Article 28. Encarregat del tractament
HomeArticle 28. Encarregat del tractament
- Quan s’ha de fer un tractament per compte d’un responsable del tractament, s’ha d’escollir únicament un encarregat que ofereixi garanties suficients per aplicar les mesures tècniques i organitzatives adequades, de manera que el tractament sigui conforme als requisits d’aquest Reglament i garanteixi la protecció dels drets de l’interessat.
- L’encarregat del tractament no ha de recórrer a un altre encarregat sense l’autorització prèvia per escrit, específica o general, del responsable. En aquest últim cas, l’encarregat ha d’informar el responsable de qualsevol canvi previst en la incorporació o la substitució d’altres encarregats i, d’aquesta manera, donar al responsable l’oportunitat d’oposar-se a aquests canvis.
- El tractament efectuat per l’encarregat s’ha de regir per un contracte o per un altre acte jurídic conforme al dret de la Unió o dels estats membres. Aquest contracte ha de vincular l’encarregat respecte del responsable i ha d’establir l’objecte, la durada, la naturalesa i la finalitat del tractament, així com el tipus de dades personals i categories d’interessats i les obligacions i els drets del responsable. Aquest contracte o acte jurídic ha d’estipular, en particular, que l’encarregat:
a) Tracta les dades personals únicament seguint instruccions documentades del responsable, fins i tot en relació amb les transferències de dades personals a un tercer país o a una organització internacional, tret que hi estigui obligat en virtut del dret de la Unió o dels estats membres al qual està subjecte l’encarregat. En aquest cas, l’encarregat ha d’informar el responsable d’aquesta exigència legal prèvia al tractament, tret que aquest dret ho prohibeixi per raons importants d’interès públic.
b) Garanteix que les persones autoritzades per tractar dades personals s’han compromès a respectar-ne la confidencialitat o estan subjectes a una obligació de confidencialitat de naturalesa estatutària.
c) Pren totes les mesures necessàries, de conformitat amb l’article 32.
d) Respecta les condicions establertes als apartats 2 i 4, per recórrer a un altre encarregat del tractament.
e) Assisteix el responsable sempre que sigui possible, d’acord amb la naturalesa del tractament i mitjançant les mesures tècniques i organitzatives adequades, sempre que sigui possible, perquè pugui complir amb l’obligació de respondre les sol·licituds que tinguin per objecte l’exercici dels drets dels interessats establerts en el capítol III.
f) Ajuda el responsable a garantir el compliment de les obligacions que estableixen els articles 32 a 36, tenint en compte la naturalesa del tractament i la informació a disposició de l’encarregat.
g) A elecció del responsable, suprimir o retornar totes les dades personals, una vegada finalitzada la prestació dels serveis de tractament, i suprimir les còpies existents, tret que sigui necessari conservar les dades personals en virtut del dret de la Unió o dels estats membres.
h) Ha de posar a disposició del responsable tota la informació necessària per demostrar que compleix les obligacions que estableix aquest article. Així mateix, ha de permetre i contribuir a la realització d’auditories, incloses inspeccions, per part del responsable o d’un altre auditor autoritzat per aquest responsable.
En relació amb el que disposa la lletra h) del paràgraf primer, si l’encarregat considera que una instrucció infringeix aquest Reglament o altres disposicions en matèria de protecció de dades de la Unió o dels estats membres, n’ha d’informar immediatament el responsable. - Quan un encarregat del tractament recorre a un altre encarregat per dur a terme determinades activitats de tractament per compte del responsable, cal imposar a aquest altre encarregat, mitjançant un contracte o qualsevol altre acte jurídic establert de conformitat al dret de la Unió o dels estats membres, les mateixes obligacions de protecció de dades que les estipulades en el contracte o l’acte jurídic entre el responsable i l’encarregat a què es refereix l’apartat 3, especialment la prestació de garanties suficients d’aplicació de mesures tècniques i organitzatives adequades, de manera que el tractament sigui conforme a les disposicions d’aquest Reglament. Si aquest altre encarregat incompleix les obligacions de protecció de dades, l’encarregat inicial continua sent plenament responsable davant del responsable del tractament pel què fa al compliment de les obligacions de l’altre encarregat.
- L’adhesió de l’encarregat del tractament a un codi de conducta, aprovat d’acord amb l’article 40 o d’acord amb un mecanisme de certificació aprovat segons l’article 42, es pot utilitzar com a element per demostrar que hi ha les garanties suficients a què es refereixen els apartats 1 i 4 d’aquest article.
- Sens perjudici que el responsable i l’encarregat del tractament subscriguin un contracte individual, el contracte o l’acte jurídic esmentat als apartats 3 i 4 d’aquest article es pot basar, totalment o parcialment, en les clàusules contractuals tipus a què es refereixen els apartats 7 i 8 d’aquest article, fins i tot si formen part d’una certificació concedida al responsable o a l’encarregat de conformitat amb els articles 42 i 43.
- La Comissió pot fixar clàusules contractuals tipus per a les qüestions a què es refereixen els apartats 3 i 4 d’aquest article, d’acord amb el procediment d’examen que estableix l’article 93, apartat 2.
- Una autoritat de control pot adoptar clàusules contractuals tipus per a les qüestions a què es refereixen els apartats 3 i 4 d’aquest article, d’acord amb el mecanisme de coherència esmentat a l’article 63.
- El contracte o l’acte jurídic a què es refereixen els apartats 3 i 4 ha de constar per escrit, inclòs en format electrònic.
- Sens perjudici del que disposen els articles 82, 83 i 84, i un encarregat del tractament infringeix el present Reglament en determinar els fins i els mitjans del tractament, se l’ha de considerar responsable del tractament pel que fa a dit tractament.
