GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych
11 października 2023

Kara za podpowierzenie. Administratorze pilnuj swojego procesora!

Autor: Redakcja
Udostępnij publikację:

Hiszpański organ ds. ochrony danych nałożył karę w wysokości 72 tys. euro na administratora z powodu naruszenia przepisów art. 28 ust. 2 i art. 28 ust. 3 RODO. Stało się tak, choć nie zawarto żadnej umowy między administratorem a podmiotem podprzetwarzającym, a administrator nie był poinformowany o zaangażowaniu tego podmiotu w przetwarzanie.

Kara za podpowierzenie. Administratorze pilnuj swojego procesora!

Kontekst

Przesyłka od Carrefour miała zostać dostarczona na adres skarżącego. Osoba ta wyraziła zgodę na dostarczenie przesyłki sąsiadowi, w przypadku gdyby jej nie było w domu. Jednak paczka została dostarczona komuś zupełnie innemu, a znajdowały się na niej takie dane osobowe skarżącego jak: jego imię, nazwisko, adres, oraz dane zawierającego jego numer rachunku. W związku z tym odbiorca złożył skargę do hiszpańskiego organu nadzoru.

W wyniku postępowania okazało się, że Carrefour (administrator) ma zawartą umowę z podmiotem przetwarzającym odpowiedzialnym za dostawy, firmą Fourth Party Logistics SL. Ten podmiot wbrew postanowieniom umowy oraz bez wiedzy i zgody administratora wybrał dwóch podprocesorów. Jak wyjaśniał podmiot przetwarzający  – w dostawę paczki zaangażowanych było dwóch podprocesorów, Envialiva World SL. i The Bee Logstics SL, jednakże organowi ochrony danych nie przedstawiono żadnej umowy pomiędzy procesorem i podprocesorami.

Akademia IOD szkolenie

Brak nadzoru administratora

Organ nadzoru uznał, że istnieją wystarczające dowody, aby nałożyć administracyjną karę pieniężną na administratora. Zwłaszcza biorąc pod uwagę brak prawnie wiążących instrumentów pomiędzy podmiotem przetwarzającym a podprzetwarzającymi zaangażowanymi w dostarczenie przesyłki skarżącemu. Mając na uwadze, że podprocesor musiał przetwarzać dane osobowe kontrolowane przez administratora  – doszło do naruszenia przepisów RODO.

Na tej podstawie hiszpański organ ochrony danych ustalił, że za naruszenie art. 28 ust. 2 i art. 28 ust. 3 RODO może zostać nałożona potencjalna grzywna w wysokości 90 tys. euro. Podmiot przetwarzający dane postanowił zakończyć postępowanie, płacąc obniżoną karę w wysokości 72 tys. euro, przyznając, że doszło do naruszenia przepisów o ochronie danych osobowych.

Podprocesor – słabe ogniwo

Administratorzy powinni zawsze być w stanie kontrolować działania swoich procesorów. Fakt, że pomimo zapisów w umowie podmiot przetwarzający wybiera własnych podprocesorów, bez wiedzy i zgody administratora, pokazuje jak ważna jest weryfikacja procesora przed zawarciem z nim umowy oraz kwestia bieżącej komunikacji.

 

Źródło: https://www.aepd.es/documento/ps-00243-2023.pdf

 

 

Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies