Prezes Urzędu Ochrony Danych Osobowych po raz pierwszy od wejścia w życie rozporządzenia 2016/679 ukarał podmiot publiczny za nieprzestrzeganie zapisów rozporządzenia RODO. Główną przesłanką do nałożenie kary był brak niektórych umów powierzenia przetwarzania danych.
Umowy powierzenia przetwarzania danych powinny być zawierane w sytuacjach, w których podmiot przetwarzający (osoba fizyczna, osoba prawna, spółka handlowa) przetwarza dane osobowe w imieniu administratora (mogą to być dane przekazywane przez administratora lub pozyskiwane w jego imieniu).
Przykładowo, podmiotem przetwarzającym może być:
- Firma informatyczna, która opiekuje się systemami informatycznymi / bazami danych zawierającymi dane osobowe niezależnie czy jest to system znajdujący się fizycznie w siedzibie Państwa jednostki lub poza nią.
- Przychodnia (lub lekarz jako osoba fizyczna) realizująca usługę lekarza medycyny pracy.
- Firma (lub osoba fizyczna) realizująca usługę inspektora BHP.
- Firma, która na zlecenie odbiera dokumenty z danymi osobowymi oraz je niszczy (podobna zasada dotyczy informatycznych nośników danych).
- Operator wycieczek zorganizowanych, który na zlecenie i na podstawie przekazanych danych osobowych (pracowników, dzieci pracowników, osób znajdujących się pod opieką samorządu) organizuje grupowy wyjazd.
- Firma przygotowująca posiłki dla uczniów w szkołach czy dla podopiecznych ośrodków społecznych.
- Firma obsługująca budynki administracji.
- Firma ochroniarska.
- Przychodnia (lub osoba fizyczna) świadcząca w szkołach (lub innych ośrodkach) usługi medyczne.
- Firmy świadczące zewnętrzne usługi działu kadr oraz księgowości.
Podmioty przetwarzające powinny być wpisane do Rejestru Czynności Przetwarzania.
Podmiotem przetwarzającym nie są urzędy czy organy, które przetwarzają dane osobowe (są odbiorcami danych) w ramach realizacji obowiązków ustawowych.
Pełna informacja o nałożeniu kary poniżej: