Wykaz skrótów | str. 15
Część I
Podziały danych osobowych objętych kontrolą
1. Dane osobowe wrażliwe (szczególne kategorie danych), dane o karalności oraz dane osobowe zwykłe | str. 21
2. Dane osobowe podane, zaobserwowane, pochodne oraz wywnioskowane | str. 23
3. Dane uporządkowane oraz nieuporządkowane | str. 26
3.1. Ogólne informacje | str. 26
3.2. Uporządkowanie a ustrukturyzowanie | str. 32
4. Dane identyfikowalne oraz nieidentyfikowalne | str. 33
4.1. Dwie normy wynikające z art. 11 RODO | str. 33
4.2. Artykuł 11 RODO a definicja danych osobowych | str. 34
4.3. Krótkotrwałe i długotrwałe przetwarzanie danych | str. 45
Część II
Pytania i odpowiedzi
1. Czym jest RODO? | str. 49
2. Jakie sankcje administracyjne i karne mogą grozić za naruszenie RODO? | str. 50
3. Czy administracyjne kary pieniężne mogą być nakładane… tylko za naruszenie RODO? | str. 54
4. Jakich kategorii danych dotyczy kontrola/postępowanie? | str. 56
5. Kiedy przepisy RODO nie będą miały zastosowania? | str. 61
6. Jakie inne przepisy dotyczące ochrony danych osobowych… mogą mieć zastosowanie? | str. 65
7. Czy przepisy implementujące dyrektywę policyjną przewidują możliwość przeprowadzenia kontroli przez Prezesa UODO? | str. 66
8. Czy można otrzymać administracyjną karę pieniężną za naruszenie… przepisów implementujących dyrektywę policyjną? | str. 67
9. Jakie sankcje karne mogą grozić za naruszenie przepisów implementujących dyrektywę policyjną? | str. 68
10. Jakie podmioty podlegają kontroli/mogą być adresatem decyzji… w ramach postępowania w sprawie naruszenia przepisów o ochronie danych osobowych? | str. 68
11. Jak należy rozumieć pojęcie kontroli? | str. 70
12. Kiedy prowadzona jest kontrola, a kiedy prowadzi się postępowanie… administracyjne w sprawie naruszenia przepisów o ochronie danych? | str. 71
13. Czy do kontroli uzupełniającej stosuje się przepisy Kodeksu postępowania… administracyjnego (w tym przepisy gwarancyjne)? | str. 78
14. Jaka jest relacja pomiędzy przepisami o kontroli w RODO a przepisami… prawa przedsiębiorców? | str. 81
15. Czy przepisy RODO utrudniają walkę z pandemią COVID-19 i jako takie nie powinny być podczas niej stosowane? | str. 84
16. Czy pandemia koronawirusa zmieniła sposób prowadzenia kontroli? | str. 85
17. Czy pandemia koronawirusa wpłynęła na bieg terminów… w toczących się postępowaniach? | str. 87
18. Jakie podmioty kontrolował Prezes UODO w ubiegłych latach? | str. 90
19. Jak należy rozumieć pojęcie naruszenia przepisów o ochronie… danych osobowych? | str. 93
20. Jakie są tryby kontroli? Czy kontrole mogą być niezapowiedziane? | str. 94
21. Jakie są obowiązki kontrolowanego w trakcie kontroli… i co grozi za ich naruszenie? | str. 98
22. Czy można otrzymać administracyjną karę pieniężną… za samo udaremnianie lub utrudnianie kontroli? | str. 100
23. Czy nałożenie administracyjnej kary pieniężnej za udaremnianie… lub utrudnianie kontroli wyklucza możliwość nałożenia takiej kary także za naruszenie innych przepisów RODO? | str. 103
24. Czy można kwestionować wszczęcie kontroli lub inne czynności w toku kontroli? | str. 104
25. Czy można kwestionować wszczęcie postępowania administracyjnego… lub inne czynności w jego toku? | str. 105
26. Jaka jest relacja zasady rozliczalności do obowiązku zebrania materiału… dowodowego przez organ nadzorczy (art. 77 k.p.a.)? | str. 107
27. Jak ustalić moment wszczęcia postępowania administracyjnego? | str. 111
28. Jakie dokumenty inicjują kontrolę? | str. 112
29. Czy i jak chroniona jest tajemnica przedsiębiorstwa? | str. 114
30. Czy i w jakim zakresie Prezes UODO może mieć dostęp do tajemnic prawnie chronionych w toku kontroli i postępowania administracyjnego? | str. 118
31. Jakie są konsekwencje naruszenia wymogów co do treści upoważnienia… do kontroli? | str. 119
32. Czy kontrola może być realizowana wyłącznie w zakresie upoważnienia? | str. 120
33. Czy pracownicy kontrolowanego administratora/podmiotu… przetwarzającego podlegają kontroli? | str. 121
34. Czy można odpowiadać dyscyplinarnie za naruszenia przepisów… dotyczących ochrony danych osobowych? | str. 122
35. Jak długo może być prowadzona kontrola? | str. 124
36. Kto prowadzi kontrolę? | str. 126
37. Kto może brać udział w kontroli? Czy można prowadzić kontrolę pod nieobecność kontrolowanego? | str. 126
38. Czy sektor publiczny objęty jest także kontrolą? | str. 127
39. Czy można prowadzić kontrolę u procesora (podmiotu przetwarzającego)? | str. 128
40. Jakie uprawnienia ma kontrolujący? | str. 129
41. Jakie uprawnienia kontrolującego przewidują przepisy wdrażające dyrektywę policyjną? | str. 130
42. Jaka jest rola osoby, której dane dotyczą, w ramach kontroli i postępowania? | str. 131
43. W jaki formalny sposób dochodzi do zakończenia kontroli? | str. 134
44. W jaki sposób można kwestionować treść protokołu kontroli? | str. 137
45. Czy protokół kontroli i materiał dowodowy kontroli stają się automatycznie częścią materiału dowodowego w postępowaniu administracyjnym? | str. 138
46. Czy czynności w toku kontroli są utrwalane jedynie w protokole? | str. 139
47. Czy wadliwość czynności w toku kontroli może mieć wpływ na postępowanie administracyjne? | str. 140
48. Kto jest stroną w postępowaniu administracyjnym? | str. 141
49. Kiedy postępowanie administracyjne może być umorzone? | str. 142
50. Jakie są rodzaje rozstrzygnięć co do istoty sprawy w ramach postępowania… w przedmiocie naruszenia przepisów o ochronie danych osobowych? | str. 144
51. Jakie są uprawnienia Prezesa UODO na gruncie ustawy… wdrażającej dyrektywę policyjną? | str. 146
52. Co grozi za brak wykonania decyzji Prezesa UODO? | str. 148
53. Jakie są skutki doręczenia decyzji Prezesa UODO? | str. 149
54. Jaki środek przysługuje w postępowaniu administracyjnym… w przypadku niezałatwienia sprawy w terminie? | str. 149
55. Czy decyzja Prezesa UODO w postępowaniu w sprawie naruszenia… przepisów o ochronie danych osobowych jest natychmiastowo wykonalna? | str. 151
56. Jak można kwestionować (skarżyć) decyzję Prezesa UODO? | str. 152
57. Czy niekorzystny wyrok WSA można zakwestionować? | str. 155
58. Czy do postępowania w sprawie naruszenia przepisów o ochronie danych osobowych stosuje się reguły dotyczące milczącego załatwienia sprawy? | str. 156
59. Jakie są podstawy wyłączenia kontrolera/pracownika organu prowadzącego postępowanie administracyjne w sprawie naruszenia przepisów o ochronie danych osobowych? | str. 156
60. Jakie są administracyjne kary pieniężne w sektorze prywatnym…, a jakie w sektorze publicznym? | str. 157
61. Jakie są kryteria miarkowania kary w ramach decyzji kończącej postępowanie? | str. 159
62. Jak Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej? | str. 162
63. Czy można nałożyć karę pieniężną bez postępowania/decyzji? | str. 163
64. Czy administracyjne kary pieniężne ulegają przedawnieniu? | str. 164
65. W jakim terminie należy zapłacić karę? | str. 165
66. Czy można starać się o rozłożenie kary na raty, odroczenie terminu płatności lub o ulgę w jej wykonaniu? | str. 166
67. Jaka jest wysokość opłaty w przypadku skargi do WSA na decyzję… Prezesa UODO? | str. 167
68. Relacje pomiędzy kontrolą/postępowaniem w sprawie naruszenia przepisów… o ochronie danych osobowych a postępowaniem cywilnym | str. 168
69. Jaka jest rola inspektora ochrony danych w toku kontroli i postępowania w sprawie naruszenia przepisów o ochronie danych osobowych? | str. 170
70. Jaka jest rola inspektora ochrony danych na gruncie przepisów… wdrażających dyrektywę policyjną? | str. 171
71. Jaka jest rola pełnomocników profesjonalnych w toku kontroli i postępowania w sprawie naruszenia przepisów o ochronie danych osobowych? | str. 172
72. Jakie przepisy znajdą zastosowanie do kontroli i postępowania… administracyjnego wszczętych przed 25.05.2018 r.? | str. 173
73. Czy organy nadzorcze z poszczególnych państw członkowskich mogą prowadzić wspólne postępowania? | str. 176
74. Jakie podmioty były ujęte w dotychczasowych planach kontroli? | str. 177
75. Jakie podmioty są ujęte w planie kontroli na 2022 r.? | str. 180
Część III
Jak przygotować się do kontroli?
Rozdział I
Kategorie obowiązków: wymogi bezpośrednie i metawymogi | str. 183
Rozdział II
Jak zapewnić i udokumentować zgodność? | str. 187
1. Zapewnienie rozliczalności w ramach przygotowania do kontroli – wprowadzenie | str. 187
2. Rozliczalność na gruncie ustawy o ochronie danych osobowych z 1997 r. | str. 189
3. Rozliczalność w RODO | str. 190
4. Znaczenie rozliczalności w aspekcie kontroli | str. 191
5. Zakres rozliczalności | str. 191
6. Realizacja rozliczalności | str. 192
7. Inne przykłady realizacji rozliczalności | str. 193
8. Dokumentowanie w ramach rozliczalności | str. 195
9. Dokumentowanie naruszeń ochrony danych osobowych | str. 196
10. Obowiązki dokumentacyjne związane z realizacją obowiązków informacyjnych oraz praw podmiotów danych | str. 198
11. Obowiązki dokumentacyjne związane z korzystaniem z podmiotu przetwarzającego | str. 199
12. Rejestrowanie czynności przetwarzania | str. 200
13. Ocena skutków i uprzednie konsultacje | str. 202
14. Inne obowiązki dokumentacyjne | str. 203
15. Obowiązki dokumentacyjne w RODO a dotychczasowe dokumenty | str. 204
16. Rozliczalność w opiniach i wytycznych Europejskiej Rady Ochrony Danych | str. 206
17. Podsumowanie | str. 208
Rozdział III
Ocena ryzyka | str. 209
1. Ocena ryzyka w RODO | str. 209
1.1. Normatywny kontekst analizy ryzyka w RODO (kiedy ocena ryzyka jest wymagana?) | str. 209
1.2. Ogólny wymóg monitorowania ryzyka dla praw lub wolności (art. 24 ust. 1 RODO) | str. 210
1.3. Ocena ryzyka w fazie projektowania (art. 25 ust. 1 RODO) | str. 210
1.4. Ocena ryzyka pod kątem obowiązku prowadzenia rejestru czynności (art. 30 ust. 5 RODO) | str. 211
1.5. Ocena ryzyka w ramach oceny środków służących bezpieczeństwu (art. 32 ust. 1–2 RODO) | str. 211
1.6. Ocena ryzyka w ramach oceny incydentów bezpieczeństwa danych osobowych pod kątem obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 ust. 1 RODO) | str. 212
1.7. Ocena ryzyka w ramach oceny potrzeby zawiadamiania osoby, której dane dotyczą, w przypadku incydentu (art. 34 ust. 1 RODO) | str. 212
1.8. Ocena ryzyka w ramach oceny skutków dla ochrony danych osobowych (art. 35 ust. 1 RODO) | str. 212
1.9. Ocena ryzyka a funkcjonowanie inspektora ochrony danych (art. 39 ust. 2 RODO) | str. 213
1.10. Założenia wstępne | str. 214
2. Ramy analizy ryzyka | str. 217
2.1. Ryzyko naruszenia praw lub wolności | str. 217
2.2. Przykłady ryzyk | str. 218
2.3. Etapy oceny ryzyka | str. 223
2.4. Zagrożenie a ryzyko | str. 225
2.4.1. Waga zagrożenia a waga ryzyka | str. 229
2.4.2. Prawdopodobieństwo zagrożenia i prawdopodobieństwo ryzyka | str. 231
2.5. Obiektywność oceny | str. 236
2.6. Kryteria postępowania z ryzykiem | str. 236
2.7. Rola podmiotu przetwarzającego | str. 240
3. Ocena skutków dla ochrony danych i uprzednie konsultacje | str. 242
3.1. Ocena skutków – wstęp | str. 242
3.2. Kiedy ocena skutków może być wymagana? | str. 243
3.3. Powiązanie oceny ryzyka i oceny skutków | str. 248
3.4. Kiedy należy się konsultować z organem nadzorczym? | str. 251
3.5. Elementy dokumentacyjne oceny skutków | str. 252
3.6. Ocena ryzyka a inspektor ochrony danych | str. 253
4. Podsumowanie | str. 253
Część IV
Tabele
Tabela nr 1. Elementy pisemnego upoważnienia dla kontrolującego (zgodnie z art. 81 u.o.d.o.) | str. 257
Tabela nr 2. Elementy upoważnienia kontrolującego – porównanie ustawy… o ochronie danych osobowych i Prawa przedsiębiorców | str. 259
Tabela nr 3. Kto ma/może być obecny w czasie kontroli? | str. 260
Tabela nr 4. Uprawnienia kontrolującego | str. 263
Tabela nr 5. Skorelowane obowiązki kontrolowanego | str. 270
Tabela nr 6. Wyłączenie kontrolującego (w toku kontroli) a wyłączenie… pracownika organu nadzorczego (Prezesa UODO) – porównanie | str. 271
Tabela nr 7. Kontrola a czynności sprawdzające w ramach certyfikacji | str. 274
Tabela nr 8. Elementy protokołu kontroli (zgodnie z art. 88 ust. 2 u.o.d.o.) | str. 278
Tabela nr 9. Modyfikacje regulacji Kodeksu postępowania administracyjnego… wprowadzone przez ustawę o ochronie danych osobowych | str. 281
Tabela nr 10. Przykładowe zarzuty możliwe do podniesienia w skardze… na decyzję administracyjną Prezesa UODO w ramach postępowania dowodowego prowadzonego w sprawie naruszenia przepisów ustawy o ochronie danych osobowych w ramach postępowania administracyjnego | str. 295
Tabela nr 11. Wybrane przepisy Kodeksu postępowania administracyjnego… istotne z punktu widzenia kwestionowania rozstrzygnięć w postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych | str. 296
Tabela nr 12. Środek tymczasowy – przesłanki i porównanie ustawy… o ochronie danych osobowych i ustawy o ochronie konkurencji i konsumentów | str. 300
Tabela nr 13. Elementy decyzji administracyjnej kończącej postępowanie… przed Prezesem UODO w sprawie naruszenia przepisów o ochronie danych osobowych | str. 302
Tabela nr 14. Elementy skargi na decyzję/postanowienie Prezesa UODO | str. 307
Tabela nr 15. Elementy skargi kasacyjnej od wyroku WSA | str. 312
Tabela nr 16. Podstawowe środki ochrony prawnej na etapie kontroli… i postępowania w sprawie naruszenia (kwestionowanie czynności lub braku czynności w ramach kontroli i postępowania w sprawie naruszenia przepisów o ochronie danych osobowych) | str. 319
Tabela nr 17. Porównanie administratora bezpieczeństwa informacji… i inspektora ochrony danych (w aspekcie kontroli i audytu wewnętrznego) | str. 324
Tabela nr 18. Przykładowa tabela określająca wymóg i możliwy sposób wdrożenia | str. 328
Tabela nr 19. Zestawienie przepisów dotyczących oceny ryzyka | str. 361
Tabela nr 20. Ocena operacji pod kątem potrzeby dokonywania oceny skutków (przykład) | str. 364
Tabela nr 21. Przykładowy formularz oceny skutków (DPIA) | str. 365
Tabela nr 22. Kontrola RODO a DODO – różnice wynikające z wyłączeń… na gruncie art. 6 u.o.d.z.p. | str. 370
Część V
Wzory pism
1. Wzór skargi na decyzję Prezesa UODO w przedmiocie uchylenia… zastrzeżenia tajemnicy przedsiębiorstwa wraz z wnioskiem o wstrzymanie wykonalności zaskarżonej decyzji | str. 375
2. Wzór skargi na decyzję Prezesa UODO w przedmiocie stwierdzenia… naruszenia i nakazania usunięcia danych osobowych oraz powiadomienia o tym odbiorców, których dane ujawniono | str. 382
3. Wzór skargi na decyzję Prezesa UODO w przedmiocie stwierdzenia… naruszenia i nałożenia administracyjnej kary pieniężnej | str. 386
4. Wzór wniosku o odroczenie terminu uiszczenia administracyjnej kary… pieniężnej ze względu na ważny interes wnioskodawcy | str. 389
5. Wzór skargi na postanowienie Prezesa UODO w przedmiocie odmowy… odroczenia terminu uiszczenia administracyjnej kary pieniężnej | str. 392
6. Wzór skargi na postanowienie Prezesa UODO w przedmiocie ograniczenia… przetwarzania danych osobowych | str. 394
7. Wzór skargi na decyzję Prezesa UODO w przedmiocie wymierzenia kary… grzywny w wysokości 5000 zł stosownie do art. 69 u.o.d.o. | str. 396
8. Wzór zastrzeżeń do protokołu kontroli | str. 399
9. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy… udzielenia akredytacji | str. 401
10. Wzór skargi na decyzję Prezesa UODO w przedmiocie cofnięcia akredytacji | str. 403
11. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy… dokonania certyfikacji | str. 405
12. Wzór skargi na decyzję Prezesa UODO w przedmiocie cofnięcia certyfikacji | str. 407
13. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy… zatwierdzenia wiążących reguł korporacyjnych | str. 409
14. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy… udzielenia zezwolenia, o którym mowa
w art. 46 ust. 3 RODO | str. 411
15. Wzór skargi kasacyjnej od wyroku WSA | str. 413
Bibliografia | str. 419