1. Ako se obrada provodi u ime voditelja obrade, voditelj obrade koristi se jedino izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima iz ove Uredbe i da se njome osigurava zaštita prava ispitanika.
2. Izvršitelj obrade ne smije angažirati drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade. U slučaju općeg pisanog odobrenja, izvršitelj obrade obavješćuje voditelja obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time voditelju obrade omogućio da uloži prigovor na takve izmjene.
3. Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade. Tim se ugovorom ili drugim pravnim aktom osobito određuje da izvršitelj obrade:
(a) obrađuje osobne podatke samo prema zabilježenim uputama voditelja obrade, među ostalim s obzirom na prijenose osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, osim ako to nalaže pravo Unije ili pravo države članice kojem podliježe izvršitelj obrade; u tom slučaju izvršitelj obrade izvješćuje voditelja obrade o tom pravnom zahtjevu prije obrade, osim ako se tim pravom zabranjuje takvo izvješćivanje zbog važnih razloga od javnog interesa;
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 28(3)(а) GDPR:
8.2.2 Цели организации
Средство управления
Организация должна обеспечить, чтобы ПИИ, обработанные от имени клиента, обрабатывались только для целей, указанных в документированных инструкциях клиента.
Руководство по внедрению
Контракт между организацией и клиентом должен включать, но не ограничиваться, целью и временными рамками, которые должны быть достигнуты услугой.
…
Войти
для доступа к полному тексту
(b) osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti;
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 28(3)(b) GDPR:
6.10.2.4 Соглашения о конфиденциальности или неразглашении
Руководство по внедрению
Организация должна обеспечить, чтобы лица, работающие под ее контролем и имеющие доступ к ПИИ, были обязаны соблюдать конфиденциальность.
…
Войти
для доступа к полному тексту
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 28(3)(d) GDPR:
8.5.7 Привлечение субподрядчика к обработке ПИИ
Средство управления
Организация должна привлекать субподрядчика к обработке ПИИ только в соответствии с контрактом с клиентом.
Руководство по внедрению
Если организация заключает с другой организацией субподряд на обработку ПИИ частично или полностью, необходимо получить письменное разрешение клиента до обработки ПИИ субподрядчиком.
…
Войти
для доступа к полному тексту
(e) uzimajući u obzir prirodu obrade, pomaže voditelju obrade putem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, da ispuni obvezu voditelja obrade u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika koja su utvrđena u poglavlju III.;
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 28(3)(e) GDPR:
8.3.1 Обязательства по отношению к субъектам ПИИ
Средство управления
Организация должна обеспечить клиента механизмами выполнения своих обязательств, связанных с принципами ПИИ.
Руководство по внедрению
Обязанности контролера ПИИ могут быть определены законодательством, регламентом и / или договором.
…
Войти
для доступа к полному тексту
(g) po izboru voditelja, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluga vezanih za obradu te briše postojeće kopije osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane osobnih podataka;
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 28(3)(h) GDPR:
8.2.4 Нарушение инструкции
Средство управления
Организация должна информировать клиента, если, по ее мнению, инструкция по обработке нарушает действующее законодательство и / или нормативные акты.
…
Войти
для доступа к полному тексту
(h) voditelju obrade stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obveza utvrđenih u ovom članku i koje omogućuju revizije, uključujući inspekcije, koje provodi voditelj obrade ili drugi revizor kojeg je ovlastio voditelj obrade, te im doprinose.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraphs to article 28(3)(h) GDPR:
8.2.4 Infringing instruction
Control
The organization should inform the customer if, in its opinion, a processing instruction infringes applicable legislation and/or regulation.
Implementation guidance
The organization’s ability to verify if the instruction infringes legislation and/or regulation can depend on the technological context, on the instruction itself, and on the contract between the organization and the customer.
8.2.5 Customer obligations
Control
The organization should provide the customer with the appropriate information such that the customer can demonstrate compliance with their obligations.
Implementation guidance
The information needed by the customer can include whether the organization allows for and contributes to audits conducted by the customer or another auditor mandated or otherwise agreed by the customer.
U pogledu točke (h) prvog podstavka, izvršitelj obrade odmah obavješćuje voditelja obrade ako prema njegovu mišljenju određena uputa krši ovu Uredbu ili druge odredbe Unije ili države članice o zaštiti podataka.
4. Ako izvršitelj obrade angažira drugog izvršitelja obrade za provođenje posebnih aktivnosti obrade u ime voditelja obrade, iste obveze za zaštitu podataka kao one koje su navedene u ugovoru ili drugom pravnom aktu između voditelja obrade i izvršitelja obrade iz stavka 3. nameću se tom drugom izvršitelju obrade ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, a osobito obveza davanja dostatnih jamstava za provedbu odgovarajućih tehničkih i organizacijskih mjera na način da se obradom udovoljava zahtjevima iz ove Uredbe. Ako taj drugi izvršitelj obrade ne ispunjava obveze zaštite podataka, početni izvršitelj obrade ostaje u cijelosti odgovoran voditelju obrade za izvršavanje obveza tog drugog izvršitelja obrade.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 28(4) GDPR:
8.5.6 Раскрытие данных о субподрядчиках, привлекаемых к обработке ПИИ
Средство управления
Организация должна раскрывать клиенту сведения о любом привлечении субподрядчиков для обработки ПИИ до привлечения.
Руководство по внедрению
Условия о привлечении субподрядчиков для обработки ПИИ должны быть включены в контракт с клиентом.
…
Войти
для доступа к полному тексту
6. Ne dovodeći u pitanje pojedinačni ugovor između voditelja obrade i izvršitelja obrade, ugovor ili drugi pravni akt iz stavaka 3. i 4.ovog članka može se temeljiti, u cijelosti ili djelomično, na standardnim ugovornim klauzulama iz stavaka 7. i 8. ovog članka, među ostalim klauzulama koje su dio certifikata dodijeljenog voditelju obrade ili izvršitelju obrade u skladu s člancima 42. i 43.
9. Ugovor ili drugi pravni akt iz stavaka 3. i 4. mora biti upisanom obliku, uključujući elektronički oblik.
Процессором является физическое или юридическое лицо, государственный орган, учреждение или другой орган, которые обрабатывают персональные данные от имени контролера и по его поручению. [статьи 4 (8) и 28 (1)]. Данный термин, используемый в английской версии текста Общего регламента защиты персональных данных (GDPR), является сложным для понимания лицами, не имеющими юридического образования.
…
Войти
для доступа к полному тексту
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 28 GDPR:
5.2.1 Понимание организации и ее контекста
Организация включает в число своих заинтересованных сторон (см. ISO/IEC 27001:2013, 4.2) те стороны, которые имеют интересы или обязанности, связанные с обработкой ПИИ, включая субъектов ПИИ.
…
Войти
для доступа к полному тексту
(81) Kako bi se osiguralo poštovanje zahtjeva iz ove Uredbe u vezi s obradom koju provodi izvršitelj obrade u ime voditelja obrade, pri povjeravanju aktivnosti obrade izvršitelju obrade, voditelj obrade trebao bi angažirati samo izvršitelje obrade koji u zadovoljavajućoj mjeri jamče, osobito u pogledu stručnog znanja, pouzdanosti i resursa, provedbu tehničkih i organizacijskih mjera koje udovoljavaju zahtjevima iz ove Uredbe, među ostalim u pogledu sigurnosti obrade. Poštovanje odobrenog kodeksa ponašanja ili mehanizma certificiranja odobrenog od strane izvršitelja obrade može se upotrijebiti kao element u dokazivanju poštovanja obveza voditelja obrade. Provođenje obrade od strane izvršitelja obrade trebalo bi biti uređeno ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice koji izvršitelja obrade obvezuje prema voditelju obrade, a u kojemu su navedeni predmet i trajanje obrade, priroda i svrhe obrade, vrsta osobnih podataka te kategorije ispitanika, uzimajući u obzir posebne zadaće i odgovornosti izvršitelja obrade u kontekstu obrade koju treba provesti te rizika za prava i slobode ispitanika. Voditelj obrade i izvršitelj obrade mogu izabrati pojedinačni ugovor ili standardne ugovorne klauzule koje je ili izravno donijela Komisija ili ih je donijelo nadzorno tijelo u skladu s mehanizmom konzistentnosti, a potom donijela Komisija. Nakon što završi obradu u ime voditelja obrade, izvršitelj obrade trebao bi, prema izboru voditelja obrade, vratiti ili izbrisati osobne podatke osim ako postoji obveza pohrane osobnih podataka sukladno pravu Unije ili pravu države članice kojem izvršitelj obrade podliježe.
(EN)
CJEU, Tietosuojavaltuutettu/Jehovan todistajat — uskonnollinen yhdyskunta (Jehovah’s Witnesses case), Opinion of Advocate General, C‑25/17 (2018).
CJEU, Tietosuojavaltuutettu/Jehovan todistajat — uskonnollinen yhdyskunta (Jehovah’s Witnesses case), C‑25/17 (2018).
Article 29 Working Party, Opinion 1/2010 on the concepts of «controller» and «processor» (2010).
EDPB, Guidelines on the Concepts of Controller, Processor and Joint Controllership Under Regulation (EU) 2018/1725 (2019).
EDPB, Opinion 14/2019 on the draft Standard Contractual Clauses submitted by the DK SA (Article 28(8) GDPR) (2019).
EDPB, Guidelines 7/2020 on the Concepts of Controller and Processor in the GDPR (2021).
CNIL, Guide for processors (2017) – Guidelines from the French Supervisory Authority that includes the template of Data Processing Agreement between controllers and processors.
Denmark Supervisory Authority, DK SA Standard Contractual Clauses for the purposes of compliance with art. 28 GDPR (2020).
DPC (Ireland), Guidance for Individuals who Accidentally Receive Personal data (2020).
ICO, Right of Access (2020).
ICO, Data sharing: a code of practice (2020).
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 28(2) GDPR:
8.5.6 Раскрытие данных о субподрядчиках, привлекаемых к обработке ПИИ
Средство управления
Организация должна раскрывать клиенту сведения о любом привлечении субподрядчиков для обработки ПИИ до привлечения.
Руководство по внедрению
Условия о привлечении субподрядчиков для обработки ПИИ должны быть включены в контракт с клиентом.
…
Войти
для доступа к полному тексту