UMOWA ZA 100 tys. zł.!
Umowa warta 100 tys. zł. !?
Tym razem podmiot publiczny – jako Administrator zapłacił 100 tys. zł. za brak odpowiedniej umowy powierzenia z podmiotem przetwarzającym dane osobowe, zwanym Procesorem.
Podczas migracji danych w instytucji państwowej zostały przekazane do wiadomości publicznej dane osobowe osób fizycznych, co spowodowało podjęcie przez organ nadzorczy UODO czynności kontrolnych, mających na celu ustalenie przyczyn tego wycieku danych.
Winna okazała się treść umowy powierzenia przetwarzania danych, którą Administrator zawarł z podmiotem świadczącym usługi związane z hostingiem platformy szkoleniowej. Umowa ta:
- w sposób niewystarczający doprecyzowywała zakres powierzanych danych,
- nie zawierała postanowień, które choćby w ogólny sposób zobowiązywały podmiot przetwarzający do działania wyłącznie na udokumentowane polecenie Administratora,
- nie nakładała na Procesora obowiązków związanych z monitorowaniem bezpieczeństwa danych osobowych.
Ponadto, Administrator w niedostateczny sposób zaangażował podmiot przetwarzający w proces migracji i nie udzielił pełnych informacji o podejmowanych czynnościach i oczekiwanych rezultatach oraz o istotności podejmowanych działań, mając na względzie ochronę danych osobowych.
„W ocenie Prezesa UODO model współpracy Administratora z podmiotem przetwarzającym był nieskuteczny, a (…) brak zrozumienia przez Administratora roli, jaką pełni w relacji z podmiotem przetwarzającym, doprowadziły do naruszenia ochrony danych osobowych.”
Prezes UODO nie miał zarzutów do działań podmiotu przetwarzającego, który wypełnił obowiązki wynikające z umowy powierzenia i umowy współpracy w sposób należyty oraz stosował przyjęte przez siebie środki organizacyjne mające na celu zapewnienie bezpieczeństwa systemów informatycznych.
W ocenie Prezesa UODO to Administrator nie wywiązał się ze swoich obowiązków, gdyż nie dokonał właściwej analizy i oceny ryzyk. Ponadto, nie upewnił się, że przetwarzane dane osobowe będą odpowiednio zabezpieczone.
Działania Administratora Prezes UODO ocenił jako rażące zaniedbanie obowiązków i naruszenie przepisów RODO poprzez niezastosowanie odpowiednich środków technicznych i organizacyjnych mających zagwarantować zdolność do ciągłego zapewnienia poufności usług przetwarzania oraz brak przetestowania i oceny skuteczności środków technicznych i organizacyjnych, a tym samym niewłaściwe uwzględnienie ryzyka związanego ze zmianami w procesie przetwarzania.