1. I gcás ina mbeidh próiseáil le déanamh thar ceann rialaitheora, ní bhainfidh an rialaitheoir úsáid ach as próiseálaithe a thugann ráthaíochtaí leordhóthanacha go gcuirfear bearta iomchuí teicniúla agus eagraíochtúla chun feidhme sa dóigh is go gcomhlíonfaidh an phróiseáil ceanglais an Rialacháin seo agus a áirithiú go gcosnófar cearta an ábhair sonraí.
2. Ní fhostóidh próiseálaí cúnamh próiseálaí eile, gan údarú sonrach nó ginearálta a fháil ón rialaitheoir i scríbhinn. sin, i gcás údaraithe sonraigh nó ghinearálta, déanfaidh an próiseálaí an rialaitheoir a chur ar an eolas i gcónaí maidir le haon athrú a bheadh beartaithe a bhaineann le próiseálaithe a chur leis nó in ionad próiseálaithe eile, sa chaoi go mbeadh deis ag an rialaitheoir agóid a dhéanamh i gcoinne athruithe den chineál sin.
3. Rialófar an phróiseáil a dhéanfaidh próiseálaí le conradh nó le gníomh dlí eile faoi dhlí an Aontais nó faoi dhlí Ballstáit atá ina cheangal ar an bpróiseálaí i dtaca leis an rialaitheoir ó thaobh dlí agus ina leagtar amach ábhar agus fad na próiseála, cineál agus críoch na próiseála, cineál na sonraí pearsanta agus catagóirí na n-ábhar sonraí do na sonraí agus oibleagáidí agus cearta an rialaitheora. Foráilfear sa chonradh nó sa ghníomh dlíthiúil eile go ndéanfaidh an próiseálaí an méid seo a leanas, go háirithe:
(a) ní phróiseálfaidh sé na sonraí pearsanta ach amháin ar threoracha doiciméadaithe a fháil ón rialaitheoir chuige sin, lena n-áirítear maidir le haistrithe sonraí pearsanta chuig tríú tír nó chuig eagraíocht idirnáisiúnta, mura n-éilítear an phróiseáil sin a dhéanamh faoi dhlí an Aontais nó faoi dhlí Ballstáit ar faoina réir atá an próiseálaí; agus sa chás sin, cuirfidh an próiseálaí an rialaitheoir in iúl faoin gceanglas dlíthiúil sin sula ndéanfar an phróiseáil, ach amháin mura gcoisctear an fhaisnéis sin faoin dlí sin ar fhorais thábhachtacha leasa phoiblí;
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 28(3)(a) GDPR:
8.2.2 Organization’s purposes
Control
The organization should ensure that PII processed on behalf of a customer are only processed for the purposes expressed in the documented instructions of the customer.
Implementation guidance
The contract between the organization and the customer should include, but not be limited to, the objective and time frame to be achieved by the service.
(EN) […]
(EN) Sign in
to read the full text
(b) áiritheoidh sé go bhfuil gealltanas rúndachta tugtha ag na daoine atá údaraithe chun na sonraí pearsanta a phróiseáil nó go bhfuil siad faoi cheangal oibleagáide rúndachta reachtúla iomchuí;
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 13.2.4.
Here is the relevant paragraph to article 28(3)(b) GDPR:
6.10.2.4 Confidentiality or non-disclosure agreements
Implementation guidance
The organization should ensure that individuals operating under its control with access to PII are subject to a confidentiality obligation. The confidentiality agreement, whether part of a contract or separate, should specify the length of time the obligations should be adhered to.
(EN) […]
(EN) Sign in
to read the full text
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 28(3)(d) GDPR:
8.5.7 Engagement of a subcontractor to process PII
Control
The organization should only engage a subcontractor to process PII according to the customer contract.
Implementation guidance
Where the organization subcontracts some or all of the processing of that PII to another organization, a written authorization from the customer is required prior to the PII processed by the subcontractor. This can be in the form of appropriate clauses in the customer contract, or can be a specific “one-off” agreement.
(EN) […]
(EN) Sign in
to read the full text
(e) agus cineál na próiseála á chursan áireamh, cuideoidh sé leis an rialaitheoir, a mhéid is féidir, trí bhearta iomchuí teicniúla agus eagraíochtúla a bhaineann le comhlíonadh oibleagáid an rialaitheora iarrataí a fhreagairt maidir le feidhmiú chearta an ábhair sonraí a leagtar amach i gCaibidil III;
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 28(3)(e) GDPR:
8.3.1 Obligations to PII principals
Control
The organization should provide the customer with the means to comply with its obligations related to PII principals.
Implementation guidance
A PII controller’s obligations can be defined by legislation, by regulation and/or by contract. These obligations can include matters where the customer uses the services of the organization for implementation of these obligations.
(EN) […]
(EN) Sign in
to read the full text
(g) ar rogha an rialaitheora, tabharfaidh sé na sonraí pearsanta uile ar ais don rialaitheoir nó scriosfaidh sé iad, tar éis dheireadh sholáthar na seirbhísí a bhaineann leis an bpróiseáil sonraí agus na cóipeanna atá ar marthain a scriosadh, mura rud é go n-éilíonn dlí an Aontais nó dlí Ballstáit go ndéanfar na sonraí údarú sonrach nó ginearálta sin a stóráil; agus
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 28(3)(g) GDPR:
8.4.2 Return, transfer or disposal of PII
Control
The organization should provide the ability to return, transfer and/or disposal of PII in a secure manner. It should also make its policy available to the customer.
Implementation guidance
At some point in time, PII can need to be disposed of in some manner. This can involve returning the PII to the customer, transferring it to another organization or to a PII controller (e.g. as a result of a merger), deleting or otherwise destroying it, de-identifying it or archiving it.
(EN) […]
(EN) Sign in
to read the full text
(h) cuirfidh sé ar fáil don rialaitheoir an fhaisnéis uile is gá chun comhlíonadh na n-oibleagáidí atá leagtha síos san Airteagal seo a thaipseáint agus ceadóidh sé go ndéanfaidh an rialaitheoir nó iniúchóir eile dá dtabharfaidh an rialaitheoir sainordú, iniúchtaí, lena n-áirítear cigireachtaí, agus beidh baint aige leis na hiniúchtaí agus leis na cigireachtaí sin.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraphs to article 28(3)(h) GDPR:
8.2.4 Infringing instruction
Control
The organization should inform the customer if, in its opinion, a processing instruction infringes applicable legislation and/or regulation.
Implementation guidance
The organization’s ability to verify if the instruction infringes legislation and/or regulation can depend on the technological context, on the instruction itself, and on the contract between the organization and the customer.
8.2.5 Customer obligations
Control
The organization should provide the customer with the appropriate information such that the customer can demonstrate compliance with their obligations.
Implementation guidance
The information needed by the customer can include whether the organization allows for and contributes to audits conducted by the customer or another auditor mandated or otherwise agreed by the customer.
I dtaca le pointe (h) den chéad fhomhír, cuirfidh an próiseálaí an rialaitheoir ar an eolas láithreach, más rud é, ina thuairim, go sáraíonn treoir an Rialachán seo nó forálacha maidir le cosaint sonraí de chuid an Aontais nó Ballstáit.
4. I gcás ina bhfostóidh próiseálaí cúnamh próiseálaí eile d’fhonn gníomhaíochtaí sonracha próiseála a chur i gcrích thar ceann an rialaitheora, déanfar na hoibleagáidí cosanta sonraí céanna atá leagtha amach sa chonradh nó i ngníomh dlíthiúil eile idir an rialaitheoir agus an próiseálaí dá dtagraítear i mír 2 a fhorchur ar an bpróiseálaí eile, trí chonradh nó trí ghníomh dlíthiúil eile faoi dhlí an Aontais nó faoi dhlí Ballstáit, lena dtabharfar go háirithe ráthaíochtaí leordhóthanacha go gcuirfear na bearta iomchuí teicniúla agus eagraíochtúla chun feidhme sa dóigh is go gcomhlíonfaidh an phróiseáil ceanglais an Rialacháin seo. I gcás ina mainníonn an próiseálaí eile a oibleagáidí cosanta sonraí a chomhlíonadh, beidh an chéad phróiseálaí go hiomlán dlite don rialaitheoir as feidhmiú oibleagáidí an phróiseálaí eile.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 28(4) GDPR:
8.5.6 Disclosure of subcontractors used to process PII
Control
The organization should disclose any use of subcontractors to process PII to the customer before use.
Implementation guidance
Provisions for the use of subcontractors to process PII should be included in the customer contract.
(EN) […]
(EN) Sign in
to read the full text
5. Má chloíonn próiseálaí le cód formheasta iompair amhail dá dtagraítear in Airteagal 40 nó le sásra deimhniúcháin amhail dá dtagraítear in Airteagal 42, féadfar sin a úsáid mar eilimint le ráthaíochtaí leordhóthanacha iomchuí amhail dá dtagraítear i mír 1 agus i mír 4 den Airteagal seo a thaispeáint.
6. Gan dochar do chonradh aonair idir an rialaitheoir agus an próiseálaí, féadfaidh an conradh nó an gníomh dlíthiúil eile dá dtagraítear i mír 3 agus i mír 4 den Airteagal seo a bheith bunaithe, go hiomlán nó go páirteach, ar chlásail chaighdeánacha chonarthacha dá dtagraítear i mír 7 agus i mír 8 den Airteagal seo, lena n-áirítear nuair atá siad mar chuid de dheimhniúchán a dheonaítear don rialaitheoir nó don phróiseálaí de bhun Airteagal 42 agus Airteagal 43.
9. Is i scríbhinn, lena n-áirítear i bhfoirm leictreonach, a bheidh an conradh nó an gníomh dlíthiúil eile dá dtagraítear i mír 3 agus i mír 4.
(EN) A processor is a person or an organization that processes personal data on behalf and under the authority of a controller [Articles 4(8) and 28(1)]. The term used in the English text of the General Data Protection Regulation (GDPR) remains difficult to apprehend by a non-legal audience, so it is useful to turn to other linguistic versions for a better understanding.
(EN) […]
(EN) Sign in
to read the full text
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.
Here is the relevant paragraph to articles 28(5), 28(6), and 28(10) GDPR:
5.2.1 Understanding the organization and its context
The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.
(EN) […]
(EN) Sign in
to read the full text
(81) Chun comhlíonadh cheanglais an Rialacháin seo a áirithiú i dtaca leis an bpróiseáil atá le déanamh ag an bpróiseálaí thar ceann an rialaitheora, nuair a chuirtear gníomhaíochtaí próiseála ar iontaoibh próiseálaí, níor cheart don rialaitheoir ach próiseálaithe a thugann ráthaíochtaí leordhóthanacha a úsáid, go háirithe ó thaobh saineolais, iontaofachta agus acmhainní, chun bearta teicniúla agus eagraíochtúla a chur chun feidhme sa dóigh is go gcomhlíonfar ceanglais an Rialacháin seo, lena n-áirítear maidir le slándáil na próiseála. Má chloíonn próiseálaí le cód formheasta iompair nó le sásra formheasta deimhniúcháin, féadfar a thaispeáint leis sin go bhfuil oibleagáidí an rialaitheora á gcomhlíonadh. Ba cheart an phróiseáil a dhéanann próiseálaí a rialú le conradh nó le gníomh dlíthiúil éigin eile faoi dhlí an Aontais nó faoi dhlí Ballstáit a cheanglaíonn an próiseálaí leis an rialaitheoir, ina leagtar amach ábhar agus fad na próiseála, cineál agus críocha na próiseála, cineál na sonraí pearsanta agus catagóirí na n-ábhar sonraí do na sonraí, agus cúraimí agus freagrachtaí sonracha an phróiseálaí á gcur san áireamh i gcomhthéacs na próiseála atá le cur i gcrích agus an riosca atá ann do chearta agus do shaoirsí an ábhair sonraí. Féadfaidh an rialaitheoir agus an próiseálaí an rogha a dhéanamh úsáid a bhaint as conradh aonair nó clásail chaighdeánacha chonarthacha a ghlacfaidh an Coimisiún go díreach nó a ghlacfaidh údarás maoirseachta i gcomhréir leis an sásra comhsheasmhachta agus a ghlacfaidh an Coimisiún ina dhiaidh sin. Tar éis an phróiseáil a thabhairt chun críche thar ceann an rialaitheora, ba cheart don phróiseálaí, ar rogha an rialaitheora, na sonraí pearsanta a thabhairt ar ais nó a scriosadh, mura gceanglaítear, faoi dhlí an Aontais nó faoi dhlí Ballstáit a bhfuil an próiseálaí faoi réir, na sonraí pearsanta a stóráil.
(EN)
CJEU, Tietosuojavaltuutettu/Jehovan todistajat – uskonnollinen yhdyskunta (Jehovah’s Witnesses case), Opinion of Advocate General, C‑25/17 (2018).
CJEU, Tietosuojavaltuutettu/Jehovan todistajat – uskonnollinen yhdyskunta (Jehovah’s Witnesses case), C‑25/17 (2018).
Article 29 Working Party, Opinion 1/2010 on the concepts of “controller” and “processor” (2010).
EDPB, Guidelines on the Concepts of Controller, Processor and Joint Controllership Under Regulation (EU) 2018/1725 (2019).
EDPB, Opinion 14/2019 on the draft Standard Contractual Clauses submitted by the DK SA (Article 28(8) GDPR) (2019).
EDPB, Guidelines 7/2020 on the Concepts of Controller and Processor in the GDPR (2021).
CNIL, Guide for processors (2017) – Guidelines from the French Supervisory Authority that includes the template of Data Processing Agreement between controllers and processors.
Denmark Supervisory Authority, DK SA Standard Contractual Clauses for the purposes of compliance with art. 28 GDPR (2020).
DPC (Ireland), Guidance for Individuals who Accidentally Receive Personal data (2020).
ICO, Right of Access (2020).
ICO, Data sharing: a code of practice (2020).
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraphs to article 28(2) GDPR:
8.5.6 Disclosure of subcontractors used to process PII
Control
The organization should disclose any use of subcontractors to process PII to the customer before use.
Implementation guidance
Provisions for the use of subcontractors to process PII should be included in the customer contract.
(EN) […]
(EN) Sign in
to read the full text