W wielu przypadkach ma miejsce sytuacja, w której występuje łańcuch przetwarzania danych osobowych. W uproszczeniu można określić taką sytuację jako taką, w której oprócz administratora i przetwarzającego, występują także dalsze podmioty przetwarzające. Te dalsze podmioty są angażowane w przetwarzanie przez przetwarzającego. Taki stan najczęściej występuje w przypadku podwykonawstwa w danym projekcie. Z taką sytuacją można również spotkać się gdy podwykonawca jest dużą organizacją, która posiada wiele spółek powiązanych w różnych państwach świata.
Kiedy można zaangażować podwykonawcę w przetwarzanie danych?
Zgodnie z przepisami RODO podmiot przetwarzający może zaangażować kolejny podmiot przetwarzający, jeżeli uzyska na to zgodę administratora. Możliwe jest również, że administrator wyrazi zgodę ogólną– wtedy przetwarzający nie musi uzyskiwać zgody, lecz informuje administratora o wszelkich zmianach co do dalszych podmiotów przetwarzających. Dzięki temu administrator ma możliwość wyrażenia sprzeciwu wobec takich zmian. Co więcej, zgodnie z wytycznymi EDPB, w momencie zawierania umowy między zamawiającym a wykonawcą należy przygotować wykaz zatwierdzonych podwykonawców przetwarzania. Wykaz ten należy następnie aktualizować w przypadku jego zmiany – zarówno w modelu zgody ogólnej jak i szczegółowej, o których mowa powyżej.
W związku tym powstaje pytanie, czy jeżeli przetwarzający angażuje jednego podwykonawcę, który następnie angażuje kolejnych dwóch podwykonawców, to czy ten pierwszy przetwarzający ma obowiązek zidentyfikować tylko pierwszą linię dalszych przetwarzających? Czy też wszystkie podmioty, które są zaangażowane w przetwarzanie?
Co na to EDPB?
Zgodnie z wytycznymi EDPB1, choć jak wskazuje sam EDPB – nie jest to wyraźnie określone w przepisach – administratorzy powinni posiadać informacje na temat tożsamości wszystkich podmiotów przetwarzających i dalszych przetwarzających w łańcuchu przetwarzania. Z drugiej strony należy zwrócić uwagę, że w wielu przypadkach , np. przy zaangażowaniu podwykonawców w postaci organizacji, które jednostronnie przyznają sobie prawo do określania ich podwykonawców, spełnienie w pełnym zakresie wymogów EDPB jest wyzwaniem. Dodatkowo w takim przypadku mogą wystąpić trudności z realizacją obowiązku „nałożenia na dalszego przetwarzającego „tych samych obowiązki ochrony danych jak w umowie między administratorem a podmiotem przetwarzającym”, jeżeli dalszym przetwarzającym jest organizacja mająca tak istotną siłę negocjacyjną, że to ona narzuca treść umowy.
Podsumowanie
Wytyczne EDPB zazwyczaj intepretują przepisy dotyczące prywatności oraz danych osobowych w sposób możliwie najpełniej chroniący dane osobowe. Można mieć wrażenie, że często ta ochrona przyznawana przez EDPB sięga istotnie dalej, niż wynika to z przepisów. W tym przypadku ochronę przyznawaną przez interpelację EDPB (obowiązek wskazania wszystkich podmiotów w łańcuchu przetwarzania) należy ocenić za spójną ze wskazaniami TS UE co do dokumentowania przez administratora tożsamości odbiorców / kategorii odbiorców danych (https://www.prawo-it.pl/2023/02/22/rodo-dane-osobowe-dane-odbiorcow/).
W przypadku pytań lub wątpliwości – zachęcam do kontaktu: piotr.mijal@prawo-it.pl
