Urząd Ochrony Danych Osobowych otrzymał w tej sprawie skargę i wszczął postępowanie wyjaśniające. Wtedy wyszło na jaw, że Ośrodek - jako administrator danych pracowników - powierzył przetwarzanie danych osobowych bez zawarcia pisemnej umowy powierzenia podmiotowi, któremu zlecił prowadzenie ksiąg rachunkowych, ewidencji i sporządzanie raportów (w obszarze finansów, podatków oraz ZUS) czy przechowywanie dokumentacji. Co więcej - nie sprawdził, czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych było zgodne z RODO.

Jak wyjaśnia UODO, brak weryfikacji podmiotu przetwarzającego oraz jego gwarancji dla przetwarzania zgodnie z przepisami o ochronie danych osobowych może wiązać się z konsekwencjami dla osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu, np. w postaci utraty danych osobowych.

- Zatem decyzja, komu administrator ma powierzyć przetwarzanie danych osobowych nie może być podejmowana bezpodstawnie. Dopiero po zbadaniu kompetencji i adekwatności wybranego podmiotu przetwarzającego, administrator może przystąpić do zawarcia stosownej umowy powierzenia - wskazuje UODO.

Sułkowicki Ośrodek Kultury nie posiadał żadnych dokumentów potwierdzających weryfikację warunków współpracy z podmiotem przetwarzającym. Zwrócenie się do tego podmiotu z prośbą o informacje, wyjaśnienia i zwrot lub udostępnienie przetwarzanych danych nie przyniosło skutku.

Czytaj więcej

Lekarz pomylił się w skierowaniu. UODO: szpital zapłaci 10 tys. zł kary

RODO stanowi, iż dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Na administratorze, czyli na podmiocie, który decyduje o sposobach i celach przetwarzania, spoczywa obowiązek zapewnienia bezpieczeństwa danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Sułkowicki Ośrodek Kultury, jako administrator przetwarzanych przez siebie danych osobowych, ponosił odpowiedzialność za dobór podmiotu przetwarzającego. Musi to podmiot, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Samo zaś przetwarzanie przez podmiot przetwarzający odbywa się na podstawie pisemnej umowy między administratorem i podmiotem przetwarzającym. Umowa taka określa m.in. przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.