Urząd Ochrony Danych Osobowych otrzymał w tej sprawie skargę i wszczął postępowanie wyjaśniające. Wtedy wyszło na jaw, że Ośrodek - jako administrator danych pracowników - powierzył przetwarzanie danych osobowych bez zawarcia pisemnej umowy powierzenia podmiotowi, któremu zlecił prowadzenie ksiąg rachunkowych, ewidencji i sporządzanie raportów (w obszarze finansów, podatków oraz ZUS) czy przechowywanie dokumentacji. Co więcej - nie sprawdził, czy podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych było zgodne z RODO.
Jak wyjaśnia UODO, brak weryfikacji podmiotu przetwarzającego oraz jego gwarancji dla przetwarzania zgodnie z przepisami o ochronie danych osobowych może wiązać się z konsekwencjami dla osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu, np. w postaci utraty danych osobowych.
- Zatem decyzja, komu administrator ma powierzyć przetwarzanie danych osobowych nie może być podejmowana bezpodstawnie. Dopiero po zbadaniu kompetencji i adekwatności wybranego podmiotu przetwarzającego, administrator może przystąpić do zawarcia stosownej umowy powierzenia - wskazuje UODO.
Sułkowicki Ośrodek Kultury nie posiadał żadnych dokumentów potwierdzających weryfikację warunków współpracy z podmiotem przetwarzającym. Zwrócenie się do tego podmiotu z prośbą o informacje, wyjaśnienia i zwrot lub udostępnienie przetwarzanych danych nie przyniosło skutku.
Czytaj więcej
Na Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego nałożono 10 tys. zł kary za to, że jeden z pacjentów otrzymał od lekarza skierowanie do poradni specjalistycznej zawierające dane osobowe dotyczące innej osoby.
