Z opracowania czytelnik dowie się m.in.:
jakie są prawa i obowiązki podmiotów kontrolowanych;
na co zwraca uwagę Prezes UODO w trakcie kontroli;
jak przebiegały dotychczas prowadzone kontrole;
co grozi za utrudnianie lub udaremnianie kontroli.
W nowym wydaniu publikacji autorzy omawiają ponadto:
wpływ pandemii koronawirusa na prowadzenie kontroli przestrzegania przepisów dotyczących ochrony danych osobowych;
tryb i sposób prowadzenia kontroli na gruncie przepisów ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości;
najważniejsze decyzje Prezesa UODO i orzecznictwo zapadłe w toku przeszło trzyletniego stosowania przepisów RODO.
Książka zawiera także:
wzory dokumentów do wykorzystania zarówno na etapie kontroli, jak i postępowania w sprawie naruszenia przepisów o ochronie danych,
wzory skarg na decyzje i postanowienia wydawane przez Prezesa Urzędu.
Wzory dostępne w wersji elektronicznej do pobrania ze strony www.ochrona-danych-osobowych-naruszenia-przepisow.wolterskluwer.pl po wpisaniu zamieszczonego w książce kodu aktywacyjnego. Wzory można modyfikować i dostosowywać do indywidualnych potrzeb.
Wykaz skrótów | str. 15 Część I Podziały danych osobowych objętych kontrolą 1. Dane osobowe wrażliwe (szczególne kategorie danych), dane o karalności oraz dane osobowe zwykłe | str. 21 2. Dane osobowe podane, zaobserwowane, pochodne oraz wywnioskowane | str. 23 3. Dane uporządkowane oraz nieuporządkowane | str. 26 3.1. Ogólne informacje | str. 26 3.2. Uporządkowanie a ustrukturyzowanie | str. 32 4. Dane identyfikowalne oraz nieidentyfikowalne | str. 33 4.1. Dwie normy wynikające z art. 11 RODO | str. 33 4.2. Artykuł 11 RODO a definicja danych osobowych | str. 34 4.3. Krótkotrwałe i długotrwałe przetwarzanie danych | str. 45 Część II Pytania i odpowiedzi 1. Czym jest RODO? | str. 49 2. Jakie sankcje administracyjne i karne mogą grozić za naruszenie RODO? | str. 50 3. Czy administracyjne kary pieniężne mogą być nakładane… tylko za naruszenie RODO? | str. 54 4. Jakich kategorii danych dotyczy kontrola/postępowanie? | str. 56 5. Kiedy przepisy RODO nie będą miały zastosowania? | str. 61 6. Jakie inne przepisy dotyczące ochrony danych osobowych… mogą mieć zastosowanie? | str. 65 7. Czy przepisy implementujące dyrektywę policyjną przewidują możliwość przeprowadzenia kontroli przez Prezesa UODO? | str. 66 8. Czy można otrzymać administracyjną karę pieniężną za naruszenie… przepisów implementujących dyrektywę policyjną? | str. 67 9. Jakie sankcje karne mogą grozić za naruszenie przepisów implementujących dyrektywę policyjną? | str. 68 10. Jakie podmioty podlegają kontroli/mogą być adresatem decyzji… w ramach postępowania w sprawie naruszenia przepisów o ochronie danych osobowych? | str. 68 11. Jak należy rozumieć pojęcie kontroli? | str. 70 12. Kiedy prowadzona jest kontrola, a kiedy prowadzi się postępowanie… administracyjne w sprawie naruszenia przepisów o ochronie danych? | str. 71 13. Czy do kontroli uzupełniającej stosuje się przepisy Kodeksu postępowania… administracyjnego (w tym przepisy gwarancyjne)? | str. 78 14. Jaka jest relacja pomiędzy przepisami o kontroli w RODO a przepisami… prawa przedsiębiorców? | str. 81 15. Czy przepisy RODO utrudniają walkę z pandemią COVID-19 i jako takie nie powinny być podczas niej stosowane? | str. 84 16. Czy pandemia koronawirusa zmieniła sposób prowadzenia kontroli? | str. 85 17. Czy pandemia koronawirusa wpłynęła na bieg terminów… w toczących się postępowaniach? | str. 87 18. Jakie podmioty kontrolował Prezes UODO w ubiegłych latach? | str. 90 19. Jak należy rozumieć pojęcie naruszenia przepisów o ochronie… danych osobowych? | str. 93 20. Jakie są tryby kontroli? Czy kontrole mogą być niezapowiedziane? | str. 94 21. Jakie są obowiązki kontrolowanego w trakcie kontroli… i co grozi za ich naruszenie? | str. 98 22. Czy można otrzymać administracyjną karę pieniężną… za samo udaremnianie lub utrudnianie kontroli? | str. 100 23. Czy nałożenie administracyjnej kary pieniężnej za udaremnianie… lub utrudnianie kontroli wyklucza możliwość nałożenia takiej kary także za naruszenie innych przepisów RODO? | str. 103 24. Czy można kwestionować wszczęcie kontroli lub inne czynności w toku kontroli? | str. 104 25. Czy można kwestionować wszczęcie postępowania administracyjnego… lub inne czynności w jego toku? | str. 105 26. Jaka jest relacja zasady rozliczalności do obowiązku zebrania materiału… dowodowego przez organ nadzorczy (art. 77 k.p.a.)? | str. 107 27. Jak ustalić moment wszczęcia postępowania administracyjnego? | str. 111 28. Jakie dokumenty inicjują kontrolę? | str. 112 29. Czy i jak chroniona jest tajemnica przedsiębiorstwa? | str. 114 30. Czy i w jakim zakresie Prezes UODO może mieć dostęp do tajemnic prawnie chronionych w toku kontroli i postępowania administracyjnego? | str. 118 31. Jakie są konsekwencje naruszenia wymogów co do treści upoważnienia… do kontroli? | str. 119 32. Czy kontrola może być realizowana wyłącznie w zakresie upoważnienia? | str. 120 33. Czy pracownicy kontrolowanego administratora/podmiotu… przetwarzającego podlegają kontroli? | str. 121 34. Czy można odpowiadać dyscyplinarnie za naruszenia przepisów… dotyczących ochrony danych osobowych? | str. 122 35. Jak długo może być prowadzona kontrola? | str. 124 36. Kto prowadzi kontrolę? | str. 126 37. Kto może brać udział w kontroli? Czy można prowadzić kontrolę pod nieobecność kontrolowanego? | str. 126 38. Czy sektor publiczny objęty jest także kontrolą? | str. 127 39. Czy można prowadzić kontrolę u procesora (podmiotu przetwarzającego)? | str. 128 40. Jakie uprawnienia ma kontrolujący? | str. 129 41. Jakie uprawnienia kontrolującego przewidują przepisy wdrażające dyrektywę policyjną? | str. 130 42. Jaka jest rola osoby, której dane dotyczą, w ramach kontroli i postępowania? | str. 131 43. W jaki formalny sposób dochodzi do zakończenia kontroli? | str. 134 44. W jaki sposób można kwestionować treść protokołu kontroli? | str. 137 45. Czy protokół kontroli i materiał dowodowy kontroli stają się automatycznie częścią materiału dowodowego w postępowaniu administracyjnym? | str. 138 46. Czy czynności w toku kontroli są utrwalane jedynie w protokole? | str. 139 47. Czy wadliwość czynności w toku kontroli może mieć wpływ na postępowanie administracyjne? | str. 140 48. Kto jest stroną w postępowaniu administracyjnym? | str. 141 49. Kiedy postępowanie administracyjne może być umorzone? | str. 142 50. Jakie są rodzaje rozstrzygnięć co do istoty sprawy w ramach postępowania… w przedmiocie naruszenia przepisów o ochronie danych osobowych? | str. 144 51. Jakie są uprawnienia Prezesa UODO na gruncie ustawy… wdrażającej dyrektywę policyjną? | str. 146 52. Co grozi za brak wykonania decyzji Prezesa UODO? | str. 148 53. Jakie są skutki doręczenia decyzji Prezesa UODO? | str. 149 54. Jaki środek przysługuje w postępowaniu administracyjnym… w przypadku niezałatwienia sprawy w terminie? | str. 149 55. Czy decyzja Prezesa UODO w postępowaniu w sprawie naruszenia… przepisów o ochronie danych osobowych jest natychmiastowo wykonalna? | str. 151 56. Jak można kwestionować (skarżyć) decyzję Prezesa UODO? | str. 152 57. Czy niekorzystny wyrok WSA można zakwestionować? | str. 155 58. Czy do postępowania w sprawie naruszenia przepisów o ochronie danych osobowych stosuje się reguły dotyczące milczącego załatwienia sprawy? | str. 156 59. Jakie są podstawy wyłączenia kontrolera/pracownika organu prowadzącego postępowanie administracyjne w sprawie naruszenia przepisów o ochronie danych osobowych? | str. 156 60. Jakie są administracyjne kary pieniężne w sektorze prywatnym…, a jakie w sektorze publicznym? | str. 157 61. Jakie są kryteria miarkowania kary w ramach decyzji kończącej postępowanie? | str. 159 62. Jak Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej? | str. 162 63. Czy można nałożyć karę pieniężną bez postępowania/decyzji? | str. 163 64. Czy administracyjne kary pieniężne ulegają przedawnieniu? | str. 164 65. W jakim terminie należy zapłacić karę? | str. 165 66. Czy można starać się o rozłożenie kary na raty, odroczenie terminu płatności lub o ulgę w jej wykonaniu? | str. 166 67. Jaka jest wysokość opłaty w przypadku skargi do WSA na decyzję… Prezesa UODO? | str. 167 68. Relacje pomiędzy kontrolą/postępowaniem w sprawie naruszenia przepisów… o ochronie danych osobowych a postępowaniem cywilnym | str. 168 69. Jaka jest rola inspektora ochrony danych w toku kontroli i postępowania w sprawie naruszenia przepisów o ochronie danych osobowych? | str. 170 70. Jaka jest rola inspektora ochrony danych na gruncie przepisów… wdrażających dyrektywę policyjną? | str. 171 71. Jaka jest rola pełnomocników profesjonalnych w toku kontroli i postępowania w sprawie naruszenia przepisów o ochronie danych osobowych? | str. 172 72. Jakie przepisy znajdą zastosowanie do kontroli i postępowania… administracyjnego wszczętych przed 25.05.2018 r.? | str. 173 73. Czy organy nadzorcze z poszczególnych państw członkowskich mogą prowadzić wspólne postępowania? | str. 176 74. Jakie podmioty były ujęte w dotychczasowych planach kontroli? | str. 177 75. Jakie podmioty są ujęte w planie kontroli na 2022 r.? | str. 180 Część III Jak przygotować się do kontroli? Rozdział I Kategorie obowiązków: wymogi bezpośrednie i metawymogi | str. 183 Rozdział II Jak zapewnić i udokumentować zgodność? | str. 187 1. Zapewnienie rozliczalności w ramach przygotowania do kontroli – wprowadzenie | str. 187 2. Rozliczalność na gruncie ustawy o ochronie danych osobowych z 1997 r. | str. 189 3. Rozliczalność w RODO | str. 190 4. Znaczenie rozliczalności w aspekcie kontroli | str. 191 5. Zakres rozliczalności | str. 191 6. Realizacja rozliczalności | str. 192 7. Inne przykłady realizacji rozliczalności | str. 193 8. Dokumentowanie w ramach rozliczalności | str. 195 9. Dokumentowanie naruszeń ochrony danych osobowych | str. 196 10. Obowiązki dokumentacyjne związane z realizacją obowiązków informacyjnych oraz praw podmiotów danych | str. 198 11. Obowiązki dokumentacyjne związane z korzystaniem z podmiotu przetwarzającego | str. 199 12. Rejestrowanie czynności przetwarzania | str. 200 13. Ocena skutków i uprzednie konsultacje | str. 202 14. Inne obowiązki dokumentacyjne | str. 203 15. Obowiązki dokumentacyjne w RODO a dotychczasowe dokumenty | str. 204 16. Rozliczalność w opiniach i wytycznych Europejskiej Rady Ochrony Danych | str. 206 17. Podsumowanie | str. 208 Rozdział III Ocena ryzyka | str. 209 1. Ocena ryzyka w RODO | str. 209 1.1. Normatywny kontekst analizy ryzyka w RODO (kiedy ocena ryzyka jest wymagana?) | str. 209 1.2. Ogólny wymóg monitorowania ryzyka dla praw lub wolności (art. 24 ust. 1 RODO) | str. 210 1.3. Ocena ryzyka w fazie projektowania (art. 25 ust. 1 RODO) | str. 210 1.4. Ocena ryzyka pod kątem obowiązku prowadzenia rejestru czynności (art. 30 ust. 5 RODO) | str. 211 1.5. Ocena ryzyka w ramach oceny środków służących bezpieczeństwu (art. 32 ust. 1–2 RODO) | str. 211 1.6. Ocena ryzyka w ramach oceny incydentów bezpieczeństwa danych osobowych pod kątem obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 ust. 1 RODO) | str. 212 1.7. Ocena ryzyka w ramach oceny potrzeby zawiadamiania osoby, której dane dotyczą, w przypadku incydentu (art. 34 ust. 1 RODO) | str. 212 1.8. Ocena ryzyka w ramach oceny skutków dla ochrony danych osobowych (art. 35 ust. 1 RODO) | str. 212 1.9. Ocena ryzyka a funkcjonowanie inspektora ochrony danych (art. 39 ust. 2 RODO) | str. 213 1.10. Założenia wstępne | str. 214 2. Ramy analizy ryzyka | str. 217 2.1. Ryzyko naruszenia praw lub wolności | str. 217 2.2. Przykłady ryzyk | str. 218 2.3. Etapy oceny ryzyka | str. 223 2.4. Zagrożenie a ryzyko | str. 225 2.4.1. Waga zagrożenia a waga ryzyka | str. 229 2.4.2. Prawdopodobieństwo zagrożenia i prawdopodobieństwo ryzyka | str. 231 2.5. Obiektywność oceny | str. 236 2.6. Kryteria postępowania z ryzykiem | str. 236 2.7. Rola podmiotu przetwarzającego | str. 240 3. Ocena skutków dla ochrony danych i uprzednie konsultacje | str. 242 3.1. Ocena skutków – wstęp | str. 242 3.2. Kiedy ocena skutków może być wymagana? | str. 243 3.3. Powiązanie oceny ryzyka i oceny skutków | str. 248 3.4. Kiedy należy się konsultować z organem nadzorczym? | str. 251 3.5. Elementy dokumentacyjne oceny skutków | str. 252 3.6. Ocena ryzyka a inspektor ochrony danych | str. 253 4. Podsumowanie | str. 253 Część IV Tabele Tabela nr 1. Elementy pisemnego upoważnienia dla kontrolującego (zgodnie z art. 81 u.o.d.o.) | str. 257 Tabela nr 2. Elementy upoważnienia kontrolującego – porównanie ustawy… o ochronie danych osobowych i Prawa przedsiębiorców | str. 259 Tabela nr 3. Kto ma/może być obecny w czasie kontroli? | str. 260 Tabela nr 4. Uprawnienia kontrolującego | str. 263 Tabela nr 5. Skorelowane obowiązki kontrolowanego | str. 270 Tabela nr 6. Wyłączenie kontrolującego (w toku kontroli) a wyłączenie… pracownika organu nadzorczego (Prezesa UODO) – porównanie | str. 271 Tabela nr 7. Kontrola a czynności sprawdzające w ramach certyfikacji | str. 274 Tabela nr 8. Elementy protokołu kontroli (zgodnie z art. 88 ust. 2 u.o.d.o.) | str. 278 Tabela nr 9. Modyfikacje regulacji Kodeksu postępowania administracyjnego… wprowadzone przez ustawę o ochronie danych osobowych | str. 281 Tabela nr 10. Przykładowe zarzuty możliwe do podniesienia w skardze… na decyzję administracyjną Prezesa UODO w ramach postępowania dowodowego prowadzonego w sprawie naruszenia przepisów ustawy o ochronie danych osobowych w ramach postępowania administracyjnego | str. 295 Tabela nr 11. Wybrane przepisy Kodeksu postępowania administracyjnego… istotne z punktu widzenia kwestionowania rozstrzygnięć w postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych | str. 296 Tabela nr 12. Środek tymczasowy – przesłanki i porównanie ustawy… o ochronie danych osobowych i ustawy o ochronie konkurencji i konsumentów | str. 300 Tabela nr 13. Elementy decyzji administracyjnej kończącej postępowanie… przed Prezesem UODO w sprawie naruszenia przepisów o ochronie danych osobowych | str. 302 Tabela nr 14. Elementy skargi na decyzję/postanowienie Prezesa UODO | str. 307 Tabela nr 15. Elementy skargi kasacyjnej od wyroku WSA | str. 312 Tabela nr 16. Podstawowe środki ochrony prawnej na etapie kontroli… i postępowania w sprawie naruszenia (kwestionowanie czynności lub braku czynności w ramach kontroli i postępowania w sprawie naruszenia przepisów o ochronie danych osobowych) | str. 319 Tabela nr 17. Porównanie administratora bezpieczeństwa informacji… i inspektora ochrony danych (w aspekcie kontroli i audytu wewnętrznego) | str. 324 Tabela nr 18. Przykładowa tabela określająca wymóg i możliwy sposób wdrożenia | str. 328 Tabela nr 19. Zestawienie przepisów dotyczących oceny ryzyka | str. 361 Tabela nr 20. Ocena operacji pod kątem potrzeby dokonywania oceny skutków (przykład) | str. 364 Tabela nr 21. Przykładowy formularz oceny skutków (DPIA) | str. 365 Tabela nr 22. Kontrola RODO a DODO – różnice wynikające z wyłączeń… na gruncie art. 6 u.o.d.z.p. | str. 370 Część V Wzory pism 1. Wzór skargi na decyzję Prezesa UODO w przedmiocie uchylenia… zastrzeżenia tajemnicy przedsiębiorstwa wraz z wnioskiem o wstrzymanie wykonalności zaskarżonej decyzji | str. 375 2. Wzór skargi na decyzję Prezesa UODO w przedmiocie stwierdzenia… naruszenia i nakazania usunięcia danych osobowych oraz powiadomienia o tym odbiorców, których dane ujawniono | str. 382 3. Wzór skargi na decyzję Prezesa UODO w przedmiocie stwierdzenia… naruszenia i nałożenia administracyjnej kary pieniężnej | str. 386 4. Wzór wniosku o odroczenie terminu uiszczenia administracyjnej kary… pieniężnej ze względu na ważny interes wnioskodawcy | str. 389 5. Wzór skargi na postanowienie Prezesa UODO w przedmiocie odmowy… odroczenia terminu uiszczenia administracyjnej kary pieniężnej | str. 392 6. Wzór skargi na postanowienie Prezesa UODO w przedmiocie ograniczenia… przetwarzania danych osobowych | str. 394 7. Wzór skargi na decyzję Prezesa UODO w przedmiocie wymierzenia kary… grzywny w wysokości 5000 zł stosownie do art. 69 u.o.d.o. | str. 396 8. Wzór zastrzeżeń do protokołu kontroli | str. 399 9. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy… udzielenia akredytacji | str. 401 10. Wzór skargi na decyzję Prezesa UODO w przedmiocie cofnięcia akredytacji | str. 403 11. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy… dokonania certyfikacji | str. 405 12. Wzór skargi na decyzję Prezesa UODO w przedmiocie cofnięcia certyfikacji | str. 407 13. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy… zatwierdzenia wiążących reguł korporacyjnych | str. 409 14. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy… udzielenia zezwolenia, o którym mowa w art. 46 ust. 3 RODO | str. 411 15. Wzór skargi kasacyjnej od wyroku WSA | str. 413 Bibliografia | str. 419