Prezes UODO otrzymał od administratora, Sułkowickiego Ośrodka Kultury, zgłoszenie naruszenia ochrony danych osobowych 30 osób – pracowników oraz byłych pracowników.
Postępowanie wyjaśniające wykazało, że administrator danych:
- nie zawarł umowy powierzenia danych osobowych z procesorem, któremu zlecił prowadzenie ksiąg rachunkowych, ewidencji, sporządzanie raportów (w obszarze finansów, podatków oraz ZUS) oraz przechowywanie dokumentacji – tym samym bezumownie powierzył mu przetwarzanie szerokiego zakresu danych osobowych pracowników w postaci: imion i nazwisk, imion rodziców, dat urodzenia, numerów rachunków bankowych, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, danych dotyczących zarobków i/lub posiadanego majątku, nazwisk rodowych matki, serii i numerów dowodów osobistych, numerów telefonów, a także danych szczególnej kategorii tj. dotyczących zdrowia.
- nie zweryfikował, czy podmiot przetwarzający posiada wystarczające środki techniczne i organizacyjne, aby przetwarzanie danych osobowych było zgodne z przepisami RODO.
W wyniku przeprowadzonego postępowania wyjaśniającego organ nadzorczy stwierdził naruszenie przez Sułkowicki Ośrodek Kultury przepisów art. 28 ust. 1, 3 i 9 RODO oraz nałożył administracyjną karę pieniężną w kwocie 2.500 zł (słownie: dwa tysiące pięćset złotych).
Decyzja opublikowana na stronie UODO dostarcza kilku cennych wniosków dla administratorów danych:
- Wszelkie przetwarzanie danych osobowych przez podmiot przetwarzający musi być uregulowane umową lub innym aktem prawnym zawartym między administratorem, a podmiotem przetwarzającym, zgodnie z wymogami art. 28 ust. 3 RODO. W przeciwnym wypadku mamy do czynienia z naruszeniem ww. przepisów.
- Sam fakt nie posiadania umowy powierzenia przetwarzania danych osobowych nie powoduje, iż relacja administrator – podmiot przetwarzający nie istnieje. Ta relacja jest faktyczna i pociąga za sobą określone konsekwencje i skutki prawne.
- Za zapewnienie zawarcia umowy powierzenia odpowiadają obie strony procesu powierzenia przetwarzania danych – zarówno administrator, jak i procesor.
- Na administratorze, czyli na podmiocie, który decyduje o sposobach i celach przetwarzania, spoczywa obowiązek zapewnienia bezpieczeństwa danych osobowych, zatem to na administratorze spoczywa odpowiedzialność za prawidłowy dobór podmiotu przetwarzającego.
- Administrator, chcąc przetwarzać dane przy pomocy innego podmiotu, powinien korzystać wyłącznie z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Brak weryfikacji podmiotu przetwarzającego oraz jego gwarancji dla przetwarzania zgodnie z przepisami o ochronie danych osobowych może wiązać się z konsekwencjami dla osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu, w postaci utraty ich poufności i dostępności.
- Nie wystarczy, że administrator zweryfikuje procesora pod kątem zapewnienia wystarczających gwarancji przed powierzeniem mu danych do przetwarzania. Jest to obowiązek ciągły, zatem również w trakcie trwania powierzenia administrator powinien weryfikować, czy nie pojawiają się sygnały ostrzegawcze, że bezpieczeństwo przetwarzania danych jest zagrożone. Bowiem obowiązek korzystania z usług podmiotów zapewniających odpowiedni poziom bezpieczeństwa danych osobowych trwa przez cały okres powierzenia.
- Podmiot przetwarzający można zweryfikować poprzez przeprowadzenie u niego audytu lub inspekcji, można również zastosować ankiety weryfikujące podmiot przetwarzający, w których wskazuje on stosowane techniczne i organizacyjne środki zabezpieczenia danych osobowych, można również odebrać oświadczenie od procesora o tym, jakie daje gwarancje bezpiecznego przetwarzania powierzanych danych. Oczywiście, jak wskazuje w decyzji UODO „Ocena administratora, czy gwarancje są wystarczające, jest formą oceny ryzyka, która w znacznym stopniu zależy od rodzaju przetwarzania powierzonego podmiotowi przetwarzającemu i musi być dokonywana indywidualnie dla każdego przypadku, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, a także zagrożeń dla praw i wolności osób fizycznych”.
- Zawsze udokumentuj proces powierzenia przetwarzania danych zewnętrznemu podwykonawcy: najpierw poprzez pisemną weryfikację podmiotu przetwarzającego w zakresie zapewnianych gwarancji, a potem poprzez zawarcie stosownej, pisemnej umowy powierzenia. Dzięki temu będziesz w stanie wykazać przestrzeganie przepisów o ochronie danych osobowych tzw. zasady rozliczalności.
- Dzięki formalnemu uregulowaniu relacji administrator – podmiot przetwarzający będziesz mógł wyegzekwować, w zależności od swojego (administratora) wyboru, zwrot lub usunięcie wszelkich powierzonych danych osobowych. Niestety SOK nie był w stanie odzyskać części dokumentacji dotyczących pracowników, co stanowi naruszenie dostępności danych osobowych.
- A po dziesiąte… Zweryfikuj zawarte umowy z podwykonawcami i zastanów się, czy czasem nie powierzasz im przetwarzania danych osobowych w związku z zawartą umową na świadczenie usług. Jeżeli tak, a nie masz zawartej umowy powierzenia, jak najszybciej wypełnij obowiązki z art. 28 RODO: zweryfikuj procesora i zadbaj o podpisanie umowy. Jeżeli masz wątpliwości jak to zrobić lub potrzebujesz pomocy w audycie umów powierzenia chętnie Ci pomożemy 😊 Skontaktuj się z nami!
Zachęcam również do zapoznania się z artykułem na naszym blogu „Powierzenia danych osobowych w stosunkach zatrudnienia”, w którym Monika Jędro przybliża kwestię zawierania umów powierzenia przetwarzania danych w obszarze zatrudnienia.
Autor: Monika Kowalik, Specjalista ds. ochrony danych osobowych oraz ochrony informacji w CompNet Sp. z o.o.