Czy umowa podpowierzenia powinna wskazywać administratora? Powierzenie a tym samym podpowierzenie odbywa się w imieniu (na rzecz) administratora, który musi wyrazić zgodę (szczegółową lub ogólną) na każdego podprocesora w głąb łańcucha powierzeń, chociaż umowę zawiera procesor, który działa w swoim imieniu nie jako pełnomocnik.
- Pierwszy procesor w łańcuchu powierzeń
- Zgłoszenie do procesora
- Zgoda ogólna czy szczegółowa
- Rejestr kategorii podprocesora
Pierwszy procesor w łańcuchu powierzeń
Rola pierwszego procesora jest szczególna powinien on bowiem prowadzić wykaz wszystkich podprocesorów w głąb i na ten wykaz uzyskać zgodę od administratora (tak, DECYZJA WYKONAWCZA KOMISJI (UE) 2021/915 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi, motyw 9)
Każdy kolejny procesor powinien podpisywać umowę podpowierzenia, która nie musi zawierać oznaczenia administratora (co wynika z art. 28 ust. 4 ponieważ um podpowierzenia ma zawierać te same obowiązki co umowa powierzenia, a nie te same elementy). Jednak w jego interesie jest aby wskazano administratora jak również wszystkich poprzedzających go podprocesorów i procesora, ponieważ odpowiedzialność cywilna podmiotów zaangażowanych w przetwarzanie jest solidarna. Dane ewentualnych współdłużników mogą więc być mu potrzebne.
Z drugiej strony wskazanie administratora byłoby kłopotliwe ponieważ podprocesor z jednej umowy z procesorem mógłby mieć wiele tysięcy ado (klientów procesora) z którymi nie łączą go żadne stosunki umowne (podstawowe) w dodatku jest to wykaz zmienny, bo procesor stale kończy i zaczyna współpracę z różnymi klientami. Z tych względów prawodawca prawdopodobnie nie zdecydował się wprowadzić takiego wymogu. Jeśli podprocesor nie negocjuje indywidualnie umów (pod)powierzenia, tylko dysponuje wzorcem umowy stanowiącym składnik (załącznik) regulaminu, to aby pozyskać wiedzę o wszystkich administratorach, musiałby pozyskiwać dodatkowo ich listę od procesora.
Zgłoszenie do procesora
Umowa podpowierzenia „kopiuje” obowiązki procesora wobec administratora wynikające z art. 28 rodo, ale stroną uprawnioną z umowy podpowierzenia jest procesor, stąd podprocesor powinien zgłosić naruszenie odo do procesora, a ten dopiero do administratora. Rodo statuuje odpowiedzialność cywilną wobec administratora procesora a nie podprocesorów (art. 28 ust. 4 zd. 2 rodo) – nie ma tu mowy o odpowiedzialności administracyjnej bowiem taka nie może zaistnieć wobec innego podmiotu prywatnego, ale z tego stwierdzenia należy wnosić również o odpowiedzialności wobec organu nadzorczego, za wypełnianie obowiązków przez podprocesora (sprawdzenie jego zgodności z rodo) odpowiada procesor, a nie administrator. Oczywiście zgłoszenie wprost do administratora nie będzie naruszeniem rodo, bo tam właśnie informacja powinna się znaleźć ostatecznie, jednak jeśli administratorów jest bardzo wielu, to zwykle procesor będzie wiedział kto jest administratorem danych, których dotyczy naruszenie.
Zgoda ogólna czy szczegółowa
Co do różnicy między zgodą ogólną a szczegółową. Wprowadzenie jednej z nich w umowie determinuje mechanizm dodawania lub zmiany podprocesora. W przypadku ustanowienia zgody szczegółowej, dodanie lub zmiana wymaga uzyskania kolejnej zgody. W przypadku ustanowienia zgody ogólnej procesor jedynie informuje ado o innym podprocesorze i jeśli ado nie wyrazi sprzeciwu, podprocesor legalnie wchodzi do łańcucha powierzeń. W praktyce najczęściej procesor tworzy listę podprocesorów, i uzyskuje na nich zgodę ogólną, żeby następnie w ułatwiony sposób tę listę zmieniać. Czyli zgoda ogólna również wymaga kolejnej zgody, ale wyrażonej w sposób bierny przez brak sprzeciwu (ado nie musi odpowiadać), przy zgodzie szczegółowej kolejna zgoda musi być aktywna (musi odpowiadać). Nie jest natomiast tak, na co mogłaby wskazywać nazwa „ogólna”, że ado może wyrazić zgodę na jakąś kategorię podprocesorów np. firmy IT, zarówno zgoda ogólna jak i szczegółowa wymagają wiedzy ado co do konkretnego podmiotu, na który się zgadza.
Rejestr kategorii podprocesora
Czy podprocesor powinien w rejestrze kategorii zamieszczać swoich klientów (procesorów) czy ich klientów (administratorów)? Rejestr kategorii zgodnie z art. 30 ust. 2 prowadzi podmiot przetwarzający (procesor) a nie dalszy podmiot przetwarzający (podprocesor). W związku z tym można powiedzieć, że rkcpd jest prowadzony u pierwszego procesora, a podprocesorzy powinni prowadzić rejestry pomocnicze, w których wskazany będzie poprzedzający procesor (który dla nich jest stroną umowy powierzenia), co łącznie daje pełny obraz administratora i procesorów zaangażowanych w przetwarzanie.
Administrator musi mieć wiedzę o wszystkich podprocesorach, ponieważ za brak świadomości ponosi odpowiedzialność administracyjną, co jest skorelowane z obowiązkiem wyrażenia zgody na podpowierzenie, choć obowiązek (bezpośrednio nałożony przez rodo) sprawdzenia podprocesora obciąża procesora – wszystko to zwiększa bezpieczeństwo podmiotów danych. Odpowiedzialność administracyjna (art. 83) ado za podprocesora nie istnieje, ponieważ obowiązek ścisłej kontroli (audytu) dotyczy podmiotu stanowiącego jedno ogniwo w głąb łańcucha powierzeń. Dodatkowo administratora obciąża obowiązek informacyjny (13, 14 i 15), w tym informowanie o odbiorcach, czyli również podprocesorach. Podprocesor nie musi znać tysiąca klientów (ado) swojego zleceniodawcy (procesora), chyba że we własnym interesie, dlatego rodo tego nie wymaga, bo jest nastawione na ochronę interesu osób, których dane dotyczą, nie zaś przedsiębiorców. Przedsiębiorca (procesor) zwykle ma wielu klientów (administratorów) a niewielu podwykonawców (podprocesorów), stąd wymóg prowadzenia listy podwykonawców (podprocesorów) jest możliwy do spełnienia.