Kara za powierzenie danych osobowych
Powierzenie przetwarzania danych trzeba udokumentować. Przekonał się o tym Sułkowicki Ośrodek Kultury w Małopolsce, który został ukarany symboliczną kwotą 2,5 tysiąca złotych przez Urząd Ochrony Danych Osobowych.
- Mikołaj Frączak
- /
- 22 września 2022
Kara za powierzenie przetwarzania danych
Urząd Ochrony Danych Osobowych nałożył karę w wysokości 2,5 tysiąca złotych na Sułkowicki Ośrodek Kultury. Regulator miał zastrzeżenia z powodu powierzenia przetwarzania danych osobowych przez tę instytucję bez zawartej umowy powierzenia, a także bez weryfikacji, czy podmiot zajmujący się taką działalnością zapewnia wystarczające gwarancje wdrożenia wymaganych prawem środków technicznych.
Od zgłoszenia do ustalenia nieprawidłowości
Wszystko zaczęło się od zgłoszenia naruszenia ochrony danych osobowych, do którego miało dojść w Sułkowickim Ośrodku Kultury. W czasie wyjaśniania sprawy przez Urząd Ochrony Danych Osobowych ustalono, że administrator powierzył przetwarzanie danych bez zawarcia odpowiedniej umowy powierzenia innemu podmiotowi. Chodziło o zlecenie prowadzenia ksiąg rachunkowych, ewidencji oraz sporządzania raportów i przechowywania dokumentacji.
Drugim błędem administratora było nieprzeprowadzenie weryfikacji tego podmiotu. Zgodnie z prawem powinien sprawdzić, czy zapewnia on wystarczające gwarancje, że przetwarzane przez niego dane będą zgodne z Ogólnym Rozporządzeniem o Ochronie Danych Osobowych (RODO).
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Wyciek danych? 70% Polaków nie wie jak poradzić sobie z problememMikołaj Frączak
Brak weryfikacji podmiotu przetwarzającego to błąd
Jak wyjaśnia w komunikacie Urząd Ochrony Danych Osobowych „Brak weryfikacji podmiotu przetwarzającego oraz jego gwarancji dla przetwarzania zgodnie z przepisami o ochronie danych osobowych może wiązać się z konsekwencjami dla osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu, np. w postaci utraty danych osobowych. Zatem decyzja, komu administrator ma powierzyć przetwarzanie danych osobowych nie może być podejmowana bezpodstawnie. Dopiero po zbadaniu kompetencji i adekwatności wybranego podmiotu przetwarzającego, administrator może przystąpić do zawarcia stosownej umowy powierzenia”.
Kara dla ośrodka kultury
Sułkowicki Ośrodek Kultury, jako administrator przetwarzanych przez siebie danych osobowych jest odpowiedzialny za dobór podmiotu przetwarzającego.
W związku z powyższym UODO uznał, że nałożenie kary administracyjnej jest w tym wypadku konieczne i uzasadnione.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?