Kara za powierzenie danych osobowych

Powierzenie przetwarzania danych trzeba udokumentować. Przekonał się o tym Sułkowicki Ośrodek Kultury w Małopolsce, który został ukarany symboliczną kwotą 2,5 tysiąca złotych przez Urząd Ochrony Danych Osobowych.

  • Mikołaj Frączak
  • /
  • 22 września 2022

Kara za powierzenie przetwarzania danych

Urząd Ochrony Danych Osobowych nałożył karę w wysokości 2,5 tysiąca złotych na Sułkowicki Ośrodek Kultury. Regulator miał zastrzeżenia z powodu powierzenia przetwarzania danych osobowych przez tę instytucję bez zawartej umowy powierzenia, a także bez weryfikacji, czy podmiot zajmujący się taką działalnością zapewnia wystarczające gwarancje wdrożenia wymaganych prawem środków technicznych.

Od zgłoszenia do ustalenia nieprawidłowości

Wszystko zaczęło się od zgłoszenia naruszenia ochrony danych osobowych, do którego miało dojść w Sułkowickim Ośrodku Kultury. W czasie wyjaśniania sprawy przez Urząd Ochrony Danych Osobowych ustalono, że administrator powierzył przetwarzanie danych bez zawarcia odpowiedniej umowy powierzenia innemu podmiotowi. Chodziło o zlecenie prowadzenia ksiąg rachunkowych, ewidencji oraz sporządzania raportów i przechowywania dokumentacji. 

Drugim błędem administratora było nieprzeprowadzenie weryfikacji tego podmiotu. Zgodnie z prawem powinien sprawdzić, czy zapewnia on wystarczające gwarancje, że przetwarzane przez niego dane będą zgodne z Ogólnym Rozporządzeniem o Ochronie Danych Osobowych (RODO). 

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Wyciek danych? 70% Polaków nie wie jak poradzić sobie z problememWyciek danych? 70% Polaków nie wie jak poradzić sobie z problememMikołaj Frączak

Brak weryfikacji podmiotu przetwarzającego to błąd

Jak wyjaśnia w komunikacie Urząd Ochrony Danych Osobowych Brak weryfikacji podmiotu przetwarzającego oraz jego gwarancji dla przetwarzania zgodnie z przepisami o ochronie danych osobowych może wiązać się z konsekwencjami dla osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu, np. w postaci utraty danych osobowych. Zatem decyzja, komu administrator ma powierzyć przetwarzanie danych osobowych nie może być podejmowana bezpodstawnie. Dopiero po zbadaniu kompetencji i adekwatności wybranego podmiotu przetwarzającego, administrator może przystąpić do zawarcia stosownej umowy powierzenia”.

Kara dla ośrodka kultury

Sułkowicki Ośrodek Kultury, jako administrator przetwarzanych przez siebie danych osobowych jest odpowiedzialny za dobór podmiotu przetwarzającego. 

W związku z powyższym UODO uznał, że nałożenie kary administracyjnej jest w tym wypadku konieczne i uzasadnione.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia o którym mowa w akrtykule?

Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!