Wykaz skrótów  | str. 15

Część I
Podziały danych osobowych objętych kontrolą

 1. Dane osobowe wrażliwe (szczególne kategorie danych), dane o karalności oraz dane osobowe zwykłe  | str. 21

 2. Dane osobowe podane, zaobserwowane, pochodne oraz wywnioskowane  | str. 23

 3. Dane uporządkowane oraz nieuporządkowane  | str. 26

3.1. Ogólne informacje  | str. 26

3.2. Uporządkowanie a ustrukturyzowanie  | str. 32

 4. Dane identyfikowalne oraz nieidentyfikowalne  | str. 33

4.1. Dwie normy wynikające z art. 11 RODO  | str. 33

4.2. Artykuł 11 RODO a definicja danych osobowych  | str. 34

4.3. Krótkotrwałe i długotrwałe przetwarzanie danych  | str. 45

Część II
Pytania i odpowiedzi

 1. Czym jest RODO?  | str. 49

 2. Jakie sankcje administracyjne i karne mogą grozić za naruszenie RODO?  | str. 50

 3. Czy administracyjne kary pieniężne mogą być nakładane… tylko za naruszenie RODO?  | str. 54

 4. Jakich kategorii danych dotyczy kontrola/postępowanie?  | str. 56

 5. Kiedy przepisy RODO nie będą miały zastosowania?  | str. 61

 6. Jakie inne przepisy dotyczące ochrony danych osobowych… mogą mieć zastosowanie?  | str. 65

 7. Czy przepisy implementujące dyrektywę policyjną przewidują możliwość przeprowadzenia kontroli przez Prezesa UODO?  | str. 66

 8. Czy można otrzymać administracyjną karę pieniężną za naruszenie… przepisów implementujących dyrektywę policyjną?  | str. 67

 9. Jakie sankcje karne mogą grozić za naruszenie przepisów implementujących dyrektywę policyjną?  | str. 68

10. Jakie podmioty podlegają kontroli/mogą być adresatem decyzji… w ramach postępowania w sprawie naruszenia przepisów o ochronie danych osobowych?  | str. 68

11. Jak należy rozumieć pojęcie kontroli?  | str. 70

12. Kiedy prowadzona jest kontrola, a kiedy prowadzi się postępowanie… administracyjne w sprawie naruszenia przepisów o ochronie danych?  | str. 71

13. Czy do kontroli uzupełniającej stosuje się przepisy Kodeksu postępowania… administracyjnego (w tym przepisy gwarancyjne)?  | str. 78

14. Jaka jest relacja pomiędzy przepisami o kontroli w RODO a przepisami… prawa przedsiębiorców?  | str. 81

15. Czy przepisy RODO utrudniają walkę z pandemią COVID-19 i jako takie nie powinny być podczas niej stosowane?  | str. 84

16. Czy pandemia koronawirusa zmieniła sposób prowadzenia kontroli?  | str. 85

17. Czy pandemia koronawirusa wpłynęła na bieg terminów… w toczących się postępowaniach?  | str. 87

18. Jakie podmioty kontrolował Prezes UODO w ubiegłych latach?  | str. 90

19. Jak należy rozumieć pojęcie naruszenia przepisów o ochronie… danych osobowych?  | str. 93

20. Jakie są tryby kontroli? Czy kontrole mogą być niezapowiedziane?  | str. 94

21. Jakie są obowiązki kontrolowanego w trakcie kontroli… i co grozi za ich naruszenie?  | str. 98

22. Czy można otrzymać administracyjną karę pieniężną… za samo udaremnianie lub utrudnianie kontroli?  | str. 100

23. Czy nałożenie administracyjnej kary pieniężnej za udaremnianie… lub utrudnianie kontroli wyklucza możliwość nałożenia takiej kary także za naruszenie innych przepisów RODO?  | str. 103

24. Czy można kwestionować wszczęcie kontroli lub inne czynności w toku kontroli?  | str. 104

25. Czy można kwestionować wszczęcie postępowania administracyjnego… lub inne czynności w jego toku?  | str. 105

26. Jaka jest relacja zasady rozliczalności do obowiązku zebrania materiału… dowodowego przez organ nadzorczy (art. 77 k.p.a.)?  | str. 107

27. Jak ustalić moment wszczęcia postępowania administracyjnego?  | str. 111

28. Jakie dokumenty inicjują kontrolę?  | str. 112

29. Czy i jak chroniona jest tajemnica przedsiębiorstwa?  | str. 114

30. Czy i w jakim zakresie Prezes UODO może mieć dostęp do tajemnic prawnie chronionych w toku kontroli i postępowania administracyjnego?  | str. 118

31. Jakie są konsekwencje naruszenia wymogów co do treści upoważnienia… do kontroli?  | str. 119

32. Czy kontrola może być realizowana wyłącznie w zakresie upoważnienia?  | str. 120

33. Czy pracownicy kontrolowanego administratora/podmiotu… przetwarzającego podlegają kontroli?  | str. 121

34. Czy można odpowiadać dyscyplinarnie za naruszenia przepisów… dotyczących ochrony danych osobowych?  | str. 122

35. Jak długo może być prowadzona kontrola?  | str. 124

36. Kto prowadzi kontrolę?  | str. 126

37. Kto może brać udział w kontroli? Czy można prowadzić kontrolę pod nieobecność kontrolowanego?  | str. 126

38. Czy sektor publiczny objęty jest także kontrolą?  | str. 127

39. Czy można prowadzić kontrolę u procesora (podmiotu przetwarzającego)?  | str. 128

40. Jakie uprawnienia ma kontrolujący?  | str. 129

41. Jakie uprawnienia kontrolującego przewidują przepisy wdrażające dyrektywę policyjną?  | str. 130

42. Jaka jest rola osoby, której dane dotyczą, w ramach kontroli i postępowania?  | str. 131

43. W jaki formalny sposób dochodzi do zakończenia kontroli?  | str. 134

44. W jaki sposób można kwestionować treść protokołu kontroli?  | str. 137

45. Czy protokół kontroli i materiał dowodowy kontroli stają się automatycznie częścią materiału dowodowego w postępowaniu administracyjnym?  | str. 138

46. Czy czynności w toku kontroli są utrwalane jedynie w protokole?  | str. 139

47. Czy wadliwość czynności w toku kontroli może mieć wpływ na postępowanie administracyjne?  | str. 140

48. Kto jest stroną w postępowaniu administracyjnym?  | str. 141

49. Kiedy postępowanie administracyjne może być umorzone?  | str. 142

50. Jakie są rodzaje rozstrzygnięć co do istoty sprawy w ramach postępowania… w przedmiocie naruszenia przepisów o ochronie danych osobowych?  | str. 144

51. Jakie są uprawnienia Prezesa UODO na gruncie ustawy… wdrażającej dyrektywę policyjną?  | str. 146

52. Co grozi za brak wykonania decyzji Prezesa UODO?  | str. 148

53. Jakie są skutki doręczenia decyzji Prezesa UODO?  | str. 149

54. Jaki środek przysługuje w postępowaniu administracyjnym… w przypadku niezałatwienia sprawy w terminie?  | str. 149

55. Czy decyzja Prezesa UODO w postępowaniu w sprawie naruszenia… przepisów o ochronie danych osobowych jest natychmiastowo wykonalna?  | str. 151

56. Jak można kwestionować (skarżyć) decyzję Prezesa UODO?  | str. 152

57. Czy niekorzystny wyrok WSA można zakwestionować?  | str. 155

58. Czy do postępowania w sprawie naruszenia przepisów o ochronie danych osobowych stosuje się reguły dotyczące milczącego załatwienia sprawy?  | str. 156

59. Jakie są podstawy wyłączenia kontrolera/pracownika organu prowadzącego postępowanie administracyjne w sprawie naruszenia przepisów o ochronie danych osobowych?  | str. 156

60. Jakie są administracyjne kary pieniężne w sektorze prywatnym…, a jakie w sektorze publicznym?  | str. 157

61. Jakie są kryteria miarkowania kary w ramach decyzji kończącej postępowanie?  | str. 159

62. Jak Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej?  | str. 162

63. Czy można nałożyć karę pieniężną bez postępowania/decyzji?  | str. 163

64. Czy administracyjne kary pieniężne ulegają przedawnieniu?  | str. 164

65. W jakim terminie należy zapłacić karę?  | str. 165

66. Czy można starać się o rozłożenie kary na raty, odroczenie terminu płatności lub o ulgę w jej wykonaniu?  | str. 166

67. Jaka jest wysokość opłaty w przypadku skargi do WSA na decyzję… Prezesa UODO?  | str. 167

68. Relacje pomiędzy kontrolą/postępowaniem w sprawie naruszenia przepisów… o ochronie danych osobowych a postępowaniem cywilnym  | str. 168

69. Jaka jest rola inspektora ochrony danych w toku kontroli i postępowania w sprawie naruszenia przepisów o ochronie danych osobowych?  | str. 170

70. Jaka jest rola inspektora ochrony danych na gruncie przepisów… wdrażających dyrektywę policyjną?  | str. 171

71. Jaka jest rola pełnomocników profesjonalnych w toku kontroli i postępowania w sprawie naruszenia przepisów o ochronie danych osobowych?  | str. 172

72. Jakie przepisy znajdą zastosowanie do kontroli i postępowania… administracyjnego wszczętych przed 25.05.2018 r.?  | str. 173

73. Czy organy nadzorcze z poszczególnych państw członkowskich mogą prowadzić wspólne postępowania?  | str. 176

74. Jakie podmioty były ujęte w dotychczasowych planach kontroli?  | str. 177

75. Jakie podmioty są ujęte w planie kontroli na 2022 r.?  | str. 180

Część III
Jak przygotować się do kontroli?

Rozdział I

Kategorie obowiązków: wymogi bezpośrednie i metawymogi  | str. 183

Rozdział II

Jak zapewnić i udokumentować zgodność?  | str. 187

 1. Zapewnienie rozliczalności w ramach przygotowania do kontroli – wprowadzenie  | str. 187

 2. Rozliczalność na gruncie ustawy o ochronie danych osobowych z 1997 r.  | str. 189

 3. Rozliczalność w RODO  | str. 190

 4. Znaczenie rozliczalności w aspekcie kontroli  | str. 191

 5. Zakres rozliczalności  | str. 191

 6. Realizacja rozliczalności  | str. 192

 7. Inne przykłady realizacji rozliczalności  | str. 193

 8. Dokumentowanie w ramach rozliczalności  | str. 195

 9. Dokumentowanie naruszeń ochrony danych osobowych  | str. 196

10. Obowiązki dokumentacyjne związane z realizacją obowiązków informacyjnych oraz praw podmiotów danych  | str. 198

11. Obowiązki dokumentacyjne związane z korzystaniem z podmiotu przetwarzającego  | str. 199

12. Rejestrowanie czynności przetwarzania  | str. 200

13. Ocena skutków i uprzednie konsultacje  | str. 202

14. Inne obowiązki dokumentacyjne  | str. 203

15. Obowiązki dokumentacyjne w RODO a dotychczasowe dokumenty  | str. 204

16. Rozliczalność w opiniach i wytycznych Europejskiej Rady Ochrony Danych  | str. 206

17. Podsumowanie  | str. 208

Rozdział III

Ocena ryzyka  | str. 209

 1. Ocena ryzyka w RODO  | str. 209

 1.1. Normatywny kontekst analizy ryzyka w RODO (kiedy ocena ryzyka jest wymagana?)  | str. 209

 1.2. Ogólny wymóg monitorowania ryzyka dla praw lub wolności (art. 24 ust. 1 RODO)  | str. 210

 1.3. Ocena ryzyka w fazie projektowania (art. 25 ust. 1 RODO)  | str. 210

 1.4. Ocena ryzyka pod kątem obowiązku prowadzenia rejestru czynności (art. 30 ust. 5 RODO)  | str. 211

 1.5. Ocena ryzyka w ramach oceny środków służących bezpieczeństwu (art. 32 ust. 1–2 RODO)  | str. 211

 1.6. Ocena ryzyka w ramach oceny incydentów bezpieczeństwa danych osobowych pod kątem obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 ust. 1 RODO)  | str. 212

 1.7. Ocena ryzyka w ramach oceny potrzeby zawiadamiania osoby, której dane dotyczą, w przypadku incydentu (art. 34 ust. 1 RODO)  | str. 212

 1.8. Ocena ryzyka w ramach oceny skutków dla ochrony danych osobowych (art. 35 ust. 1 RODO)  | str. 212

 1.9. Ocena ryzyka a funkcjonowanie inspektora ochrony danych (art. 39 ust. 2 RODO)  | str. 213

1.10. Założenia wstępne  | str. 214

 2. Ramy analizy ryzyka  | str. 217

 2.1. Ryzyko naruszenia praw lub wolności  | str. 217

 2.2. Przykłady ryzyk  | str. 218

 2.3. Etapy oceny ryzyka  | str. 223

 2.4. Zagrożenie a ryzyko  | str. 225

2.4.1. Waga zagrożenia a waga ryzyka  | str. 229

2.4.2. Prawdopodobieństwo zagrożenia i prawdopodobieństwo ryzyka  | str. 231

 2.5. Obiektywność oceny  | str. 236

 2.6. Kryteria postępowania z ryzykiem  | str. 236

 2.7. Rola podmiotu przetwarzającego  | str. 240

 3. Ocena skutków dla ochrony danych i uprzednie konsultacje  | str. 242

 3.1. Ocena skutków – wstęp  | str. 242

 3.2. Kiedy ocena skutków może być wymagana?  | str. 243

 3.3. Powiązanie oceny ryzyka i oceny skutków  | str. 248

 3.4. Kiedy należy się konsultować z organem nadzorczym?  | str. 251

 3.5. Elementy dokumentacyjne oceny skutków  | str. 252

 3.6. Ocena ryzyka a inspektor ochrony danych  | str. 253

 4. Podsumowanie  | str. 253

Część IV
Tabele

Tabela nr 1. Elementy pisemnego upoważnienia dla kontrolującego (zgodnie z art. 81 u.o.d.o.)  | str. 257

Tabela nr 2. Elementy upoważnienia kontrolującego – porównanie ustawy… o ochronie danych osobowych i Prawa przedsiębiorców  | str. 259

Tabela nr 3. Kto ma/może być obecny w czasie kontroli?  | str. 260

Tabela nr 4. Uprawnienia kontrolującego  | str. 263

Tabela nr 5. Skorelowane obowiązki kontrolowanego  | str. 270

Tabela nr 6. Wyłączenie kontrolującego (w toku kontroli) a wyłączenie… pracownika organu nadzorczego (Prezesa UODO) – porównanie  | str. 271

Tabela nr 7. Kontrola a czynności sprawdzające w ramach certyfikacji  | str. 274

Tabela nr 8. Elementy protokołu kontroli (zgodnie z art. 88 ust. 2 u.o.d.o.)  | str. 278

Tabela nr 9. Modyfikacje regulacji Kodeksu postępowania administracyjnego… wprowadzone przez ustawę o ochronie danych osobowych  | str. 281

Tabela nr 10. Przykładowe zarzuty możliwe do podniesienia w skardze… na decyzję administracyjną Prezesa UODO w ramach postępowania dowodowego prowadzonego w sprawie naruszenia przepisów ustawy o ochronie danych osobowych w ramach postępowania administracyjnego  | str. 295

Tabela nr 11. Wybrane przepisy Kodeksu postępowania administracyjnego… istotne z punktu widzenia kwestionowania rozstrzygnięć w postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych  | str. 296

Tabela nr 12. Środek tymczasowy – przesłanki i porównanie ustawy… o ochronie danych osobowych i ustawy o ochronie konkurencji i konsumentów  | str. 300

Tabela nr 13. Elementy decyzji administracyjnej kończącej postępowanie… przed Prezesem UODO w sprawie naruszenia przepisów o ochronie danych osobowych  | str. 302

Tabela nr 14. Elementy skargi na decyzję/postanowienie Prezesa UODO  | str. 307

Tabela nr 15. Elementy skargi kasacyjnej od wyroku WSA  | str. 312

Tabela nr 16. Podstawowe środki ochrony prawnej na etapie kontroli… i postępowania w sprawie naruszenia (kwestionowanie czynności lub braku czynności w ramach kontroli i postępowania w sprawie naruszenia przepisów o ochronie danych osobowych)  | str. 319

Tabela nr 17. Porównanie administratora bezpieczeństwa informacji… i inspektora ochrony danych (w aspekcie kontroli i audytu wewnętrznego)  | str. 324

Tabela nr 18. Przykładowa tabela określająca wymóg i możliwy sposób wdrożenia  | str. 328

Tabela nr 19. Zestawienie przepisów dotyczących oceny ryzyka  | str. 361

Tabela nr 20. Ocena operacji pod kątem potrzeby dokonywania oceny skutków (przykład)  | str. 364

Tabela nr 21. Przykładowy formularz oceny skutków (DPIA)  | str. 365

Tabela nr 22. Kontrola RODO a DODO – różnice wynikające z wyłączeń… na gruncie art. 6 u.o.d.z.p.  | str. 370

Część V
Wzory pism

 1. Wzór skargi na decyzję Prezesa UODO w przedmiocie uchylenia… zastrzeżenia tajemnicy przedsiębiorstwa wraz z wnioskiem o wstrzymanie wykonalności zaskarżonej decyzji  | str. 375

 2. Wzór skargi na decyzję Prezesa UODO w przedmiocie stwierdzenia… naruszenia i nakazania usunięcia danych osobowych oraz powiadomienia o tym odbiorców, których dane ujawniono  | str. 382

 3. Wzór skargi na decyzję Prezesa UODO w przedmiocie stwierdzenia… naruszenia i nałożenia administracyjnej kary pieniężnej  | str. 386

 4. Wzór wniosku o odroczenie terminu uiszczenia administracyjnej kary… pieniężnej ze względu na ważny interes wnioskodawcy  | str. 389

 5. Wzór skargi na postanowienie Prezesa UODO w przedmiocie odmowy… odroczenia terminu uiszczenia administracyjnej kary pieniężnej  | str. 392

 6. Wzór skargi na postanowienie Prezesa UODO w przedmiocie ograniczenia… przetwarzania danych osobowych  | str. 394

 7. Wzór skargi na decyzję Prezesa UODO w przedmiocie wymierzenia kary… grzywny w wysokości 5000 zł stosownie do art. 69 u.o.d.o.  | str. 396

 8. Wzór zastrzeżeń do protokołu kontroli  | str. 399

 9. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy… udzielenia akredytacji  | str. 401

10. Wzór skargi na decyzję Prezesa UODO w przedmiocie cofnięcia akredytacji  | str. 403

11. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy… dokonania certyfikacji  | str. 405

12. Wzór skargi na decyzję Prezesa UODO w przedmiocie cofnięcia certyfikacji  | str. 407

13. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy… zatwierdzenia wiążących reguł korporacyjnych  | str. 409

14. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy… udzielenia zezwolenia, o którym mowa
w art. 46 ust. 3 RODO  | str. 411

15. Wzór skargi kasacyjnej od wyroku WSA  | str. 413

Bibliografia  | str. 419