Navegaci贸n
RGPD > Considerando 81
Descargar PDF

Considerando 81

Recital 81

(81) Para garantizar el cumplimiento de las disposiciones del presente Reglamento respecto del tratamiento que lleve a cabo el encargado por cuenta del responsable, este, al encomendar actividades de tratamiento a un encargado, debe recurrir 煤nicamente a encargados que ofrezcan suficientes garant铆as, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicaci贸n de medidas t茅cnicas y organizativas que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento.

La adhesi贸n del encargado a un c贸digo de conducta aprobado o a un mecanismo de certificaci贸n aprobado puede servir de elemento para demostrar el cumplimiento de las obligaciones por parte del responsable.

El tratamiento por un encargado debe regirse por un contrato u otro acto jur铆dico con arreglo al Derecho de la Uni贸n o de los Estados miembros que vincule al encargado con el responsable, que fije el objeto y la duraci贸n del tratamiento, la naturaleza y fines del tratamiento, el tipo de datos personales y las categor铆as de interesados, habida cuenta de las funciones y responsabilidades espec铆ficas del encargado en el contexto del tratamiento que ha de llevarse a cabo y del riesgo para los derechos y libertades del interesado.

El responsable y el encargado pueden optar por basarse en un contrato individual o en cl谩usulas contractuales tipo que adopte directamente la Comisi贸n o que primero adopte una autoridad de control de conformidad con el mecanismo de coherencia y posteriormente la Comisi贸n.

Una vez finalizado el tratamiento por cuenta del responsable, el encargado debe, a elecci贸n de aquel, devolver o suprimir los datos personales, salvo que el Derecho de la Uni贸n o de los Estados miembros aplicable al encargado del tratamiento obligue a conservar los datos.

(81) To ensure compliance with the requirements of this Regulation in respect of the processing to be carried out by the processor on behalf of the controller, when entrusting a processor with processing activities, the controller should use only processors providing sufficient guarantees, in particular in terms of expert knowledge, reliability and resources, to implement technical and organisational measures which will meet the requirements of this Regulation, including for the security of processing.

The adherence of the processor to an approved code of conduct or an approved certification mechanism may be used as an element to demonstrate compliance with the obligations of the controller.

The carrying-out of processing by a processor should be governed by a contract or other legal act under Union or Member State law, binding the processor to the controller, setting out the subject-matter and duration of the processing, the nature and purposes of the processing, the type of personal data and categories of data subjects, taking into account the specific tasks and responsibilities of the processor in the context of the processing to be carried out and the risk to the rights and freedoms of the data subject.

The controller and processor may choose to use an individual contract or standard contractual clauses which are adopted either directly by the Commission or by a supervisory authority in accordance with the consistency mechanism and then adopted by the Commission.

After the completion of the processing on behalf of the controller, the processor should, at the choice of the controller, return or delete the personal data, unless there is a requirement to store the personal data under Union or Member State law to which the processor is subject.