Artykuły

Tom 135 (2023)

Ryzyko w kontekście odpowiedzialności administratora danych osobowych i podmiotu przetwarzającego a zawarcie zapisów w umowie powierzenia przetwarzania danych osobowych w celu ograniczenia odpowiedzialności

w zakresie nakładania administracyjnych kar pieniężnych w rozumieniu artykułu 83 RODO

Strony: 209-222

PDF

Abstrakt

Niniejszy artykuł jest interdyscyplinarną pracą skupiającą się na dziedzinie prawa oraz zarządzania, konkretnie — zarządzania kontraktami, w której autor podjął próbę przedstawienia ryzyk związanych z zapisami w umowie powierzenia przetwarzania danych osobowych, jakich to zastosowanie może stanowić ograniczenie ryzyka w kontekście nałożenia administracyjnych kar pieniężnych w rozumieniu art. 83 RODO. Na wstępie w pracy zostaje przedstawione pojęcie administratora danych osobowych oraz podmiotu przetwarzającego, a także różnice między tymi podmiotami. Następnie poruszona zostaje kwestia umowy o powierzeniu danych osobowych oraz skutków ewentualnego braku wymaganych zapisów bądź umowy w ogóle. W ostatniej części przedstawiona jest analiza przypadków — tak zwanych case study, oraz wnioski, z jakich powodów dotyczących umów o powierzeniu danych osobowych zostały nałożone kary pieniężne w rozumieniu art. 83 RODO.

Bibliografia

Bertermann N., [w:] E. Ehmann, M. Selmayr, Datenschutz-Grundverordnung, Article 28 GDPR, München 2018.

Commission nationale de l’informatique et des libertés, Délibération SAN-2022-009 concerning the company DEDALUS BIOLOGIE dated 15.04.2022, Légifrance.

Decyzja w sprawie nałożenia grzywny za naruszenie danych osobowych i niezgodne z prawem przetwarzanie danych wydana przez Grecki Urząd Ochrony Danych nr 4/2022.

Délibération SAN-2022-009 issued by Commission nationale de l’informatique et des libertés concerning the company DEDALUS BIOLOGIE, dated 5.04.2022, Légifrance.

Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. U. UE. L. z 1995 r. Nr 281, s. 31 z późn. zm.).

European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, 2.09.2020.

European Data Protection Board, Guidelines 3/2018 on the territorial scope of the GDPR, 12.11.2019.

Fajgielski P., Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2022.

Grupa Robocza ds. Ochrony Danych powołana na mocy art. 29, Opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”, przyjęta w dniu 16 lutego 2010 roku.

Hartung J., [w:] J. Kühling, B. Buchner, DS-GVO BDSG, C.H. Beck 2020, Auflage 3, München 2020.

Kamarinou D., [w:] Ch. Kuner, L.A. Bygrave, Ch. Docksey, The EU General Data Protection Regulation (GDPR): A Commentary, Cambridge 2021.

Komentarz do artykułu 28 RODO, red. M. Sakowska-Baryła, Warszawa 2018.

Litwiński P., Komentarz do artykułu 28 RODO, Warszawa 2021.

Lubasz D., Chomiczewski W., Czerniawski M., Drobek P., Góral U., Kuba M., Makowski P., Witkowska-Nowakowska K. [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018.

Spoerr W., [w:] H. Wolff, S. Brink, DS-GVO, BDSG, Grundlagen, Bereichsspezifischer Datenschutz, München 2021.

Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922 z późn. zm.).

Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 27 października 2020 roku, II SA/Wa 310/20.