Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Obowiązek wdrożenia środka naprawczego

21-09-2021 Autor: Dominika Kuźnicka-Błaszkowska

Uprawnienie do zastosowania środka naprawczego jest jedną z podstawowych kompetencji przysługujących organom nadzorczym. Prezes UODO korzystał z tej możliwości zaledwie kilkukrotnie, a w niektórych przypadkach jego działania w tym zakresie budziły wątpliwości. Podmiot będący adresatem środka naprawczego ma obowiązek jego wdrożenia, niezależnie od ewentualnej próby zaskarżenia działania organu nadzorczego.

 

Określone w art. 58 rodo uprawnienia naprawcze mają wyposażyć organy nadzorcze w całej Unii Europejskiej w kompetencje umożliwiające jednolite stosowanie przepisów rodo. Zwraca na to uwagę unijny prawodawca w motywie 129 preambuły.


Środek naprawczy – zakres i charakter


Uprawnienia naprawcze określone w art. 58 ust. 2 rodo mają charakter władczy i mogą przybierać formę ostrzeżeń, upomnień, nakazów, zakazów i kar, a ich realizacja zabezpieczona jest sankcją administracyjną. Każdemu organowi nadzorczemu przysługują wszystkie uprawnienia naprawcze określone w omawianym przepisie. Należą do nich m.in.:

  • wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów rodo przez planowane operacje przetwarzania;
  • udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rodo przez operacje przetwarzania;„
  • nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy rodo;„
  • nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów rodo, a w stosownych przypadkach wskazanie sposobu i terminu;
  • nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;„
  • wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;
  • nakazanie na mocy art. 16, 17 i 18 rodo sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 rodo powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
  • cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43 rodo lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;
  • nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.

Państwa członkowskie w swoich regulacjach wewnętrznych mogą doprecyzować warunki stosowania środków naprawczych. Tak jest również w przypadku polskiej ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: uodo), gdzie w art. 70 ustawodawca uregulował stosowanie środka naprawczego w postaci wprowadzania czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania. Zastosowanie tego środka naprawczego wymaga od Prezesa UODO wydania postanowienia w sprawie, które może być zaskarżone do sądu administracyjnego. W postanowieniu nakazującym czasowe ograniczenie przetwarzania Prezes UODO jest zobowiązany zarówno do wskazania dopuszczalnego zakresu przetwarzania, jak i czasu obowiązywania ograniczenia. Ograniczenie nie może obowiązywać dłużej niż do dnia wydania ostatecznej decyzji w sprawie.

 

Obowiązek wdrożenia środka naprawczego skierowany jest bądź to do administratora danych, bądź do podmiotu przetwarzającego. Tylko w przypadku określonym w art. 58 ust. 2 lit. h rodo podmiotem zobowiązanym będzie podmiot certyfikujący, zakresem środka naprawczego w takim przypadku może być jedynie nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43 rodo lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane.

Nałożenie środka naprawczego przez organ nadzorczy rodzi po stronie administratora lub podmiotu przetwarzającego zobowiązanie do jego wdrożenia. Jednocześnie organ nie posiada pełnej swobody decyzyjnej w zakresie stosowania tego środka, zarówno jeśli chodzi o czas, jak i przesłanki jego nałożenia.

 

[...]

 

Autorka jest doktorantką w Katedrze Prawa Konstytucyjnego Uniwersytetu Wrocławskiego. Zawodowo pracuje w Fundacji Rodzić po Ludzku oraz prowadzi negocjacje dla klientów z listy Forbes 100, również w zakresie umów powierzenia przetwarzania danych.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.