1. Gadījumos, kad apstrāde ir jāveic pārziņa vārdā, pārzinis izmanto tikai tādus apstrādātājus, kas sniedz pietiekamas garantijas, ka tiks īstenoti atbilstoši tehniskie un organizatoriskie pasākumi tādā veidā, ka apstrādē tiks ievērotas šīs regulas prasības un tiks nodrošināta datu subjekta tiesību aizsardzība.
2. Apstrādātājs bez iepriekšējas konkrētas vai vispārējas rakstiskas pārziņa atļaujas nepiesaista citu apstrādātāju. Vispārējas rakstiskas atļaujas gadījumā apstrādātājs informē pārzini par jebkādām iecerētām pārmaiņām saistībā ar papildu apstrādātāju vai apstrādātāja aizstāšanu, tādējādi sniedzot pārzinim iespēju iebilst pret šādām izmaiņām.
3. Apstrādi, ko veic apstrādātājs, reglamentē ar līgumu vai ar citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas ir saistošs apstrādātājam un pārzinim un kurā norāda līguma priekšmetu un apstrādes ilgumu, apstrādes raksturu un nolūku, personas datu veidu un datu subjektu kategorijas un pārziņa pienākumus un tiesības. Minētais līgums vai cits juridiskais akts jo īpaši paredz, ka apstrādātājs:
a) personas datus apstrādā tikai pēc pārziņa dokumentētiem norādījumiem, tostarp saistībā ar nosūtīšanu uz trešo valsti vai starptautisku organizāciju, izņemot, ja tas ir jādara saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam, un šādā gadījumā apstrādātājs par minēto juridisko prasību informē pārzini pirms apstrādes, izņemot, ja ar attiecīgo tiesību aktu šāda informēšana ir aizliegta svarīgu sabiedrības interešu dēļ;
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 28(3)(a) GDPR:
8.2.2 Organization’s purposes
Control
The organization should ensure that PII processed on behalf of a customer are only processed for the purposes expressed in the documented instructions of the customer.
Implementation guidance
The contract between the organization and the customer should include, but not be limited to, the objective and time frame to be achieved by the service.
…
Pieslēgties
lai piekļūtu pilnam tekstam
b) nodrošina, ka personas, kuras ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti;
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 13.2.4.
Here is the relevant paragraph to article 28(3)(b) GDPR:
6.10.2.4 Confidentiality or non-disclosure agreements
Implementation guidance
The organization should ensure that individuals operating under its control with access to PII are subject to a confidentiality obligation. The confidentiality agreement, whether part of a contract or separate, should specify the length of time the obligations should be adhered to.
…
Pieslēgties
lai piekļūtu pilnam tekstam
d) ievēro 2. un 4. punktā minētos nosacījumus, saskaņā ar kuriem tiek piesaistīts cits apstrādātājs;
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 28(3)(d) GDPR:
8.5.7 Engagement of a subcontractor to process PII
Control
The organization should only engage a subcontractor to process PII according to the customer contract.
Implementation guidance
Where the organization subcontracts some or all of the processing of that PII to another organization, a written authorization from the customer is required prior to the PII processed by the subcontractor. This can be in the form of appropriate clauses in the customer contract, or can be a specific “one-off” agreement.
…
Pieslēgties
lai piekļūtu pilnam tekstam
e) ciktāl tas ir iespējams ņemot vērā apstrādes būtību, palīdz pārzinim ar atbilstīgiem tehniskiem un organizatoriskiem pasākumiem, kas nodrošina, ka pārzinis var izpildīt savu pienākumu atbildēt uz pieprasījumiem par III nodaļā paredzēto datu subjekta tiesību īstenošanu;
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 28(3)(e) GDPR:
8.3.1 Obligations to PII principals
Control
The organization should provide the customer with the means to comply with its obligations related to PII principals.
Implementation guidance
A PII controller’s obligations can be defined by legislation, by regulation and/or by contract. These obligations can include matters where the customer uses the services of the organization for implementation of these obligations.
…
Pieslēgties
lai piekļūtu pilnam tekstam
g) pēc apstrādes pakalpojumu sniegšanas pabeigšanas pēc pārziņa izvēles dzēš vai atdod visus personas datus un dzēš esošās kopijas, ja vien Savienības vai dalībvalsts tiesību aktos nav paredzēta personas datu glabāšana;
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 28(3)(g) GDPR:
8.4.2 Return, transfer or disposal of PII
Control
The organization should provide the ability to return, transfer and/or disposal of PII in a secure manner. It should also make its policy available to the customer.
Implementation guidance
At some point in time, PII can need to be disposed of in some manner. This can involve returning the PII to the customer, transferring it to another organization or to a PII controller (e.g. as a result of a merger), deleting or otherwise destroying it, de-identifying it or archiving it.
…
Pieslēgties
lai piekļūtu pilnam tekstam
h) pārzinim dara pieejamu visu informāciju, kas nepieciešama, lai apliecinātu, ka tiek pildīti šajā pantā paredzētie pienākumi, un lai ļautu pārzinim vai citam pārziņa pilnvarotam revidentam veikt revīzijas, tostarp pārbaudes, un sniegtu tajās ieguldījumu.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraphs to article 28(3)(h) GDPR:
8.2.4 Infringing instruction
Control
The organization should inform the customer if, in its opinion, a processing instruction infringes applicable legislation and/or regulation.
Implementation guidance
The organization’s ability to verify if the instruction infringes legislation and/or regulation can depend on the technological context, on the instruction itself, and on the contract between the organization and the customer.
8.2.5 Customer obligations
Control
The organization should provide the customer with the appropriate information such that the customer can demonstrate compliance with their obligations.
Implementation guidance
The information needed by the customer can include whether the organization allows for and contributes to audits conducted by the customer or another auditor mandated or otherwise agreed by the customer.
Attiecībā uz pirmās daļas h) apakšpunktu apstrādātājs nekavējoties informē pārzini, ja, viņaprāt, kāds norādījums pārkāpj šo regulu vai citus Savienības vai dalībvalstu datu aizsardzības noteikumus.
4. Ja apstrādātājs ar līgumu vai citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem piesaista citu apstrādātāju konkrētu apstrādes darbību veikšanai pārziņa vārdā, šim citam apstrādātājam nosaka tos pašus datu aizsardzības pienākumus, kas noteikti līgumā vai citā juridiskā aktā, kas noslēgts starp pārzini un apstrādātāju, kā minēts 3. punktā, jo īpaši pietiekami garantējot, ka tiks īstenoti piemēroti tehniskie un organizatoriskie pasākumi tādā veidā, lai apstrādē tiktu ievērotas šajā regulā noteiktās prasības. Ja minētais cits apstrādātājs nepilda savus datu aizsardzības pienākumus, sākotnējais apstrādātājs paliek pilnībā atbildīgs pārzinim par šā cita apstrādātāja pienākumu izpildi.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 28(4) GDPR:
8.5.6 Disclosure of subcontractors used to process PII
Control
The organization should disclose any use of subcontractors to process PII to the customer before use.
Implementation guidance
Provisions for the use of subcontractors to process PII should be included in the customer contract.
…
Pieslēgties
lai piekļūtu pilnam tekstam
6. Neskarot atsevišķu līgumu starp pārzini un apstrādātāju, šā panta 3. un 4. punktā minēto līgumu vai citu juridisku aktu var pilnībā vai daļēji balstīt uz šā panta 7. un 8. punktā minētajām līguma standartklauzulām, tostarp ja tās ir daļa no sertifikāta, kurš pārzinim vai apstrādātājam piešķirts saskaņā ar 42. un 43. pantu.
9. Šā panta 3. un 4. punktā minētais līgums vai cits juridiskais akts ir sagatavots rakstiskā formā, tostarp elektroniski.
(EN) A processor is a person or an organization that processes personal data on behalf and under the authority of a controller [Articles 4(8) and 28(1)]. The term used in the English text of the General Data Protection Regulation (GDPR) remains difficult to apprehend by a non-legal audience, so it is useful to turn to other linguistic versions for a better understanding.
…
Pieslēgties
lai piekļūtu pilnam tekstam
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.
Here is the relevant paragraph to articles 28(5), 28(6), and 28(10) GDPR:
5.2.1 Understanding the organization and its context
The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.
…
Pieslēgties
lai piekļūtu pilnam tekstam
(81) Lai nodrošinātu atbilstību šīs regulas prasībām saistībā ar apstrādi, kas apstrādātājam jāveic pārziņa vārdā, kad apstrādātājam tiek uzticēts veikt apstrādes darbības, pārzinim būtu jāizmanto vienīgi tādi apstrādātāji, kuri sniedz pietiekamas garantijas, jo īpaši speciālo zināšanu, uzticamības un līdzekļu ziņā, tādu tehnisko un organizatorisko pasākumu īstenošanai, kuri atbildīs šīs regulas prasībām, tostarp apstrādes drošības jomā. Apstrādātāja atbilstību apstiprinātam rīcības kodeksam vai apstiprinātam sertifikācijas mehānismam var izmantot kā elementu, ar ko uzskatāmi parāda pārziņa pienākumu izpildi. Apstrāde, ko veic apstrādātājs, būtu jāreglamentē ar līgumu vai citu juridisku aktu atbilstīgi Savienības vai dalībvalsts tiesību aktiem, kas saista apstrādātāju ar pārzini; minētajā aktā būtu jāizklāsta apstrādes priekšmets un ilgums, apstrādes raksturs un nolūki, personas datu veids un datu subjektu kategorijas, ņemot vērā konkrētos apstrādātāja uzdevumus un pienākumus saistībā ar veicamo apstrādi un risku datu subjekta tiesībām un brīvībām. Pārzinis un apstrādātājs var izvēlēties izmantot atsevišķu līgumu vai līguma standartklauzulas, ko pieņem vai nu tieši Komisija, vai uzraudzības iestāde saskaņā ar konsekvences mehānismu un pēc tam Komisija. Pēc tam, kad apstrāde pārziņa vārdā ir pabeigta, apstrādātājam pēc pārziņa izvēles personas dati būtu jāatdod atpakaļ vai jādzēš, ja vien nav prasīts personas datus uzglabāt saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam.
(EN)
CJEU, Tietosuojavaltuutettu/Jehovan todistajat – uskonnollinen yhdyskunta (Jehovah’s Witnesses case), Opinion of Advocate General, C‑25/17 (2018).
CJEU, Tietosuojavaltuutettu/Jehovan todistajat – uskonnollinen yhdyskunta (Jehovah’s Witnesses case), C‑25/17 (2018).
Article 29 Working Party, Opinion 1/2010 on the concepts of “controller” and “processor” (2010).
EDPB, Guidelines on the Concepts of Controller, Processor and Joint Controllership Under Regulation (EU) 2018/1725 (2019).
EDPB, Opinion 14/2019 on the draft Standard Contractual Clauses submitted by the DK SA (Article 28(8) GDPR) (2019).
EDPB, Guidelines 7/2020 on the Concepts of Controller and Processor in the GDPR (2021).
CNIL, Guide for processors (2017) – Guidelines from the French Supervisory Authority that includes the template of Data Processing Agreement between controllers and processors.
Denmark Supervisory Authority, DK SA Standard Contractual Clauses for the purposes of compliance with art. 28 GDPR (2020).
DPC (Ireland), Guidance for Individuals who Accidentally Receive Personal data (2020).
ICO, Right of Access (2020).
ICO, Data sharing: a code of practice (2020).
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraphs to article 28(2) GDPR:
8.5.6 Disclosure of subcontractors used to process PII
Control
The organization should disclose any use of subcontractors to process PII to the customer before use.
Implementation guidance
Provisions for the use of subcontractors to process PII should be included in the customer contract.
…
Pieslēgties
lai piekļūtu pilnam tekstam