Información para encargados del tratamiento de datos personales

Obligaciones del encargado del tratamiento de datos:

tratar datos personales únicamente de conformidad con las instrucciones documentadas del responsable del tratamiento, incluso en relación con la transferencia de datos personales a un tercer país o a una organización internacional, a menos que así lo exija el Derecho de la Unión o de los Estados miembros al que esté sujeto el encargado, en cuyo caso el encargado notificará al responsable dicho requisito legal antes del tratamiento, excepto cuando dicha notificación esté prohibida por dicho Derecho por razones imperiosas de interés público;
garantizar que las personas autorizadas a tratar los datos personales estén sujetas a una obligación de confidencialidad o a una obligación legal de confidencialidad apropiada;
aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad acorde con los riesgos, teniendo en cuenta el estado de la técnica, el coste de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas;
informar por escrito al responsable del tratamiento sobre cualquier cambio previsto en el uso o la sustitución de otros encargados del tratamiento, dando así al responsable la oportunidad de oponerse a dichos cambios;
No recurrir a otro encargado del tratamiento sin la autorización previa, específica o general, por escrito del responsable. Cuando un encargado del tratamiento contrate a otro encargado para que realice actividades de tratamiento específicas en nombre del responsable, el contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros impondrá a dicho encargado las mismas obligaciones de protección de datos que las establecidas en el contrato u otro acto jurídico entre el responsable y el encargado, en particular la obligación de garantizar de forma suficiente la aplicación de medidas técnicas y organizativas apropiadas y suficientes. Si dicho encargado incumple las obligaciones de protección de datos, el encargado original seguirá siendo plenamente responsable ante el responsable del cumplimiento de las obligaciones de dicho encargado.
ayudar al responsable del tratamiento, teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para cumplir con la obligación del responsable de responder a las solicitudes de ejercicio de los derechos del interesado;
ayudar al responsable del tratamiento a garantizar el cumplimiento de las obligaciones de seguridad del tratamiento, de notificación de una violación de datos personales a la autoridad de control y de notificación de una violación de datos personales al interesado, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;
a elección del responsable del tratamiento, borrar o devolver al responsable del tratamiento todos los datos personales y borrar las copias existentes de los datos personales una vez finalizada la prestación de los servicios relacionados con el tratamiento, a menos que el Derecho de la Unión o de los Estados miembros exija la conservación de los datos personales;
proporcionar al responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones impuestas al encargado del tratamiento y para permitir y ayudar al responsable del tratamiento o a cualquier otro auditor autorizado por éste a llevar a cabo auditorías, incluidas inspecciones.