Kara za brak umowy powierzenia i niesprawdzenie procesora
Brak pisemnej umowy powierzenia przetwarzania był przyczyną wymierzenia kary pieniężnej jednemu z ośrodków kultury. Administratorowi zarzucono też niedokonanie weryfikacji podmiotu przetwarzającego.
Rachunkowość w ramach powierzenia przetwarzania danych
Ośrodek kultury zlecił prowadzenie rachunkowości jednej z firm zewnętrznych. Usługa obejmowała:
- Prowadzenie ksiąg rachunkowych, ewidencji i sporządzanie raportów - w obszarze finansów, podatków oraz ZUS,
- przechowywanie dokumentacji.
W związku z zleceniem takiej usługi nie doszło jednak do zawarcia umowy powierzenia przetwarzania danych. Tymczasem zgodnie z art. 28 RODO w związku z powierzeniem przetwarzania danych osobowych należało zawrzeć umowę z procesorem w formie pisemnej.
Zlecenie usług rachunkowych wiąże się z powierzeniem przetwarzania danych osobowych i wymaga zawarcia pisemnej umowy.
Najpierw weryfikacja, potem powierzenie
Organ nadzorczy zarzucił również administratorowi brak weryfikacji podmiotu przetwarzającego przed powierzeniem mu danych. Obowiązkiem ADO jest zaś wybór takiego podmiotu przetwarzającego, który daje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by przetwarzanie:
- spełniało wymogi RODO,
- chroniło prawa osób, których dane dotyczą.
Innymi słowy, w ocenie Prezesa UODO powierzenie przetwarzania danych jest możliwe dopiero po zbadaniu kompetencji i adekwatności wybranego podmiotu przetwarzającego.
Prezes UODO jako naruszenie ochrony danych wskazuje nie tylko wybór nieodpowiedniego podmiotu przetwarzającego, ale także niesprawdzenie tego podmiotu przed zawarciem umowy powierzenia, nawet jeśli w ostatecznym rozrachunku procesor spełnia wymogi RODO.
W konsekwencji ośrodkowi kultury wymierzono karę pieniężną w wysokości 2 500 zł.
- decyzja Prezesa UODO z 7 września 2022 r. DKN.5131.29.2022
- Zgoda marketingowa – czy także od firmy lub instytucji
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Zgoda na przetwarzanie danych osobowych do celów reklamy behawioralnej – jak powinna wyglądać
- Organizacja konkursu dla uczniów – umowa powierzenia przetwarzania danych pomiędzy szkołą a organem prowadzącym
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Postępowanie z ryzykiem dla danych osobowych w związku z wdrożeniem sztucznej inteligencji AI
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
