Чл. 61. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администратор на лични данни може да възложи обработване на лични данни от негово име само на обработващи лични данни, които предоставят достатъчни гаранции, че ще прилагат подходящи технически и организационни мерки по такъв начин, че обработването да отговаря на изискванията на тази глава и да се гарантира защитата на правата на субекта на данни.

(2) Обработващият лични данни не може да включва в обработването друг обработващ лични данни без предварителното конкретно или общо писмено разрешение на администратора по ал. 1. В случай на общо писмено разрешение обработващият лични данни информира администратора за всякакви планирани промени за включване или замяна на други обработващи лични данни, като администраторът може да възрази срещу тези промени.

(3) Обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт съгласно правото на Европейския съюз или законодателството на Република България, който обвързва обработващия лични данни с администратора по ал. 1 и регламентира предмета и срока на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни, задълженията и правата на администратора. Посоченият договор или друг правен акт предвижда по-специално, че обработващият лични данни:

1. действа единствено по указания на администратора;

2. гарантира, че лицата, оправомощени да обработват личните данни, са поели задължение за поверителност или са задължени по закон да спазват поверителност;

3. подпомага администратора с всички подходящи средства, за да се гарантира спазването на правата на субекта на данни;

4. по избор на администратора изтрива или връща на администратора всички лични данни след приключване на предоставянето на услуги по обработване на данни и изтрива съществуващите копия, освен ако правото на Европейския съюз или законодателството на Република България не изисква съхранение на личните данни;

5. предоставя на администратора цялата информация, необходима за доказване на спазването на този член;

6. спазва условията по т. 1 - 5 и по ал. 2 за включване на друг обработващ лични данни.

(4) Договорът или другият правен акт, посочен в ал. 3, се изготвя в писмена, включително в електронна форма.

(5) Когато обработващ лични данни определи в нарушение на правилата на тази глава целите и средствата на обработването, той се смята за администратор на лични данни по отношение на това обработване.

(6) Обработващият лични данни и всяко лице, действащо под негово ръководство или под ръководството на администратора по ал. 1, което има достъп до личните данни, обработва тези данни само по указание на администратора, освен когато условията и редът за обработването са предвидени в правото на Европейския съюз или в законодателството на Република България.