Преамбула 81
Recital 81
(81) Для забезпечення дотримання вимог цього Регламенту щодо опрацювання, яке буде здійснювати оператор від імені контролера, який доручив оператору опрацювання даних, контролер повинен використовувати послуги лише таких операторів, які надають достатніх гарантій, зокрема, щодо експертних знань, надійності та ресурсів, для реалізації технічних і організаційних інструментів, які відповідатимуть вимогам цього Регламенту, в тому числі щодо безпеки опрацювання.
Дотримання оператором затвердженого кодексу поведінки чи затвердженого механізму сертифікації можна вважати елементом підтвердження відповідності зобов’язанням контролера.
Виконання операцій опрацювання оператором необхідно регулювати договором або іншим нормативно-правовим актом згідно з законодавством Союзу або держави-члена, який встановлює зобов’язання оператора перед контролером, визначає предмет і тривалість опрацювання, специфіку і цілі опрацювання, тип персональних даних і категорії суб’єктів даних, з урахуванням спеціальних завдань і обов’язків оператора в контексті опрацювання, яке необхідно здійснити, та ризику для прав і свобод суб’єкта даних.
Контролер і оператор можуть обрати використання індивідуального договору або стандартних положень договору, ухвалених відповідно до механізму послідовності або безпосередньо Комісією або наглядовим органом, а потім – Комісією.
Після завершення опрацювання від імені контролера, оператор повинен, на розсуд контролера, повернути або видалити персональні дані, за винятком відсутності вимоги щодо збереження персональних даних згідно з законодавством Союзу або держави-члена, яке поширюється на оператора.
(81) To ensure compliance with the requirements of this Regulation in respect of the processing to be carried out by the processor on behalf of the controller, when entrusting a processor with processing activities, the controller should use only processors providing sufficient guarantees, in particular in terms of expert knowledge, reliability and resources, to implement technical and organisational measures which will meet the requirements of this Regulation, including for the security of processing.
The adherence of the processor to an approved code of conduct or an approved certification mechanism may be used as an element to demonstrate compliance with the obligations of the controller.
The carrying-out of processing by a processor should be governed by a contract or other legal act under Union or Member State law, binding the processor to the controller, setting out the subject-matter and duration of the processing, the nature and purposes of the processing, the type of personal data and categories of data subjects, taking into account the specific tasks and responsibilities of the processor in the context of the processing to be carried out and the risk to the rights and freedoms of the data subject.
The controller and processor may choose to use an individual contract or standard contractual clauses which are adopted either directly by the Commission or by a supervisory authority in accordance with the consistency mechanism and then adopted by the Commission.
After the completion of the processing on behalf of the controller, the processor should, at the choice of the controller, return or delete the personal data, unless there is a requirement to store the personal data under Union or Member State law to which the processor is subject.
Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf
The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.