Kiedy mamy do czynienia z podprocesorem

Z podpowierzeniem przetwarzania danych osobowych mamy do czynienia, gdy dochodzi do podzlecenia usługi związanej z przetwarzaniem danych osobowych. Innymi słowy, gdy procesor (podmiot przetwarzający) zleca przetwarzanie danych osobowych, które zostały mu powierzone, innemu podmiotowi. Nie ma przy tym znaczenia to, w jakiej formie ten inny podmiot prowadzi działalność gospodarczą, tzn. czy jest to spółka prawa handlowego, czy jednoosobowy przedsiębiorca. Wobec tego nie każdy podmiot współpracujący z procesorem, ale tylko taki, któremu w związku z podzleceniem usługi procesor powierzył przetwarzanie powierzonych mu przez administratora danych, powinien być uznany za podprocesora.

Podpowierzenie przetwarzania danych osobowych nie jest uregulowane wprost w przepisach ustawy o ochronie danych osobowych (uodo). W uodo jest mowa wyłącznie o powierzeniu przetwarzania danych osobowych. Do podpowierzenia danych osobowych należy jednakże stosować przepisy uodo o umowie powierzenia, gdyż dalsze powierzenie danych jest w istocie specyficznym powierzeniem przetwarzania danych. Niezbędnymi elementami umowy o podpowierzenie przetwarzania danych osobowych są – podobnie jak w przypadku umowy powierzenia przetwarzania danych – zachowanie formy pisemnej oraz określenie zakresu i celu przetwarzania danych osobowych. W umowie podpowierzenia powinny znaleźć się zapisy dotyczące obowiązków podprocesora w zakresie zabezpieczenia powierzonych mu danych osobowych. Na podpowierzenie danych procesor powinien uzyskać zgodę administratora danych, nie można jej bowiem domniemywać z samego faktu zawarcia umowy o powierzenie przetwarzania danych osobowych.