Wykaz skrótów | str. 13

Słowo wstępne | str. 15

Rozdział 1
Zagadnienia ogólne, definicje oraz zasady przetwarzania danych – Dominik Lubasz, Katarzyna Witkowska-Nowakowska | str. 17
1.1. Zagadnienia wprowadzające – Dominik Lubasz | str. 17
1.2. Zakres zastosowania regulacji – Dominik Lubasz | str. 19
1.3. Defi nicje kluczowych pojęć – Dominik Lubasz | str. 21
1.3.1. Dane osobowe | str. 21
1.3.2. Przetwarzanie | str. 26
1.3.3. Administrator i podmiot przetwarzający | str. 27
1.4. Zasady przetwarzania – Katarzyna Witkowska-Nowakowska | str. 28
1.4.1. Zasady: legalności, rzetelności i przejrzystości | str. 29
1.4.2. Zasada ograniczenia celu | str. 30
1.4.3. Zasada minimalizacji danych | str. 31
1.4.4. Zasada prawidłowości | str. 32
1.4.5. Zasada ograniczenia przechowywania | str. 32
1.4.6. Zasada integralności i poufności | str. 34
1.4.7. Zasada rozliczalności | str. 35

Rozdział 2
Zapewnienie legalności przetwarzania – Witold Chomiczewski, Mirosław Gumularz, Patrycja Kozik | str. 37
2.1. Zagadnienia wprowadzające – Witold Chomiczewski | str. 37
2.2. Zgoda jako podstawa legalizująca przetwarzanie danych osobowych – Mirosław Gumularz, Patrycja Kozik | str. 38
2.2.1. Kryteria skuteczności zgody | str. 39
2.2.1.1. Sposób wyrażenia i jednoznaczność zgody | str. 39
2.2.1.2. Sposób wyrażenia zgody a dane wrażliwe | str. 40
2.2.1.3. Forma wyrażenia zgody | str. 41
2.2.1.4. Konkretność zgody | str. 41
2.2.1.5. Dobrowolność zgody | str. 42
2.2.1.6. Świadomość zgody | str. 44
2.2.2. Wymóg zapewnienia rozliczalności w zakresie zgody | str. 45
2.2.3. Wycofanie zgody | str. 45
2.2.4. Zgoda dziecka | str. 45
2.2.5. Zgoda a projektowane przepisy prawa pracy | str. 48
2.2.6. Zgoda a inne podstawy przetwarzania | str. 49
2.2.7. Zgoda na zmianę celu przetwarzania danych | str. 50
2.2.8. Skuteczność zgód a wytyczne Grupy Roboczej Art. 29 | str. 51
2.2.9. Pozyskiwanie zgód – wytyczne | str. 52
2.3. Niezbędność przetwarzania do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy – Witold Chomiczewski | str. 53
2.3.1. Wykonanie umowy | str. 53
2.3.2. Działania przed zawarciem umowy | str. 55
2.4. Niezbędność przetwarzania do wypełnienia obowiązku ciążącego na administratorze – Witold Chomiczewski | str. 56
2.5. Niezbędność przetwarzania do ochrony żywotnych interesów podmiotu danych – Witold Chomiczewski | str. 57
2.6. Niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym – Witold Chomiczewski | str. 58
2.7. Niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów – Witold Chomiczewski | str. 58
2.8. Dopuszczalność przetwarzania szczególnych kategorii danych osobowych – Dominik Lubasz | str. 61

Rozdział 3
Obowiązki administratorów – Witold Chomiczewski, Mirosław Gumularz, Patrycja Kozik, Dominik Lubasz, Mariola Więckowska | str. 63
3.1. Obowiązki bazujące na ryzyku – Mariola Więckowska | str. 63
3.1.1. Uwagi ogólne | str. 63
3.1.1.1. Podejście oparte na ryzyku | str. 65
3.1.1.2. Ochrona danych w fazie projektowania – privacy by design | str. 66
3.1.2. Ocena skutków dla ochrony danych – OSOD | str. 67
3.1.2.1. OSOD w przypadku współadministratorów i powierzenia danych podmiotom przetwarzającym | str. 69
3.1.2.2. Kiedy konieczne jest przeprowadzenie OSOD? | str. 70
3.1.3. Etap 1.: Wstępna ocena skutków dla ochrony danych wraz z ogólną analizą ryzyka | str. 72
3.1.3.1. Przykładowy szablon do etapu 1.: Wstępna ocena skutków dla ochrony danych (WOSOD) | str. 73
3.1.3.1.1. Informacje ogólne | str. 73
3.1.3.1.2. Osoba odpowiedzialna za OSOD | str. 73
3.1.3.1.3. Opis zmiany | str. 73
3.1.3.1.4. Charakter danych | str. 74
3.1.3.1.5. Typ, zakres i operacje na danych | str. 75
3.1.3.1.6. Prawa podmiotów danych | str. 76
3.1.3.1.7. Czy zmiana będzie wymagała dostosowania Regulaminu Firmy? Jeśli tak, krótko opisz, jakiej | str. 77
3.1.3.1.8. Kryteria przeprowadzenia OSOD | str. 77
3.1.3.1.9. Decyzja dotycząca ryzyka | str. 78
3.1.3.1.10. Akceptacja osoby odpowiedzialnej za ochronę danych / inspektor ochrony danych | str. 79
3.1.3.2. Podsumowanie | str. 79
3.1.4. Etap 2.: Analiza zmiany i jej wpływu na prywatność | str. 79
3.1.4.1. Identyfikacja zagrożeń i ich potencjalnego wpływu na prywatność | str. 80
3.1.4.2. Przykładowa tabela obszarów analizy wpływu na prywatność | str. 81
3.1.5. Etap 3.: Analiza ryzyka i działań zapobiegawczych | str. 85
3.1.5.1. Szacowanie poziomu ryzyka | str. 87
3.1.5.2. Postępowanie z ryzykiem | str. 89
3.1.5.3. Przykładowa lista kontrolna dla oceny ryzyka i możliwych sposobów jego ograniczenia | str. 91
3.1.6. Etap 4.: Przygotowanie raportu końcowego wraz ze strategią postępowania z ryzykiem | str. 94
3.1.7. Etap 5.: Monitoring wdrożenia | str. 95
3.1.8. Korzyści z OSOD | str. 95
3.1.9. Zakończenie | str. 96
3.2. Uprzednie konsultacje – Mirosław Gumularz, Patrycja Kozik | str. 97
3.2.1. Uwagi ogólne | str. 97
3.2.2. Typowe sytuacje, które mogą prowadzić do obowiązku dokonania uprzednich konsultacji | str. 98
3.2.3. Istotne kryteria dokonywania uprzednich konsultacji w wytycznych Grupy Roboczej Art. 29 | str. 98
3.2.4. Elementy konsultacji | str. 100
3.2.5. Na kim ciąży obowiązek dokonania uprzednich konsultacji? | str. 100
3.2.6. Działania organu nadzorczego | str. 101
3.2.7. Przepisy szczególne mogące dotyczyć uprzednich konsultacji | str. 102
3.2.8. Sankcje | str. 102
3.3. Notyfikowanie naruszeń ochrony danych osobowych – Witold Chomiczewski | str. 102
3.3.1. Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu | str. 103
3.3.2. Zawiadamianie podmiotów danych o naruszeniach ochrony danych osobowych | str. 104
3.4. Obowiązki dokumentacyjne – Dominik Lubasz | str. 106
3.4.1. Rejestr czynności przetwarzania | str. 108
3.4.1.1. Zakres danych w rejestrze czynności | str. 108
3.4.1.2. Zwolnienie z obowiązku prowadzenia rejestrów dla MŚP | str. 113
3.4.2. Rejestr kategorii czynności przetwarzania | str. 113
3.4.3. Polityki ochrony danych | str. 114
3.4.4. Pozostałe obowiązki dokumentacyjne | str. 116

Rozdział 4
Wymogi w zakresie formy w ogólnym rozporządzeniu – Dariusz Szostek | str. 117
4.1. Zagadnienia wprowadzające | str. 117
4.2. Źródła prawa w odniesieniu do formy | str. 117
4.3. Forma dotycząca zgody | str. 118
4.4. Dowód na fakt uzyskania zgody | str. 121
4.5. Wymogi dotyczące formy dla poszczególnych oświadczeń | str. 123
4.6. Forma umowy o powierzenie | str. 124

Rozdział 5
Inspektor ochrony danych – Roman Bieda | str. 126
5.1. Zagadnienia wprowadzające | str. 126
5.2. Wyznaczenie inspektora ochrony danych (IOD) | str. 127
5.2.1. Uwagi ogólne | str. 127
5.2.2. Obligatoryjne wyznaczenie IOD | str. 128
5.2.3. Wymagane kwalifikacje zawodowe IOD | str. 134
5.2.4. Podstawy zatrudnienia IOD | str. 137
5.2.5. Notyfikacja oraz publikacja danych IOD | str. 137
5.2.5.1. Publikacja danych kontaktowych IOD | str. 137
5.2.5.2. Przekazanie danych IOD osobom, których dane dotyczą | str. 138
5.2.5.3. Zawiadomienie organu nadzorczego o danych kontaktowych IOD | str. 139
5.2.5.4. Zamieszczenie danych IOD w tzw. rejestrze czynności przetwarzania danych (rejestrze kategorii czynności przetwarzania) | str. 140
5.3. Zadania inspektora ochrony danych | str. 140
5.3.1. Uwagi ogólne | str. 140
5.3.2. Podstawowe (obligatoryjne) zadania IOD | str. 141
5.3.3. Informowanie administratora i podmiotu przetwarzającego o obowiązkach wynikających z przepisów o ochronie danych oraz doradzanie w tym zakresie (art. 39 ust. 1 lit. a RODO) | str. 141
5.3.4. Monitorowanie przestrzegania przepisów o ochronie danych osobowych (art. 39 ust. 1 lit. b RODO) | str. 142
5.3.5. Ocena skutków dla ochrony danych (art. 35, art. 39 ust. 1 lit. c RODO) | str. 143
5.3.6. Współpraca z organem nadzorczym oraz pełnienie funkcji „punktu kontaktowego” dla organu nadzorczego | str. 144
5.3.7. Pełnienie funkcji „punktu kontaktowego” dla osób, których dane dotyczą | str. 145
5.3.8. Inne zadania IOD | str. 145
5.4. Status inspektora ochrony danych | str. 146
5.4.1. Uwagi ogólne | str. 146
5.4.2. Zasada niezależności IOD | str. 146
5.4.3. Obowiązek przedsiębiorcy włączania IOD we wszystkie sprawy dotyczące ochrony danych osobowych | str. 147
5.4.4. Obowiązek wspierania IOD przez przedsiębiorcę | str. 148
5.4.5. Obowiązek zachowania poufności przez IOD | str. 149

Rozdział 6
Outsourcing – powierzenie przetwarzania danych osobowych – Karolina Alama, Marcin Maruta | str. 150
6.1. Zagadnienia wprowadzające | str. 150
6.2. Powierzenie przetwarzania danych – podstawowe pojęcia | str. 152
6.3. Powierzenie przetwarzania – prawa i obowiązki stron | str. 153
6.4. Obowiązki administratora w związku z powierzeniem przetwarzania danych osobowych | str. 154
6.4.1. Uwagi ogólne | str. 154
6.4.2. Wybór podmiotu przetwarzającego spełniającego wymagania rozporządzenia 2016/679 | str. 155
6.4.3. Wydawanie udokumentowanych poleceń | str. 156
6.4.4. Umowa powierzenia przetwarzania danych osobowych | str. 157
6.4.4.1. Forma umowy | str. 157
6.4.4.2. Zakres przedmiotowy umowy powierzenia przetwarzania | str. 159
6.4.4.3. Podpowierzenie przetwarzania danych – korzystanie z usług podprocesora | str. 159
6.4.4.4. Obowiązek pomocy administratorowi | str. 161
6.4.4.5. Współpraca z administratorem | str. 162
6.4.4.6. Usunięcie lub zwrócenie danych | str. 162
6.4.4.7. Stosunek umowy powierzenia danych do umowy głównej | str. 162
6.5. Międzynarodowy transfer danych osobowych w kontekście powierzenia przetwarzania danych osobowych | str. 163
6.5.1. Uwagi ogólne | str. 163
6.5.2. Podstawy prawne transferu danych poza EOG | str. 163
6.6. Odpowiedzialność podmiotów uczestniczących w powierzeniu przetwarzania danych osobowych | str. 164
6.7. Rynek usług chmurowych a powierzenie przetwarzania danych osobowych | str. 166
6.7.1. Uwagi ogólne | str. 166
6.7.2. Zapewnienie zgodności powierzenia danych przez administratora | str. 166
6.7.3. Prognozy w zakresie przyszłości rynku usług chmurowych | str. 169
6.7.4. Migracja do rozwiązań chmurowych a zgodność z rozporządzeniem 2016/679 | str. 170
6.8. Obowiązki administratora i procesora w zakresie powierzenia przetwarzania danych osobowych – podsumowanie | str. 170

Rozdział 7
Prawa podmiotów danych – Beata Marek, Marcin Wielisiej | str. 173
7.1. Prawa informacyjne i dostępowe – Beata Marek | str. 173
7.1.1. Obowiązki informacyjne, gdy dane pozyskiwane są bezpośrednio od osoby, której dane dotyczą | str. 174
7.1.2. Obowiązki informacyjne, gdy dane pozyskiwane są w sposób inny niż od osoby, której dane dotyczą | str. 177
7.1.3. Dostęp do danych | str. 179
7.2. Prawo do sprostowania danych, usunięcia i zapomnienia – Beata Marek | str. 180
7.2.1. Sprostowanie danych | str. 180
7.2.2. Usunięcie danych (prawo do bycia zapomnianym) | str. 181
7.3. Prawo do ograniczenia przetwarzania – Marcin Wielisiej | str. 183
7.3.1. Uwagi ogólne | str. 183
7.3.2. Uprawnieni do korzystania z prawa do ograniczenia przetwarzania danych | str. 184
7.3.3. Zakres stosowania prawa do ograniczenia przetwarzania | str. 184
7.3.4. Kwestionowanie prawidłowości danych | str. 185
7.3.5. Przetwarzanie niezgodne z prawem | str. 186
7.3.6. Dane nie są już niezbędne do realizacji celu przetwarzania | str. 188
7.3.7. Wniesienie sprzeciwu | str. 188
7.3.8. Treść i forma komunikacji z osobą, której dane dotyczą | str. 189
7.3.9. Realizacja ograniczenia przetwarzania | str. 190
7.3.10. Przesłanki uzasadniające przetwarzanie danych mimo wniesionego żądania ograniczenia | str. 191
7.3.11. Sankcje | str. 192
7.4. Prawo do przenoszenia danych – Marcin Wielisiej | str. 192
7.4.1. Uwagi ogólne | str. 192
7.4.2. Zakres stosowania prawa do przenoszenia danych | str. 193
7.4.3. Zakres danych objętych prawem do przenoszenia | str. 194
7.4.4. Treść i forma komunikacji z osobą, której dane dotyczą | str. 195
7.4.5. Przygotowanie i format danych | str. 196
7.4.6. Realizacja prawa do przeniesienia danych | str. 197
7.4.7. Przekazanie danych osobie, której dane dotyczą | str. 198
7.4.8. Przekazanie danych innemu administratorowi | str. 199
7.4.9. Sankcje | str. 200
7.5. Prawo do sprzeciwu – Marcin Wielisiej | str. 200
7.5.1. Uwagi ogólne | str. 200
7.5.2. Przesłanki zastosowania prawa do sprzeciwu | str. 201
7.5.3. Forma zgłoszenia sprzeciwu | str. 202
7.5.4. Realizacja sprzeciwu | str. 203
7.5.5. Sankcje | str. 203
7.6. Prawa związane z profilowaniem – Marcin Wielisiej | str. 204
7.6.1. Uwagi ogólne | str. 204
7.6.2. Zakaz podejmowania automatycznych decyzji | str. 205
7.6.3. Ograniczenia zakazu podejmowania automatycznych decyzji | str. 206
7.6.4. Profilowanie zgodne z rozporządzeniem 2016/679 | str. 207
7.6.5. Sankcje | str. 208

Rozdział 8
Transfery danych do państw trzecich – Damian Karwala | str. 209
8.1. Zagadnienia wprowadzające | str. 209
8.1.1. Ponadgraniczne transfery danych w praktyce | str. 209
8.1.2. Krytyka dotychczasowej regulacji transferowej i ogólna ocena zmian | str. 210
8.2. Transfery danych na podstawie decyzji Komisji Europejskiej | str. 212
8.3. Transfery danych z wykorzystaniem odpowiednich zabezpieczeń | str. 215
8.4. Umowy transferowe | str. 216
8.5. Transfery danych na podstawie wiążących reguł korporacyjnych | str. 219
8.6. Kodeksy postępowania (dobrych praktyk) oraz mechanizmy certyfikacyjne jako nowe podstawy transferowe | str. 220
8.7. Transfery danych z użyciem odstępstw (wyjątków) | str. 221
8.8. Zgoda osoby zainteresowanej jako podstawa transferu | str. 221
8.9. Prawnie uzasadnione interesy eksportera danych | str. 224
8.10. Operacje dalszych transferów danych | str. 225
8.11. Kolejność stosowania przesłanek transferowych | str. 225

Rozdział 9
Postępowanie kontrolne i sankcje – Katarzyna Witkowska-Nowakowska | str. 227
9.1. Zagadnienia wprowadzające | str. 227
9.2. Postępowanie kontrolne | str. 228
9.3. Postępowanie w sprawie naruszenia ochrony danych osobowych | str. 230
9.4. Administracyjne kary pieniężne | str. 231
9.4.1. Warunki nakładania administracyjnych kar pieniężnych | str. 231
9.4.2. Wysokość i podstawa do nałożenia kar | str. 232
9.5. Sankcje karne | str. 235
9.6. Uprawnienia podmiotu danych | str. 236

Rozdział 10
Szczególne sytuacje związane z przetwarzaniem – Mirosław Gumularz, Beata Marek | str. 239
10.1. Przetwarzanie danych osobowych w związku z zatrudnieniem – Mirosław Gumularz | str. 239
10.2. Przetwarzanie danych w big data – Beata Marek | str. 242

Bibliografia | str. 247