Administrator musi kontrolować przetwarzającego dane osobowe – surowa kara ostrzeżeniem
Często administratorzy danych uważają, że jeżeli już wybrali przetwarzającego, zawarli odpowiednią umowę, określili w odpowiedni sposób swoje wymagania, to ich rola na tym kończy się. Prawnicy ostrzegają, że to błąd, który może słono firmę kosztować. A Prezes Urzędu Ochrony Danych Osobowych niedawno nałożył karę w wysokości prawie 5 mln zł za zaniedbania takiego wynajętego podmiotu. UODO nałożył na Fortum Marketing and Sales Polska S.A. rekordową wysoką karę pieniężną, bo wynoszącą ponad 4,9 mln zł. To pierwsza tak wysoka sankcja w Polsce. Firma została ukarana za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego. Eksperci nie mają wątpliwości, że nałożenie tej kary trzeba traktować, jako sygnał dla administratorów i podmiotów przetwarzających, że UODO bardzo poważnie podchodzi do wymogu wskazanego w art. 28 ust. 1 RODO. Zgodnie z nim, administrator może powierzać przetwarzanie danych wyłącznie podmiotom, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.