Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Статья 22
Лицо, обрабатывающее данные
1. Государства-члены ЕС предусматривают, что в том случае, если обработка осуществляется от имени контролера, он должен работать только с теми обрабатывающими данные лицами, которые представят надлежащие гарантии принятия надлежащих технических и организационных мер таким образом, что обработка будет соответствовать требованиям настоящей Директивы, и которые гарантирует защиту прав субъекта данных.
2. Государства-члены ЕС предусматривают, что лицо, обрабатывающее данные, не должно привлекать к работе другое лицо, обрабатывающее данные, без предварительного специального или общего письменного разрешения контролера. В случае общего письменного разрешения лицо, обрабатывающее данные, должно проинформировать контролера о любых предполагаемых изменениях, касающихся привлечения или замены других лиц, обрабатывающих данные, тем самым давая контролеру возможность выразить возражение против таких изменений.
3. Государства-члены ЕС предусматривают, что обработка, осуществляемая лицом, обрабатывающим данные, должна регулироваться договором или иным юридическим актом в рамках законодательства Европейского Союза или государства-члена ЕС, который имеет обязательную силу для обрабатывающего данные лица относительно контролера и в котором указываются предмет и продолжительность обработки, характер и цель обработки, тип персональных данных и категории субъектов данных, а также обязанности и права контролера. Указанный договор или иной юридический акт должны, в частности, предусматривать, что обрабатывающее данные лицо:
(a) действует только в соответствии с указаниями контролера;
(b) гарантирует, что лица, уполномоченные на обработку персональных данных, взяли на себя обязательство соблюдать конфиденциальность или обязаны соблюдать конфиденциальность по закону;
(c) содействует контролеру с помощью надлежащих средств в целях обеспечения соблюдения положений, касающихся прав субъекта данных;
(d) по выбору контролера удаляет или возвращает все персональные данные контролеру по окончании предоставления услуг, связанных с обработкой, и удаляет существующие копии, кроме случаев, когда законодательством Европейского Союза или государства-члена ЕС требуется хранение персональных данных;
(e) предоставляет в распоряжение контролера всю информацию, необходимую для подтверждения соблюдения положений настоящей Статьи;
(f) соблюдает условия, указанные в параграфах 2 и 3 настоящей Статьи, для привлечения к работе другого лица, обрабатывающего данные.
4. Договор или иной юридический акт, указанный в параграфе 3 настоящей Статьи, должен быть составлен в письменном виде, в том числе в электронной форме.
5. Если обрабатывающее данные лицо в нарушение требований настоящей Директивы определяет цели и способы обработки, такое лицо должно считаться контролером в отношении указанной обработки.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.