Czy w rejestrze czynności przetwarzania danych osobowych należy rejestrować tylko procesorów z państw trzecich, czy również podprocesorów?
ODPOWIEDŹ
Przepis art. 30 ust. 1 lit. e RODO wskazuje na obowiązek zamieszczenia w rejestrze czynności przetwarzania informacji dotyczących przekazywania danych do państwa trzeciego.
W literaturze przyjmuje się, że "W przypadku gdy administrator danych dokonuje transferu danych do państwa trzeciego lub organizacji międzynarodowej, ma obowiązek uwzględnienia w rejestrze czynności przetwarzania informacji o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w szczególności poprzez wskazanie nazwy państwa lub organizacji.
W literaturze postuluje się, pomimo że obowiązek podania tych informacji nie wynika wprost z komentowanego przepisu, aby w rejestrze uwzględniać również podstawy prawne, co ma swoje źródło w zasadności prowadzenia rejestru dla wykazania podstawy prawnej przetwarzania (W. Kotschy, w: The EU General Data Protection Regulation, s. 620)." - Litwiński, komentarz do art. 30 RODO z 2021 r.
W ramach rejestru czynności przetwarzania, poza wskazaniem państwa, do którego następuje przekazanie danych osobowych, administrator powinien jeszcze wskazać podstawę prawną; w tej sytuacji będzie to umowa powierzenia czy podpowierzenia. Należy zatem wskazać zarówno procesora, jak i podprocesora.