Articles
The article deals with the risks in the context of the responsibility of the data controller and data processor and the connection of these risks to the inclusion of relevant provisions in the personal data processing agreement(s) to limit responsibility for the imposition of administrative penalties under the article 83 of the Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (GDPR). At the outset, the paper introduces the concept of the data controller and the data processor and the differences between these entities. Then the issue of the data processing agreement and the consequences of the possible absence of the required provisions or of the agreement itself is addressed. The final section presents an analysis and conclusions as to which reasons relating to data processing agreement have resulted in fines imposed according to the Article 83 of the GDPR.
Bertermann N., [w:] E. Ehmann, M. Selmayr, Datenschutz-Grundverordnung, Article 28 GDPR, München 2018.
Commission nationale de l’informatique et des libertés, Délibération SAN-2022-009 concerning the company DEDALUS BIOLOGIE dated 15.04.2022, Légifrance.
Decyzja w sprawie nałożenia grzywny za naruszenie danych osobowych i niezgodne z prawem przetwarzanie danych wydana przez Grecki Urząd Ochrony Danych nr 4/2022.
Délibération SAN-2022-009 issued by Commission nationale de l’informatique et des libertés concerning the company DEDALUS BIOLOGIE, dated 5.04.2022, Légifrance.
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. U. UE. L. z 1995 r. Nr 281, s. 31 z późn. zm.).
European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, 2.09.2020.
European Data Protection Board, Guidelines 3/2018 on the territorial scope of the GDPR, 12.11.2019.
Fajgielski P., Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2022.
Grupa Robocza ds. Ochrony Danych powołana na mocy art. 29, Opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”, przyjęta w dniu 16 lutego 2010 roku.
Hartung J., [w:] J. Kühling, B. Buchner, DS-GVO BDSG, C.H. Beck 2020, Auflage 3, München 2020.
Kamarinou D., [w:] Ch. Kuner, L.A. Bygrave, Ch. Docksey, The EU General Data Protection Regulation (GDPR): A Commentary, Cambridge 2021.
Komentarz do artykułu 28 RODO, red. M. Sakowska-Baryła, Warszawa 2018.
Litwiński P., Komentarz do artykułu 28 RODO, Warszawa 2021.
Lubasz D., Chomiczewski W., Czerniawski M., Drobek P., Góral U., Kuba M., Makowski P., Witkowska-Nowakowska K. [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018.
Spoerr W., [w:] H. Wolff, S. Brink, DS-GVO, BDSG, Grundlagen, Bereichsspezifischer Datenschutz, München 2021.
Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922 z późn. zm.).
Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 27 października 2020 roku, II SA/Wa 310/20.