Vztahy mezi správcem a zpracovatelem stanoví článek 28 nařízení GDPR.

Zpracování osobních údajů správce zpracovatelem se řídí smlouvou nebo jiným právním aktem, které zavazují zpracovatele vůči správci a v nichž je stanoven:

  1. předmět zpracování,
  2. doba trvání zpracování,
  3. povaha a účel zpracování,
  4. typ osobních údajů,
  5. kategorie subjektů údajů,
  6. povinnosti a práva správce,
  7. povinnosti a práva zpracovatele.

Tato smlouva nebo jiný právní akt stanoví, že zpracovatel:

  1. zpracovává osobní údaje pouze na základě doložených pokynů správce, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají právo Unie nebo členského státu, které se na správce vztahuje; v takovém případě zpracovatel správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;
  2. zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
  3. přijme všechna opatření požadovaná podle článku 32 tj.
  • S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:
    • pseudonymizace a šifrování osobních údajů;
    • schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;
    • schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;
    • procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

4. Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.
5. Jedním z prvků, jimiž lze doložit soulad s požadavky stanovenými v odstavci 1 tohoto článku, je dodržování schváleného kodexu chování nebo uplatňování schváleného mechanismu pro vydávání osvědčení.
6. která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Unie nebo členského státu.
7. dodržuje podmínky pro zapojení dalšího zpracovatele,
8. zohledňuje povahu zpracování, je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů, je správci nápomocen při zajišťování souladu s povinnostmi při zabezpečení osobních údajů a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici,
9. v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů,
10. poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje,
11. zpracovatel informuje neprodleně správce v případě, že podle jeho názoru určitý pokyn porušuje nařízení GDPR nebo jiné předpisy Unie nebo členského státu týkající se ochrany údajů,
12. pokud zpracovatel zapojí dalšího zpracovatele, aby jménem správce provedl určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy nebo jiného právního aktu podle práva Unie nebo členského státu stejné povinnosti na ochranu údajů, jaké jsou uvedeny ve smlouvě nebo jiném právním aktu mezi správcem a zpracovatelem a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky tohoto nařízení. Neplní-li uvedený další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá správci za plnění povinností dotčeného dalšího zpracovatele i nadále plně prvotní zpracovatel,
13. jedním z prvků, jimiž lze doložit dostatečné záruky je skutečnost, že zpracovatel dodržuje schválený kodex chování nebo schválený mechanismus pro vydávání osvědčení,
14. aniž jsou dotčeny individuální smlouvy mezi správcem a zpracovatelem, mohou být smlouvy nebo jiné právní akty založeny zcela nebo částečně na standardních smluvních doložkách, mimo jiné i v případě, že jsou součástí osvědčení uděleného správci či zpracovateli,
15. pro záležitosti uvedené v odstavcích 3 a 4 tohoto článku může standardní smluvní doložky stanovit Komise přezkumným postupem,
16. pro záležitosti uvedené v odstavcích 3 a 4 tohoto článku může standardní smluvní doložky přijmout dozorový úřad v souladu s mechanismem jednotnosti uvedeným v článku 63,
17. smlouva nebo jiný právní akt podle musí být vyhotoveny písemně, v to počítaje i elektronickou formu,
18.pokud zpracovatel poruší toto nařízení tím, že určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za správce.