Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

Jakie rozwiązania są wystarczające w przypadku wykazu podmiotów podpowierzających?

Jako inspektor obsługujący podmioty przetwarzające działające w branży IT zwracam się z pytaniem dotyczącym klauzuli 7.7 pkt. A Decyzji Wykonawczej Komisji (UE) 2021/915 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725. W naszej branży mamy do czynienia z pewną dynamiką zmian składu podmiotów przetwarzających. W opcji 2, klauzuli 7.7, pkt A znajdujemy zapis: "Podmiot przetwarzający ma ogólną zgodę administratora na korzystanie z usług podmiotów podprzetwarzających wpisanych do uzgodnionego wykazu.", a w załączniku nr 4 znajduje się zapis: "Niniejszy załącznik należy wypełnić w razie udzielenia szczegółowej zgody na korzystanie z usług podmiotów podprzetwarzających (klauzula 7.7 lit. a, opcja 1)."

Czy podmiot przetwarzający może zapewnić administratorowi jedynie ogólny dostęp do wykazu podprzetwarzających, który może być okresowo aktualizowany, bez wskazywania każdego nowego podmiotu przetwarzającego?

Czy wybór opcji 2 dla podmiotu przetwarzającego wiąże się z koniecznością posiadania "uzgodnionego wykazu"  podprzetwarzających, ale nie musi to być to forma załącznika nr 4?

Czy przy przyjęciu następujących środków organizacyjnych:

  • umieszczenie w umowie powierzenia zapisu, że aktualny wykaz podmiotów podprzetwarzających podmiotu przetwarzającego znajduje się na jego stronie www,
  • stała aktualizacja tego wykazu,
  • zachowanie archiwalnych wersji strony www w celu zapewnienia rozliczalności,
  • oraz  poinformowanie administratorów na piśmie (wersja elektroniczna - automatyczny e-mail) o wszelkich zamierzonych zmianach w tym wykazie polegających na dodaniu lub zastąpieniu podmiotów podprzetwarzających z wyprzedzeniem co najmniej 7 dni, będą wystarczające dla zachowania zgodności z przepisami? 

Pomocne informacje w rozstrzygnięciu przedstawionych w pytaniu wątpliwości można znaleźć w Wytycznych EROD nr 7/2020 w sprawie pojęcia administratora oraz podmiotu przetwarzającego. Tekst ostatecznej wersji wytycznych w języku angielskim dostępny jest pod adresem: Guidelines 07/2020 on the concepts of controller and processor in the GDPR | European Data Protection Board (europa.eu), w chwili obecnej nie ma oficjalnego tłumaczenia na język polski.

Jak wskazała EROD w ww. wytycznych, umowa powierzenia musi określać:

  • że podmiot przetwarzający nie może zatrudnić innego podmiotu przetwarzającego bez uprzedniej pisemnej zgody administratora oraz
  • czy upoważnienie to będzie miało charakter szczególny czy ogólny.

W przypadku ogólnego upoważnienia podmiot przetwarzający musi poinformować administratora o każdej zmianie podmiotów podprzetwarzających na podstawie pisemnej zgody i umożliwić administratorowi zgłoszenie sprzeciwu.

Zaleca się, aby w umowie określono procedurę w tym zakresie. Należy zauważyć, że obowiązek podmiotu przetwarzającego polegający na informowaniu administratora o każdej zmianie podprzetwarzającego oznacza, że podmiot przetwarzający aktywnie wskazuje lub sygnalizuje takie zmiany administratorowi. Ponadto EROD w powołanych Wytycznych 7/2020 wskazała, że nie wystarczy, aby podmiot przetwarzający jedynie zapewnił administratorowi ogólny dostęp do wykazu podprzetwarzających, który może być okresowo aktualizowany, bez wskazywania każdego nowego podmiotu przetwarzającego. Innymi słowy, podmiot przetwarzający musi aktywnie informować administratora o wszelkich zmianach w wykazie (tj. o każdym nowym planowanym podpowierzeniu, pkt 128 Wytycznych 7/2020).

A zatem sposób, w jaki podmiot przetwarzający powiadomi administratora o dalszym podpowierzeniu powinien zapewniać mu realny wpływ na to, kto będzie „innym podmiotem przetwarzającym” i umożliwić administratorowi wyrażenie sprzeciwu zanim nastąpi podpowierzenie (art. 28 ust. 2 RODO). Procedura w tym zakresie powinna być uzgodniona przez strony umowy powierzenia i być objęta jej postanowieniami.

2021-09-06 Metadane artykułu
Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację: Monika Młotkiewicz 2021-09-06
Wprowadził‚ informację: Edyta Madziar 2021-09-06 14:09:37
Ostatnio modyfikował: Edyta Madziar 2021-09-06 14:23:51