Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/52

Kraj:

Polska

Data wydania decyzji:

07.09.2022 r.

Podmiot kontrolowany:

Sułkowicki Ośrodek Kultury

Wysokość kary (EUR):

530

Podstawa prawna naruszenia

Art. 28 ust. 1, 3, 9 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie przepisów o ochronie danych osobowych przez Sułkowicki Ośrodek Kultury (SOK) polegało na powierzeniu przetwarzania danych osobowych bez zawarcia pisemnej umowy powierzenia oraz bez przeprowadzenia weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: W maju 2020 roku SOK zgłosił naruszenie ochrony danych osobowych 30 osób (pracowników i byłych pracowników) do Prezesa Urzędu Ochrony Danych Osobowych (UODO).
  2. Powierzenie przetwarzania danych: SOK powierzył przetwarzanie danych osobowych Panu K. G., prowadzącemu działalność gospodarczą, bez zawarcia pisemnej umowy powierzenia i bez weryfikacji jego kompetencji.
  3. Zakres danych: Przetwarzane dane obejmowały m.in. imiona, nazwiska, numery PESEL, adresy zamieszkania, numery rachunków bankowych, dane dotyczące zarobków i zdrowia.
  4. Brak dokumentacji: SOK nie posiadał żadnych dokumentów potwierdzających współpracę z podmiotem przetwarzającym ani weryfikację jego kompetencji.
  5. Postępowanie administracyjne: Prezes UODO wszczął postępowanie administracyjne, które wykazało naruszenie przepisów o ochronie danych osobowych.
  6. Kara: Na SOK nałożono administracyjną karę pieniężną w wysokości 2.500 zł.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zawarcie umowy powierzenia: Należy zawsze zawierać pisemne umowy powierzenia przetwarzania danych osobowych, które określają przedmiot, czas trwania, charakter i cel przetwarzania oraz obowiązki i prawa obu stron.
  2. Weryfikacja podmiotu przetwarzającego: Przed powierzeniem przetwarzania danych osobowych, należy przeprowadzić weryfikację podmiotu przetwarzającego, aby upewnić się, że zapewnia on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.
  3. Dokumentacja współpracy: Należy prowadzić i przechowywać dokumentację potwierdzającą współpracę z podmiotami przetwarzającymi oraz przeprowadzoną weryfikację.
  4. Ciągła weryfikacja: Weryfikacja podmiotu przetwarzającego powinna być procesem ciągłym, obejmującym regularne audyty i inspekcje.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO