Kolejne kary UODO

02 lis 2022
Jakub Wietrzyński

Wspomniana kara wynosiła 2,5 tys. zł i dotyczyła Sułkowickiego Ośrodka Kultury, a samo naruszenie obejmowało 30 pracowników. Na stronie Urzędu możemy przeczytać, że „powodem decyzji było powierzenie przetwarzania danych osobowych bez zawartej na piśmie umowy powierzenia oraz bez przeprowadzenia weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych”.

Co dokładnie to oznacza?

Urząd wypunktował więc dwa główne powody w wydanej decyzji:

  1. Brak zawarcia umowy powierzenia przetwarzania danych osobowych.
  2. Brak weryfikacji podmiotu przetwarzającego.

W treści samej decyzji (uodo.gov.pl/decyzje/DKN.5131.29.2022) można wyczytać, że pomiędzy SOK, a podmiotem przetwarzającym nie została zawarta żadna umowa, a podmiot przetwarzający prowadził księgi rachunkowe, ewidencję, sporządzał raporty oraz przechowywał dokumentację administratora. Doszło więc do sytuacji, przed którą chroni unormowanie stosunków administrator – podmiot przetwarzający. SOK stracił dane osobowe, a dokładnie mówiąc, nie miał możliwości odzyskania dostępu do wszystkich powierzonych podmiotowi przetwarzającemu danych osobowych.

Ze wskazanej decyzji można wynieść jeszcze kilka błędów, na które w szczególności uczulamy:

  • Należy wystrzegać się używania prywatnego sprzętu przez pracowników, jak i sprawdzić czy u procesora nie jest to nagminne.
  • Dostępy do dokumentów / systemów / dysku, muszą być zabezpieczone i należy zwracać uwagę na proces nadawania upoważnień.
  • Należy prowadzić dokumentację, która jest w stanie udowodnić kiedy i na jakich warunkach zostały zawarte współprace i powierzenia przetwarzania danych osobowych.
  • Obowiązek zapewnienia wystarczających gwarancji w zakresie zabezpieczenia danych jest procesem ciągłym. Nie kończy się w momencie złożenia podpisów na umowie.

Wystarczyłoby więc, aby Sułkowicki Ośrodek Kultury przed zleceniem podmiotowi przetwarzającemu czynności na danych osobowych, zweryfikował go, a następnie zawarł umowę powierzenia danych osobowych.

Ale czym jest w ogóle jest umowa powierzenia i weryfikacja?

Zgodnie z RODO – art. 28 – administrator może powierzyć przetwarzanie danych osobowych innemu podmiotowi, jednak nie może to wyglądać „Firmo XX proszę wykonać takie zlecenie”. Wskazany artykuł mówi wprost, ze przetwarzanie odbywa się na podstawie pisemnej umowy lub innego instrumentu prawnego. Umowa powierzenia będzie więc dokumentem, który wskaże ramy powierzonego przetwarzania: przedmiot, czas trwania, charakter, cel, rodzaj danych osobowych, kategorie osób, których dane są przetwarzane, obowiązki i prawa administratora oraz dodatkowe uregulowania zapewniające bezpieczeństwo danych osobowych i zgodności z rozporządzeniem.

Dodatkowo administrator zobowiązany jest korzystać wyłącznie z takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i  organizacyjnych. W intencji administratora jest więc sprawdzenie, przed zawarciem umowy, chociażby reputacji i wiarygodności podmiotu przetwarzającego, jego wiedzy w temacie środków bezpieczeństwa i zasobów oraz ocena adekwatności udzielonych gwarancji. Więcej w temacie kontroli procesora można przeczytać w naszym artykule: https://www.grupablue.pl/kontrola-najwyzsza-forma-zaufania-o-tym-czy-warto-audytowac-swoich-procesorow/

Jak uchronić się przed analogiczną karą?

Najprostszą drogą jest oparcie się na kimś doświadczonym, jak nasza firma Blue Energy, która specjalizuje się we wsparciu przedsiębiorców w ochronie danych osobowych i bezpieczeństwie informacji. Jednak jeżeli sami Państwo zarządzają kwestiami RODO w swojej firmie, należy zawsze pamiętać, żeby sprawdzić czy dochodzi do powierzenia przetwarzania danych osobowych i analogicznie należy zawrzeć umowę powierzenia. Dodatkowo nie należy się bać zadawania pytań podmiotowi, który będzie w naszym imieniu przetwarzać dane, mają Państwo prawo dowiedzieć się

jakie zabezpieczenia stosuje, a później sprawdzać czy są one kontynuowane.

Należy jednak zwrócić uwagę, że na złagodzenie kary wpłynęły działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą. Wniosek z tego płynie jeden, nie warto zamiatać pod dywan problemów.

ŹRÓDŁO: https://uodo.gov.pl/pl/138/2450

#bezpieczeństwo
#IT
#RODO

Zobacz także

25 lip
#bezpieczeństwo
#IT
#RODO
Co z tymi sygnalistami? – pierwsze kary i trzecia odsłona projektu ustawy o ochronie sygnalistów.

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, obowiązuje już od 17 grudnia 2021 r. Do dziś jednak (25.07.2022) w polskim porządku prawnym nie pojawiła się doprecyzowująca wymagania Dyrektywy ustawa o ochronie osób zgłaszających naruszenia prawa.

Czytaj dalej arrow
19 kw.
#bezpieczeństwo
#IT
#RODO
Czy jako Administrator potrafisz dobrać właściwe zabezpieczenia techniczne i organizacyjne niezbędne do zapewnienia zgodności z RODO?

Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną na Prezesa Sądu Rejonowego w Zgierzu. Kara nie jest spektakularna pod względem wysokości (10 000 zł) i została nałożona już w zeszłym roku, ale mimo wszystko warto na nią zwrócić uwagę.

Czytaj dalej arrow
Nie znalazłeś tego, czego szukasz?
Napisz do nas arrow