Wykaz skrótów | str. 15

Słowo wstępne | str. 17

Rozdział 1
Zagadnienia wprowadzające, zakres zastosowania i podstawowe pojęcia | str. 19
1.1. Zagadnienia ogólne | str. 19
1.2. Zakres zastosowania | str. 22
1.2.1. Zakres przedmiotowy | str. 22
1.2.2. Zakres terytorialny | str. 26
1.3. Najważniejsze pojęcia | str. 27
1.3.1. Dane osobowe | str. 28
1.3.1.1. Wszelkiego rodzaju informacje | str. 29
1.3.1.2. Informacje dotyczące osoby fizycznej | str. 31
1.3.1.3. Informacje pozwalające na zidentyfikowanie osoby fizycznej | str. 31
1.3.1.4. Osoba fizyczna | str. 33
1.3.1.5. Dane zwykłe i szczególne kategorie danych | str. 33
1.3.2. Przetwarzanie | str. 34
1.3.3. Profilowanie | str. 35
1.3.4. Administrator | str. 36
1.3.5. Podmiot przetwarzający | str. 37
1.3.6. Odbiorca | str. 38
1.3.7. Osoba, której dane dotyczą (podmiot danych) | str. 38
1.3.8. Przedsiębiorca i grupa przedsiębiorców | str. 40
1.3.9. Usługa społeczeństwa informacyjnego | str. 42
1.3.10. Podejście oparte na ryzyku | str. 46
1.3.11. Naruszenie ochrony danych osobowych | str. 47
1.3.12. Organ nadzorczy | str. 48
1.3.13. Klauzule kompetencyjne dla państw członkowskich | str. 48

Rozdział 2
Zasady przetwarzania danych osobowych | str. 50
2.1. Zagadnienia ogólne | str. 50
2.2. Zasada legalności i rzetelności | str. 51
2.3. Zasada przejrzystości | str. 52
2.4. Zasada ograniczenia celu | str. 56
2.5. Zasada prawidłowości | str. 59
2.6. Zasada minimalizacji danych | str. 60
2.7. Zasada ograniczenia przechowywania | str. 61
2.8. Zasada integralności i poufności | str. 63
2.9. Zasada rozliczalności | str. 64

Rozdział 3
Przesłanki legalizacyjne przetwarzania danych osobowych | str. 67
3.1. Zagadnienia ogólne | str. 67
3.2. Zgoda | str. 71
3.2.1. Dobrowolność zgody | str. 71
3.2.2. Konkretność zgody | str. 73
3.2.3. Świadomość zgody | str. 74
3.2.4. Jednoznaczność zgody | str. 75
3.2.5. Rozliczalność zgody | str. 78
3.2.6. Wyraźność zgody | str. 78
3.2.7. Forma zgody | str. 79
3.2.8. Dodatkowe wymogi dotyczące pisemnej zgody | str. 80
3.2.9. Wycofanie zgody | str. 82
3.2.10. Zgoda dziecka | str. 83
3.2.11. Zgody dotychczasowe | str. 86
3.3. Niezbędność do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy | str. 88
3.3.1. Wykonanie umowy | str. 89
3.3.2. Działania przed zawarciem umowy | str. 91
3.4. Niezbędność do wypełnienia obowiązku prawnego ciążącego na administratorze | str. 92
3.4.1. Obowiązek prawny | str. 93
3.4.2. Niezbędność | str. 94
3.5. Niezbędność do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi | str. 94
3.6. Niezbędność do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej | str. 97
3.7. Niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią | str. 98
3.8. Przetwarzanie szczególnych kategorii danych osobowych | str. 102
3.8.1. Szczególne kategorie danych | str. 102
3.8.2. Szczególne kategorie danych w handlu elektronicznym | str. 104
3.8.3. Przesłanki legalizacyjne szczególnych kategorii danych | str. 107
3.8.4. Przesłanki legalizacyjne szczególnych kategorii danych – wybrane zagadnienia | str. 109
3.8.4.1. Zgoda na przetwarzanie danych osobowych szczególnych kategorii | str. 109
3.8.4.2. Żywotny interes | str. 110
3.8.4.3. Upublicznienie danych | str. 110
3.8.4.4. Interes publiczny | str. 111
3.8.4.5. Przetwarzanie wrażliwych danych osobowych w celach medycznych i związanych z ochroną zdrowia | str. 113

Rozdział 4
Prawa podmiotów danych | str. 115
4.1. Zagadnienia ogólne | str. 115
4.2. Prawa informacyjne | str. 118
4.3. Prawo dostępu do danych | str. 126
4.4. Prawo do usunięcia danych („prawo do bycia zapomnianym”) | str. 130
4.4.1. Zasady korzystania z prawa do usunięcia danych | str. 130
4.4.2. Wyłączenia od prawa do usunięcia danych oraz prawa do bycia zapomnianym | str. 132
4.4.3. Prawo do bycia zapomnianym a wolność wypowiedzi | str. 133
4.5. Prawo do przenoszenia danych | str. 133
4.6. Prawo do niepodlegania profilowaniu | str. 138
4.6.1. Pojęcie profilowania | str. 138
4.6.2. Zautomatyzowane podejmowanie decyzji | str. 139
4.6.3. Warunki dopuszczalności | str. 141
4.6.4. Gwarancje związane z profilowaniem | str. 142
4.7. Ograniczenie przetwarzania | str. 142
4.7.1. Pojęcie | str. 142
4.7.2. Okoliczności, w jakich można żądać ograniczenia przetwarzania | str. 144
4.7.2.1. Zakwestionowanie prawidłowości danych | str. 145
4.7.2.2. Sprzeciw podmiotu danych wobec usunięcia danych mimo niezgodności przetwarzania danych z prawem | str. 145
4.7.2.3. Zbędność danych osobowych do celów przetwarzania przez administratora i jednoczesne występowanie potrzeby dostępu do danych osoby, której one dotyczą, w celu ustalenia, dochodzenia lub obrony roszczeń | str. 146
4.7.2.4. Wniesienie sprzeciwu przez osobę, której dane dotyczą | str. 146
4.7.3. Sposób wykonania obowiązku przez administratora | str. 147
4.7.3.1. Techniczny aspekt ograniczenia przetwarzania | str. 147
4.7.3.2. Formalny aspekt ograniczenia przetwarzania | str. 148
4.7.3.3. Wyjątki | str. 148
4.7.4. Uprawniony do żądania ograniczenia przetwarzania danych osobowych i zakres żądania | str. 149
4.7.5. Okres oznaczenia danych w celu ograniczenia ich przetwarzania | str. 150
4.7.6. Dalsze obowiązki administratora związane z ograniczeniem przetwarzania | str. 152
4.7.7. Odpowiedzialność administratora | str. 153

Rozdział 5
Nowe obowiązki administratorów | str. 154
5.1. Zagadnienia ogólne | str. 154
5.2. Ogólny obowiązek zapewnienia zgodności przetwarzania z rozporządzeniem 2016/679 | str. 158
5.2.1. Ryzyko jako element wyznaczający standard ochrony | str. 159
5.2.2. Zapewnienie zgodności przetwarzania z RODO jako element oceniany przez pryzmat konsekwencji dla podmiotu danych | str. 160
5.3. Ochrona danych w fazie projektowania i domyślna ochrona danych | str. 162
5.3.1. Ochrona danych w fazie projektowania – pojęcie | str. 162
5.3.2. Podstawowe zasady ochrony danych w fazie projektowania | str. 166
5.3.2.1. Podejście proaktywne, a nie reaktywne, zaradcze, a nie naprawcze | str. 166
5.3.2.2. Domyślna ochrona danych | str. 168
5.3.2.3. Prywatność włączona w projekt | str. 170
5.3.2.4. Pełna funkcjonalność rozumiana jako osiąganie sumy dodatniej, a nie sumy zerowej | str. 171
5.3.2.5. Ochrona prywatności od początku do końca cyklu życia informacji | str. 173
5.3.2.6. Transparentność i przejrzystość | str. 174
5.3.2.7. Poszanowanie dla prywatności użytkowników | str. 175
5.3.3. Zasada privacy by design – prywatność wpisana w projekt rozwiązania | str. 176
5.3.4. Realizacja zasady privacy by default | str. 177
5.3.5. Okres stosowania zasady | str. 177
5.3.6. Czynniki wpływające na decyzje administratora w zakresie zastosowania odpowiednich środków ochrony danych osobowych | str. 178
5.3.6.1. Stan wiedzy technicznej | str. 178
5.3.6.2. Koszt wdrożenia | str. 179
5.3.6.3. Charakter, zakres, kontekst i cele przetwarzania | str. 179
5.3.6.4. Ryzyko naruszenia praw i wolności osób fizycznych | str. 180
5.3.7. Odpowiednie środki techniczne i organizacyjne | str. 182
5.3.8. Cele realizowane przez zasadę privacy by default | str. 184
5.3.9. Obowiązek dokumentacyjny | str. 185
5.3.10. Odpowiedzialność administratora (procesora) | str. 185
5.4. Dokumentacja przetwarzania | str. 187
5.4.1. Rejestr czynności przetwarzania | str. 190
5.4.1.1. Zakres danych w rejestrze | str. 190
5.4.1.2. Forma rejestru | str. 192
5.4.1.3. Podmioty zobowiązane do prowadzenia rejestru | str. 192
5.4.1.4. Przykładowy rejestr czynności przetwarzania | str. 193
5.4.2. Rejestr kategorii czynności przetwarzania | str. 195
5.4.3. Polityki ochrony danych | str. 196
5.4.4. Dokumentacja naruszeń ochrony danych i zgłoszenie naruszenia | str. 199
5.4.4.1. Dokumentacja wszelkich naruszeń ochrony danych | str. 199
5.4.4.2. Dokumentacja zgłoszeń naruszeń ochrony danych organowi nadzorczemu | str. 200
5.4.4.3. Dokumentacja zgłoszeń naruszeń ochrony danych podmiotowi danych | str. 201
5.4.5. Dokumentacja oceny skutków dla ochrony danych | str. 202
5.4.6. Dokumentacja uprzednich konsultacji | str. 203
5.4.7. Dokumentacja transferów danych do państw trzecich | str. 203
5.5. Bezpieczeństwo przetwarzania | str. 204
5.5.1. Zasada proporcjonalności | str. 205
5.5.2. Środki techniczne i organizacyjne zapewniające odpowiedni poziom ochrony | str. 206
5.5.3. Obowiązek aktualizacji zabezpieczeń | str. 208
5.5.4. Parametry oceny środków bezpieczeństwa | str. 209
5.5.5. Dokumentacja środków bezpieczeństwa | str. 210
5.6. Ocena skutków dla ochrony danych | str. 211
5.6.1. Przesłanki prowadzenia oceny skutków dla ochrony danych | str. 212
5.6.2. Elementy oceny skutków dla ochrony danych | str. 213
5.6.3. Gromadzenie informacji niezbędnych do dokonania oceny skutków dla ochrony danych | str. 215
5.6.4. Uprzedni charakter oceny | str. 216
5.6.5. Konsultacje z osobami, których dane dotyczą, lub ich przedstawicielami | str. 217
5.7. Uprzednie konsultacje | str. 218
5.7.1. Przesłanki prowadzenia uprzednich konsultacji | str. 218
5.7.2. Rezultat uprzednich konsultacji | str. 218
5.7.3. Zakres informacji przekazywanych w ramach uprzednich konsultacji | str. 220
5.8. Zgłoszenia naruszeń | str. 221
5.8.1. Zgłaszanie naruszenia organowi nadzorczemu | str. 221
5.8.2. Zawiadamianie podmiotów danych o naruszeniach ochrony danych osobowych | str. 223

Rozdział 6
Powierzenie przetwarzania i współadministrowanie | str. 226
6.1. Powierzenie przetwarzania | str. 226
6.1.1. Zagadnienia ogólne | str. 226
6.1.2. Wybór podmiotu przetwarzającego | str. 229
6.1.3. Podstawy powierzenia | str. 231
6.1.4. Forma umowy powierzenia | str. 232
6.1.5. Zakres przedmiotowy umowy powierzenia | str. 233
6.1.6. Obowiązki procesora | str. 235
6.1.7. Łańcuch powierzeń – warunki korzystania z usług podwykonawców | str. 238
6.1.8. Odpowiedzialność podmiotu przetwarzającego za naruszenie ochrony danych | str. 241
6.1.9. Powierzenie danych do państw trzecich | str. 242
6.1.10. Umowy powierzenia zawarte na podstawie przepisów ustawy o ochronie danych osobowych | str. 243
6.2. Współadministrowanie | str. 244
6.2.1. Zagadnienia ogólne | str. 244
6.2.2. Pojęcie współadministratora | str. 244
6.2.3. Uzgodnienia i ich udostępnianie | str. 246
6.2.4. Zapewnienie realizacji praw osób, których dane dotyczą | str. 247

Rozdział 7
Przekazywanie danych do państw trzecich i organizacji międzynarodowych | str. 249
7.1. Zagadnienia ogólne | str. 249
7.2. Podstawy przekazywania | str. 251
7.2.1. Przekazywanie na podstawie decyzji stwierdzającej odpowiedni poziom ochrony | str. 253
7.2.2. Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń | str. 256
7.2.3. Przekazywanie w szczególnych sytuacjach | str. 258

Rozdział 8
Inspektor ochrony danych osobowych | str. 261
8.1. Zagadnienia ogólne | str. 261
8.2. Obowiązek wyznaczenia IOD | str. 262
8.2.1. Podmiot publiczny | str. 263
8.2.2. Podmioty wskazane w art. 37 ust. 1 lit. b, c RODO | str. 264
8.3. Wyznaczenie IOD 2 | str. 66
8.4. Wspólny IOD | str. 267
8.5. Status IOD | str. 268
8.6. Zadania IOD | str. 271
8.6.1. Informowanie oraz doradztwo | str. 271
8.6.2. Nadzór | str. 272
8.6.3. Komunikacja | str. 273

Rozdział 9
Kodeksy postępowania i certyfikacja | str. 275
9.1. Kodeksy postępowania | str. 275
9.1.1. Charakter kodeksów postępowania | str. 276
9.1.2. Zakres przedmiotowy kodeksów postępowania | str. 276
9.1.3. Weryfikacja i zatwierdzanie kodeksów postępowania | str. 278
9.2. Monitorowanie zatwierdzonych kodeksów postępowania | str. 279
9.2.1. Warunki uzyskania akredytacji | str. 280
9.2.2. Uprawnienia podmiotu akredytowanego | str. 281
9.3. Certyfikacja | str. 281
9.3.1. Charakter certyfikacji i korzyści płynące z certyfikacji | str. 282
9.3.2. Proces certyfikacji | str. 283
9.4. Podmioty certyfikujące | str. 284
9.4.1. Zasady udzielania akredytacji dla podmiotów certyfikujących | str. 284
9.4.2. Sposób udzielania akredytacji i czas jej trwania | str. 285

Rozdział 10
Organ nadzorczy i postępowanie kontrolne | str. 287
10.1. Organ nadzorczy | str. 287
10.1.1. Zagadnienia ogólne | str. 287
10.1.2. Właściwość miejscowa organu nadzorczego | str. 288
10.1.3. Kompetencje organu nadzorczego | str. 289
10.1.4. Uprawnienia organu nadzorczego | str. 291
10.2. Postępowanie kontrolne | str. 292
10.2.1. Zagadnienia ogólne | str. 292
10.2.2. Pojęcie kontroli | str. 293
10.2.3. Procedura kontrolna | str. 294

Rozdział 11
Środki ochrony prawnej, odpowiedzialność i sankcje | str. 304
11.1. Uprawnienia organu nadzorczego | str. 304
11.1.1. Uprawnienia naprawcze organu nadzorczego | str. 304
11.1.2. Administracyjne kary pieniężne | str. 305
11.1.2.1. Naruszenia podlegające administracyjnym karom pieniężnym | str. 306
11.1.2.2. Podmioty podlegające administracyjnym karom pieniężnym | str. 308
11.1.2.3. Wysokość i kumulacja sankcji | str. 308
11.1.2.4. Kryteria wymiaru administracyjnych kar pieniężnych | str. 309
11.2. Uprawnienia podmiotu danych | str. 311
11.2.1. Prawo do wniesienia skargi do organu nadzorczego | str. 311
11.2.1.1. Podmioty uprawnione do wniesienia skargi i podstawy do jej wniesienia | str. 311
11.2.1.2. Właściwość miejscowa organu nadzorczego | str. 311
11.2.1.3. Przebieg postępowania | str. 312
11.2.2. Prawo do odszkodowania | str. 313
11.2.2.1. Podmioty zobowiązane do uiszczenia odszkodowania | str. 313
11.2.2.2. Przesłanki odpowiedzialności odszkodowawczej | str. 315
11.2.2.3. Charakter i wymiar odszkodowania | str. 316
11.2.2.4. Właściwość miejscowa sądu | str. 317
11.3. Inne sankcje | str. 317
11.3.1. Sankcje karne | str. 318
11.3.2. Sankcje dyscyplinarne | str. 318

Bibliografia | str. 319

O autorach | str. 331