Przejdź do głównego menu Przejdź do sekcji głównej Przejdź do stopki
Nagłówek strony

Artykuły

Tom 135 (2023)

Ryzyko w kontekście odpowiedzialności administratora danych osobowych i podmiotu przetwarzającego a zawarcie zapisów w umowie powierzenia przetwarzania danych osobowych w celu ograniczenia odpowiedzialności : w zakresie nakładania administracyjnych kar pieniężnych w rozumieniu artykułu 83 RODO

  • Radosław Mieszała
DOI
https://doi.org/10.19195/0137-1134.135.16
Przesłane
27 czerwca 2024
Opublikowane
28-06-2024

Abstrakt

Niniejszy artykuł jest interdyscyplinarną pracą skupiającą się na dziedzinie prawa oraz zarządzania, konkretnie — zarządzania kontraktami, w której autor podjął próbę przedstawienia ryzyk związanych z zapisami w umowie powierzenia przetwarzania danych osobowych, jakich to zastosowanie może stanowić ograniczenie ryzyka w kontekście nałożenia administracyjnych kar pieniężnych w rozumieniu art. 83 RODO. Na wstępie w pracy zostaje przedstawione pojęcie administratora danych osobowych oraz podmiotu przetwarzającego, a także różnice między tymi podmiotami. Następnie poruszona zostaje kwestia umowy o powierzeniu danych osobowych oraz skutków ewentualnego braku wymaganych zapisów bądź umowy w ogóle. W ostatniej części przedstawiona jest analiza przypadków — tak zwanych case study, oraz wnioski, z jakich powodów dotyczących umów o powierzeniu danych osobowych zostały nałożone kary pieniężne w rozumieniu art. 83 RODO.

Bibliografia

  1. Bertermann N., [w:] E. Ehmann, M. Selmayr, Datenschutz-Grundverordnung, Article 28 GDPR, München 2018.
  2. Commission nationale de l’informatique et des libertés, Délibération SAN-2022-009 concerning the company DEDALUS BIOLOGIE dated 15.04.2022, Légifrance.
  3. Decyzja w sprawie nałożenia grzywny za naruszenie danych osobowych i niezgodne z prawem przetwarzanie danych wydana przez Grecki Urząd Ochrony Danych nr 4/2022.
  4. Délibération SAN-2022-009 issued by Commission nationale de l’informatique et des libertés concerning the company DEDALUS BIOLOGIE, dated 5.04.2022, Légifrance.
  5. Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. U. UE. L. z 1995 r. Nr 281, s. 31 z późn. zm.).
  6. European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, 2.09.2020.
  7. European Data Protection Board, Guidelines 3/2018 on the territorial scope of the GDPR, 12.11.2019.
  8. Fajgielski P., Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2022.
  9. Grupa Robocza ds. Ochrony Danych powołana na mocy art. 29, Opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”, przyjęta w dniu 16 lutego 2010 roku.
  10. Hartung J., [w:] J. Kühling, B. Buchner, DS-GVO BDSG, C.H. Beck 2020, Auflage 3, München 2020.
  11. Kamarinou D., [w:] Ch. Kuner, L.A. Bygrave, Ch. Docksey, The EU General Data Protection Regulation (GDPR): A Commentary, Cambridge 2021.
  12. Komentarz do artykułu 28 RODO, red. M. Sakowska-Baryła, Warszawa 2018.
  13. Litwiński P., Komentarz do artykułu 28 RODO, Warszawa 2021.
  14. Lubasz D., Chomiczewski W., Czerniawski M., Drobek P., Góral U., Kuba M., Makowski P., Witkowska-Nowakowska K. [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018.
  15. Spoerr W., [w:] H. Wolff, S. Brink, DS-GVO, BDSG, Grundlagen, Bereichsspezifischer Datenschutz, München 2021.
  16. Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922 z późn. zm.).
  17. Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 27 października 2020 roku, II SA/Wa 310/20.