Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Статья 29
Лицо, обрабатывающее данные
1. Если обработка осуществляется от имени контролера, контролер должен пользоваться услугами только тех лиц, обрабатывающих данные, которые предоставят достаточные гарантии реализации надлежащих технических и организационных мер, обеспечивающих соответствие обработки требованиям настоящего Регламента и обеспечивающих защиту прав субъекта данных.
2. Лицо, обрабатывающее данные, не должно привлекать к работе другое лицо, обрабатывающее данные, без предварительной специальной или общей письменной авторизации контролера. В случае общей письменной авторизации лицо, обрабатывающее данные, должно информировать контролера о любых предполагаемых изменениях, касающихся привлечения других лиц или замены другими лицами, обрабатывающими данные, тем самым давая контролеру возможность представлять возражения против таких изменений.
3. Обработка, осуществляемая лицом, обрабатывающим данные, должна регулироваться договором или иным правовым актом в соответствии с законодательством Союза или государства-члена ЕС, который имеет обязательную юридическую силу для лица, обрабатывающего данные, в отношении контролера и который устанавливает предмет и продолжительность обработки, характер и цель обработки, тип персональных данных и категории субъектов данных, а также обязательства и права контролера. Указанный договор или иной правовой акт должны, в частности, предусматривать, что лицо, обрабатывающее данные:
(a) обрабатывает персональные данные только на основании документально подтвержденных указаний контролера, в том числе в отношении передачи персональных данных третьей стране или международной организации, кроме случаев, когда этого требует законодательство Союза или государства-члена ЕС, субъектом которого является лицо, обрабатывающее данные; в таком случае лицо, обрабатывающее данные, должно проинформировать контролера об указанном законном требовании до начала обработки, за исключением случаев, когда данное законодательство запрещает передачу указанной информации, исходя из важных соображений общественного интереса;
(b) гарантирует, что лица, авторизованные в отношении обработки персональных данных, обязались соблюдать конфиденциальность или обязаны соблюдать конфиденциальность согласно законодательству;
(c) принимает все меры, необходимые на основании Статьи 33;
(d) соблюдает условия, указанные в параграфах 2 и 4, при привлечении к работе иного лица, обрабатывающего данные;
(e) с учетом характера обработки по мере возможности посредством надлежащих технических и организационных мер содействует контролеру в выполнении его обязательства отвечать на запросы по осуществлению прав субъекта данных, установленных в Главе III;
(f) содействует контролеру в обеспечении выполнения обязательств на основании Статей 33 - 41, принимая во внимание характер обработки и информацию, доступную лицу, обрабатывающему данные;
(g) по выбору контролера удаляет или возвращает все персональные данные контролеру после завершения предоставления услуг, связанных с обработкой, и удаляет существующие копии, кроме случаев, когда законодательством Союза или государства-члена ЕС требуется хранение персональных данных;
(h) предоставляет в распоряжение контролера всю информацию, необходимую для демонстрации соблюдения обязательств, установленных в настоящей Статье, а также обеспечивает возможность и содействует проверкам, включая инспекционные проверки, проводимые контролером или иным аудитором, уполномоченным контролером.
В отношении пункта (h) первого подпараграфа лицо, обрабатывающее данные, должно без промедления информировать контролера, если, по его мнению, указание нарушает настоящий Регламент или другие положения Союза или государства-члена ЕС по защите данных.
4. Если лицо, обрабатывающее данные, привлекает к работе другое лицо, обрабатывающее данные, для выполнения конкретных действий по обработке данных от имени контролера, обязательства по защите данных, аналогичные обязательствам, указанным в договоре или ином правовом акте между контролером и лицом, обрабатывающем данные, как указано в параграфе 3, должны возлагаться на указанное лицо, обрабатывающее данные, посредством договора или иного правового акта в соответствии с законодательством Союза или государства-члена ЕС, в частности, предоставляющего достаточные гарантии для реализации надлежащих технических и организационных мер с тем, чтобы обработка соответствовала требованиям настоящего Регламента. Если указанное лицо, обрабатывающее данные, не выполняет обязательства по защите данных, лицо, обрабатывающее данные первоначально, остается полностью ответственным перед контролером за выполнение обязательств указанного иного лица, обрабатывающего данные.
5. Если лицо, обрабатывающее данные, не является учреждением или органом Союза, его следование одобренным нормам поведения, указанным в Статье 40(5) Регламента (ЕС) 2016/679 или утвержденным сертификационным механизмам, указанным в Статье 42 Регламента (ЕС) 2016/679, может быть использовано в качестве элемента, демонстрирующего достаточность гарантий, как указано в параграфах 1 и 4 настоящей Статьи.
6. Без ущерба действию какого-либо отдельного договора между контролером и лицом, обрабатывающим данные, договор или другой правовой акт, указанный в параграфах 3 и 4 настоящей Статьи, может полностью или частично основываться на стандартных договорных условиях, указанных в параграфах 7 и 8 настоящей Статьи, в том числе если они являются составной частью сертификата, выданного лицу, обрабатывающему данные, кроме учреждений или органов Союза, на основании Статьи 42 Регламента (ЕС) 2016/679.
7. Европейская Комиссия вправе установить стандартные договорные условия для регулирования вопросов, указанных в параграфах 3 и 4 настоящей Статьи, в соответствии с процедурой проверки, указанной в Статье 96(2).
8. Европейский инспектор по защите данных вправе принять стандартные договорные условия для регулирования вопросов, указанных в параграфах 3 и 4.
9. Договор или иной правовой акт, указанный в параграфах 3 и 4, должен быть составлен в письменном виде, включая электронную форму.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.