Le European Data Protection Board (EDPB) s'est prononcé sur l'interprétation de l'Article 28 du RGPB, concernant les relations entre reponsables de traitement et sous-traitants.
Cet avis vise à harmoniser les pratiques entre les autorités de protection des données nationales.
Il aborde notamment:
- La nécessité pour les responsables de traitement de vérifier les garanties offertes par les sous-traitants, mais également de leurs sous-traitants ultérieurs.
- L'importance pour les responsable de traitement d'avoir toujours accès aux informations sur l'identité des sous-traitants ultérieurs et d'assurer une surveillance continue.
- Les obligations relatives aux transferts de données vers des pays tiers, afin de garantir que les protections prévues par le RGPD ne soient pas compromises.
- Les recommandations sur la rédaction des contrats entre responsables et sous-traitants, notamment concernant les instructions documentées et les lois nationales contraignantes.
L'EDPB souligne que le responsable du traitement reste respnosable de la conformité au RGPD, même en présence de lois nationales exigeant un traitement de données.
Retrouvez l'avis complet de l'EDPB au lien suivant.