第28条 处理者
1.处理者代表控制者进行处理,控制者只能选用有充分保证的、可采取合适技术与组织措施的、其处理方式符合本条例要求并且保障数据主体权利的处理者。
2.如果没有控制者之前的特别授权或一般书面授权,处理者不应聘用另一个处理者。在具有一般书面授权的情形下,对于涉及到补充或替换其他处理者的变动,处理者都应当告知控制者,以便使控制者有机会反对此类变化。
3.处理者的处理应当受某类合同或其他欧盟法与成员国法的约束,这类合同或法律应当规定处理者相对于控制者的责任、主体事项、处理期限、处理性质与目的、个人数据的类型、数据主体的类型以及控制者的责任与权利的。此类合同或法律尤其应当对如下情形做出规定:
(a)只有在收到控制者的书面指示时才可以处理个人数据,在涉及到将个人数据转移到第三国或某个国际组织的事项中亦是如此,除非欧盟法或成员国法对处理者有要求;在这种情形下,处理者应当在处理之前将法律要求告知控制者,除非告知会影响重要的公共利益;
(b)对于被授权处理个人数据的人,确保其履行保密义务或法律上的适当保密责任;
(c)采取第32条所要求的所有措施;
(d)尊重第2段和第4段规定的聘用另一个处理者的条件;
(e)结合处理的性质,在可能的情形下,通过合适的技术与组织手段帮助控制者履行其责任,以便使得数据主体能够行使其第三章所规定的权利;
(f)结合处理的性质和处理者所能得到的信息,帮助控制者履行第32至36条所规定的责任;
(g)基于控制者的选择,在提供和处理相关的服务结束后,将个人数据删除或返还给控制者,并且删除已有备份,除非欧盟或成员国的法律要求储存个人数据;
(h)给控制者提供所有能够证明其已经遵循本条款规定责任的信息,以及有利于控制者或控制者委任的审计员进行审计和核查的信息。
关于第1段(h)点,如果处理者认为某项指示违反了本条例或其它欧盟或成员国的数据保护条款,其应当立即告知控制者。
4.当处理者代表控制者为了进行特定的处理活动而应聘另一处理者,第3段所规定的控制者和处理者之间的合同或其它法律条款所规定的数据保护责任应当通过合同或欧盟或成员国的法律条款而同等适用于另一处理者,尤其是应当采取充分的保障措施、恰当的技术与组织手段以满足本条例的要求。当另一个处理者无法完成其数据保护职责时,对其责任,处理者应当完全负担。
5.处理者遵守第40条所规定的已生效的行为准则,或者遵守第42条所规定的已生效的验证机制,这可以被作为证据之一,证明处理者已经采取了本条款第1段和第4段所规定的充分保障。
6.在不影响控制者和处理者之间的单独合同的前提下,第3段和第4段所规定的合同或法律条款可以全部或部分运用本条第7段和第8段所规定的格式合同条款,包括它们何时属于根据第42条和第43条规定的赋予给控制者或处理者的验证机制。
7.欧盟委员会可以对于本条第3段和第4段所规定的事项,根据第93(2)条所规定的检查程序而制定格式合同条款。
8.监管机构可以对本条第3段和第4段所规定的事项,根据第63条所规定的一致性机制而制定格式合同条款。
9.第3段和第4段所规定的合同或法律条款必须是书面的,包括以电子形式做出的书面记录。
10.在不影响第82、83、84条的情形下,如果某个处理者因为确定处理目的与方法方而违反了本条例,处理者应当在此次处理中被视为控制者。
第29条 代表控制者或处理者进行的处理
对个人数据有访问权的处理者或控制者、处理者的代表人,未经控制者允许,不得处理该个人数据。欧盟法律或成员国法律另有规定的除外。
