Член 87

Обработващ лични данни

1.Когато обработването се извършва от името на даден администратор, администраторът използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на настоящия регламент и на правния акт за създаване на администратора, и да гарантира защитата на правата на субектите на данни.

2.Обработващият лични данни не включва друг обработващ лични данни без предварителното конкретно или общо писмено разрешение от администратора. В случай на общо писмено разрешение обработващият лични данни информира администратора за всякакви планирани промени за включване или замяна на други обработващи лични данни, като по този начин дава възможност на администратора да се противопостави на тези промени.

3.Обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт съгласно правото на Съюза или правото на държава членка, който е задължителен за обработващия лични данни в отношенията му с администратора и който урежда предмета и срока на обработването, естеството и целта на обработването, вида лични данни от оперативен характер и категориите субекти на данни, както и задълженията и правата на администратора. В този договор или друг правен акт се предвижда по-специално, че обработващият лични данни:

а) действа единствено по указания на администратора;

б) гарантира, че лицата, оправомощени да обработват личните данни от оперативен характер, са поели ангажимент за поверителност или са задължени по закон да спазват поверителност;

в) подпомага администратора с всички подходящи средства, за да се гарантира спазването на разпоредбите относно правата на субекта на данни;

г) по избор на администратора заличава или връща на администратора всички лични данни от оперативен характер след приключване на услугите по обработване и заличава съществуващите копия, освен ако правото на Съюза или правото на държава членка изисква съхранението на тези лични данни от оперативен характер;

д) предоставя на администратора цялата информация, необходима за доказване на изпълнението на задълженията, определени в настоящия член;

е) спазва условията по параграф 2 и настоящия параграф за включване на друг обработващ лични данни.

4.Договорът или другият правен акт, посочен в параграф 3, се изготвя в писмена форма, включително в електронна форма.

5.Ако обработващ лични данни наруши настоящия регламент или правния акт за създаване на администратора, като определи целите и средствата на обработването, обработващият личните данни се счита за администратор по отношение на това обработване.