UODO ukarał Sułkowicki Ośrodek Kultury karą pieniężną w kwocie 2,5 tys. zł za powierzenie przetwarzania danych osobowych bez zawartej na piśmie umowy powierzenia oraz bez przeprowadzenia weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych.

Administrator danych, czyli sam SOK, nie zweryfikował podmiotu przetwarzającego ani nie upewnił się, czy zapewnia on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych było zgodne z RODO. Urząd uznał, że administrator nie posiadał żadnych dokumentów potwierdzających weryfikację warunków współpracy z podmiotem przetwarzającym. Zwrócił się do niego także z prośbą o informacje, wyjaśnienia i zwrot lub udostępnienie przetwarzanych danych, co jednak zakończyło się fiaskiem.

UODO przypomina, że administrator danych osobowych, który chce przetwarzać dane osobowe korzystając z usług innego podmiotu zobowiązany jest do wyboru takiego podmiotu, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Przetwarzanie przez podmiot przetwarzający wymaga zaś pisemnej umowy, określającej m.in. przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

UODO stwierdził, że nałożenie administracyjnej kary pieniężnej na administratora jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanego temu podmiotowi naruszenia, a sam administrator, w celu uniknięcia kolejnych sankcji, zwróci należytą uwagę na przetwarzanie danych osobowych za pośrednictwem i przy pomocy podmiotu przetwarzającego.

https://uodo.gov.pl/pl/138/2450