Hiszpański organ ds. ochrony danych nałożył karę w wysokości 72 tys. euro na administratora z powodu naruszenia przepisów art. 28 ust. 2 i art. 28 ust. 3 RODO. Stało się tak, choć nie zawarto żadnej umowy między administratorem a podmiotem podprzetwarzającym, a administrator nie był poinformowany o zaangażowaniu tego podmiotu w przetwarzanie.
Kontekst
Przesyłka od Carrefour miała zostać dostarczona na adres skarżącego. Osoba ta wyraziła zgodę na dostarczenie przesyłki sąsiadowi, w przypadku gdyby jej nie było w domu. Jednak paczka została dostarczona komuś zupełnie innemu, a znajdowały się na niej takie dane osobowe skarżącego jak: jego imię, nazwisko, adres, oraz dane zawierającego jego numer rachunku. W związku z tym odbiorca złożył skargę do hiszpańskiego organu nadzoru.
W wyniku postępowania okazało się, że Carrefour (administrator) ma zawartą umowę z podmiotem przetwarzającym odpowiedzialnym za dostawy, firmą Fourth Party Logistics SL. Ten podmiot wbrew postanowieniom umowy oraz bez wiedzy i zgody administratora wybrał dwóch podprocesorów. Jak wyjaśniał podmiot przetwarzający – w dostawę paczki zaangażowanych było dwóch podprocesorów, Envialiva World SL. i The Bee Logstics SL, jednakże organowi ochrony danych nie przedstawiono żadnej umowy pomiędzy procesorem i podprocesorami.
Brak nadzoru administratora
Organ nadzoru uznał, że istnieją wystarczające dowody, aby nałożyć administracyjną karę pieniężną na administratora. Zwłaszcza biorąc pod uwagę brak prawnie wiążących instrumentów pomiędzy podmiotem przetwarzającym a podprzetwarzającymi zaangażowanymi w dostarczenie przesyłki skarżącemu. Mając na uwadze, że podprocesor musiał przetwarzać dane osobowe kontrolowane przez administratora – doszło do naruszenia przepisów RODO.
Na tej podstawie hiszpański organ ochrony danych ustalił, że za naruszenie art. 28 ust. 2 i art. 28 ust. 3 RODO może zostać nałożona potencjalna grzywna w wysokości 90 tys. euro. Podmiot przetwarzający dane postanowił zakończyć postępowanie, płacąc obniżoną karę w wysokości 72 tys. euro, przyznając, że doszło do naruszenia przepisów o ochronie danych osobowych.
Podprocesor – słabe ogniwo
Administratorzy powinni zawsze być w stanie kontrolować działania swoich procesorów. Fakt, że pomimo zapisów w umowie podmiot przetwarzający wybiera własnych podprocesorów, bez wiedzy i zgody administratora, pokazuje jak ważna jest weryfikacja procesora przed zawarciem z nim umowy oraz kwestia bieżącej komunikacji.
Źródło: https://www.aepd.es/documento/ps-00243-2023.pdf