סעיף 28: מעבד



1. כאשר עיבוד אמור להתבצע מטעם בעל שליטה, בעל השליטה ישתמש רק במעבדים המספקים ערובות מספיקות ליישום אמצעים טכניים וארגוניים הולמים באופן שהעיבוד יעמוד בדרישות תקנות אלה ויבטיח את הגנת זכויות נושא המידע.

2. המעבד לא יתקשר עם מעבד אחר בלא הרשאה מוקדמת ספציפית או כללית מבעל השליטה. במקרה של הרשאה כללית בכתב, המעבד יידע את בעל השליטה באשר לשינוי אפשרי בהוספת מעבדים אחרים או בהחלפתם ובכך יאפשר לבעל השליטה להתנגד לשינוי.

3. עיבוד על ידי מעבד יוכפף לחוזה או לפעולה חוקית אחרת בהתאם לחוק איחוד או מדינה חברה. החוזה או הפעולה החוקית יחייבו את המעבד ביחס לבעל השליטה ויפורטו בהם נושא העיבוד, משכו, טבעו והיקפו, סוג המידע האישי, קטגוריות נושאי המידע וחובותיו וזכויותיו של בעל השליטה. בחוזה או בפעולה החוקית האחרת ייקבע במיוחד שהמעבד:

  • (א) יעבד את המידע האישי רק בהתאם להוראות מתועדות מבעל השליטה, לרבות ביחס להעברות מידע אישי למדינה שלישית או לארגון בינלאומי, אלא אם נדרש לכך בחוק איחוד או מדינה חברה החל על המעבד; במקרה זה, המעבד יידע את בעל השליטה באשר לדרישה החוקית בטרם העיבוד, אלא אם החוק אוסר יידוע מנימוקים חשובים של טובת הציבור;
  • (ב) יוודא שהאנשים המורשים לעבד את המידע האישי התחייבו לסודיות או כפופים לחובת סודיות חקיקתית הולמת;
  • (ג) ינקוט בכל האמצעים הנחוצים בהתאם לסעיף 32;
  • (ד) יכבד את התנאים הנזכרים בפסקאות 2 ו-4 להתקשרות עם מעבד אחר;
  • (ה) תוך התחשבות בטבע העיבוד, יסייע לבעל השליטה באמצעים טכניים וארגוניים הולמים, במידת האפשר, כדי לאפשר לבעל השליטה לעמוד בחובתו להגיב לבקשות להפעלת זכויות נושא המידע המפורטות בפרק 3;
  • (ו) יסייע לבעל השליטה בהבטחת הציות לחובות בהתאם לסעיפים 32 עד 36, תוך התחשבות בטבע העיבוד ובמידע הזמין למעבד;
  • (ז) לבחירת בעל השליטה, ימחק או יחזיר לבעל השליטה את כל המידע האישי בתום מתן השירותים הנוגעים לעיבוד וימחק עותקים קיימים, אלא אם חוק איחוד או מדינה חברה מחייב את אחסון המידע האישי;
  • (ח) ינגיש לבעל השליטה את כל המידע הנחוץ להוכחת הציות לחובות המפורטות בסעיף זה ויאפשר ויתרום לביקורות, לרבות בחינות, שיערוך בעל השליטה או מבקר אחר במינויו.

ביחס לנקודה (ח) לתת-הפסקה הראשונה, המעבד יידע מיד את בעל השליטה אם, לדעתו, הוראה מפרה תקנות אלה או תניות אחרות להגנת מידע של האיחוד או של מדינה חברה.

4. כאשר מעבד מתקשר עם מעבד אחר לביצוע פעילויות עיבוד ספציפיות מטעם בעל השליטה, אותן חובות הגנת מידע המפורטות בחוזה או בפעולה החוקית האחרת בין בעל השליטה לבין המעבד כנזכר בפסקה 3 יושתו על המעבד האחר מכוח חוזה או פעולה חוקית אחרת בהתאם לחוק איחוד או מדינה חברה, במיוחד בקביעת ערובות מספיקות ליישום אמצעים טכניים וארגוניים הולמים כך שהעיבוד יעמוד בדרישות תקנות אלה. אם המעבד האחר לא יעמוד בחובותיו להגנת מידע, המעבד הראשוני ימשיך לשאת במלוא החבות כלפי בעל השליטה לביצוע חובות המעבד האחר.

5. ניתן להשתמש בציות המעבד לקוד ההתנהלות המאושר, הנזכר בסעיף 40 או למנגנון הרשאה מאושר כמצוין בסעיף 42 כאמצעי להוכחת ערובות מספיקות כנזכר בפסקאות 1 ו-4 לסעיף זה.

6. מבלי לגרוע מחוזה אינדיבידואלי בין בעל השליטה לבין המעבד, ניתן לבסס את החוזה או את הפעולה החוקית האחרת הנזכרת בפסקאות 3 ו-4 לסעיף זה, כולם או מקצתם, על סעיפים חוזיים סטנדרטיים הנזכרים בפסקאות 7 ו-8 לסעיף זה, לרבות כאשר הם חלק מהרשאה שהוענקה לבעל השליטה או למעבד בהתאם לסעיפים 42 ו-43.

7. הוועדה רשאית לקבוע סעיפים חוזיים סטנדרטיים לסוגיות הנזכרות בפסקאות 3 ו-4 לסעיף זה ובהתאם להליך הבחינה הנזכר בסעיף 93(2).

8. רשות פיקוח רשאית לאמץ סעיפי חוזה סטנדרטיים לסוגיות הנזכרות בפסקאות 3 ו-4 לסעיף זה ובהתאם למנגנון העקביות הנזכר בסעיף 63.

9. החוזה או הפעולה החוקית האחרת הנזכרים בפסקאות 3 ו-4 ייערכו בכתב, לרבות בנוסח אלקטרוני.

10. מבלי לגרוע מסעיפים 82, 83 ו-84, אם מעבד מפר תקנות אלה בקביעת מטרות העיבוד ואמצעיו, המעבד ייחשב לבעל שליטה ביחס לאותו עיבוד.


ניווט:

« | »