- ogólną, zwaną również blankietową – czyli taką, która odnosi się do kategorii podmiotów, z którymi współpracuje procesor;
- szczegółową – czyli taką, w treści której wskazuje się wprost konkretne podmioty, którym dane osobowe będą podpowierzane.
RODO wymaga, aby zgoda miała formę pisemną, w tym elektroniczną. Nadto we wskazanym akcie prawnym wprost zastrzeżono, że zgoda na korzystanie z usług innego podmiotu przetwarzającego (dalszego procesora) musi zostać udzielona uprzednio. Oznacza to, że powinna ona być wydana przed przekazaniem danych osobowych dalszemu procesorowi.
(…)
4. Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.