Статья 28. Лицо, обрабатывающее данные. Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27.04.2016 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных / General Data Protection Regulation /GDPR)

Статья 28
Лицо, обрабатывающее данные

1. В случае если обработка осуществляется от имени контролера, он должен работать только с теми обрабатывающими данные лицами, которые предоставят надлежащие гарантии того, что соответствующие технические и организационные меры будут проведены таким образом, что обработка будет соответствовать требованиям настоящего Регламента и гарантирует защиту прав субъекта данных.

2. Лицо, обрабатывающее данные, не должно привлекать к работе другое лицо, обрабатывающее данные, без предварительного особого или общего письменного разрешения контролера. В случае общего письменного разрешения лицо, обрабатывающее данные, должно проинформировать контролера о любых запланированных изменениях, касающихся привлечения или замены других лиц, обрабатывающих данные, тем самым давая контролеру возможность высказать возражение против таких изменений.

3. Обработка, осуществляемая лицом, обрабатывающим данные, должна регулироваться договором или иным юридическим актом в рамках законодательства Союза или государства-члена ЕС, который имеет обязательную силу для обрабатывающего данные лица относительно контролера и в котором указываются предмет и продолжительность обработки, характер и цель обработки, тип персональных данных и категории субъектов данных и обязанности и права контролера. Указанный договор или иной юридический акт должны в частности предусматривать, что обрабатывающее данные лицо:

(a) обрабатывает персональные данные только на основании документально подтвержденных указаний контролера, также в отношении передачи персональных данных третьей стране или международной организации, кроме случаев, когда этого требует законодательство Союза или государства-члена ЕС, под действие которого подпадает лицо, обрабатывающее данные; в таком случае лицо, обрабатывающее данные, должно проинформировать контролера об указанном законном требовании до начала обработки, за исключением случаев, когда указанное законодательство запрещает передачу указанной информации исходя из соображений общественного интереса;

(b) гарантирует, что лица, уполномоченные на обработку персональных данных, обязались соблюдать конфиденциальность или по законодательству обязаны соблюдать конфиденциальность;

(c) принимает все меры, необходимые согласно Статье 32;

(d) соблюдает условия, указанные в параграфах 2 и 4, для привлечения к работе иного лица, обрабатывающего данные;

(e) с учетом характера обработки, по мере возможности посредством соответствующих технических и организационных мер содействует контролеру в выполнении его обязанности реагировать на требования по осуществлению прав субъекта данных, установленных в Главе III;

(f) содействует контролеру при соблюдении обязанностей согласно Статьям 32 - 36, с учетом характер обработки и информации, доступной лицу, обрабатывающему данные;

(g) по выбору контролера удаляет или возвращает все персональные данные контролеру после предоставления услуг, связанных с обработкой, и удаляет существующие копии, кроме случаев, когда законодательством Союза или государства-члена ЕС требуется хранение персональных данных;

(h) предоставляет в распоряжение контролера всю информацию, необходимую для подтверждения соблюдения обязанностей, установленных в настоящей Статье, а также предусматривает возможность и содействует аудиторским проверкам, включая инспекционные проверки, проводимые контролером или аудитором, уполномоченным контролером.

С учетом пункта (h) первого подпараграфа, обрабатывающее данные лицо должно незамедлительно проинформировать контролера, если, по его мнению, указание нарушает настоящий Регламент или другие положения Союза или государства-члена ЕС по защите данных.

4. Если лицо, обрабатывающее данные, привлекает к работе другое лицо для выполнения определенной обработки данных от имени контролера, те же самые обязанности по защите данных, указанные в договоре или другом юридическом акте между контролером и лицом, обрабатывающем данные, согласно параграфу 3, должны возлагаться на указанное иное лицо, обрабатывающее данные, посредством договора или иного юридического акта в рамках законодательства Союза или государства-члена ЕС, при этом должны быть предоставлены достаточные гарантии для имплементации соответствующих технических и организационных мер с тем, чтобы обработка соответствовала требованиям настоящего Регламента. Если указанное другое лицо, обрабатывающее данные, не выполняет обязательства по защите данных, первое лицо, обрабатывающее данные, несет ответственность перед контролером за выполнение обязанностей указанного другого лица, обрабатывающего данные.

5. Следование лицом, обрабатывающим данные, утвержденным нормам поведения согласно Статье 40 или утвержденным сертификационным механизмам согласно Статье 42 может быть использовано в качестве элемента для подтверждения достаточных гарантий, указанных в параграфах 1 - 4 настоящей Статьи.

6. Без ущерба действию индивидуального договора между контролером и лицом, обрабатывающим данные, договор или другой юридический акт, указанный в параграфах 3 и 4 настоящей Статьи, может полностью или частично основываться на стандартных договорных условиях, указанных в параграфах 7 и 8 настоящей Статьи, в том числе, если они являются составной частью сертификата, выданного контролеру или лицу, обрабатывающему данные, согласно Статьям 42 и 43.

7. Европейская Комиссия может определить стандартные договорные условия для регулирования вопросов, указанных в параграфах 3 и 4 настоящей Статьи, в соответствии с процедурой проверки согласно Статье 93(2).

8. Надзорный орган может утвердить стандартные договорные условия для регулирования вопросов, указанных в параграфах 3 и 4 настоящей Статьи, в соответствии с механизмом сопоставимости, указанным в Статье 63.

9. Договор или иной юридический акт, указанный в параграфах 3 и 4, должен быть составлен в письменном виде, в том числе в электронной форме.

10. Без ущерба Статьям 82, 83 и 84 обрабатывающее данные лицо, которое с нарушением требований настоящего Регламента определяет цели и способы обработки, должно считаться контролером в отношении указанной обработки.