−V článku 16 Smernice 95/46/ES sa stanovuje, že samotný sprostredkovateľ, ako aj akákoľvek osoba konajúca v jeho právomoci, ktorá má prístup k osobným údajom, nesmie tieto údaje spracovať s výnimkou toho, keď koná na základe pokynov prevádzkovateľa.
−V článku 17 Smernice 95/46/ES sa vo vzťahu k bezpečnosti spracovania stanovuje potreba zmluvy alebo záväzného právneho aktu, ktorým sa upravia vzťahy medzi prevádzkovateľom údajov a sprostredkovateľom údajov. Táto zmluva musí mať písomnú formu na účely dokazovania a musí mať minimálny obsah, v ktorom sa stanoví najmä podmienka, že sprostredkovateľ údajov koná výlučne na základe pokynov prevádzkovateľa a vykonáva technické a organizačné opatrenia na primeranú ochranu osobných údajov. Táto zmluva by mala obsahovať dostatočne podrobný opis mandátu sprostredkovateľa.
Čoraz častejšie sa stáva, že na spracovanie osobných údajov prevádzkovateľ využíva viacerých sprostredkovateľov prostredníctvom outsourcingu. Títo sprostredkovatelia môžu mať priamy vzťah s prevádzkovateľom údajov, alebo môžu byť subdodávatelia, ktorých sprostredkovatelia poverili časťou činností spracovania, ktoré im boli zverené. Tieto zložité (viacúrovňové alebo rozptýlené) štruktúry spracovania osobných údajov sa príchodom nových technológií rozmáhajú a niektoré vnútroštátne právne predpisy na ne priamo odkazujú. Žiadne ustanovenie smernice nebráni tomu, aby sa so zreteľom na organizačné požiadavky viaceré subjekty mohli označovať za sprostredkovateľov údajov alebo (sub-)sprostredkovateľov, a to aj na základe ďalšieho rozdelenia príslušných úloh. Všetci z nich však musia dodržiavať pokyny, ktoré im dáva prevádzkovateľ údajov v súvislosti s vykonávaním spracovania.
Strategickou úlohou v tomto prípade je – zabezpečiť, aby povinnosti a zodpovednosť vyplývajúca z právnych predpisov o ochrane údajov bola jasne pridelená, a nie rozptýlená v reťazci outsourcingu/subdodávateľstva. Inými slovami, je potrebné zabrániť vytvoreniu reťazca (sub-)sprostredkovateľov, ktorý by obmedzil účinnú kontrolu, alebo jej dokonca bránil, rovnako ako jasnej zodpovednosti za činnosti spracovania, ak zodpovednosti rôznych strán v reťazci nie sú jasne stanovené. Z tohto hľadiska ...stále je potrebné, aby prevádzkovateľ bol aspoň informovaný o hlavných prvkoch štruktúry spracovania (napríklad o zapojených subjektoch, bezpečnostných opatreniach, zárukách pri spracovaní v tretích krajinách atď.), aby si udržal pozíciu, v ktorej má kontrolu nad údajmi spracúvanými v jeho mene.“.
Návrh zákona reaguje na obsah uvedeného stanoviska pracovnej skupiny a v jeho medziach a určeným spôsobom upravuje možnosť spracúvať osobné údaje sprostredkovateľovi prostredníctvom subdodávateľa. Činnosť subdodávateľa bolo potrebné upraviť vzhľadom na ostatné povinnosti, ktoré vyplývajú prevádzkovateľovi a sprostredkovateľovi zo zákona, resp. zo smernice 95/46/ES tak, aby ich dopĺňala a nenarúšala. Subdodávateľ spracúva osobné údaje a zabezpečuje ich ochranu na zodpovednosť.
Odsek 6 pamätá na prípady, keď prevádzkovateľ poveril sprostredkovateľa spracúvaním až po získaní osobných údajov. V takom prípade je prevádzkovateľ povinný o tom upovedomiť