Az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik megfelelő garanciákat nyújtanak a GDPR rendelkezései szerinti, megfelelő technikai és szervezésiintézkedések végrehajtására. Az adatkezelő és az adatfeldolgozó között olyan írásbeli szerződést kell kötni, amely minimálisan az alábbiakra tér ki:
- az adatfeldolgozó a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli
- a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak
- az adatfeldolgozó megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázatok mértékének megfelelő szintű adatbiztonságot garantálja
- segíti az adatkezelőt a kötelezettségeinek a teljesítésében
- az adatkezelési szolgáltatás nyújtásának befejezését követően, az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő
- lehetővé teszi és elősegíti az adatkezelő általvagy az általa megbízott más ellenőr általvégzett auditokat, beleértve a helyszínivizsgálatokat is
Ha az adatfeldolgozó további adatfeldolgozó szolgáltatásait is igénybe veszi, a további adatfeldolgozóra is ugyanazokat az adatvédelmi kötelezettségeket kell telepíteni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött szerződésben vannak. Az adatfeldolgozók számára a következő kötelezettségeket írja elő a rendelet:
- az adatvédelmi hatóság részére bemutatható módon kell nyilvántartást vezetnie az adatkezelő nevében végzett adatkezelési tevékenységéről
- az adatvédelmi incidenst, az arról való tudomásszerzést követően haladéktalanul jelentenie kell az adatkezelőnek
- ha azt a rendelet előírja, adatvédelmi tisztviselőt jelöl ki vagy bíz meg
Teendők
- az adatkezelőnek biztosítania kell, hogy valamennyi adatfeldolgozóval kötött szerződése megfelel a rendelet rendelkezéseinek
- adatkezelési tevékenységek nyilvántartásának elkészítése az adatfeldolgozónál
- az adatfeldolgozónak megfelelő technikai és szervezési intézkedéseket kell bevezetnie, ideértve az adatvédelmi incidensek esetén alkalmazandó eljárásrendet
- annak eldöntése, hogy adatvédelmi tisztviselő kinevezése vagy megbízása kötelező-e vagy szükséges-e?