Do Urzędu Ochrony Danych Osobowych zgłoszono naruszenie ochrony danych osobowych w Sułkowickim Ośrodku Kultury. W toku postępowania wyjaśniającego ustalono, że administrator powierzył przetwarzanie danych osobowych bez zawarcia pisemnej umowy powierzenia podmiotowi przetwarzającemu, któremu zlecił prowadzenie ksiąg rachunkowych, ewidencji i sporządzanie raportów (w obszarze finansów, podatków oraz ZUS) czy przechowywanie dokumentacji.

Ponadto administrator nie przeprowadził weryfikacji podmiotu przetwarzającego, nie sprawdził, czy zapewnia on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych było zgodne z RODO.

Podmiot przetwarzający ma spełniać gwarancje ochrony praw osób, których dane dotyczą

Administrator, decydując się na powierzenie przetwarzania danych osobowych innemu podmiotowi, powinien sprawdzić, czy zapewnia on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych oraz czy przetwarzanie będzie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Brak weryfikacji podmiotu przetwarzającego oraz jego gwarancji dla przetwarzania zgodnie z przepisami o ochronie danych osobowych może wiązać się z konsekwencjami dla osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu, np. w postaci utraty danych osobowych. Zatem decyzja, komu administrator ma powierzyć przetwarzanie danych osobowych nie może być podejmowana bezpodstawnie. Dopiero po zbadaniu kompetencji i adekwatności wybranego podmiotu przetwarzającego, administrator może przystąpić do zawarcia stosownej umowy powierzenia.

W toku sprawy organ nadzorczy ustalił, że administrator nie posiadał żadnych dokumentów potwierdzających weryfikację warunków współpracy z podmiotem przetwarzającym. Ponadto zwrócenie się do niego z prośbą o informacje, wyjaśnienia i zwrot lub udostępnienie przetwarzanych danych okazało się bezskuteczne.

Podmiot przetwarzający działa na podstawie umowy z administratorem

Na podstawie art. 28 RODO administrator, chcąc przetwarzać dane przy pomocy innego podmiotu, korzysta wyłącznie z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.

Samo zaś przetwarzanie przez podmiot przetwarzający odbywa się na podstawie pisemnej umowy między administratorem i podmiotem przetwarzającym. Umowa taka określa m.in. przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Odpowiedzialność administratora

RODO stanowi, iż dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Na administratorze, czyli na podmiocie, który decyduje o sposobach i celach przetwarzania, spoczywa obowiązek zapewnienia bezpieczeństwa danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Jeśli chodzi o Sułkowicki Ośrodek Kultury, to ponieważ był on administratorem przetwarzanych przez siebie danych osobowych, zatem to na nim spoczywała odpowiedzialność za dobór podmiotu przetwarzającego.

Uwzględniając wszystkie okoliczności, organ nadzorczy uznał, że nałożenie administracyjnej kary pieniężnej na administratora jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanego temu podmiotowi naruszenia. Zaś sama kara w wymierzonej wysokości będzie skuteczna i spowoduje, że administrator w celu uniknięcia kolejnych sankcji, zwróci należytą uwagę na przetwarzanie danych osobowych za pośrednictwem i przy pomocy podmiotu przetwarzającego.

Źródło: https://uodo.gov.pl/pl/138/2450