Status odbiorcy ma także podmiot przetwarzający. W związku z tym klauzula informacyjna musi wskazywać procesora jako odbiorcę, jeśli są mu przekazywane dane osobowe. Brak w tym zakresie doprowadził do ukarania jednego z administratorów danych osobowych w Luksemburgu.
Naruszenie ochrony danych dotyczyło rozpatrywania reklamacji przez firmę świadczącą usługi komunikacji elektronicznej. Jak ustalono, administrator w toku postępowania reklamacyjnego przekazał dane osobowe podmiotowi przetwarzającemu. W ocenie luksemburskiego organu nadzorczego (CNPD) administrator nie zrealizował w pełnym zakresie obowiązku informacyjnego. Nie poinformował bowiem o podmiocie przetwarzającym jako odbiorcy.
Klauzula informacyjna RODO musi zawierać informacje o odbiorcach, którym są przekazywane dane osobowe (art. 13 ust. 1 lit. e RODO). Odbiorcami są także podmioty przetwarzające.
CNPD stwierdził także, że administrator nie wdrożył adekwatnych środków bezpieczeństwa danych w związku z ich przekazywaniem procesorowi. W konsekwencji procesor ten przekazywał te dane bez podstawy prawnej podmiotom trzecim.
Braki te doprowadziły do ukarania administratora danych osobowych karą w wysokości 1,5 tys. euro. Organ nadzorczy nakazał też doprowadzenie operacji przetwarzania do zgodności z art. 24 ust. 1 RODO. W szczególności nakazano wprowadzenie odpowiednich środków technicznych i organizacyjnych w celu weryfikacji, czy procesor zaprzestanie bezprawnego przekazywania danych podmiotom trzecim.
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
