Umowa „podpowierzenia” przetwarzania danych musi wskazywać administratora

To, co powinna zawierać każda umowa powierzenia danych osobowych (a więc także każda umowa dalszego powierzenia czy „podpowierzenia”) określa art. 28 RODO. Pzetwarzanie danych osobowych w ramach umowy powierzenia powinno odbywać się w imieniu administratora, z czego wynika konieczność dokładnego określenia tego administratora w umowie powierzenia. Nie wystarczy więc wskazanie w umowie dalszego powierzenia przetwarzania wyłącznie danych przedostatniego ogniwa w łańcuchu przekazywania danych. „Podprocesor” powinien zatem znać nie tylko dane procesora, ale także samego administratora danych osobowych.

Co więcej każda umowa dalszego powierzenia powinna zawierać dane nie tylko administratora danych osobowych ale i wszystkich „podprocesorów”. Nie wynika to wprawdzie z przepisów RODO, ale powinien o to zadbać sam „podprocesor”. Zgodnie bowiem z art. 82 ust. 4 RODO, jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i zgodnie z ust. 2 i 3 odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.