Sammendrag: En behandlingsansvarlig må bare bruke en databehandler som sørger for at behandling skjer sikkert og i henhold til GDPR. Databehandleren skal kun behandle personopplysningene som instruert av behandlingsansvarlig, og skal infomere dersom denne mener at en instruks er i strid med GDPR. Det skal inngås en bindende, skriftlig (kan være elektronisk) avtale om behandlingen av databehandler som skal dekke beskrivelse av behandlingen, herunder hva behandlingen omfatter, dennes art og formål og varighet, personopplysninger som skal behandles og kategorier av registrerte og den behandlingsansvarliges rettigheter og plikter er fastsatt. I tillegg skal det tas inn de kravene som følger av nr. 3 bokstav a) til h), se nedenfor. Bruk av underdatabehandler skal kun skje etter tillatelse fra behandlingsansvarlig, og databehandler er ansvarlig for underdatabehandleren, hvor sistnevnte skal underlegges samme samme plikter som følger av databehandleravtalen. Databehandleren skal overholde eventuelle godkjente adferdsnormer/sertifiseringer. EU-kommisjonen kan lage standardvilkår som kan godkjennes av tilsynsmyndighet, og som kan benyttes som databehandleravtale. Går en databehandler utenfor databehandleravtalen, blir denne å anse som behandlingsansvarlig.
1. Dersom en behandling skal utføres på vegne av en behandlingsansvarlig, skal den behandlingsansvarlige bare bruke databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning og vern av den registrertes rettigheter.
2. Databehandleren skal ikke engasjere en annen databehandler uten at det på forhånd er innhentet særlig eller generell skriftlig tillatelse til dette fra den behandlingsansvarlige. Dersom det er innhentet en generell skriftlig tillatelse, skal databehandleren underrette den behandlingsansvarlige om eventuelle planer om å benytte andre databehandlere eller skifte ut databehandlere, og dermed gi den behandlingsansvarlige muligheten til å motsette seg slike endringer.
3. Behandling utført av en databehandler skal være underlagt en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett som er bindende for databehandleren med hensyn til den behandlingsansvarlige, og der gjenstanden for og varigheten av behandlingen, behandlingens art og formål, typen personopplysninger og kategorier av registrerte samt den behandlingsansvarliges rettigheter og plikter er fastsatt. I nevnte avtale eller nevnte andre rettslige dokument skal det særlig angis at databehandleren
a) behandler personopplysningene bare på dokumenterte instrukser fra den behandlingsansvarlige, herunder med hensyn til overføring av personopplysninger til en tredjestat eller en internasjonal organisasjon, med mindre det kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt; i så fall skal databehandleren underrette den behandlingsansvarlige om nevnte rettslige krav før behandlingen, men mindre denne rett av hensyn til viktige allmenne interesser forbyr en slik underretning,
b) sikrer at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene konfidensielt eller er underlagt en egnet lovfestet taushetsplikt,
c) treffer alle tiltak som er nødvendig i henhold til artikkel 32,
d) overholder vilkårene nevnt i nr. 2 og 4 når det gjelder å engasjere en annen databehandler,
e) idet det tas hensyn til behandlingens art og i den grad det er mulig, bistår, ved hjelp av egnede tekniske og organisatoriske tiltak, den behandlingsansvarlige med å oppfylle vedkommendes plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i kapittel III,
f) bistår den behandlingsansvarlige med å sikre overholdelse av forpliktelsene i henhold til artikkel 32–36, idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for databehandleren,
g) etter den behandlingsansvarliges valg, sletter eller tilbakeleverer alle personopplysninger til den behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og sletter eksisterende kopier, med mindre unionsretten eller medlemsstatenes nasjonale rett krever at personopplysningene lagres,
h) gjør tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i denne artikkel er oppfylt, samt muliggjør og bidrar til revisjoner, herunder inspeksjoner, som gjennomføres av den behandlingsansvarlige eller en annen revisor på fullmakt fra den behandlingsansvarlige.
Når det gjelder første ledd bokstav h) skal databehandleren omgående underrette den behandlingsansvarlige dersom vedkommende mener at en instruks er i strid med denne forordning eller andre bestemmelser om vern av personopplysninger i unionsretten eller medlemsstatenes nasjonale rett.
4. Dersom en databehandler engasjerer en annen databehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal nevnte andre databehandler pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i avtalen eller i et annet rettslig dokument mellom den behandlingsansvarlige og databehandleren som nevnt i nr. 3, ved hjelp av en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett, der det særlig gis tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning. Dersom nevnte andre databehandler ikke oppfyller sine forpliktelser med hensyn til vern av personopplysninger, skal den opprinnelige databehandleren overfor den behandlingsansvarlige ha fullt ansvar for at nevnte andre databehandler oppfyller sine forpliktelser.
5. En databehandlers overholdelse av godkjente atferdsnormer som nevnt i artikkel 40 eller en godkjent sertifiseringsmekanisme som nevnt i artikkel 42 kan brukes som en faktor for å påvise at det foreligger tilstrekkelige garantier som nevnt i nr. 1 og 4 i denne artikkel.
6. Uten at det berører en individuell avtale mellom den behandlingsansvarlige og databehandleren, kan avtalen eller det andre rettslige dokumentet nevnt i nr. 3 og 4 i denne artikkel helt eller delvis bygge på standardavtalevilkårene nevnt i nr. 7 og 8 i denne artikkel, herunder når de inngår i en sertifisering som er gitt den behandlingsansvarlige eller databehandleren i henhold til artikkel 42 og 43.
7. Kommisjonen kan fastsette standardavtalevilkår for tilfellene nevnt i nr. 3 og 4 i denne artikkel og i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2.
8. En tilsynsmyndighet kan vedta standardavtalevilkår for tilfellene nevnt i nr. 3 og 4 i denne artikkel og i samsvar med konsistensmekanismen nevnt i artikkel 63.
9. Avtalen eller det andre rettslige dokumentet nevnt i nr. 3 og 4 skal være skriftlig, herunder elektronisk.
10. Dersom en databehandler overtrer bestemmelsene i denne forordning ved å fastsette formålene med og midlene for behandlingen, skal databehandleren anses for å være en behandlingsansvarlig med hensyn til nevnte behandling, uten at det berører artikkel 82, 83 og 84.
< Artikkel 27 | Artikkel 29 >