Urząd Ochrony Danych Osobowych otrzymał w tej sprawie skargę i wszczął postępowanie wyjaśniające. Wtedy wyszło na jaw, że Ośrodek - jako administrator danych pracowników - powierzył przetwarzanie danych osobowych bez zawarcia pisemnej umowy powierzenia podmiotowi, któremu zlecił prowadzenie ksiąg rachunkowych, ewidencji i sporządzanie raportów (w obszarze finansów, podatków oraz ZUS) czy przechowywanie dokumentacji. Co więcej - nie sprawdził, czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych było zgodne z RODO.
Jak wyjaśnia UODO, brak weryfikacji podmiotu przetwarzającego oraz jego gwarancji dla przetwarzania zgodnie z przepisami o ochronie danych osobowych może wiązać się z konsekwencjami dla osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu, np. w postaci utraty danych osobowych.
- Zatem decyzja, komu administrator ma powierzyć
przetwarzanie danych osobowych nie może być podejmowana bezpodstawnie.
Dopiero po zbadaniu kompetencji i adekwatności wybranego podmiotu
przetwarzającego, administrator może przystąpić do zawarcia stosownej
umowy powierzenia - wskazuje UODO.
Sułkowicki Ośrodek Kultury nie posiadał
żadnych dokumentów potwierdzających weryfikację warunków współpracy
z podmiotem przetwarzającym. Zwrócenie się do tego podmiotu z prośbą
o informacje, wyjaśnienia i zwrot lub udostępnienie przetwarzanych
danych nie przyniosło skutku.
Czytaj więcej
Na Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego nałożono 10 tys. zł kary za to, że jeden z pacjentów otrzymał od lekarza skierowanie do poradni specjalistycznej zawierające dane osobowe dotyczące innej osoby.
RODO stanowi, iż dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Na administratorze, czyli na podmiocie, który decyduje o sposobach i celach przetwarzania, spoczywa obowiązek zapewnienia bezpieczeństwa danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
Sułkowicki Ośrodek Kultury, jako administrator przetwarzanych przez siebie danych osobowych, ponosił odpowiedzialność za dobór podmiotu przetwarzającego. Musi to podmiot, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Samo zaś przetwarzanie przez podmiot przetwarzający odbywa się na podstawie pisemnej umowy między administratorem i podmiotem przetwarzającym. Umowa taka określa m.in. przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
