1. У разі здійснення опрацювання від імені контролера, контролер повинен залучити лише таких операторів, які надають достатні гарантії щодо вжиття необхідних технічних і організаційних заходів у спосіб, що дозволяє забезпечити відповідність опрацювання вимогам цього Регламенту та гарантувати захист прав суб’єкта даних.

2. Оператор не повинен залучати будь-якого додаткового оператора без отримання попереднього спеціального чи загального письмового дозволу контролера. У випадку загального письмового дозволу, оператор повинен повідомити контролера про будь-які цілеспрямовані зміни щодо залучення додаткового чи заміни інших операторів, таким чином надаючи контролеру можливість заперечити проти таких змін.

3. Опрацювання оператором повинен регулювати договір або інший нормативно-правовий акт відповідно до законодавства Союзу або держави-члена, який пов’язує оператора зобов’язальними відносинами з контролером та встановлює предмет і тривалість опрацювання, специфіку і цілі опрацювання, тип персональних даних і категорії суб’єктів даних, обов’язки і права контролера. Такий договір або інший нормативно-правовий акт передбачає, зокрема, що оператор:

(a) опрацьовує персональні дані лише на підставі задокументованих вказівок контролера, в тому числі щодо передавання персональних даних до третьої країни чи міжнародної організації, за винятком існування відповідної вимоги законодавством Союзу або держави-члена, яка поширюється на оператора; у такому випадку, оператор інформує контролера про таку законодавчу вимогу до початку опрацювання, за винятком, якщо таким законодавством заборонено надання такої інформації на важливих підставах суспільного інтересу;

(b) забезпечує, що особи, які отримали дозвіл на опрацювання персональних даних, взяли на себе обов’язок збереження конфіденційності чи зобов’язані відповідним статутним обов’язком збереження конфіденційності;

(c) вживає усіх заходів, необхідних відповідно до статті 32;

(d) дотримується умов, вказаних у параграфах 2 і 4 щодо залучення додаткового оператора;

(e) враховуючи специфіку опрацювання, допомагає контролеру належними технічними та організаційними заходами, наскільки це можливо, для виконання обов’язку контролера відповідати на запити щодо реалізації прав суб’єкта даних, установлених у главі III;

(f) допомагає контролеру в забезпеченні відповідності обов’язкам згідно зі статтями 32 — 36, з урахуванням специфіки опрацювання та наявної в контролера інформації;

(g) на розсуд контролера, видаляє або повертає усі персональні дані контролеру після постачання послуг, пов’язаних з опрацюванням, і видаляє наявні копії, за винятком існування у законодавстві Союзу або держави-члена вимоги збереження персональних даних;

(h) надає контролеру всю інформацію, необхідну для підтвердження дотримання зобов’язань, встановлених у цій статті, та сприяння перевіркам, у тому числі інспекціям, які проводять контролер або інший аудитор відповідно до мандату, наданого контролером.

З урахуванням пункту (h) першого підпараграфа, оператор негайно інформує контролера, якщо, на його думку, вказівка порушує цей Регламент або інші положення законодавства Союзу або держави-члена щодо захисту даних.

4. У разі залучення оператором додаткового оператора до здійснення спеціального опрацювання даних від імені контролера, ті самі обов’язки щодо захисту даних, які встановлено між контролером або оператором в договорі або іншому нормативно-правовому акті, як вказано в параграфі 3, необхідно покласти на такого додаткового оператора договором або іншим нормативно-правовим актом відповідно до законодавства Союзу або держави-члена, зокрема, шляхом надання достатніх гарантій для вжиття необхідних технічних і організаційних заходів у спосіб, який дозволяє забезпечити відповідність опрацювання вимогам цього Регламенту. Якщо такий додатковий оператор не виконує обов’язки із захисту даних, первинний оператор залишається таким, що повністю відповідає перед контролером за виконання обов’язків такого додаткового оператора.

5. Дотримання оператором затвердженого кодексу поведінки, як вказано в статті 40, чи затвердженого механізму сертифікації, як вказано в статті 42, можна використовувати як елемент підтвердження достатніх гарантій, як вказано в параграфах 1 та 4 цієї статті.

6. Без обмеження окремого договору між контролером і оператором, договір або інший нормативно-правовий акт, вказані в параграфах 3 і 4 цієї статті, може ґрунтуватися, в цілому чи частково, на стандартних договірних положеннях, вказаних у параграфах 7 і 8 цієї статті, в тому числі, якщо вони є частиною сертифікації, наданої контролеру або оператору відповідно до статей 42 і 43.

7. Комісія може встановлювати стандартні договірні положення з питань, вказаних у параграфах 3 і 4 цієї статті, та відповідно до експертної процедури, вказаної в статті 93(2).

8. Наглядовий орган може ухвалити стандартні договірні положення з питань, вказаних у параграфах 3 і 4 цієї статті, та відповідно до механізму послідовності, вказаного в статті 63.

9. Договір або інший нормативно-правовий акт, як вказано в параграфах 3 і 4, повинні бути оформлені в письмовій формі, в тому числі, — в електронній.

10. З дотриманням положень статей 82, 83 і 84, у разі порушення оператором цього Регламенту шляхом визначення цілей і засобів опрацювання оператора необхідно вважати контролером для цілей такого опрацювання.