Europejska Rada Ochrony Danych wydała opinię dotyczącą niektórych obowiązków wynikających z polegania na podmiotach przetwarzających i dalszych podmiotach przetwarzania w następstwie wniosku złożonego przez duński organ ochrony danych.
Kilka pytań – kilka odpowiedzi
Zgodnie z art. 64 ust. 2 RODO każdy organ ochrony danych może zwrócić się do Rady o wydanie opinii w sprawach o zasięgu ogólnym lub wywołujących skutki w więcej niż jednym państwie członkowskim. Z możliwości takiej skorzystał organ duński.
Opinia dotyczy sytuacji, w których administratorzy polegają na co najmniej jednym podmiocie przetwarzającym i co najmniej jednym dalszym podmiocie przetwarzającym. Zadano osiem pytań dotyczących niektórych obowiązków administratorów, a także brzmienia umów między administratorem a podmiotem przetwarzającym, wynikających w szczególności z art. 28 RODO.
Kontrola nad łańcuchem powierzenia
W pierwszej kolejności wyjaśniono, że administratorzy powinni mieć zawsze dostęp do informacji dotyczących tożsamości (tj. imienia i nazwiska, adresu, osoby kontaktowej) wszystkich podmiotów przetwarzających, podwykonawców przetwarzania itp., aby mogli jak najlepiej wypełniać swoje obowiązki wynikające z art. 28 RODO. Identyfikacja tych podmiotów jest szczególnie istotna, aby administrator mógł mieć kontrolę nad swoimi czynnościami przetwarzania, za które jest odpowiedzialny i może zostać pociągnięty do odpowiedzialności w przypadku naruszenia RODO. Może to też być szczególnie istotne w kontekście obowiązków informacyjnych (art. 13/14/15 RODO) i wskazania odbiorców danych.
Podmiot przetwarzający czy administrator– kto ponosi odpowiedzialność?
Ponadto spoczywający na administratorze obowiązek sprawdzenia, czy dalsze podmioty przetwarzające zapewniają „wystarczające gwarancje”, powinien mieć zastosowanie niezależnie od ryzyka naruszenia praw i wolności osób, których dane dotyczą, chociaż zakres takiej weryfikacji może się różnić, w zależności od stopnia takiego ryzyka.
W opinii stwierdzono również, że o ile pierwotny podmiot przetwarzający powinien zapewnić, aby proponował podwykonawców przetwarzania z wystarczającymi gwarancjami, ostateczna decyzja i odpowiedzialność za zaangażowanie konkretnego podwykonawcy przetwarzania pozostaje po stronie administratora. Należy wziąć przy tym pod uwagę, że zaangażowanie podmiotów przetwarzających nie powinno obniżać poziomu ochrony praw osób, których dane dotyczą, w porównaniu z sytuacją, w której przetwarzanie jest prowadzone bezpośrednio przez administratora.
Zakres takiej weryfikacji będzie się więc w praktyce różnić w zależności od charakteru środków organizacyjnych i technicznych określonych przez administratora na podstawie, między innymi, ryzyka związanego z przetwarzaniem. Na przykład, gdy działania przetwarzania stwarzają mniejsze ryzyko dla praw i wolności osób, których dane dotyczą „odpowiednie środki” będą mniej rygorystyczne. Dlatego zakres weryfikacji administratora może być w praktyce mniej restrykcyjny. Z drugiej strony, w przypadku wyższych ryzyk wynikających z danego przetwarzania, weryfikacja może być bardziej szczegółowa pod względem sprawdzenia wystarczających gwarancji w całym łańcuchu przetwarzania, biorąc pod uwagę, że „odpowiednie środki” do wdrożenia są bardziej obszerne i solidne, aby sprostać ryzyku dla osób, których dane dotyczą.
W związku z tym, w zależności od poziomu ryzyka związanego z przetwarzaniem, administrator może zwiększyć poziom swojej weryfikacji, weryfikując samodzielnie umowy podpowierzenia i/lub nałożyć na pierwotny podmiot przetwarzający obowiązek dokonywania dodatkowych czynności sprawdzających.
EROD uważa, że zgodnie z RODO administrator nie ma obowiązku systematycznego zwracania się o umowy dotyczące dalszego powierzenia przetwarzania w celu sprawdzenia, czy obowiązki w zakresie ochrony danych zostały przeniesione w dół łańcucha przetwarzania. Administrator powinien ocenić, czy zażądanie kopii takich umów lub dokonanie ich przeglądu jest konieczne, aby móc wykazać zgodność z RODO.
Ostateczna decyzja co do tego, czy zaangażować konkretny dalszy podmiot przetwarzający i związana z tym odpowiedzialność, w tym w odniesieniu do weryfikacji wystarczalności gwarancji bezpieczeństwa należy do administratora.
Transfer danych do krajów trzecich – czyli dokąd i jak to zrobić?
Transfer poza EOG
W przypadku gdy przekazywanie danych osobowych poza Europejski Obszar Gospodarczy odbywa się między dwoma podmiotami przetwarzającymi, podmiot przetwarzający jako przekazujący dane powinien przygotować odpowiednią dokumentację, np. dotyczącą zastosowanej podstawy przekazania, oceny skutków przekazania oraz ewentualnych środków uzupełniających. Ponieważ jednak administrator nadal podlega obowiązkom wynikającym z art. 28 ust. 1 RODO dotyczącym „wystarczających gwarancji”, oprócz obowiązków wynikających z art. 44 w celu zapewnienia, aby przekazywanie danych osobowych nie podważyło poziomu ochrony, powinien on ocenić tę dokumentację i być w stanie przedstawić ją właściwemu organowi ochrony danych.
Źródło:
- https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-222024-certain-obligations-following_pl
- https://www.edpb.europa.eu/news/news/2024/edpb-adopts-opinion-processors-guidelines-legitimate-interest-statement-draft_pl
