Risk of misidentifying the role of the controller and processor and its consequences for the organization

PL EN

PL EN

SEARCH

Current issue

Current issue

Modern Management Systems Topics of next issues Current issue Archive

About the Journal Editorial office International editorial board Reviewers Open Access policy Indexation Publisher Journal revenues

For authors Procedure securing the originality of the publication Principles of developing a scientific publication Review procedure Rules for submitting articles Fees

For reviewers Ethical standards

REVIEW PAPER

Risk of misidentifying the role of the controller and processor and its consequences for the organization

Radosław Mieszała ¹

1

Politechnika Wrocławska

Online publication date: 2024-09-30

Publication date: 2024-09-30

NSZ 2024;19(2):73-86

DOI: https://doi.org/10.37055/nsz/200428

References (19)

KEYWORDS

risk of mischaracterizing the role of the controller

controller versus processor

risks associated with the role of the controller

risks associated with the role of the processor

recognition of the processor as the controller

recognition of the controller as the processor

ABSTRACT

This article is an interdisciplinary work focusing on the field of law and management, specifically management in determining the role of a given entity that processes personal data for the controller or processor, in which the author has attempted to present the factors that determine the impact on what role a given entity should assume, moreover, what is the difference in the risk borne by the controller, and to prove that the risk of misdetermining the role of the controller or processor exists and takes place despite many guidelines and the GDPR regulation itself. At the outset, the paper introduces the concept of controller and processor and the differences between these entities. Then the issue of confusion related to the misidentification of the role of controller or processor is addressed using selected examples.

REFERENCES (19)

1.

BIELAK-JOMAA, E., LUBASZ, D. (red.), 2018. RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Warszawa: Wolters Kluwer.

2.

DECYZJA, 2022a. Decyzja w sprawie nałożenia grzywny za naruszenie danych osobowych i niezgodne z prawem przetwarzanie danych, wydana przez Grecki Urząd Ochrony Danych, nr 4.

3.

DECYZJA, 2022b. Decyzja SAN-2022-009 wydana przez Commission Nationale de L’Informatique et des Libertés dot. Dedalus Biologie, 5.04.2022, Légifrance.

4.

DYREKTYWA, 1995. Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. UE L 281 z 23.11.1995).

5.

EDPB, 2020. European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, adopted on 2 September 2020.

6.

GRUPA, 2010. Grupa Robocza ds. Ochrony Danych powołana na mocy art. 29, Opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”, przyjęta w dniu 16 lutego 2010 r.

7.

MIESZAŁA, R., 2023. Ryzyko w kontekście odpowiedzialności administratora danych osobowych i podmiotu przetwarzającego a zawarcie zapisów w umowie powierzenia przetwarzania danych osobowych w celu ograniczenia odpowiedzialności, Przegląd Prawa i Administracji, t. CXXXV.

8.

OPINIA, 2010. Opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” przyjęta przez grupę roboczą „Artykułu 29” w dniu 16 lutego 2010 r. (00264/10/PL, WP 169).

9.

OPINIA, 2017. Opinia rzecznika generalnego Yves’a. Bota w sprawie Wirtschaftsakademie Schleswig‑Holstein.

10.

Opinia, 2018. Opinia rzecznika generalnego Michala Bobeka przedstawiona w dniu 19 grudnia 2018 r. w sprawie C‑40/17 Fashion ID GmbH & Co. KG przeciwko Verbraucherzentrale NRW eV przy udziale Facebook Ireland Limited, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Oberlandesgericht Düsseldorf – wyższy sąd krajowy w Düsseldorfie, Niemcy).

11.

ROZPORZĄDZENIE, 2016. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119/1 z 4.05.2016).

12.

SAKOWSKA-BARYŁA, M., 2015. Prawo do ochrony danych osobowych, Wrocław: Presscom Sp. z o.o.

13.

SAKOWSKA-BARYŁA, M. (red.), 2018. Komentarz do artykułu 28 RODO, Warszawa: C.H. Beck.

14.

SPOERR, W., 2021. [w:] Wolff, H., Brink, S., BeckOK Datenschutzrecht, Article 28 GDPR, margin number 104, Warszawa.

15.

WYROK, 2014. Wyrok Trybunału Sprawiedliwości UE w sprawie František Ryneš przeciwko Úřad pro ochranu osobních údajů, C-212/13, ECLI:EU:C:2014:2428.

16.

WYROK, 2018a. Wyrok Trybunału Sprawiedliwości UE w sprawie Świadków Jehowy, C-25/17, ECLI:EU:C:2018:551.

17.

WYROK, 2018b. Wyrok Trybunału Sprawiedliwości UE w sprawie Vera Egenberger przeciwko Evangelisches Werk für Diakonie und Entwicklung eV, C-414/16, ECLI:EU:C:2018:257.

18.

WYROK, 2018c. Wyrok Trybunału Sprawiedliwości UE (wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Bundesverwaltungsgericht – Niemcy) – Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein przeciwko Wirtschaftsakademie Schleswig-Holstein GmbH, C-210/16, ECLI:EU:C:2018:388.

19.

WYROK, 2019. Wyrok Trybunału Sprawiedliwości UE w sprawie Fashion ID, C-40/17, ECLI:EU:C:2019:629.

Submit your article

Topics of next issues

Share

Indexes

eISSN:	2719-860X
ISSN:	1896-9380

© 2006-2025 Journal hosting platform by Bentus

Scroll to top