1. Если обработка должна осуществляться от имени контролёра, он использует услуги только таких процессоров, которые обеспечивают достаточные гарантии по осуществлению соответствующих технических и организационных мер таким образом, чтобы обработка отвечала требованиям настоящего Регламента и обеспечивала защиту прав субъекта данных.

2. Процессор не должен привлекать другого процессора без предварительного специального или общего письменного разрешения контролёра. В случае общего письменного разрешения процессор информирует контролёра о любых предполагаемых изменениях касательно добавления или замены других процессоров, тем самым предоставляя контролёру возможность возражать против таких изменений.

3. Обработка процессором регулируется договором или иным правовым актом Союза, или национальным законодательством государства-члена, которое является обязательным для процессора и контролёра и устанавливает предмет и продолжительность обработки, характер и цель обработки, тип персональных данных, категории субъектов данных, обязательства и права контролёра. Этот договор или иной правовой акт должны предусматривать, в частности, что процессор:

(а) обрабатывает персональные данные только на основании документированных распоряжений от контролёра, включая передачу персональных данных в третью страну или международную организацию, если только он не обязан делать это по праву Союза или государств-членов, которому подчиняется процессор; в таком случае процессор информирует контролёра об этих правовых требованиях до обработки, если этот закон не запрещает такое информирование по важным с точки зрения публичного интереса основаниям;

(b) гарантирует, что лица, уполномоченные обрабатывать персональные данные, связаны положением о конфиденциальности или находятся под соответствующим законодательно установленным обязательством о конфиденциальности;

(c) принимает все необходимые меры в соответствии со статьей 32;

(d) соблюдает условия, указанные в параграфах 2 и 4, для привлечения иного процессора;

(е) принимая во внимание характер обработки, по мере возможности содействует контролёру посредством соответствующих технических и организационных мер в выполнении его обязанности отвечать на запросы субъекта данных касательно осуществления его прав, упомянутых в Главе III;

(f) принимая во внимание характер обработки и информацию, находящуюся в распоряжении процессора, оказывает содействие контролёру в выполнении обязательств, изложенных в статьях 32-36;

(g) по выбору контролёра, удаляет или возвращает все персональные данные контролёру после окончания оказания услуг по обработке, и удаляет существующие копии, если право Союза или государств-членов не требует хранения персональных данных;

(h) предоставляет контролёру всю необходимую информацию, чтобы продемонстрировать соблюдение обязательств, изложенных в настоящей статье, а также разрешает и вносит свой вклад в аудиты, в том числе проверки, проводимые контролёром или иным аудитором, назначенным контролёром.

Относительно пункта (h) первого подпараграфа, процессор незамедлительно информирует контролёра, если он считает, что выданное ему распоряжение нарушает настоящий Регламент или иные нормы Союза или государств-членов о защите персональных данных.

4. Если процессор привлекает другого процессора для выполнения определенных мероприятий по обработке от имени контролёра, этот процессор должен быть связан договором или иным правовым актом Союза или государства-члена, налагающим на него такие же обязательства по защите данных, как и те, что указаны в договоре или ином правовом акте между контролёром и процессором и о которых говорится в параграфе 3; в частности, обязанность предоставить достаточные гарантии осуществления соответствующих технических и организационных мер таким образом, чтобы обработка отвечала требованиям настоящего Регламента. Если другой процессор не выполняет свои обязательства по защите персональных данных, первоначальный процессор несет полную ответственность перед контролёром за выполнение обязательств этого другого процессора.

5. Соблюдение утвержденного кодекса поведения, упомянутого в статье 40 или утвержденного механизма сертификации, упомянутого в статье 42, может использоваться в качестве элемента для демонстрации соблюдения достаточных обязанностей процессора, упомянутых в параграфах 1 и 4 настоящей статьи.

6. Не исключая индивидуального соглашения между контролёром и процессором, договор или иной правовой акт, упомянутые в параграфах 3 и 4 настоящей статьи, может основываться полностью или частично на стандартных договорных условиях, указанных в параграфах 7 и 8 настоящей статьи, в том числе когда они являются частью сертификации, предоставленной контролёру или процессору в соответствии со статьями 42 и 43.

7. Комиссия может утвердить стандартные договорные условия, регулирующие вопросы, упомянутые в параграфах 3 и 4 настоящей статьи, в соответствии с процедурой экспертизы, указанной в статье 93 (2).

8. Надзорный орган может принять стандартные договорные условия, регулирующие вопросы, упомянутые в параграфах 3 и 4 настоящей статьи, в соответствии с процедурой согласования, указанной в статье 63.

9. Договор или иной правовой акт, упомянутые в параграфах 3 и 4 должны быть в письменной форме, в том числе в электронном формате.

10. Не отменяя действия статей 82, 83 и 84, процессор, который нарушает настоящий Регламент при определении целей и средств обработки, признается контролёром в отношении этой обработки.