20 mln euro kary za brak umowy powierzenia przetwarzania danych osobowych!!!

Powierzyłeś obsługę kadrową lub księgową podmiotowi zewnętrznemu? Przechowujesz dane w chmurze na serwerach innego podmiotu? Sprawdź czy masz zawartą umowę powierzenia przetwarzania danych osobowych.

Jej brak może skutkować sankcją nawet 20 mln EURO!!!

Administrator danych osobowych może powierzyć przetwarzanie danych podmiotowi przetwarzającemu (tzw. procesorowi) – w takiej sytuacji procesor przetwarza dane w imieniu (i na zlecenie) administratora, tzn. nie określa samodzielnie celów i sposobów przetwarzania.

W związku z powyższym, do powierzenia przetwarzania danych osobowych dochodzi np. wtedy, gdy przedsiębiorca przekazuje swoim partnerom biznesowym (wykonawcom, dostawcom usług) dane w ramach zlecenia wykonania pewnych czynności na jego rzecz (tzw. outsourcing). Jako przykład można wskazać:

• obsługę księgową;
• obsługę marketingową;
• obsługę informatyczną (w tym także zlecanie przechowywanie danych na serwerach należących do podmiotów trzecich, w „chmurach”);
•  obsługę kadrową, płacową;
•  obsługę szkoleń,
•  zaopatrzenie,
•  zarządzanie dokumentacją i jej niszczenie.

Zgodnie z art. 28 ust. 3 RODO, powierzenie przetwarzania danych osobowych musi odbywać się na podstawie umowy lub innego instrumentu prawnego, które określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

O tym, jak istotne pozostaje zawarcie w odpowiednich sytuacjach umowy powierzenia przetwarzania danych osobowych przypomniał ostatnio Prezes UODO, nakładając pierwszą karę pieniężną na podmiot publiczny.Jednym z powodów nałożenia kary na burmistrza miasta było bowiem niezawarcie umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane.

W przypadku pytań lub wątpliwości zapraszamy do kontaktu z naszym ekspertem.