Εκτελών την επεξεργασία

24.-(1) Σε περίπτωση που η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνον εκτελούντες την επεξεργασία που παρέχουν επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληρεί τις απαιτήσεις του παρόντος Νόμου και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.

(2) Ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή έγκριση του υπεύθυνου επεξεργασίας:

Νοείται ότι, στην περίπτωση γενικής γραπτής έγκρισης, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν στην προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές.

(3)(α) Η διενέργεια της επεξεργασίας από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομικά δεσμευτική πράξη, υπαγόμενη στο ενωσιακό δίκαιο ή στην οικεία νομοθεσία, η οποία συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας και στην οποία καθορίζονται το αντικείμενο και η διάρκεια της επεξεργασίας, η φύση και ο σκοπός της επεξεργασίας, ο τύπος των δεδομένων προσωπικού χαρακτήρα και οι κατηγορίες των υποκειμένων των δεδομένων και οι υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας.

(β) Η αναφερόμενη στην παράγραφο (α) σύμβαση ή άλλη νομικά δεσμευτική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία-

(i) Ενεργεί μόνον κατ' εντολή του υπευθύνου επεξεργασίας,

(ii) εξασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό δέουσα νόμιμη υποχρέωση τήρησης εμπιστευτικότητας,

(iii) επικουρεί τον υπεύθυνο επεξεργασίας με οποιοδήποτε κατάλληλο μέσο για τη διασφάλιση της συμμόρφωσης με τις διατάξεις σχετικά με τα δικαιώματα του υποκειμένου των δεδομένων,

(iv) κατ' επιλογή του υπεύθυνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας, μετά το πέρας της παροχής υπηρεσιών επεξεργασίας δεδομένων προσωπικού χαρακτήρα και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το ενωσιακό δίκαιο ή η οικεία νομοθεσία ή το δίκαιο άλλου κράτους μέλους απαιτούν την αποθήκευση των δεδομένων προσωπικού χαρακτήρα,

(v) θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς το παρόν άρθρο,

(vi) τηρεί τους όρους που αναφέρονται στα εδάφια (2) και (3) για την πρόσληψη άλλου εκτελούντος την επεξεργασία.

(4) Η προβλεπόμενη στο εδάφιο (3) σύμβαση ή η άλλη νομική πράξη είναι γραπτή:

Νοείται ότι, για τους σκοπούς του παρόντος εδαφίου ο όρος «γραπτή» περιλαμβάνει και ηλεκτρονική μορφή.

(5) Σε περίπτωση που ο εκτελών την επεξεργασία καθορίζει, κατά παράβαση των διατάξεων του παρόντος Νόμου, τους σκοπούς και τον τρόπο επεξεργασίας, ο εν λόγω εκτελών την επεξεργασία καθίσταται υπεύθυνος επεξεργασίας σε σχέση με την συγκεκριμένη επεξεργασία.