Urząd Ochrony Danych Osobowych otrzymał w tej sprawie skargę i wszczął postępowanie wyjaśniające. Wtedy wyszło na jaw, że Ośrodek - jako administrator danych pracowników - powierzył przetwarzanie danych osobowych bez zawarcia pisemnej umowy powierzenia podmiotowi, któremu zlecił prowadzenie ksiąg rachunkowych, ewidencji i sporządzanie raportów (w obszarze finansów, podatków oraz ZUS) czy przechowywanie dokumentacji. Co więcej - nie sprawdził, czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych było zgodne z RODO.
Jak wyjaśnia UODO, brak weryfikacji podmiotu przetwarzającego oraz jego gwarancji dla przetwarzania zgodnie z przepisami o ochronie danych osobowych może wiązać się z konsekwencjami dla osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu, np. w postaci utraty danych osobowych.
- Zatem decyzja, komu administrator ma powierzyć
przetwarzanie danych osobowych nie może być podejmowana bezpodstawnie.
Dopiero po zbadaniu kompetencji i adekwatności wybranego podmiotu
przetwarzającego, administrator może przystąpić do zawarcia stosownej
umowy powierzenia - wskazuje UODO.
Sułkowicki Ośrodek Kultury nie posiadał
żadnych dokumentów potwierdzających weryfikację warunków współpracy
z podmiotem przetwarzającym. Zwrócenie się do tego podmiotu z prośbą
o informacje, wyjaśnienia i zwrot lub udostępnienie przetwarzanych
danych nie przyniosło skutku.
Czytaj więcej
Na Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego nałożono 10 tys. zł kary za to, że jeden z pacjentów otrzymał od lekarza skierowanie do poradni specjalistycznej zawierające dane osobowe dotyczące innej osoby.
