Stanovisko 22/2024 k určitým povinnostiam vyplývajúcim zo spoliehania sa na sprostredkovateľov a sub-sprostredkovateľov

 

Na plenárnom zasadnutí Európskeho výboru pre ochranu údajov (EDPB), ktoré sa konalo 7.-8.10.2024, bolo prijaté stanovisko k určitým povinnostiam vyplývajúcim zo spoliehania sa na sprostredkovateľov a sub-sprostredkovateľov na základe žiadosti dánskeho dozorného orgánu podľa čl. 64(2) GDPR.

Stanovisko sa týka situácií, keď sa prevádzkovatelia spoliehajú na jedného alebo viacerých sprostredkovateľov a sub-sprostredkovateľov. Konkrétne sa zaoberá ôsmimi otázkami týkajúcimi sa výkladu určitých povinností prevádzkovateľov, ktoré vyplývajú najmä z čl. 28 GDPR.

V stanovisku sa vysvetľuje, že prevádzkovatelia by mali mať vždy k dispozícii informácie o totožnosti (t.j. meno, adresa, kontaktná osoba) všetkých sprostredkovateľov a sub-sprostredkovateľov v spracovateľskom reťazci, aby mohli čo najlepšie plniť svoje povinnosti podľa čl. 28 GDPR. Okrem toho, povinnosť prevádzkovateľa overiť, či (sub-)sprostredkovatelia poskytujú "dostatočné záruky", by mala platiť bez ohľadu na riziko pre práva a slobody dotknutých osôb, hoci rozsah takéhoto overovania sa môže líšiť, najmä na základe rizík spojených so spracúvaním.

Stanovisko tiež uvádza, že hoci pôvodný sprostredkovateľ by mal zabezpečiť, že navrhne sub-sprostredkovateľov s dostatočnými zárukami, konečné rozhodnutie a zodpovednosť za zapojenie konkrétneho sub-sprostredkovateľa zostáva na prevádzkovateľovi. Výbor sa domnieva, že podľa GDPR nemá prevádzkovateľ povinnosť systematicky žiadať o sub-sprostredkovateľské zmluvy aby skontroloval, či boli povinnosti ochrany údajov postúpené po spracovateľskom reťazci . Prevádzkovateľ by mal posúdiť, či je potrebné požiadať o kópiu týchto zmlúv alebo ich preskúmať, aby mohol preukázať súlad s GDPR.

Okrem toho, keď dochádza k prenosu osobných údajov mimo EHP medzi dvoma (sub-)sprostredkovateľmi, sprostredkovateľ ako exportér údajov by mal pripraviť relevantnú dokumentáciu, napríklad súvisiacu s právnym základom prenosu, posúdením vplyvu prenosu a prípadnými doplnkovými opatreniami. Avšak, keďže prevádzkovateľ je stále viazaný povinnosťami vyplývajúcimi z čl. 28(1) GDPR o "dostatočných zárukách", okrem povinností podľa čl. 44 na zabezpečenie toho, aby prenosy osobných údajov neznižovali úroveň ochrany, mal by túto dokumentáciu preskúmať a byť schopný ju predložiť príslušnému úradu na ochranu osobných údajov.

Stanovisko bolo zverejnené na stránke EDPB v anglickom jazyku tu: Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s) | European Data Protection Board (europa.eu)