RGPD : recours à un sous-traitant sans Data processing agreement (DPA) – Sanction de l’autorité de contrôle polonaise
4 novembre 2019.
Par décision du 30 octobre, le président de l’autorité de contrôle à la protection des données polonaise sanctionne une municipalité pour manquement au RGPD.
Ladite municipalité avait notamment failli à son obligation d’inscrire le transfert de données personnelles vers son prestataire hébergeur dans le cadre d’un acte juridique, tel que prévu par les dispositions de l’article 28§3 du RGPD.
Cette décision met en lumière la nécessité d’organiser la sous-traitance de données personnelles par un contrat ou un acte juridique approprié, permettant de définir en amont cette relation toute particulière entre les responsables de traitement et leurs prestataires.
Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance
Nous contacter