Wykaz skrótów 13
Wstęp 15
Rozdział I. Informacje ogólne 19
1. Czym jest RODO 19
2. Kogo dotyczy RODO 20
3. Stosowanie RODO 21
4. Kategorie obowiązków: wymogi bezpośrednie i metawymogi 23
5. Kary pieniężne i sankcje karne 25
6. Przetwarzanie a publiczny dostęp do dokumentów urzędowych 27
Rozdział II. Pojęcie danych osobowych 30
1. Informacje ogólne 30
2. Podziały danych osobowych i ich praktyczne konsekwencje 34
2.1. Dane osobowe wrażliwe (szczególne kategorie danych), dane o karalności oraz dane osobowe zwykłe 34
2.2. Dane osobowe podane, zaobserwowane, pochodne oraz wywnioskowane 36
2.3. Dane uporządkowane oraz nieuporządkowane 38
2.3.1. Ogólne informacje 38
2.3.2. Uporządkowanie a ustrukturyzowanie 45
2.4. Dane identyfikowalne oraz nieidentyfikowalne 46
2.4.1. Dwie normy wynikające z art. 11 RODO 46
2.4.2. Art. 11 RODO a definicja danych osobowych 47
2.5. Krótkotrwałe i długotrwałe przetwarzanie danych 55
Rozdział III. Główni aktorzy RODO 56
1. Administrator danych 56
1.1. Informacje ogólne 56
1.2. Obowiązek powołania IOD a pojęcie ADO 58
2. Współadministrowanie danymi 63
3. Kolejne podmioty w łańcuchu przetwarzania danych: osoby upoważnione oraz podmioty przetwarzające 66
3.1. Umocowanie (upoważnienie) personelu administratora danych 67
3.2. Powierzenie 77
3.2.1. Powierzenie danych a udostępnienie danych i współadministrowanie 77
3.2.2. Wiarygodny procesor 84
3.2.3. Podpowierzenie 85
3.2.4. Elementy powierzenia 86
3.2.4.1. Specyfikacja danych osobowych 86
3.2.4.2. Prawa i obowiązki w ramach powierzenia 88
3.2.5. Forma powierzenia 91
3.2.6. Aktualizacja umów 91
Rozdział IV. Filary RODO. Zasady ogólne 94
1. Wstęp 94
2. Zasady 94
2.1. Zgodność z prawem, rzetelność i przejrzystość 94
2.2. Ograniczenie celu 96
2.3. Minimalizacja danych 98
2.4. Prawidłowość 99
2.5. Ograniczenie przechowywania 101
2.6. Integralność i poufność 102
3. Rozliczalność 102
3.1. Informacje ogólne 102
3.2. Rozliczalność w aspekcie proceduralnym 103
3.3. Rozliczalność w aspekcie technicznym 105
3.4. Rozliczalność wbudowana w treść przepisów 108
Rozdział V. Podstawy przetwarzania danych osobowych 111
1. Podstawy (warunki) przetwarzania danych osobowych zwykłych 111
1.1. Kiedy można przetwarzać dane osobowe zwykłe 111
1.2. Typowe podstawy przetwarzania danych osobowych w przypadku organów administracji publicznej 112
1.2.1. Informacje ogólne 112
1.2.2. Regulacja podstaw przetwarzania w prawie krajowym 116
1.2.3. Przykłady projektowanych regulacji podstaw prawnych realizujących podstawę kompetencyjną 
z art. 6 ust. 3 RODO 118
1.3. Zawarcie i realizacja umowy 119
1.4. Zgoda jako podstawa przetwarzania danych przez podmioty z sektora publicznego 120
1.5. Czy istnieje możliwość powoływania się na uzasadniony interes administratora danych w sektorze publicznym 126
2. Przesłanki przetwarzania danych osobowych wrażliwych 130
3. Przesłanki przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa 132
Rozdział VI. Realizacja praw podmiotów danych 133
1. Wstęp 133
2. Rozróżnienie praw podmiotów danych (art. 12–22 RODO) 138
2.1. Prawa niewymagające (co do zasady) do ich realizacji weryfikacji tożsamości (zestandaryzowane) 138
2.1.1. Rozróżnienie art. 13 oraz 14 RODO 138
2.1.2. Katalogi zestandaryzowanych informacji zawarte w art. 13 i 14 RODO 140
2.1.3. Uwagi ogólne (wspólne dla art. 13–14 RODO) 142
2.1.4. Rekomendacje 145
2.1.5. Standaryzacja (znaki graficzne) 145
2.1.6. Zestandaryzowane obowiązki informacyjne – przepisy szczególne 146
2.2. Prawa wymagające do ich realizacji weryfikacji tożsamości 149
2.2.1. Problem weryfikacji identyfikacji i weryfikacji tożsamości 149
2.2.2. Opis poszczególnych praw 156
3. Treść komunikatu skierowanego do podmiotu danych 161
4. Ułatwianie realizacji praw podmiotu danych i sposób komunikacji 162
5. Termin realizacji praw podmiotów danych 165
6. Opłaty w ramach realizacji praw podmiotów danych 169
7. Wyjątki oraz regulacje szczególne względem RODO w ramach realizacji praw podmiotów danych w odniesieniu do sektora publicznego 170
7.1. Wyłączenia ogólne w ustawie z 10.05.2018 r. o ochronie danych osobowych 171
7.1.1. Wyłączenie ogólne w zakresie zestandaryzowanych obowiązków informacyjnych 171
7.1.2. Wyłączenie ogólne w ustawie z 10.05.2018 r. o ochronie danych osobowych w zakresie prawa dostępu
do danych 175
7.2. Wyłączenia i modyfikacje wynikające z projektowanych przepisów sektorowych 179
7.3. Wyłączenia lub ograniczenia wynikające z przepisów RODO, które mogą dotyczyć sektora publicznego 180
7.3.1. Prawo do uzyskania standardowych informacji (art. 14 ust. 5 RODO) 180
7.3.2. Prawo do ograniczenia przetwarzania (art. 18 RODO) 181
7.3.3. Prawo do usunięcia danych – prawo do bycia zapomnianym (art. 17 RODO) 181
7.3.4. Przenoszenie danych 182
8. Charakter prawny czynności w ramach realizacji praw podmiotów danych 182
9. Publicznoprawne konsekwencje naruszenia praw podmiotów danych 184
Rozdział VII. Ocena ryzyka w ramach działalności organów administracji publicznej 185
1. Normatywny kontekst analizy ryzyka w RODO (kiedy ocena ryzyka jest wymagana?) 185
1.1. Ogólny wymóg monitorowania ryzyka dla praw lub wolności (art. 24 ust. 1 RODO) 186
1.2. Ocena ryzyka w fazie projektowania (art. 25 ust. 1 RODO) 186
1.3. Ocena ryzyka pod kątem obowiązku prowadzenia rejestru czynności (art. 30 ust. 5 RODO) 187
1.4. Ocena ryzyka w ramach oceny środków służących bezpieczeństwu (art. 32 ust. 1–2 RODO) 187
1.5. Ocena ryzyka w ramach oceny incydentów bezpieczeństwa danych osobowych pod kątem obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 ust. 1 RODO) 188
1.6. Ocena ryzyka w ramach oceny potrzeby zawiadamiania osoby w przypadku incydentu (art. 34 ust. 1 RODO) 188
1.7. Ocena ryzyka w ramach oceny skutków dla ochrony danych osobowych (art. 35 ust. 1 RODO) 189
2. Szczególne uregulowania dotyczące organów administracji publicznej 190
3. Ramy analizy ryzyka 192
3.1. Czym jest ryzyko naruszenia praw lub wolności 192
3.2. Przykłady ryzyk 194
3.3. Etapy oceny ryzyka 197
3.4. Zagrożenie a ryzyko 200
3.4.1. Waga zagrożenia a waga ryzyka 204
3.4.2. Prawdopodobieństwo zagrożenia i prawdopodobieństwo ryzyka 205
3.5. Obiektywność oceny 207
3.6. Kryteria postępowania z ryzykiem 208
4. Ocena skutków dla ochrony danych i uprzednie konsultacje 211
4.1. Ocena skutków – wstęp 211
4.2. Kiedy ocena skutków może być wymagana 212
4.3. Powiązanie oceny ryzyka i oceny skutków 215
4.4. Kiedy należy się konsultować z organem nadzorczym 218
4.5. Elementy dokumentacyjne oceny skutków 219
4.6. Ocena ryzyka a IOD 219
5. Przykładowy algorytm analizy ryzyka 220
5.1. Ocena ryzyka i ocena skutków w sytuacjach innych niż incydent bezpieczeństwa 220
5.2. Ocena ryzyka w przypadku incydentu bezpieczeństwa 224
6. Podsumowanie 226
Rozdział VIII. Bezpieczeństwo i incydenty 227
1. Wstęp 227
2. Obowiązek zgłoszenia naruszenia ochrony danych osobowych 230
3. Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych 233
3.1. Informacje ogólne 233
3.2. Elementy zawiadomienia 233
3.3. Kiedy zawiadomienie nie jest wymagane 234
3.4. Modyfikacje mechanizmu zawiadomienia w prawie krajowym 234
3.5. Opinia Grupy Roboczej Art. 29 235
Rozdział IX. Inspektor ochrony danych (IOD) 236
1. Obowiązek wyznaczenia IOD 236
2. Kwalifikacje zawodowe IOD 241
3. Relacja prawna IOD – administrator danych (procesor) 244
4. Miejsce IOD w strukturze administratora (procesora) 245
5. Zadania i uprawnienia IOD 247
5.1. Zadania obligatoryjne 247
5.2. Zadania fakultatywne 249
5.2.1. Wykluczone zadania fakultatywne 250
5.2.2. Inne zadania fakultatywne 251
5.3. Stanowiska wybranych organów nadzorczych co do zadań IOD 252
5.3.1. GIODO 252
5.3.2. Hiszpański organ nadzorczy 253
5.4. Uprawnienia wewnątrzorganizacyjne 254
6. Inne zadania IOD w kontekście konfl iktu interesów 255
Bibliografia 257