Wykaz skrótów | str. 13

Wprowadzenie | str. 21

Rozdział I

Regulowanie obowiązków prawnych w oparciu o kryterium ryzyka | str. 27

1. Sposoby konkretyzacji obowiązków w prawie | str. 27
2. Definicja terminu „ryzyko” | str. 30
3. Zastosowanie konstrukcji konkretyzacji obowiązków prawnych w oparciu o kryterium ryzyka w wybranych aktach prawnych | str. 35

Rozdział II

Metody badawcze konkretyzacji obowiązków prawnych ustalanych w oparciu o kryterium ryzyka | str. 54

1. Wprowadzenie | str. 54
2. Metoda badań naukowych | str. 55
3. Zastosowanie normatywnej teorii wykładni | str. 56

Rozdział III

Ryzyko naruszenia praw lub wolności osób fizycznych | str. 60

1. Regulacja prawna ryzyka w RODO | str. 60
2. Akt konkretyzacji obowiązku prawnego na podstawie kryterium ryzyka naruszenia praw lub wolności osób fizycznych i jego wykonanie | str. 77
3. Ujęcie podmiotowe i przedmiotowe ryzyka naruszenia praw lub wolności osób fizycznych | str. 83

3.1. Ujęcie podmiotowe | str. 83

3.2. Ujęcie przedmiotowe | str. 86

3.3. Prawa i wolności osób fizycznych, których dotyczy ryzyko | str. 89

3.3.1. Źródła regulacji praw i wolności osób fizycznych – uwagi wstępne | str. 89

3.3.2. Prawa i wolności osób fizycznych określone w RODO | str. 92

3.3.3. Prawa i wolności osób fizycznych określone w Traktatach | str. 98

3.3.4. Prawa i wolności osób fizycznych określone w Karcie Praw Podstawowych Unii
Europejskiej | str. 105

3.3.5. Prawa i wolności osób fizycznych określone w EKPCz | str. 111

3.3.6. Prawa i wolności osób fizycznych określone w Konstytucji RP | str. 112

3.4. Skutki prawne naruszenia praw lub wolności osób fizycznych | str. 122

Rozdział IV

Metody identyfikacji i szacowania ryzyka naruszenia praw lub wolności osób fizycznych | str. 131

1. Znaczenie podejścia procesowego dla identyfikacji i zarządzania ryzykiem naruszenia praw lub wolności osób fizycznych, których dane osobowe są przetwarzane | str. 131
2. Zastosowanie dokumentacji wewnętrznej do identyfikacji ryzyka | str. 135

2.1. Uwagi ogólne | str. 135

2.2. Modele i mapy procesów | str. 136

2.3. Metodyka analizowania ryzyka | str. 139

2.3.1. Wyjaśnienie pojęć metodologii, metodyki i metody oceny ryzyka | str. 139

2.3.2. Wymagania RODO dotyczące metodyki analizowania ryzyka | str. 140

2.4. Przegląd wybranych metodyk wykorzystywanych do analizy ryzyka związanej z przetwarzaniem danych osobowych | str. 143

2.4.1. Metodyka proponowana przez polskiego regulatora – GIODO | str. 143

2.4.2. Metodyki opracowane przez regulatora francuskiego – CNIL | str. 144

2.4.3. Metodyka zaproponowana przez brytyjski organ nadzorczy – ICO | str. 145

2.4.4. Metodyka zaproponowana w Podręczniku Inspektora Ochrony Danych | str. 145

2.4.5. Porównanie metodyk | str. 146

3. Przegląd wybranych rekomendacji i standardów związanych z podejściem opartym na ryzyku | str. 149

3.1. Rekomendacje ENISA w sprawie oceny skutków naruszenia danych osobowych | str. 149

3.2. Norma ISO 31010 – wybrane metody analizowania ryzyka | str. 150

3.3. Norma ISO 27005. Zarządzanie ryzykiem w bezpieczeństwie informacji | str. 152

3.4. Norma ISO 29134. Wytyczne dotyczące oceny skutków dla prywatności | str. 152

4. Iteracje, wykorzystanie audytu do zarządzania przetwarzaniem danych osobowych opartego na ryzyku | str. 153
5. Ustanawianie kontekstu i szacowanie ryzyka naruszenia praw lub wolności osób fizycznych | str. 154

5.1. Uwagi ogólne | str. 154

5.1.1. Analiza prosta w zastosowaniu | str. 154

5.1.2. Analiza obiektywna i pomocna przy wykazywaniu zgodności | str. 156

5.2. Ustanawianie kontekstu przetwarzania | str. 157

5.2.1. Uwagi wprowadzające | str. 157

5.2.2. Cele analizowania ryzyka | str. 159

5.2.3. Kryteria identyfikacji ryzyka naruszenia praw lub wolności osób fizycznych, skala ryzyka | str. 161

5.2.4. Cele przetwarzania danych osobowych i czynności przetwarzania | str. 165

5.2.5. Kategorie danych, osób, których dane dotyczą, ich prawa i wolności | str. 167

5.3. Szacowanie ryzyka | str. 171

5.3.1. Uwagi ogólne | str. 171

5.3.2. Zagrożenia | str. 173

5.3.3. Prawdopodobieństwo materializacji
zagrożenia | str. 177

5.3.3.1. Przegląd metodyk dotyczących szacowania prawdopodobieństwa | str. 177

5.3.3.2. Wykorzystanie statystyki do oceny prawdopodobieństwa naruszenia praw i wolności | str. 180

5.3.3.3. Ocena niezawodności człowieka | str. 192

5.3.3.3.1. Uwagi wprowadzające | str. 192

5.3.3.3.2. Metoda TESEO | str. 195

5.3.3.3.3. Metoda HEART (ang. human error assessment and reduction technique) | str. 195

5.3.3.4. Sposób obliczania prawdopodobieństwa ..                              196

5.3.4. Następstwa materializacji zagrożenia | str. 216

5.3.5. Wstępne wyliczenie ryzyka | str. 221

Rozdział V

Postępowanie z ryzykiem naruszenia praw lub wolności osób fizycznych | str. 224

1. Uwagi ogólne | str. 224
2. Analiza i ocena ryzyka | str. 225

2.1. Wprowadzenie | str. 225

2.2. Sposób sprowadzenia wyników do oczekiwanej skali ryzyka (współczynnik korekcji) | str. 226

2.3. Ewaluacja ryzyka | str. 227

2.4. Zarządzanie niepewnością danych | str. 229

3. Modyfikowanie ryzyka do poziomu zwykłego | str. 234

3.1. Uwagi ogólne | str. 234

3.2. Katalog referencyjny środków i katalog zrealizowanych środków, czyli wyznaczanie poziomu realizacji zabezpieczeń | str. 238

3.3. Ocena poziomu realizacji zabezpieczeń | str. 244

3.4. Ocena adekwatności zastosowanych środków, odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania | str. 245

3.4.1. Uwagi wprowadzające | str. 245

3.4.2. Przykładowe obszary oceny adekwatności zabezpieczeń | str. 247

3.4.2.1. Środki techniczne | str. 247

3.4.2.2. Środki organizacyjne | str. 248

3.4.2.3. Bezpieczeństwo osobowe | str. 250

3.4.2.4. Testowanie, mierzenie i ocenianie skuteczności środków | str. 251

3.5. Podatność jako parametr odwrotnie proporcjonalny do poziomu realizacji zabezpieczeń | str. 253

4. Określanie ryzyka szczątkowego | str. 258
5. Dalsze postępowanie z nieakceptowalnym ryzykiem czynności przetwarzania | str. 261

5.1. Obniżanie ryzyka na poziomie poszczególnych operacji – ocena skutków przetwarzania | str. 261

5.2. Unikanie, transferowanie lub dzielenie ryzyka | str. 262

6. Rejestrowanie, raportowanie i akceptowanie ryzyka naruszenia praw lub wolności osób fizycznych | str. 265

Rozdział VI

Nadzór administracyjnoprawny wykonania obowiązków prawnych na podstawie kryterium ryzyka naruszenia praw lub wolności osób fizycznych | str. 270

1. Wprowadzenie | str. 270
2. Zdolność prawna Prezesa UODO | str. 271
3. Kompetencja szczególna Prezesa UODO | str. 279

3.1. Uwagi wstępne | str. 279

3.2. Kompetencja szczególna związana z udzielaniem, odmową i cofaniem certyfikatów | str. 282

3.2.1. Rodzaj kompetencji w ramach postępowania administracyjnego i poza tym postępowaniem | str. 282

3.2.2. Znaczenie analizy ryzyka w postępowaniu w sprawie udzielenia certyfikatu, odmowy udzielenia oraz cofnięcia certyfikatu | str. 293

3.3. Kompetencja szczególna związana z zatwierdzaniem kodeksu postępowania oraz warunków i trybu akredytacji podmiotu monitorującego jego przestrzeganie | str. 296

3.3.1. Rodzaj kompetencji w ramach postępowania administracyjnego i poza tym postępowaniem | str. 296

3.3.2. Znaczenie analizy ryzyka w postępowaniu w sprawie zatwierdzenia kodeksu postępowania oraz warunków i trybu akredytacji podmiotu monitorującego jego przestrzeganie | str. 300

3.4. Kompetencja szczególna związana z prowadzeniem postępowania w sprawie naruszenia przepisów o ochronie danych osobowych | str. 301

3.4.1. Rodzaj kompetencji w ramach postępowania administracyjnego | str. 301

3.4.2. Znaczenie analizy ryzyka w postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych | str. 310

3.5. Kompetencja szczególna związana z nakładaniem administracyjnych kar pieniężnych | str. 311

3.5.1. Zasady nakładania kar pieniężnych | str. 311

3.5.2. Znaczenie analizy ryzyka w postępowaniu w sprawie nakładania administracyjnych kar pieniężnych | str. 320

4. Zastosowanie zasad ogólnych postępowania administracyjnego w postępowaniu przed Prezesem
   UODO | str. 320

4.1. Uwagi wstępne | str. 320

4.2. Zastosowanie zasady praworządności działania organu administracji publicznej i dbałości o praworządne działanie stron i uczestników postępowania w postępowaniu przed Prezesem UODO | str. 324

4.3. Zasada prawdy obiektywnej | str. 341

4.4. Zasada pogłębiania zaufania do organu władzy publicznej | str. 359

4.5. Zasada przekonywania | str. 365

5. Rozstrzyganie sprawy indywidualnej w postępowaniu przed Prezesem UODO | str. 369
6. Środki odwoławcze od rozstrzygnięć Prezesa UODO | str. 375
7. Prawomocność i egzekwowalność orzeczeń sądów administracyjnych w sprawach skarg na decyzje i postanowienia Prezesa UODO | str. 378

Zakończenie | str. 383

Bibliografia | str. 407

Wykaz orzecznictwa | str. 415

Spis tabel | str. 423

Spis schematów | str. 425

Autorzy | str. 427