GDPR
>
Статья 28. Процессор
Статья 28 GDPR. Процессор
1. Если обработка должна осуществляться от имени контролёра, он использует услуги только таких процессоров, которые обеспечивают достаточные гарантии по осуществлению соответствующих технических и организационных мер таким образом, чтобы обработка отвечала требованиям настоящего Регламента и обеспечивала защиту прав субъекта данных.
2. Процессор не должен привлекать другого процессора без предварительного специального или общего письменного разрешения контролёра. В случае общего письменного разрешения процессор информирует контролёра о любых предполагаемых изменениях касательно добавления или замены других процессоров, тем самым предоставляя контролёру возможность возражать против таких изменений.
3. Обработка процессором регулируется договором или иным правовым актом Союза, или национальным законодательством государства-члена, которое является обязательным для процессора и контролёра и устанавливает предмет и продолжительность обработки, характер и цель обработки, тип персональных данных, категории субъектов данных, обязательства и права контролёра. Этот договор или иной правовой акт должны предусматривать, в частности, что процессор:
(а) обрабатывает персональные данные только на основании документированных распоряжений от контролёра, включая передачу персональных данных в третью страну или международную организацию, если только он не обязан делать это по праву Союза или государств-членов, которому подчиняется процессор; в таком случае процессор информирует контролёра об этих правовых требованиях до обработки, если этот закон не запрещает такое информирование по важным с точки зрения публичного интереса основаниям;
ISO 27701
ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 28(3)(a) GDPR:
8.2.2 Organization’s purposes
Control
The organization should ensure that PII processed on behalf of a customer are only processed for the purposes expressed in the documented instructions of the customer.
Implementation guidance
The contract between the organization and the customer should include, but not be limited to, the objective and time frame to be achieved by the service.
[…]
Sign in
to read the full text
(b) гарантирует, что лица, уполномоченные обрабатывать персональные данные, связаны положением о конфиденциальности или находятся под соответствующим законодательно установленным обязательством о конфиденциальности;
ISO 27701
ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 13.2.4.
Here is the relevant paragraph to article 28(3)(b) GDPR:
6.10.2.4 Confidentiality or non-disclosure agreements
Implementation guidance
The organization should ensure that individuals operating under its control with access to PII are subject to a confidentiality obligation. The confidentiality agreement, whether part of a contract or separate, should specify the length of time the obligations should be adhered to.
[…]
Sign in
to read the full text
ISO 27701
ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 28(3)(d) GDPR:
8.5.7 Engagement of a subcontractor to process PII
Control
The organization should only engage a subcontractor to process PII according to the customer contract.
Implementation guidance
Where the organization subcontracts some or all of the processing of that PII to another organization, a written authorization from the customer is required prior to the PII processed by the subcontractor. This can be in the form of appropriate clauses in the customer contract, or can be a specific “one-off” agreement.
[…]
Sign in
to read the full text
(е) принимая во внимание характер обработки, по мере возможности содействует контролёру посредством соответствующих технических и организационных мер в выполнении его обязанности отвечать на запросы субъекта данных касательно осуществления его прав, упомянутых в Главе III;
ISO 27701
ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 28(3)(e) GDPR:
8.3.1 Obligations to PII principals
Control
The organization should provide the customer with the means to comply with its obligations related to PII principals.
Implementation guidance
A PII controller’s obligations can be defined by legislation, by regulation and/or by contract. These obligations can include matters where the customer uses the services of the organization for implementation of these obligations.
[…]
Sign in
to read the full text
(g) по выбору контролёра, удаляет или возвращает все персональные данные контролёру после окончания оказания услуг по обработке, и удаляет существующие копии, если право Союза или государств-членов не требует хранения персональных данных;
ISO 27701
ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 28(3)(g) GDPR:
8.4.2 Return, transfer or disposal of PII
Control
The organization should provide the ability to return, transfer and/or disposal of PII in a secure manner. It should also make its policy available to the customer.
Implementation guidance
At some point in time, PII can need to be disposed of in some manner. This can involve returning the PII to the customer, transferring it to another organization or to a PII controller (e.g. as a result of a merger), deleting or otherwise destroying it, de-identifying it or archiving it.
[…]
Sign in
to read the full text
(h) предоставляет контролёру всю необходимую информацию, чтобы продемонстрировать соблюдение обязательств, изложенных в настоящей статье, а также разрешает и вносит свой вклад в аудиты, в том числе проверки, проводимые контролёром или иным аудитором, назначенным контролёром.
ISO 27701
ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraphs to article 28(3)(h) GDPR:
8.2.4 Infringing instruction
Control
The organization should inform the customer if, in its opinion, a processing instruction infringes applicable legislation and/or regulation.
Implementation guidance
The organization’s ability to verify if the instruction infringes legislation and/or regulation can depend on the technological context, on the instruction itself, and on the contract between the organization and the customer.
8.2.5 Customer obligations
Control
The organization should provide the customer with the appropriate information such that the customer can demonstrate compliance with their obligations.
Implementation guidance
The information needed by the customer can include whether the organization allows for and contributes to audits conducted by the customer or another auditor mandated or otherwise agreed by the customer.
Относительно пункта (h) первого подпараграфа, процессор незамедлительно информирует контролёра, если он считает, что выданное ему распоряжение нарушает настоящий Регламент или иные нормы Союза или государств-членов о защите персональных данных.
4. Если процессор привлекает другого процессора для выполнения определенных мероприятий по обработке от имени контролёра, этот процессор должен быть связан договором или иным правовым актом Союза или государства-члена, налагающим на него такие же обязательства по защите данных, как и те, что указаны в договоре или ином правовом акте между контролёром и процессором и о которых говорится в параграфе 3; в частности, обязанность предоставить достаточные гарантии осуществления соответствующих технических и организационных мер таким образом, чтобы обработка отвечала требованиям настоящего Регламента. Если другой процессор не выполняет свои обязательства по защите персональных данных, первоначальный процессор несет полную ответственность перед контролёром за выполнение обязательств этого другого процессора.
ISO 27701
ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 28(4) GDPR:
8.5.6 Disclosure of subcontractors used to process PII
Control
The organization should disclose any use of subcontractors to process PII to the customer before use.
Implementation guidance
Provisions for the use of subcontractors to process PII should be included in the customer contract.
[…]
Sign in
to read the full text
6. Не исключая индивидуального соглашения между контролёром и процессором, договор или иной правовой акт, упомянутые в параграфах 3 и 4 настоящей статьи, может основываться полностью или частично на стандартных договорных условиях, указанных в параграфах 7 и 8 настоящей статьи, в том числе когда они являются частью сертификации, предоставленной контролёру или процессору в соответствии со статьями 42 и 43.
Общий регламент защиты персональных данных (GDPR) Европейского союза
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО “Дата Прайваси Офис”.
Expert commentary
ISO 27701
Recitals
Guidelines & Case Law
Leave a comment
A processor is a person or an organization that processes personal data on behalf and under the authority of a controller [Articles 4(8) and 28(1)]. The term used in the English text of the General Data Protection Regulation (GDPR) remains difficult to apprehend by a non-legal audience, so it is useful to turn to other linguistic versions for a better understanding.
[…]
Sign in
to read the full text
Author
ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.
Here is the relevant paragraph to articles 28(5), 28(6), and 28(10) GDPR:
5.2.1 Understanding the organization and its context
The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.
[…]
Sign in
to read the full text
(81) Для обеспечения соблюдения требований настоящего Регламента в отношении обработки, осуществляемой процессором от имени контролёра, контролёр должен доверять обработку данных только процессору, предоставившему достаточные гарантии, в частности, в отношении экспертных знаний, надежности и ресурсов, для выполнения технических и организационных мероприятий, отвечающих требованиям Регламента, в том числе и для безопасности обработки. Следование процессора утвержденному кодексу поведения или утвержденному механизму сертификации может быть одним из элементов демонстрации выполнения контролёром своих обязательств. Осуществление обработки процессором должно регулироваться договором или иным правовым актом в соответствии с законодательством Союза или государства-члена, который связывает процессора с контролёром, определяет предмет и продолжительность обработки, характер и цели обработки, тип персональных данных и категории субъектов данных, учитывает специфику задач и обязанностей процессора в контексте осуществления обработки, а также риск для прав и свобод субъектов данных. Контролёр и процессор могут, на свой выбор, использовать собственный договор или стандартные договорные условия, утвержденные напрямую Комиссией, либо принятые надзорным органом в соответствии с механизмом согласования, а затем утвержденные Комиссией. После завершения обработки от имени контролёра процессор должен, по усмотрению контролёра, вернуть или удалить персональные данные, за исключением случаев, когда существует требование о хранении персональных данных в соответствии с законодательством Союза или государства-члена, под действие которого подпадает процессор.
Case Law
CJEU, Tietosuojavaltuutettu/Jehovan todistajat – uskonnollinen yhdyskunta (Jehovah’s Witnesses case), Opinion of Advocate General, C‑25/17 (2018).
CJEU, Tietosuojavaltuutettu/Jehovan todistajat – uskonnollinen yhdyskunta (Jehovah’s Witnesses case), C‑25/17 (2018).
Documents
Article 29 Working Party, Opinion 1/2010 on the concepts of “controller” and “processor” (2010).
EDPB, Guidelines on the Concepts of Controller, Processor and Joint Controllership Under Regulation (EU) 2018/1725 (2019).
EDPB, Opinion 14/2019 on the draft Standard Contractual Clauses submitted by the DK SA (Article 28(8) GDPR) (2019).
EDPB, Guidelines 7/2020 on the Concepts of Controller and Processor in the GDPR (2021).
CNIL, Guide for processors (2017) – Guidelines from the French Supervisory Authority that includes the template of Data Processing Agreement between controllers and processors.
Denmark Supervisory Authority, DK SA Standard Contractual Clauses for the purposes of compliance with art. 28 GDPR (2020).
DPC (Ireland), Guidance for Individuals who Accidentally Receive Personal data (2020).
ICO, Right of Access (2020).
ICO, Data sharing: a code of practice (2020).
[js-disqus]
Url-link to highlighted text was copied to the clipboard!
Preparing download...
ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraphs to article 28(2) GDPR:
8.5.6 Disclosure of subcontractors used to process PII
Control
The organization should disclose any use of subcontractors to process PII to the customer before use.
Implementation guidance
Provisions for the use of subcontractors to process PII should be included in the customer contract.
[…]
Sign in
to read the full text