W maju 2020 r. do Prezesa Urzędu Ochrony Danych Osobowych zgłoszono naruszenie ochrony danych osobowych w postaci nieprawidłowego procesu powierzenia przetwarzania danych przez Sułkowicki Ośrodek Kultury. Ośrodek jest podmiotem utworzonym przez Gminę w celu realizacji jej zadań własnych w zakresie kultury.
Po otrzymaniu przez Urząd zgłoszenia wszczęte zostało postępowanie wyjaśniające, w trakcie którego wyszło na jaw powierzenie przez Ośrodek przetwarzania danych bez zawarcia wymaganej do tego przez unijne przepisy o ochronie danych umowy powierzenia. Podczas dochodzenia okazało się także, że administrator w żaden sposób nie zweryfikował czy podmiot, któremu powierzył przetwarzanie zapewnia odpowiednie gwarancje wdrożenia środków technicznych i organizacyjnych niezbędnych do zapewnienia bezpieczeństwa powierzonych danych. Nie dowiedziano się także czy powierzone przetwarzanie będzie zgodne z Rozporządzeniem i tym samym czy będzie ono chroniło prawa osób, których dane dotyczą. Nie sprawdzono również kompetencji podmiotu mającego przetwarzać dane. Narażono więc powierzone informacje na niebezpieczeństwo wycieku czy utraty. Administrator polecił podmiotowi między innymi prowadzenie ksiąg rachunkowych, ewidencji, sporządzanie raportów i przechowywanie dokumentacji, w związku z czym powierzył mu także przetwarzanie danych osobowych pracowników i byłych pracowników. Wśród przekazanych informacji znajdowały się imiona, nazwiska, daty urodzenia, adresy zamieszkania, adresy e-mail, dane dotyczące zarobków czy numery PESEL.
Zgodnie z RODO do prawidłowego powierzenia przetwarzania danych osobowych niezbędne jest zawarcie umowy powierzenia. Umowa powinna być zawarta w formie pisemnej i określać między innymi: czas trwania przetwarzania, jego przedmiot, cel, charakter, kategorię danych, kategorie osób, których dane dotyczą. Powinny się znaleźć w niej także prawa i obowiązki administratora. Umowa powierzenia stanowi, że podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy. Nie zawarcie umowy powierzenia przez Ośrodek narusza więc przepisy RODO.
Podczas oceny naruszenia przez Prezesa za okoliczności łagodzące zostały uznane działania podjęte przez administratora w celu zminimalizowania szkód, brak wcześniej popełnionych naruszeń, dobra współpraca z organem oraz brak osiągnięcia przez Ośrodek jakiejkolwiek korzyści finansowej z incydentu. Negatywnie na wymiar kary finansowej wpłynęły natomiast: znaczna waga naruszenia i jego poważny charakter w związku z powstałym w jego wyniku ryzykiem, umyślny charakter naruszenia, które w ocenie Prezesa powstało „w wyniku działań, które były ukierunkowane na naruszenie rozporządzenia” oraz szeroki zakres danych, będących przedmiotem naruszenia.
W związku z powyższym, Prezes Urzędu Ochrony Danych Osobowych zdecydował o nałożeniu na Sułkowicki Ośrodek Kultury z siedzibą w Sułkowicach administracyjnej kary pieniężnej w wysokości 2 500 złotych.
Źródła:
https://www.uodo.gov.pl/decyzje/DKN.5131.29.2022
https://uodo.gov.pl/pl/138/2450