Czy administrator danych może dawać podprocesorowi bezpośrednie wytyczne, jak przetwarzać dane?

ODPOWIEDŹ

Art. 28 ust. 4 RODO wskazuje, że jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy (...) – te  same obowiązki ochrony danych,  jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3 (...).

Art. 28 ust. 3 lit. a RODO wskazuje na podmiot przetwarzający przetwarza dane wyłącznie na udokumentowane polecenie administratora.  Art. 28 ust. 3 lit. h RODO wskazuje zaś, że procesor udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzenie audytów w tym inspekcji.

Ponieważ instrukcje, na podstawie których procesor przetwarza dane należące do administratora,  muszą być udokumentowane, zaleca się, aby procedura oraz wzór do udzielania dalszych instrukcji stanowiły załącznik do umowy powierzenia (lub innego instrumentu prawnego). Takie polecenie może być wydawane w dowolnej formie pisemnej (np. e-mailowej), przy czym zaleca się ewidencjonowanie takich poleceń dla celów rozliczalności.

Istnieje zatem możliwość, aby to administrator danych również (poza procesorem) wydawał instrukcje podprocesorowi, albowiem  to w dalszym ciągu administrator danych jest podmiotem, który odpowiada za przetwarzane dane osobowe. Dobrą praktyką byłoby również, aby podczas wydawania instrukcji podprocesorowi w formie np. mailowej dodawać do wiadomości procesora. Powyższe pozwoli bowiem na zachowanie spójności w przetwarzaniu danych pomiędzy podmiotami.