Procesor transferuje dane poza UE - co z rejestrem czynności przetwarzania danych

Co prawda administrator danych oraz podmiot przetwarzający prowadzą odrębne rejestry, w których to wpisuje się m.in. informacje na temat przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej - w każdym z rejestrów odrębnie. Niemniej jednak należy mieć na względzie, że podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający. Co więcej, zgodnie z art. 28 ust. 1 RODO, podmiot przetwarzający przetwarza dane w imieniu administratora, nie zaś w imieniu własnym.

Z powyższych względów administrator danych winien odnotować fakt transferowania danych przez podmiot przetwarzający w swoim rejestrze. Wyjątek stanowi przypadek, gdy podmiot przetwarzający przekazuje dane osobowe do państwa trzeciego lub organizacji międzynarodowej w wykonaniu obowiązku wynikającego z przepisów prawa Unii Europejskiej, bądź państwa członkowskiego.