Brak pisemnej umowy powierzenia przetwarzania był przyczyną wymierzenia kary pieniężnej jednemu z ośrodków kultury. Administratorowi zarzucono też niedokonanie weryfikacji podmiotu przetwarzającego.
Ośrodek kultury zlecił prowadzenie rachunkowości jednej z firm zewnętrznych. Usługa obejmowała:
W związku z zleceniem takiej usługi nie doszło jednak do zawarcia umowy powierzenia przetwarzania danych. Tymczasem zgodnie z art. 28 RODO w związku z powierzeniem przetwarzania danych osobowych należało zawrzeć umowę z procesorem w formie pisemnej.
Zlecenie usług rachunkowych wiąże się z powierzeniem przetwarzania danych osobowych i wymaga zawarcia pisemnej umowy.
Organ nadzorczy zarzucił również administratorowi brak weryfikacji podmiotu przetwarzającego przed powierzeniem mu danych. Obowiązkiem ADO jest zaś wybór takiego podmiotu przetwarzającego, który daje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by przetwarzanie:
Innymi słowy, w ocenie Prezesa UODO powierzenie przetwarzania danych jest możliwe dopiero po zbadaniu kompetencji i adekwatności wybranego podmiotu przetwarzającego.
Prezes UODO jako naruszenie ochrony danych wskazuje nie tylko wybór nieodpowiedniego podmiotu przetwarzającego, ale także niesprawdzenie tego podmiotu przed zawarciem umowy powierzenia, nawet jeśli w ostatecznym rozrachunku procesor spełnia wymogi RODO.
W konsekwencji ośrodkowi kultury wymierzono karę pieniężną w wysokości 2 500 zł.
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl
