W poprzednich częściach omówiliśmy obowiązki administratora, procesora oraz treść umowy powierzenia przetwarzania danych. Kolejnym istotnym elementem art. 28 RODO jest kwestia podpowierzenia danych, czyli sytuacji, w której procesor angażuje do współpracy kolejny podmiot – tzw. subprocesora.
To rozwiązanie powszechne, zwłaszcza w usługach IT i chmurowych, ale też obarczone dużym ryzykiem.
1. Kim jest subprocesor?
Subprocesor to podmiot trzeci, który przetwarza dane osobowe w imieniu procesora – a więc pośrednio także w imieniu administratora.
W praktyce:
- firma IT (procesor) zleca część usług hostingowych zewnętrznemu dostawcy,
- call center (procesor) korzysta z podwykonawcy do obsługi części infolinii,
- dostawca SaaS angażuje firmę utrzymującą infrastrukturę serwerową.
2. Zgoda administratora na podpowierzenie
Art. 28 ust. 2 RODO jasno mówi: procesor nie może korzystać z usług subprocesora bez wcześniejszej zgody administratora.
Może to być:
- zgoda ogólna (np. administrator wyraża zgodę na korzystanie z określonych kategorii podwykonawców),
- zgoda szczegółowa (na konkretnego subprocesora).
Administrator musi zawsze wiedzieć, kto ma dostęp do jego danych.
3. Warunki korzystania z subprocesorów
Jeśli procesor angażuje subprocesora, musi zapewnić, że nałoży na niego takie same obowiązki, jakie sam ma wobec administratora.
To oznacza, że:
- subprocesor musi podpisać umowę powierzenia z procesorem,
- zakres jego odpowiedzialności nie może być mniejszy niż procesora,
- administrator powinien mieć możliwość kontroli również subprocesorów (np. poprzez audyty lub raporty).
4. Ryzyka związane z podpowierzeniem
❌ brak wiedzy administratora o tym, kto faktycznie przetwarza jego dane,
❌ przenoszenie danych do krajów spoza EOG bez odpowiednich zabezpieczeń,
❌ utrata kontroli nad łańcuchem dostaw,
❌ trudności w audytowaniu i egzekwowaniu odpowiedzialności.
5. Dobre praktyki
✅ Administrator powinien wymagać listy subprocesorów i aktualizacji przy każdej zmianie,
✅ w umowie powierzenia warto wprowadzić zapis o prawie sprzeciwu wobec nowych subprocesorów,
✅ procesor powinien stosować procedury due diligence wobec podwykonawców,
✅ obie strony powinny dokumentować zgody i powiadomienia.
Podsumowanie
Podpowierzenie danych to naturalny element współczesnych usług, ale wymaga szczególnej uwagi.
RODO jasno wskazuje, że administrator musi mieć pełną kontrolę nad tym, kto i na jakich zasadach przetwarza jego dane. Procesor, angażując subprocesora, nie zwalnia się z odpowiedzialności – przeciwnie, odpowiada za jego działania tak, jak za własne.
👉 W kolejnym wpisie z serii „Art. 28 RODO w praktyce” podsumujemy najczęstsze błędy przy stosowaniu art. 28 RODO i podpowiemy, jak ich unikać.
Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!