EROD przyjęła opinię w sprawie podmiotów przetwarzających, wytyczne w sprawie uzasadnionego interesu, oświadczenie w sprawie projektu rozporządzenia w sprawie egzekwowania RODO oraz program prac na lata 2024–2025
Administratorzy powinni mieć zawsze łatwo dostępne informacje na temat tożsamości (tj. imię i nazwisko, adres, osoba kontaktowa) wszystkich podmiotów przetwarzających, podprzetwarzających itp. tak, aby mogli jak najlepiej wypełniać swoje obowiązki wynikające z art. 28 RODO.
Obowiązek administratora sprawdzenia, czy podmioty (pod)przetwarzające przedstawiają „wystarczające gwarancje”, powinien mieć zastosowanie niezależnie od ryzyka dla praw i wolności osób, których dane dotyczą, chociaż zakres takiej weryfikacji może się różnić, w szczególności w zależności od ryzyka związanego z przetwarzaniem.
Administrator nie ma obowiązku systematycznego zwracania się o umowy powierzenia przetwarzania danych w celu sprawdzenia, czy obowiązki w zakresie ochrony danych zostały przekazane w łańcuchu przetwarzania. Administrator powinien ocenić, czy zwrócenie się o kopię takich umów lub ich przegląd jest niezbędny, aby móc wykazać zgodność z RODO.
w przypadku przekazywania danych osobowych poza Europejski Obszar Gospodarczy między dwoma podmiotami podprzetwarzającymi, podmiot przetwarzający jako przekazujący dane powinien przygotować odpowiednią dokumentację, np. dotyczącą zastosowanej podstawy przekazania, oceny skutków przekazania i ewentualnych środków uzupełniających. Dodatkowo administrator w celu zapewnienia, że poziom ochrony nie zostanie osłabiony przez przekazywanie danych osobowych, powinien on ocenić tę dokumentację i być w stanie przedstawić ją właściwemu organowi ochrony danych.
Aby powołać się na prawnie uzasadniony interes, administrator musi spełnić łącznie trzy warunki:
realizacja prawnie uzasadnionego interesu przez administratora lub przez stronę trzecią
niezbędność przetwarzania danych osobowych do celów realizacji prawnie uzasadnionego interesu
interesy lub podstawowe wolności i prawa osób fizycznych nie mają pierwszeństwa przed uzasadnionym interesem lub uzasadnionymi interesami administratora lub osoby trzeciej (równoważenie).
Wytyczne będą przedmiotem konsultacji publicznych do 20 listopada 2024 r.