1. Państwa członkowskie zapewniają, by – jeżeli przetwarzanie ma być dokonywane w imieniu administratora – administrator miał obowiązek korzystania z usług wyłącznie takich podmiotów przetwarzających, które dają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, oraz zapewniał, by przetwarzanie odpowiadało wymogom niniejszej dyrektywy i chroniło prawa osoby, której dane dotyczą.
2. Państwa członkowskie zapewniają, by podmiot przetwarzający nie korzystał z usług innego podmiotu przetwarzającego bez wcześniejszej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
3. Państwa członkowskie zapewniają, by przetwarzanie przez podmiot przetwarzający było regulowane umową lub innym instrumentem prawnym prawa Unii lub prawa państwa członkowskiego, które wiąże podmiot przetwarzający z administratorem oraz określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych i kategorie osób, których dane dotyczą, oraz prawa i obowiązki administratora. Taka umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:
a) działa wyłącznie zgodnie z poleceniami administratora;
b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
c) wszelkimi odpowiednimi sposobami pomaga administratorowi w przestrzeganiu przepisów o prawach osoby, której dane dotyczą;
d) po zakończeniu świadczenia usługi przetwarzania danych, w zależności od decyzji administratora, usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego wymaga przechowywanie danych osobowych;
e) udostępnia administratorowi wszelkie informacje niezbędne do wykazania zgodności z niniejszym artykułem;
f) przestrzega warunków zaangażowania innego podmiotu przetwarzającego, o których mowa w ust. 2 i 3.
4. Umowa lub inny akt prawny, o których mowa w ust. 3, mają formę pisemną, w tym formę elektroniczną.
5. Jeżeli podmiot przetwarzający określi, z naruszeniem niniejszej dyrektywy, cele i sposoby przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.
(54) Ochrona praw i wolności osób, których dane dotyczą, oraz obowiązki i odpowiedzialność prawna administratorów i podmiotów przetwarzających – także w odniesieniu do monitorowania ze strony organów nadzorczych i do środków przez nie stosowanych – wymagają dokonania jasnego podziału obowiązków przyjętych w niniejszej dyrektywie, w tym w sytuacji, gdy administrator określa cele i sposoby przetwarzania wspólnie z innymi administratorami lub gdy operacji przetwarzania dokonuje się w imieniu administratora.
(55) Przetwarzanie przez podmiot przetwarzający powinno być regulowane aktem prawnym, w tym umową wiążącą podmiot przetwarzający z administratorem i przewidującą w szczególności, że podmiot przetwarzający powinien działać wyłącznie zgodnie z poleceniami administratora. Podmiot przetwarzający powinien uwzględniać zasadę ochrony danych w fazie projektowania oraz zasadę domyślnej ochrony danych.
Zobacz także: WYTYCZNE
