This is an HTML version of an attachment to the Freedom of Information request '[C]onfidential waste management company will not be renewed'.

GDPR 
The Supplier, in the capacity of third party Data Processor, shall comply with the following GDPR 
requirements when processing personal and sensitive data supplied by PHSO: 
The Suplier shall: 
•only act on the written instructions of the Customer in accordance with GDPR article 29; 
•ensure that people processing the data are subject to a duty of confidence; 
•take appropriate measures to ensure the security of processing in accordance with GDPR article 32; 
•keep records on processing activities in accordance with GDPR article 30(2); 
•assist the Customer and cooperate with supervisory authorities in accordance with GDPR article 31; 
•only engage sub-processors with the prior consent of the Customer and under a written contract  in 
accordance with GDPR article 28.2; 
•assist the Customer in providing subject access and allowing data subjects to exercise their rights 
under the GDPR;  
•assist the Customer in meeting its GDPR obligations in relation to the security of data processing, 
the notification of personal data breaches without undue delay in accordance with GDPR  article 33 
and data protection impact assessments in accordance with GDPR article 35; 
•delete or return all personal data to the Customer  as requested at the end of the contract;  
•submit to audits and inspections, provide the PHSO with whatever information it needs to ensure 
that they are both meeting their GDPR article 28 obligations, and tell the Customer immediately if it 
is asked to do something infringing the GDPR or other data protection law of the EU or a member 
state. 
The Suplier, in the capacity of third party Data Processor must also be aware;  
•they may be subject to investigative and corrective powers of supervisory authorities (such as the 
ICO) under Article 58 of the GDPR;  
•if they fail to meet its obligations, they may be subject to an administrative fine under Article 83 of 
the GDPR;  
•if they fail to meet its GDPR obligations they may be subject to a penalty under Article 84 of the 
GDPR; and  
•if they fail to meet its GDPR obligations they may have to pay compensation under Article 82 of the 
GDPR.