Where a controller subject to GDPR chooses to use a processor located outside the Union for a given processing activity, it will still be necessary for the controller to ensure by contract or other legal act that the processor processes the data in accordance with the GDPR. Article 28(3) provides that the processing by a processor shall be governed by a contract or other legal act. The controller will therefore need to ensure that it puts in place a contract with the processor addressing all the requirements set out in Article 28(3). In addition, it is likely that, in order to ensure that it has complied with its obligations under Article 28(1) – to use only a processor providing sufficient guarantees to implement measures in such a manner that processing will meet the requirements of the Regulation and protect the rights of data subjects – the controller may need to consider imposing, by contract, the obligations placed by the GDPR on processors subject to it. That is to say, the controller would have to ensure that the processor not subject to the GDPR complies with the obligations, governed by a contract or other legal act under Union or Member State law, referred to Article 28(3).
В тех случаях, когда контролёр, попадающий в сферу действия GDPR, решает использовать услуги процессора, расположенного за пределами Союза, для данной деятельности по обработке, контролёру все еще необходимо обеспечить обработку данных процессором по контракту или иному правовому акту в соответствии с GDPR. Статья 28(3) предусматривает, что обработка процессором регулируется договором или иным правовым актом. Следовательно, контролер должен убедиться, что он заключил контракт с процессором, отвечающий всем требованиям, изложенным в Статье 28(3). Кроме того, вполне вероятно, что для подтверждения того, что он выполнил свои обязательства по статье 28(1), – использовать услуги только того процессора, который обеспечивает достаточные гарантии для осуществления мер таким образом, чтобы обработка отвечала требованиям Регламента, и защищать права субъектов данных – контролеру, возможно, придется рассмотреть вопрос об обязательном включении в контракт обязательств, которые возложены GDPR на процессоров, на которых он распространяется. Другими словами, контролер должен обеспечить, чтобы процессор, не подпадающий под действие GDPR, выполнял обязательства, регулируемые договором или другим правовым актом в соответствии с законодательством Союза или государства-члена, и упомянутые в статье 28(3).