Do Urzędu Ochrony Danych Osobowych zgłoszono naruszenie ochrony danych osobowych w Sułkowickim Ośrodku Kultury. Urząd ustalił, że administrator powierzył przetwarzanie danych osobowych bez zawarcia pisemnej umowy powierzenia podmiotowi przetwarzającemu, któremu zlecił prowadzenie ksiąg rachunkowych, ewidencji i sporządzanie raportów (w obszarze finansów, podatków oraz ZUS) czy przechowywanie dokumentacji.

Ponadto administrator nie przeprowadził weryfikacji podmiotu przetwarzającego, nie sprawdził, czy zapewnia on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych było zgodne z RODO.

 

 

Podmiot przetwarzający musi spełniać wymogi RODO

Administrator, decydując się na powierzenie przetwarzania danych osobowych innemu podmiotowi, powinien sprawdzić, czy zapewnia on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych oraz czy przetwarzanie będzie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Brak weryfikacji podmiotu przetwarzającego oraz jego gwarancji dla przetwarzania zgodnie z przepisami o ochronie danych osobowych może wiązać się z konsekwencjami dla osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu, np. w postaci utraty danych osobowych. Zatem decyzja, komu administrator ma powierzyć przetwarzanie danych osobowych nie może być podejmowana bezpodstawnie. Dopiero po zbadaniu kompetencji i adekwatności wybranego podmiotu przetwarzającego, administrator może przystąpić do zawarcia stosownej umowy powierzenia.

Organ nadzorczy ustalił, że administrator nie posiadał żadnych dokumentów potwierdzających weryfikację warunków współpracy z podmiotem przetwarzającym. Ponadto  zwrócenie się do niego z prośbą o informacje, wyjaśnienia i zwrot lub udostępnienie przetwarzanych danych okazało się bezskuteczne.

 

 

Podmiot przetwarzający działa na podstawie umowy z administratorem

Na podstawie art. 28 RODO administrator, chcąc przetwarzać dane przy pomocy innego podmiotu, korzysta wyłącznie z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.

Samo zaś przetwarzanie przez podmiot przetwarzający odbywa się na podstawie pisemnej umowy między administratorem i podmiotem przetwarzającym. Umowa taka określa m.in. przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

 

Cena promocyjna: 135.2 zł

|

Cena regularna: 169 zł

|

Najniższa cena w ostatnich 30 dniach: 152.09 zł


Odpowiedzialność administratora

RODO stanowi, iż dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Na administratorze, czyli na podmiocie, który decyduje o sposobach i celach przetwarzania, spoczywa obowiązek zapewnienia bezpieczeństwa danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Ponieważ to Sułkowicki Ośrodek Kultury był on administratorem przetwarzanych przez siebie danych osobowych, zatem to na nim spoczywała odpowiedzialność za dobór podmiotu przetwarzającego. Uwzględniając wszystkie okoliczności, organ nadzorczy uznał, że nałożenie administracyjnej kary pieniężnej na administratora jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanego temu podmiotowi naruszenia. Zaś sama kara w wymierzonej wysokości będzie skuteczna i spowoduje, że administrator w celu uniknięcia kolejnych sankcji, zwróci należytą uwagę na przetwarzanie danych osobowych za pośrednictwem i przy pomocy podmiotu przetwarzającego.