Andmekaitseuudised

GDPRRaamatupidamisfirma kasutamiseks on vaja sõlmida andmetöötlusleping.

Raamatupidamisfirma kasutamiseks on vaja sõlmida andmetöötlusleping.

Postitatud

Poola andmekaitse järelevalveasutus (UODO – Prezes Urzędu Ochrony Danych Osobowych) määras 7.09.2022. a trahvi kultuurikeskusele, kes ei olnud sõlminud raamatupidamisfirmaga GDPR artiklis 28 nõutud andmetöötluslepingut.

Mais 2020 sai järelevalveasutus Sułkowice’ Kultuurikeskuselt (vastutav töötleja) teatise isikuandmetega seotud rikkumise kohta. Rikkumine puudutas kokku 30 inimest, sh ka keskuse enda töötajaid. Järelevalveasutus avastas, et kultuurikeskus oli kaasanud raamatupidamisfirma, kuid jätnud temaga sõlmimata andmetöötluslepingu (vastutava ja volitatud töötleja lepingu).

Lisaks selgus, et keskus ei olnud eelnevalt kontrollinud, kas ja kuidas raamatupidamisfirma rakendab tehnilisi ja korralduslikke meetmeid, et isikuandmete töötlemine vastaks GDPR nõuetele.

Volitatud töötleja ülesandeks oli raamatupidamine ning aruannete koostamine. Selle teenuse käigus töötlesid nad keskuse töötajate ja endiste töötajate isikuandmeid, sh nimi, sünniaeg, pangakonto numbrid, elukohaandmed, isikukood, e-posti aadress, sissetuleku ja vara andmed, ema perekonnanimi, ID kaardi seeria ja number, telefoninumber ja terviseandmed.

GDPR artikli 28 lõike 1 kohaselt peab vastutav töötleja lubama enda nimel isikuandmeid töötlema üksnes selliseid volitatud töötlejaid, kes suudavad piisavalt tagada, et nad rakendavad isikuandmete kaitseks asjakohaseid tehnilisi ja korralduslikke meetmeid.  Sama artikli lõike 3 kohaselt peavad vastutav ja volitatud töötleja sõlmima oma rollijaotust reguleeriva kirjaliku andmetöötluslepingu.

Kultuurikeskus kui tööandja on isikuandmete vastutav töötleja. Raamatupidamisteenuse pakkuja on volitatud töötleja, kes töötleb isikuandmeid vastutava töötleja nimel. Artiklis 28 sätestatud kohustuste täitmine on seega kultuurikeskuse ülesanne ka siis kui ta kasutab volitatud töötleja teenuseid.

Järelevalveasutus jõudis järeldusele, et kultuurikeskus rikkus andmetöötluslepingut sõlmimata jättes GDPR artikli 28 lõigetes 1, 3 ja 9 sätestatud kohustusi.

Eestis pakub andmetöötluslepingutega seotud nõustamist ja abi GDPR24.

Kirjuta meile – info@gdpr24.ee või helista 6200 586.

 

Artikli kirjutamisel kasutatud allikas:

https://uodo.gov.pl/decyzje/DKN.5131.29.2022

Kategooriad: GDPR