmelser om særlige behandlingssituasjoner (85-91)
Artikkel 85. Behandling og ytrings- og informasjonsfrihetArtikkel 86. Behandling og allmennhetens innsyn i offentlige dokumenterArtikkel 87. Behandling av nasjonalt identifikasjonsnummerArtikkel 88. Behandling i forbindelse med ansettelsesforholdArtikkel 89. Garantier og unntak ved behandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formålArtikkel 90. TaushetspliktArtikkel 91. Eksisterende regler om vern av personopplysninger for kirker og religiøse sammenslutninger
KAPITTEL X Delegerte rettsakter og gjennomføringsrettsakter (92-93)
Artikkel 92. Utøvelse av delegert myndighetArtikkel 93. Komitéprosedyre
KAPITTEL XI Sluttbestemmelser (94-95)
Artikkel 94. Oppheving av direktiv 95/46/EFArtikkel 95. Forhold til direktiv 2002/58/EFArtikkel 96. Forhold til tidligere inngåtte avtalerArtikkel 97. Kommisjonens rapporterArtikkel 98. Gjennomgåelse av andre EU-rettsakter om vern av personopplysningerArtikkel 99. Ikrafttredelse og anvendelse
GDPR > Artikkel 28. Databehandler
Last ned PDF

Artikkel 28 GDPR. Databehandler

Article 28 GDPR. Processor

1. Dersom en behandling skal utføres på vegne av en behandlingsansvarlig, skal den behandlingsansvarlige bare bruke databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning og vern av den registrertes rettigheter.

1. Where processing is to be carried out on behalf of a controller, the controller shall use only processors providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject.

2. Databehandleren skal ikke engasjere en annen databehandler uten at det på forhånd er innhentet særlig eller generell skriftlig tillatelse til dette fra den behandlingsansvarlige. Dersom det er innhentet en generell skriftlig tillatelse, skal databehandleren underrette den behandlingsansvarlige om eventuelle planer om å benytte andre databehandlere eller skifte ut databehandlere, og dermed gi den behandlingsansvarlige muligheten til å motsette seg slike endringer.

2. The processor shall not engage another processor without prior specific or general written authorisation of the controller. In the case of general written authorisation, the processor shall inform the controller of any intended changes concerning the addition or replacement of other processors, thereby giving the controller the opportunity to object to such changes.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraphs to article 28(2) GDPR:

8.5.6 Disclosure of subcontractors used to process PII

Control

The organization should disclose any use of subcontractors to process PII to the customer before use.

Implementation guidance

Provisions for the use of subcontractors to process PII should be included in the customer contract.


for å få tilgang til hele teksten

3. Behandling utført av en databehandler skal være underlagt en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett som er bindende for databehandleren med hensyn til den behandlingsansvarlige, og der gjenstanden for og varigheten av behandlingen, behandlingens art og formål, typen personopplysninger og kategorier av registrerte samt den behandlingsansvarliges rettigheter og plikter er fastsatt. I nevnte avtale eller nevnte andre rettslige dokument skal det særlig angis at databehandleren

3. Processing by a processor shall be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller and that sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller. That contract or other legal act shall stipulate, in particular, that the processor:

a) behandler personopplysningene bare på dokumenterte instrukser fra den behandlingsansvarlige, herunder med hensyn til overføring av personopplysninger til en tredjestat eller en internasjonal organisasjon, med mindre det kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt; i så fall skal databehandleren underrette den behandlingsansvarlige om nevnte rettslige krav før behandlingen, men mindre denne rett av hensyn til viktige allmenne interesser forbyr en slik underretning,

(a) processes the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country or an international organisation, unless required to do so by Union or Member State law to which the processor is subject; in such a case, the processor shall inform the controller of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(a) GDPR:

8.2.2 Organization’s purposes

Control

The organization should ensure that PII processed on behalf of a customer are only processed for the purposes expressed in the documented instructions of the customer.

Implementation guidance

The contract between the organization and the customer should include, but not be limited to, the objective and time frame to be achieved by the service.


for å få tilgang til hele teksten

b) sikrer at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene konfidensielt eller er underlagt en egnet lovfestet taushetsplikt,

(b) ensures that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 13.2.4.

Here is the relevant paragraph to article 28(3)(b) GDPR:

6.10.2.4 Confidentiality or non-disclosure agreements

Implementation guidance

The organization should ensure that individuals operating under its control with access to PII are subject to a confidentiality obligation. The confidentiality agreement, whether part of a contract or separate, should specify the length of time the obligations should be adhered to.


for å få tilgang til hele teksten

c) treffer alle tiltak som er nødvendig i henhold til artikkel 32,

(c) takes all measures required pursuant to Article 32;

Relaterte tekster
Relaterte tekster

d) overholder vilkårene nevnt i nr. 2 og 4 når det gjelder å engasjere en annen databehandler,

(d) respects the conditions referred to in paragraphs 2 and 4 for engaging another processor;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(d) GDPR:

8.5.7 Engagement of a subcontractor to process PII

Control

The organization should only engage a subcontractor to process PII according to the customer contract.

Implementation guidance

Where the organization subcontracts some or all of the processing of that PII to another organization, a written authorization from the customer is required prior to the PII processed by the subcontractor. This can be in the form of appropriate clauses in the customer contract, or can be a specific «one-off» agreement.

 


for å få tilgang til hele teksten

e) idet det tas hensyn til behandlingens art og i den grad det er mulig, bistår, ved hjelp av egnede tekniske og organisatoriske tiltak, den behandlingsansvarlige med å oppfylle vedkommendes plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i kapittel III,

(e) taking into account the nature of the processing, assists the controller by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of the controller’s obligation to respond to requests for exercising the data subject’s rights laid down in Chapter III;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(e) GDPR:

8.3.1 Obligations to PII principals

Control

The organization should provide the customer with the means to comply with its obligations related to PII principals.

Implementation guidance

A PII controller’s obligations can be defined by legislation, by regulation and/or by contract. These obligations can include matters where the customer uses the services of the organization for implementation of these obligations.


for å få tilgang til hele teksten

f) bistår den behandlingsansvarlige med å sikre overholdelse av forpliktelsene i henhold til artikkel 32-36, idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for databehandleren,

(f) assists the controller in ensuring compliance with the obligations pursuant to Articles 32 to 36 taking into account the nature of processing and the information available to the processor;

Relaterte tekster
Relaterte tekster

g) etter den behandlingsansvarliges valg, sletter eller tilbakeleverer alle personopplysninger til den behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og sletter eksisterende kopier, med mindre unionsretten eller medlemsstatenes nasjonale rett krever at personopplysningene lagres,

(g) at the choice of the controller, deletes or returns all the personal data to the controller after the end of the provision of services relating to processing, and deletes existing copies unless Union or Member State law requires storage of the personal data;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(g) GDPR:

8.4.2 Return, transfer or disposal of PII

Control

The organization should provide the ability to return, transfer and/or disposal of PII in a secure manner. It should also make its policy available to the customer.

Implementation guidance

At some point in time, PII can need to be disposed of in some manner. This can involve returning the PII to the customer, transferring it to another organization or to a PII controller (e.g. as a result of a merger), deleting or otherwise destroying it, de-identifying it or archiving it.


for å få tilgang til hele teksten

h) gjør tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i denne artikkel er oppfylt, samt muliggjør og bidrar til revisjoner, herunder inspeksjoner, som gjennomføres av den behandlingsansvarlige eller en annen revisor på fullmakt fra den behandlingsansvarlige.

(h) makes available to the controller all information necessary to demonstrate compliance with the obligations laid down in this Article and allow for and contribute to audits, including inspections, conducted by the controller or another auditor mandated by the controller.

ISO 27701
ISO 27701

Når det gjelder første ledd bokstav h) skal databehandleren omgående underrette den behandlingsansvarlige dersom vedkommende mener at en instruks er i strid med denne forordning eller andre bestemmelser om vern av personopplysninger i unionsretten eller medlemsstatenes nasjonale rett.

With regard to point (h) of the first subparagraph, the processor shall immediately inform the controller if, in its opinion, an instruction infringes this Regulation or other Union or Member State data protection provisions.

4. Dersom en databehandler engasjerer en annen databehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal nevnte andre databehandler pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i avtalen eller i et annet rettslig dokument mellom den behandlingsansvarlige og databehandleren som nevnt i nr. 3, ved hjelp av en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett, der det særlig gis tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning. Dersom nevnte andre databehandler ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger, skal den opprinnelige databehandleren overfor den behandlingsansvarlige ha fullt ansvar for at nevnte andre databehandler oppfyller sine forpliktelser.

4. Where a processor engages another processor for carrying out specific processing activities on behalf of the controller, the same data protection obligations as set out in the contract or other legal act between the controller and the processor as referred to in paragraph 3 shall be imposed on that other processor by way of a contract or other legal act under Union or Member State law, in particular providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that the processing will meet the requirements of this Regulation. Where that other processor fails to fulfil its data protection obligations, the initial processor shall remain fully liable to the controller for the performance of that other processor’s obligations.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(4) GDPR:

8.5.6 Disclosure of subcontractors used to process PII

Control

The organization should disclose any use of subcontractors to process PII to the customer before use.

Implementation guidance

Provisions for the use of subcontractors to process PII should be included in the customer contract.


for å få tilgang til hele teksten

5. En databehandlers overholdelse av godkjente atferdsnormer som nevnt i artikkel 40 eller en godkjent sertifiseringsmekanisme som nevnt i artikkel 42 kan brukes som en faktor for å påvise at det foreligger tilstrekkelige garantier som nevnt i nr. 1 og 4 i denne artikkel.

5. Adherence of a processor to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate sufficient guarantees as referred to in paragraphs 1 and 4 of this Article.

Relaterte tekster
Relaterte tekster

6. Uten at det berører en individuell avtale mellom den behandlingsansvarlige og databehandleren, kan avtalen eller det andre rettslige dokumentet nevnt i nr. 3 og 4 i denne artikkel helt eller delvis bygge på standardavtalevilkårene nevnt i nr. 7 og 8 i denne artikkel, herunder når de inngår i en sertifisering som er gitt den behandlingsansvarlige eller databehandleren i henhold til artikkel 42 og 43.

6. Without prejudice to an individual contract between the controller and the processor, the contract or the other legal act referred to in paragraphs 3 and 4 of this Article may be based, in whole or in part, on standard contractual clauses referred to in paragraphs 7 and 8 of this Article, including when they are part of a certification granted to the controller or processor pursuant to Articles 42 and 43.

Relaterte tekster
Relaterte tekster

7. Kommisjonen kan fastsette standardavtalevilkår for tilfellene nevnt i nr. 3 og 4 i denne artikkel og i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2.

7. The Commission may lay down standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the examination procedure referred to in Article 93(2).

Relaterte tekster
Relaterte tekster

8. En tilsynsmyndighet kan vedta standardavtalevilkår for tilfellene nevnt i nr. 3 og 4 i denne artikkel og i samsvar med konsistensmekanismen nevnt i artikkel 63.

8. A supervisory authority may adopt standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the consistency mechanism referred to in Article 63.

Relaterte tekster
Relaterte tekster

9. Avtalen eller det andre rettslige dokumentet nevnt i nr. 3 og 4 skal være skriftlig, herunder elektronisk.

9. The contract or the other legal act referred to in paragraphs 3 and 4 shall be in writing, including in electronic form.

10. Dersom en databehandler overtrer bestemmelsene i denne forordning ved å fastsette formålene med og midlene for behandlingen, skal databehandleren anses for å være en behandlingsansvarlig med hensyn til nevnte behandling, uten at det berører artikkel 82, 83 og 84.

10. Without prejudice to Articles 82, 83 and 84, if a processor infringes this Regulation by determining the purposes and means of processing, the processor shall be considered to be a controller in respect of that processing.

Relaterte tekster
Relaterte tekster
Generell personvernforordning) [PVF, GDPR]

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Ekspertkommentar ISO 27701 Fortalepunkter Retningslinjer og rettspraksis Legg igjen en kommentar
Ekspertkommentar

(EN) A processor is a person or an organization that processes personal data on behalf and under the authority of a controller [Articles 4(8) and 28(1)]. The term used in the English text of the General Data Protection Regulation (GDPR) remains difficult to apprehend by a non-legal audience, so it is useful to turn to other linguistic versions for a better understanding.


for å få tilgang til hele teksten

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
(EN) Ask a question
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to articles 28(5), 28(6), and 28(10) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


for å få tilgang til hele teksten

Fortalepunkter

81) For å sikre overholdelse av kravene i denne forordning med hensyn til behandling som skal utføres av databehandleren på vegne av den behandlingsansvarlige, når behandlingsaktiviteter overlates til en databehandler, bør den behandlingsansvarlige bare benytte databehandlere som gir tilstrekkelige garantier, særlig med tanke på dybdekunnskap, pålitelighet og ressurser, for at de vil gjennomføre tekniske og organisatoriske tiltak som vil oppfylle kravene i denne forordning, herunder kravene til sikker behandling. Databehandlerens overholdelse av godkjente atferdsnormer eller bruk av en godkjent sertifiseringsmekanisme kan brukes som en faktor for å påvise at den behandlingsansvarliges forpliktelser overholdes. Behandling som utføres av en databehandler, bør være underlagt en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett som binder databehandleren til den behandlingsansvarlige, og som fastsetter gjenstanden for og varigheten av behandlingen, behandlingens art og formål, typen personopplysninger og kategorier av registrerte, idet det tas hensyn til databehandlerens særlige oppgaver og ansvar i forbindelse med behandlingen som skal utføres, samt risikoen for den registrertes rettigheter og friheter. Den behandlingsansvarlige og databehandleren kan velge å bruke en individuell avtale eller standardavtalevilkår som enten er vedtatt direkte av Kommisjonen eller av en tilsynsmyndighet i samsvar med konsistensmekanismen, og deretter vedtatt av Kommisjonen. Når behandlingen på vegne av den behandlingsansvarlige er fullført, bør databehandleren tilbakelevere eller slette personopplysningene, avhengig av hva den behandlingsansvarlige velger, med mindre unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt, inneholder krav om lagring av personopplysningene.

(81) To ensure compliance with the requirements of this Regulation in respect of the processing to be carried out by the processor on behalf of the controller, when entrusting a processor with processing activities, the controller should use only processors providing sufficient guarantees, in particular in terms of expert knowledge, reliability and resources, to implement technical and organisational measures which will meet the requirements of this Regulation, including for the security of processing. The adherence of the processor to an approved code of conduct or an approved certification mechanism may be used as an element to demonstrate compliance with the obligations of the controller. The carrying-out of processing by a processor should be governed by a contract or other legal act under Union or Member State law, binding the processor to the controller, setting out the subject-matter and duration of the processing, the nature and purposes of the processing, the type of personal data and categories of data subjects, taking into account the specific tasks and responsibilities of the processor in the context of the processing to be carried out and the risk to the rights and freedoms of the data subject. The controller and processor may choose to use an individual contract or standard contractual clauses which are adopted either directly by the Commission or by a supervisory authority in accordance with the consistency mechanism and then adopted by the Commission. After the completion of the processing on behalf of the controller, the processor should, at the choice of the controller, return or delete the personal data, unless there is a requirement to store the personal data under Union or Member State law to which the processor is subject.

Retningslinjer og rettspraksis Legg igjen en kommentar
[js-disqus]