Przedsiębiorcy (administratorzy danych osobowych) często zlecają zadania firmom zewnętrznym, np. wykonanie usług telemarketingowych lub kolportażu materiałów reklamowych, jednocześnie powierzając im dane osobowe potrzebne do realizacji kontraktu. Przy czym przekazanie takich danych procesorom (RODO takim mianem określa firmy, którym powierzono tego typu informacje) powinno się odbyć na podstawie umowy o powierzenia. W tymże kontrakcie najczęściej pojawia się zapis, iż procesor powinien zwrócić lub usunąć przekazane informacje tuż po wykonaniu zadania. Gdy ta kwestia nie jest uregulowana w umowie, procesor powinien zapytać administratora, co ma zrobić z danymi. I choć zasada ta wydaje się prosta, to w praktyce pojawiają się problemy. I tak ostatnio dotarły do nas informacje, że Urząd Ochrony Danych Osobowych, rozpatrując skargę osoby fizycznej, zwrócił się do procesora o podanie informacji o dacie usunięcia danych konkretnej jednostki. Niestety pojawił się kłopot, otóż procesor usunął dane zgodnie z zapisami zawartymi w umowie powierzenia. Nie miał zatem już informacji o usunięciu konkretnych rekordów, bo zgodnie z dyspozycją administratora się ich pozbył.
Tymczasem przedsiębiorcy zastanawiają się, czy UODO ma podstawy do żądania tego typu informacji? A jeśli tak, to co powinien zrobić procesor, aby nie narazić się na karę za brak współpracy z organem nadzorczym? Wszak taka możliwość nie jest tylko teoretyczna – karę w wysokości 100 tys. zł nałożono na głównego geodetę krajowego za utrudnianie organowi nadzorczemu prowadzenie postępowania, a karę w wysokości 5 tys. zł za brak podjęcia korespondencji z urzędu i nieudzielenie odpowiedzi na wezwania organ nałożył na indywidualnego przedsiębiorcę prowadzącego niepubliczny żłobek i przedszkole.