1. Hvis en behandling skal foretages på vegne af en dataansvarlig, benytter den dataansvarlige udelukkende databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder.
2. Databehandleren må ikke gøre brug af en anden databehandler uden forudgående specifik eller generel skriftligt godkendelse fra den dataansvarlige. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
3. En databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og der fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. Denne kontrakt eller dette andet retlige dokument fastsætter navnlig, at databehandleren:
a) kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til et tredjeland eller en international organisation, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 28(3)(а) GDPR:
8.2.2 Цели организации
Средство управления
Организация должна обеспечить, чтобы ПИИ, обработанные от имени клиента, обрабатывались только для целей, указанных в документированных инструкциях клиента.
Руководство по внедрению
Контракт между организацией и клиентом должен включать, но не ограничиваться, целью и временными рамками, которые должны быть достигнуты услугой.
…
Войти
для доступа к полному тексту
b) sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 28(3)(b) GDPR:
6.10.2.4 Соглашения о конфиденциальности или неразглашении
Руководство по внедрению
Организация должна обеспечить, чтобы лица, работающие под ее контролем и имеющие доступ к ПИИ, были обязаны соблюдать конфиденциальность.
…
Войти
для доступа к полному тексту
d) opfylder de betingelser, der er omhandlet i stk. 2 og 4, for at gøre brug af en anden databehandler
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 28(3)(d) GDPR:
8.5.7 Привлечение субподрядчика к обработке ПИИ
Средство управления
Организация должна привлекать субподрядчика к обработке ПИИ только в соответствии с контрактом с клиентом.
Руководство по внедрению
Если организация заключает с другой организацией субподряд на обработку ПИИ частично или полностью, необходимо получить письменное разрешение клиента до обработки ПИИ субподрядчиком.
…
Войти
для доступа к полному тексту
e) under hensyntagen til behandlingens karakter, så vidt muligt bistår den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i kapitel III
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 28(3)(e) GDPR:
8.3.1 Обязательства по отношению к субъектам ПИИ
Средство управления
Организация должна обеспечить клиента механизмами выполнения своих обязательств, связанных с принципами ПИИ.
Руководство по внедрению
Обязанности контролера ПИИ могут быть определены законодательством, регламентом и / или договором.
…
Войти
для доступа к полному тексту
g) efter den dataansvarliges valg sletter eller tilbageleverer alle personoplysninger til den dataansvarlige, efter at tjenesterne vedrørende behandling er ophørt, og sletter eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 28(3)(h) GDPR:
8.2.4 Нарушение инструкции
Средство управления
Организация должна информировать клиента, если, по ее мнению, инструкция по обработке нарушает действующее законодательство и / или нормативные акты.
…
Войти
для доступа к полному тексту
h) stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i denne artikel, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraphs to article 28(3)(h) GDPR:
8.2.4 Infringing instruction
Control
The organization should inform the customer if, in its opinion, a processing instruction infringes applicable legislation and/or regulation.
Implementation guidance
The organization’s ability to verify if the instruction infringes legislation and/or regulation can depend on the technological context, on the instruction itself, and on the contract between the organization and the customer.
8.2.5 Customer obligations
Control
The organization should provide the customer with the appropriate information such that the customer can demonstrate compliance with their obligations.
Implementation guidance
The information needed by the customer can include whether the organization allows for and contributes to audits conducted by the customer or another auditor mandated or otherwise agreed by the customer.
For så vidt angår første afsnit, litra h), underretter databehandleren omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
4. Gør en databehandler brug af en anden databehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, pålægges denne anden databehandler de samme databeskyttelsesforpligtelser som dem, der er fastsat i kontrakten eller et andet retligt dokument mellem den dataansvarlige og databehandleren som omhandlet i stk. 3, gennem en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i denne forordning. Hvis denne anden databehandler ikke opfylder sine databeskyttelsesforpligtelser, forbliver den oprindelige databehandler fuldt ansvarlig over for den dataansvarlige for opfyldelsen af denne anden databehandlers forpligtelser.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 28(4) GDPR:
8.5.6 Раскрытие данных о субподрядчиках, привлекаемых к обработке ПИИ
Средство управления
Организация должна раскрывать клиенту сведения о любом привлечении субподрядчиков для обработки ПИИ до привлечения.
Руководство по внедрению
Условия о привлечении субподрядчиков для обработки ПИИ должны быть включены в контракт с клиентом.
…
Войти
для доступа к полному тексту
6. Uden at det berører en individuel kontrakt mellem den dataansvarlige og databehandleren, kan kontrakten eller det andet retlige dokument, der er omhandlet i denne artikels stk. 3 og 4, helt eller delvis baseres på de standardkontraktbestemmelser, der er anført i denne artikels stk. 7 og 8, herunder når de indgår i en certificering, der er meddelt den dataansvarlige eller databehandleren i henhold til artikel 42 og 43.
9. Kontrakten eller det andet retlige dokument, der er omhandlet i stk. 3 og 4, skal foreligge skriftligt, herunder elektronisk.
Процессором является физическое или юридическое лицо, государственный орган, учреждение или другой орган, которые обрабатывают персональные данные от имени контролера и по его поручению. [статьи 4 (8) и 28 (1)]. Данный термин, используемый в английской версии текста Общего регламента защиты персональных данных (GDPR), является сложным для понимания лицами, не имеющими юридического образования.
…
Войти
для доступа к полному тексту
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 28 GDPR:
5.2.1 Понимание организации и ее контекста
Организация включает в число своих заинтересованных сторон (см. ISO/IEC 27001:2013, 4.2) те стороны, которые имеют интересы или обязанности, связанные с обработкой ПИИ, включая субъектов ПИИ.
…
Войти
для доступа к полному тексту
(81) Med henblik på at sikre overholdelse af kravene i denne forordning i forbindelse med behandling, der foretages af en databehandler på vegne af den dataansvarlige, når databehandleren overdrages behandlingsaktiviteter, bør den dataansvarlige udelukkende benytte sig af databehandlere, der giver tilstrækkelige garantier, navnlig i form af ekspertise, pålidelighed og ressourcer, for implementering af tekniske og organisatoriske foranstaltninger, der opfylder kravene i denne forordning, herunder med hensyn til behandlingssikkerhed. Databehandlerens overholdelse af en godkendt adfærdskodeks eller en godkendt certificeringsmekanisme kan bruges som et element til at påvise, at den dataansvarlige overholder sine forpligtelser. Bestemmelserne om behandling ved en databehandler bør fastsættes i en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der binder databehandleren til den dataansvarlige, og hvori behandlingens genstand og varighed, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede er fastsat, idet der tages hensyn til databehandleres specifikke opgaver og ansvar i forbindelse med den behandling, der skal foretages, og risikoen for den registreredes rettigheder og frihedsrettigheder. Den dataansvarlige og databehandleren kan vælge at anvende en individuel kontrakt eller standardkontraktbestemmelser, der er vedtaget enten direkte af Kommissionen eller af en tilsynsmyndighed i henhold til sammenhængsmekanismen og derefter vedtaget af Kommissionen. Databehandleren bør efter den dataansvarliges valg tilbagelevere eller slette de pågældende personoplysninger efter afslutning af den behandling, der er foretaget på vegne af den dataansvarlige, medmindre der er et krav om at opbevare personoplysningerne i EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt.
(EN)
CJEU, Tietosuojavaltuutettu/Jehovan todistajat — uskonnollinen yhdyskunta (Jehovah’s Witnesses case), Opinion of Advocate General, C‑25/17 (2018).
CJEU, Tietosuojavaltuutettu/Jehovan todistajat — uskonnollinen yhdyskunta (Jehovah’s Witnesses case), C‑25/17 (2018).
Article 29 Working Party, Opinion 1/2010 on the concepts of «controller» and «processor» (2010).
EDPB, Guidelines on the Concepts of Controller, Processor and Joint Controllership Under Regulation (EU) 2018/1725 (2019).
EDPB, Opinion 14/2019 on the draft Standard Contractual Clauses submitted by the DK SA (Article 28(8) GDPR) (2019).
EDPB, Guidelines 7/2020 on the Concepts of Controller and Processor in the GDPR (2021).
CNIL, Guide for processors (2017) – Guidelines from the French Supervisory Authority that includes the template of Data Processing Agreement between controllers and processors.
Denmark Supervisory Authority, DK SA Standard Contractual Clauses for the purposes of compliance with art. 28 GDPR (2020).
DPC (Ireland), Guidance for Individuals who Accidentally Receive Personal data (2020).
ICO, Right of Access (2020).
ICO, Data sharing: a code of practice (2020).
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 28(2) GDPR:
8.5.6 Раскрытие данных о субподрядчиках, привлекаемых к обработке ПИИ
Средство управления
Организация должна раскрывать клиенту сведения о любом привлечении субподрядчиков для обработки ПИИ до привлечения.
Руководство по внедрению
Условия о привлечении субподрядчиков для обработки ПИИ должны быть включены в контракт с клиентом.
…
Войти
для доступа к полному тексту