Prelucrarea datelor personale de către o persoană împuternicită

Prelucrarea datelor cu caracter personal de către o persoană împuternicită trebuie să fie documentată, adică trebuie să existe un contract, conform art 28, alineat 3 din REGULAMENTUL 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date
Data 20 decembrie 2022 Polonia

Informații de bază
Data deciziei finale: 7 septembrie 2022
Operator: Centrul cultural al municipalității Sułkowice
Referință juridică: cerințe privind persoana împuternicită de către operator [articolul 28 alineatul (1) punctul 3 alineatul (9)
Decizie: Amendă administrativă

Rezumatul deciziei

Originea cauzei
Polish SA a fost notificată cu privire la o încălcare a securității datelor cu caracter personal la Centrul Cultural Sułkowice. În cursul procedurii, s-a constatat că operatorul, fără un contract scris, a utilizat o persoană împuternicită de operator căreia i-a externalizat păstrarea registrelor contabile, a evidențelor și întocmirea rapoartelor (în domeniile finanțelor, impozitării și securității sociale) sau stocarea documentației.

În plus, operatorul nu a verificat dacă persoana împuternicită de către operator oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate pentru a se asigura că prelucrarea datelor cu caracter personal este conformă cu RGPD.

Constatări cheie
Eșecul verificării persoanei împuternicite de către operator și a garanțiilor acestuia pentru prelucrarea în conformitate cu reglementările privind protecția datelor poate atrage consecințe pentru persoanele ale căror date cu caracter personal au fost încredințate persoanei împuternicite de către operator, cum ar fi pierderea datelor cu caracter personal. Numai după examinarea competenței și a caracterului adecvat al persoanei împuternicite de operator alese, operatorul poate proceda la încheierea unui contract adecvat.

În cursul cazului, autoritatea de supraveghere a constatat că operatorul nu deținea niciun document care să confirme verificarea condițiilor de cooperare cu persoana împuternicită de operator. În plus, solicitările adresate operatorului pentru informații, clarificări și returnarea sau accesul la datele prelucrate au rămas fără succes.

Decizia
Autoritatea de Supraveghere a prelucrării datelor personale poloneză a impus o amendă administrativă de 2 500 PLN Centrului Cultural Sułkowice.

Motivul deciziei a fost utilizarea de către operator a unei persoane împuternicite de operator fără contract scris și lipsa verificării dacă persoana împuternicită de operator oferă garanții suficiente pentru a pune în aplicare măsuri tehnice adecvate.

sursa https://edpb.europa.eu/news/national-news/2022/processing-personal-data-processor-must-be-documented_en