Administrator, powierzając przetwarzanie danych osobowych innemu podmiotowi, powinien sprawdzić, czy gwarantuje on spełnienie wymogów RODO. Dopiero po zbadaniu jego kompetencji w tym zakresie, administrator może przystąpić do zawarcia umowy – podkreślił Urząd Ochrony Danych Osobowych w decyzji o karze administracyjnej dla Sułkowickiego Ośrodka Kultury.
Do Urzędu Ochrony Danych Osobowych zgłoszono naruszenie ochrony danych osobowych 30 osób - pracowników oraz byłych pracowników Sułkowickiego Ośrodka Kultury (SOK). W toku postępowania wyjaśniającego UODO ustalił, że „SOK powierzył przetwarzanie danych osobowych bez zawarcia pisemnej umowy powierzenia podmiotowi przetwarzającemu”. Dodatkowo ośrodek nie sprawdził, czy zapewnia on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych było zgodne z RODO. W efekcie urząd nałożył na SOK administracyjną karę pieniężną w kwocie 2,5 tys. zł.
„Jak ustalono, Administrator zlecił ww. podmiotowi: prowadzenie ksiąg rachunkowych, ewidencji i sporządzanie raportów (w obszarze finansów, podatków oraz ZUS), przetwarzanie danych osobowych z niezbędnymi załącznikami, przechowywanie dokumentacji (ewidencje VAT, ewidencja środków trwałych, deklaracje VAT) - tym samym powierzając mu przetwarzanie danych osobowych pracowników i byłych pracowników Administratora w postaci: imion i nazwisk, imion rodziców, dat urodzenia, numerów rachunków bankowych, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, danych dotyczących zarobków i/lub posiadanego majątku, nazwisk rodowych matki, serii i numerów dowodów osobistych, numerów telefonów, a także danych dotyczących zdrowia” – czytamy w uzasadnieniu decyzji UODO.
Ponadto – jak ustalił UODO - SOK nie zweryfikował, czy podmiot przetwarzający spełnia gwarancje ochrony praw osób, których dane dotyczą. Jak stwierdzono, SOK nie posiadał żadnych dokumentów potwierdzających weryfikację warunków współpracy z podmiotem przetwarzającym.
„Administrator, decydując się na powierzenie przetwarzania danych osobowych innemu podmiotowi, powinien sprawdzić, czy zapewnia on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych oraz czy przetwarzanie będzie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą” – podkreślono w decyzji UODO.
Jak zaznaczono, zaniedbanie tego obowiązku może wiązać się z konsekwencjami dla osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu, np. w postaci utraty danych osobowych.
„Zatem decyzja, komu administrator ma powierzyć przetwarzanie danych osobowych nie może być podejmowana bezpodstawnie. Dopiero po zbadaniu kompetencji i adekwatności wybranego podmiotu przetwarzającego, administrator może przystąpić do zawarcia stosownej umowy powierzenia” – czytamy w uzasadnieniu decyzji.
UODO przypomniał, że na podstawie art. 28 RODO administrator, chcąc przetwarzać dane przy pomocy innego podmiotu, może korzystać wyłącznie z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Samo zaś przetwarzanie przez podmiot przetwarzający powinno odbywać się na podstawie pisemnej umowy między administratorem i podmiotem przetwarzającym. Umowa taka określa m.in. przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora.
Jeśli chodzi o Sułkowicki Ośrodek Kultury, to ponieważ był on administratorem przetwarzanych przez siebie danych osobowych, zatem to na nim spoczywała odpowiedzialność za dobór podmiotu przetwarzającego.
„Uwzględniając wszystkie okoliczności, organ nadzorczy uznał, że nałożenie administracyjnej kary pieniężnej na administratora jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanego temu podmiotowi naruszenia. Zaś sama kara w wymierzonej wysokości będzie skuteczna i spowoduje, że administrator w celu uniknięcia kolejnych sankcji, zwróci należytą uwagę na przetwarzanie danych osobowych za pośrednictwem i przy pomocy podmiotu przetwarzającego” – napisano w uzasadnieniu decyzji.
mam/