bg
Chcę wiedzieć o...
Strona główna
Artykuły
Powierzenie przetwarzania danych należy udokumentować

Powierzenie przetwarzania danych należy udokumentować

Dodano: 2022-09-23
Publikator: Urząd Ochrony Danych Osobowych

UODO nałożył administracyjną karę pieniężną w kwocie 2,5 tys. zł na Sułkowicki Ośrodek Kultury.

Powodem tej decyzji było powierzenie przetwarzania danych osobowych bez pisemnej umowy powierzenia. Odbyło się to bez przeprowadzenia weryfikacji odnośnie tego czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych.

W toku postępowania wyjaśniającego ustalono, że administrator powierzył przetwarzanie danych osobowych bez zawarcia pisemnej umowy powierzenia podmiotowi przetwarzającemu, któremu zlecił prowadzenie ksiąg rachunkowych, ewidencji i sporządzanie raportów oraz przechowywanie dokumentacji. Dodatkowo administrator nie przeprowadził weryfikacji podmiotu przetwarzającego. Nie sprawdził czy zapewnia on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych było zgodne z RODO. Przypomnijmy, że podmiot przetwarzający ma spełniać gwarancje ochrony praw osób, których dane dotyczą.

Administrator decydując się na powierzenie przetwarzania danych osobowych innemu podmiotowi powinien sprawdzić czy zapewnia on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Powinien także zweryfikować czy przetwarzanie będzie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

W toku sprawy organ nadzorczy ustalił, że administrator nie posiadał żadnych dokumentów potwierdzających weryfikację warunków współpracy z podmiotem przetwarzającym. Ponadto  zwrócenie się do niego z prośbą o informacje, wyjaśnienia i zwrot lub udostępnienie przetwarzanych danych okazało się bezskuteczne. Przy uwzględnieniu wszystkich okoliczności organ nadzorczy uznał, że nałożenie administracyjnej kary pieniężnej na administratora jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanego temu podmiotowi naruszenia. Sama zaś kara w wymierzonej wysokości będzie skuteczna i spowoduje, że administrator w celu uniknięcia kolejnych sankcji zwróci należytą uwagę na przetwarzanie danych osobowych za pośrednictwem i przy pomocy podmiotu przetwarzającego.

Artykuły powiązane

Kierowca odpowiada za wypadek, mimo że pieszy był pijany – decyzja Sądu Najwyższego

Sąd Najwyższy wydał niedawno wyrok (sygn. II CSKP 2286/22), w którym potwierdził odpowiedzialność kierowcy za potrąc...

Rosnące zainteresowanie prywatnymi ubezpieczeniami zdrowotnymi – podsumowanie roku 2024

W 2024 roku Polacy wydali na prywatne ubezpieczenia zdrowotne aż 2,3 miliarda złotych, co oznacza wzrost o 35,3% w p...

939 miliardów złotych w ubezpieczeniach – przedsiębiorcy szukają ochrony przed ryzykiem

W 2024 roku polskie firmy ubezpieczyły swoje obroty handlowe na kwotę przekraczającą 939 miliardów złotych. Choć przych...