OCHRONA DANYCH OSOBOWYCH KONTROLA I POSTĘPOWANIE W SPRAWIE NARUSZENIA PRZEPISÓW PORADNIK ZE WZORAMI wyd.2

Wykaz skrótów

Część I
Podziały danych osobowych objętych kontrolą

1. Dane osobowe wrażliwe (szczególne kategorie danych), dane o karalności oraz dane osobowe zwykłe
2. Dane osobowe podane, zaobserwowane, pochodne oraz wywnioskowane
3. Dane uporządkowane oraz nieuporządkowane
3.1. Ogólne informacje
3.2. Uporządkowanie a ustrukturyzowanie
4. Dane identyfikowalne oraz nieidentyfikowalne
4.1. Dwie normy wynikające z art. 11 RODO
4.2. Artykuł 11 RODO a definicja danych osobowych
4.3. Krótkotrwałe i długotrwałe przetwarzanie danych


Część II
Pytania i odpowiedzi

1. Czym jest RODO?
2. Jakie sankcje administracyjne i karne mogą grozić za naruszenie RODO?
3. Czy administracyjne kary pieniężne mogą być nakładane tylko za naruszenie RODO?
4. Jakich kategorii danych dotyczy kontrola/postępowanie?
5. Kiedy przepisy RODO nie będą miały zastosowania?
6. Jakie inne przepisy dotyczące ochrony danych osobowych mogą mieć zastosowanie?
7. Czy przepisy implementujące dyrektywę policyjną przewidują możliwość przeprowadzenia kontroli przez Prezesa UODO?
8. Czy można otrzymać administracyjną karę pieniężną za naruszenie przepisów implementujących dyrektywę policyjną?
9. Jakie sankcje karne mogą grozić za naruszenie przepisów implementujących dyrektywę policyjną?
10. Jakie podmioty podlegają kontroli/mogą być adresatem decyzji w ramach postępowania w sprawie naruszenia przepisów o ochronie danych osobowych?
11. Jak należy rozumieć pojęcie kontroli?
12. Kiedy prowadzona jest kontrola, a kiedy prowadzi się postępowanie administracyjne w sprawie naruszenia przepisów o ochronie danych?
13. Czy do kontroli uzupełniającej stosuje się przepisy Kodeksu postępowania administracyjnego (w tym przepisy gwarancyjne)?
14. Jaka jest relacja pomiędzy przepisami o kontroli w RODO a przepisami prawa przedsiębiorców?
15. Czy przepisy RODO utrudniają walkę z pandemią COVID-19 i jako takie nie powinny być podczas niej stosowane?
16. Czy pandemia koronawirusa zmieniła sposób prowadzenia kontroli?
17. Czy pandemia koronawirusa wpłynęła na bieg terminów w toczących się postępowaniach?
18. Jakie podmioty kontrolował Prezes UODO w ubiegłych latach?
19. Jak należy rozumieć pojęcie naruszenia przepisów o ochronie danych osobowych?
20. Jakie są tryby kontroli? Czy kontrole mogą być niezapowiedziane?
21. Jakie są obowiązki kontrolowanego w trakcie kontroli i co grozi za ich naruszenie?
22. Czy można otrzymać administracyjną karę pieniężną za samo udaremnianie lub utrudnianie kontroli?
23. Czy nałożenie administracyjnej kary pieniężnej za udaremnianie lub utrudnianie kontroli wyklucza możliwość nałożenia takiej kary także za naruszenie innych przepisów RODO?
24. Czy można kwestionować wszczęcie kontroli lub inne czynności w toku kontroli?
25. Czy można kwestionować wszczęcie postępowania administracyjnego lub inne czynności w jego toku?
26. Jaka jest relacja zasady rozliczalności do obowiązku zebrania materiału dowodowego przez organ nadzorczy (art. 77 k.p.a.)?
27. Jak ustalić moment wszczęcia postępowania administracyjnego?
28. Jakie dokumenty inicjują kontrolę?
29. Czy i jak chroniona jest tajemnica przedsiębiorstwa?
30. Czy i w jakim zakresie Prezes UODO może mieć dostęp do tajemnic prawnie chronionych w toku kontroli i postępowania administracyjnego?
31. Jakie są konsekwencje naruszenia wymogów co do treści upoważnienia do kontroli?
32. Czy kontrola może być realizowana wyłącznie w zakresie upoważnienia?
33. Czy pracownicy kontrolowanego administratora/podmiotu przetwarzającego podlegają kontroli?
34. Czy można odpowiadać dyscyplinarnie za naruszenia przepisów dotyczących ochrony danych osobowych?
35. Jak długo może być prowadzona kontrola?
36. Kto prowadzi kontrolę?
37. Kto może brać udział w kontroli? Czy można prowadzić kontrolę pod nieobecność kontrolowanego?
38. Czy sektor publiczny objęty jest także kontrolą?
39. Czy można prowadzić kontrolę u procesora (podmiotu przetwarzającego)?
40. Jakie uprawnienia ma kontrolujący?
41. Jakie uprawnienia kontrolującego przewidują przepisy wdrażające dyrektywę policyjną?
42. Jaka jest rola osoby, której dane dotyczą, w ramach kontroli i postępowania?
43. W jaki formalny sposób dochodzi do zakończenia kontroli?
44. W jaki sposób można kwestionować treść protokołu kontroli?
45. Czy protokół kontroli i materiał dowodowy kontroli stają się automatycznie częścią materiału dowodowego w postępowaniu administracyjnym?
46. Czy czynności w toku kontroli są utrwalane jedynie w protokole?
47. Czy wadliwość czynności w toku kontroli może mieć wpływ na postępowanie administracyjne?
48. Kto jest stroną w postępowaniu administracyjnym?
49. Kiedy postępowanie administracyjne może być umorzone?
50. Jakie są rodzaje rozstrzygnięć co do istoty sprawy w ramach postępowania w przedmiocie naruszenia przepisów o ochronie danych osobowych?
51. Jakie są uprawnienia Prezesa UODO na gruncie ustawy wdrażającej dyrektywę policyjną?
52. Co grozi za brak wykonania decyzji Prezesa UODO?
53. Jakie są skutki doręczenia decyzji Prezesa UODO?
54. Jaki środek przysługuje w postępowaniu administracyjnym w przypadku niezałatwienia sprawy w terminie?
55. Czy decyzja Prezesa UODO w postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych jest natychmiastowo wykonalna?
56. Jak można kwestionować (skarżyć) decyzję Prezesa UODO?
57. Czy niekorzystny wyrok WSA można zakwestionować?
58. Czy do postępowania w sprawie naruszenia przepisów o ochronie danych osobowych stosuje się reguły dotyczące milczącego załatwienia sprawy?
59. Jakie są podstawy wyłączenia kontrolera/pracownika organu prowadzącego postępowanie administracyjne w sprawie naruszenia przepisów o ochronie danych osobowych?
60. Jakie są administracyjne kary pieniężne w sektorze prywatnym , a jakie w sektorze publicznym
61. Jakie są kryteria miarkowania kary w ramach decyzji kończącej postępowanie?
62. Jak Prezes UODO ustala podstawę wymiaru administracyjnej kary pieniężnej?
63. Czy można nałożyć karę pieniężną bez postępowania/decyzji?
64. Czy administracyjne kary pieniężne ulegają przedawnieniu?
65. W jakim terminie należy zapłacić karę?
66. Czy można starać się o rozłożenie kary na raty, odroczenie terminu płatności lub o ulgę w jej wykonaniu?
67. Jaka jest wysokość opłaty w przypadku skargi do WSA na decyzję Prezesa UODO?
68. Relacje pomiędzy kontrolą/postępowaniem w sprawie naruszenia przepisów o ochronie danych osobowych a postępowaniem cywilnym
69. Jaka jest rola inspektora ochrony danych w toku kontroli i postępowania w sprawie naruszenia przepisów o ochronie danych osobowych?
70. Jaka jest rola inspektora ochrony danych na gruncie przepisów wdrażających dyrektywę policyjną?
71. Jaka jest rola pełnomocników profesjonalnych w toku kontroli i postępowania w sprawie naruszenia przepisów o ochronie danych osobowych?
72. Jakie przepisy znajdą zastosowanie do kontroli i postępowania administracyjnego wszczętych przed 25.05.2018 r.?
73. Czy organy nadzorcze z poszczególnych państw członkowskich mogą prowadzić wspólne postępowania?
74. Jakie podmioty były ujęte w dotychczasowych planach kontroli?
75. Jakie podmioty są ujęte w planie kontroli na 2022 r.?



Część III
Jak przygotować się do kontroli?

Rozdział I
Kategorie obowiązków: wymogi bezpośrednie i metawymogi

Rozdział II
Jak zapewnić i udokumentować zgodność?
1. Zapewnienie rozliczalności w ramach przygotowania do kontroli - wprowadzenie
2. Rozliczalność na gruncie ustawy o ochronie danych osobowych z 1997 r.
3. Rozliczalność w RODO
4. Znaczenie rozliczalności w aspekcie kontroli
5. Zakres rozliczalności
6. Realizacja rozliczalności
7. Inne przykłady realizacji rozliczalności
8. Dokumentowanie w ramach rozliczalności
9. Dokumentowanie naruszeń ochrony danych osobowych
10. Obowiązki dokumentacyjne związane z realizacją obowiązków informacyjnych oraz praw podmiotów danych
11. Obowiązki dokumentacyjne związane z korzystaniem z podmiotu przetwarzającego
12. Rejestrowanie czynności przetwarzania
13. Ocena skutków i uprzednie konsultacje
14. Inne obowiązki dokumentacyjne
15. Obowiązki dokumentacyjne w RODO a dotychczasowe dokumenty
16. Rozliczalność w opiniach i wytycznych Europejskiej Rady Ochrony Danych
17. Podsumowanie

Rozdział III
Ocena ryzyka
1. Ocena ryzyka w RODO
1.1. Normatywny kontekst analizy ryzyka w RODO (kiedy ocena ryzyka jest wymagana?)
1.2. Ogólny wymóg monitorowania ryzyka dla praw lub wolności (art. 24 ust. 1 RODO)
1.3. Ocena ryzyka w fazie projektowania (art. 25 ust. 1 RODO)
1.4. Ocena ryzyka pod kątem obowiązku prowadzenia rejestru czynności (art. 30 ust. 5 RODO)
1.5. Ocena ryzyka w ramach oceny środków służących bezpieczeństwu (art. 32 ust. 1-2 RODO)
1.6. Ocena ryzyka w ramach oceny incydentów bezpieczeństwa danych osobowych pod kątem obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 ust. 1 RODO)
1.7. Ocena ryzyka w ramach oceny potrzeby zawiadamiania osoby, której dane dotyczą, w przypadku incydentu (art. 34 ust. 1 RODO)
1.8. Ocena ryzyka w ramach oceny skutków dla ochrony danych osobowych (art. 35 ust. 1 RODO)
1.9. Ocena ryzyka a funkcjonowanie inspektora ochrony danych (art. 39 ust. 2 RODO)
1.10. Założenia wstępne
2. Ramy analizy ryzyka
2.1. Ryzyko naruszenia praw lub wolności
2.2. Przykłady ryzyk
2.3. Etapy oceny ryzyka
2.4. Zagrożenie a ryzyko
2.4.1. Waga zagrożenia a waga ryzyka
2.4.2. Prawdopodobieństwo zagrożenia i prawdopodobieństwo ryzyka
2.5. Obiektywność oceny
2.6. Kryteria postępowania z ryzykiem
2.7. Rola podmiotu przetwarzającego
3. Ocena skutków dla ochrony danych i uprzednie konsultacje
3.1. Ocena skutków - wstęp
3.2. Kiedy ocena skutków może być wymagana?
3.3. Powiązanie oceny ryzyka i oceny skutków
3.4. Kiedy należy się konsultować z organem nadzorczym?
3.5. Elementy dokumentacyjne oceny skutków
3.6. Ocena ryzyka a inspektor ochrony danych
4. Podsumowanie

Część IV
Tabele

Tabela nr 1. Elementy pisemnego upoważnienia dla kontrolującego (zgodnie z art. 81 u.o.d.o.)

Tabela nr 2. Elementy upoważnienia kontrolującego - porównanie ustawy o ochronie danych osobowych i Prawa przedsiębiorców

Tabela nr 3. Kto ma/może być obecny w czasie kontroli?

Tabela nr 4. Uprawnienia kontrolującego

Tabela nr 5. Skorelowane obowiązki kontrolowanego

Tabela nr 6. Wyłączenie kontrolującego (w toku kontroli) a wyłączenie pracownika organu nadzorczego (Prezesa UODO) - porównanie

Tabela nr 7. Kontrola a czynności sprawdzające w ramach certyfikacji

Tabela nr 8. Elementy protokołu kontroli (zgodnie z art. 88 ust. 2 u.o.d.o.)

Tabela nr 9. Modyfikacje regulacji Kodeksu postępowania administracyjnego wprowadzone przez ustawę o ochronie danych osobowych

Tabela nr 10. Przykładowe zarzuty możliwe do podniesienia w skardze na decyzję administracyjną Prezesa UODO w ramach postępowania dowodowego prowadzonego w sprawie naruszenia przepisów ustawy o ochronie danych osobowych w ramach postępowania administracyjnego

Tabela nr 11. Wybrane przepisy Kodeksu postępowania administracyjnego istotne z punktu widzenia kwestionowania rozstrzygnięć w postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych

Tabela nr 12. Środek tymczasowy - przesłanki i porównanie ustawy o ochronie danych osobowych i ustawy o ochronie konkurencji i konsumentów

Tabela nr 13. Elementy decyzji administracyjnej kończącej postępowanie przed Prezesem UODO w sprawie naruszenia przepisów o ochronie danych osobowych

Tabela nr 14. Elementy skargi na decyzję/postanowienie Prezesa UODO

Tabela nr 15. Elementy skargi kasacyjnej od wyroku WSA

Tabela nr 16. Podstawowe środki ochrony prawnej na etapie kontroli i postępowania w sprawie naruszenia (kwestionowanie czynności lub braku czynności w ramach kontroli i postępowania w sprawie naruszenia przepisów o ochronie danych osobowych

Tabela nr 17. Porównanie administratora bezpieczeństwa informacji i inspektora ochrony danych (w aspekcie kontroli i audytu wewnętrznego)

Tabela nr 18. Przykładowa tabela określająca wymóg i możliwy sposób wdrożenia

Tabela nr 19. Zestawienie przepisów dotyczących oceny ryzyka

Tabela nr 20. Ocena operacji pod kątem potrzeby dokonywania oceny skutków (przykład)

Tabela nr 21. Przykładowy formularz oceny skutków (DPIA)

Tabela nr 22. Kontrola RODO a DODO - różnice wynikające z wyłączeń na gruncie art. 6 u.o.d.z.p.

Część V
Wzory pism

1. Wzór skargi na decyzję Prezesa UODO w przedmiocie uchylenia zastrzeżenia tajemnicy przedsiębiorstwa wraz z wnioskiem o wstrzymanie wykonalności zaskarżonej decyzji

2. Wzór skargi na decyzję Prezesa UODO w przedmiocie stwierdzenia naruszenia i nakazania usunięcia danych osobowych oraz powiadomienia o tym odbiorców, których dane ujawniono

3. Wzór skargi na decyzję Prezesa UODO w przedmiocie stwierdzenia naruszenia i nałożenia administracyjnej kary pieniężnej

4. Wzór wniosku o odroczenie terminu uiszczenia administracyjnej kary pieniężnej ze względu na ważny interes wnioskodawcy

5. Wzór skargi na postanowienie Prezesa UODO w przedmiocie odmowy odroczenia terminu uiszczenia administracyjnej kary pieniężnej

6. Wzór skargi na postanowienie Prezesa UODO w przedmiocie ograniczenia przetwarzania danych osobowych

7. Wzór skargi na decyzję Prezesa UODO w przedmiocie wymierzenia kary grzywny w wysokości 5000 zł stosownie do art. 69 u.o.d.o.

8. Wzór zastrzeżeń do protokołu kontroli

9. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy udzielenia akredytacji

10. Wzór skargi na decyzję Prezesa UODO w przedmiocie cofnięcia akredytacji

11. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy dokonania certyfikacji

12. Wzór skargi na decyzję Prezesa UODO w przedmiocie cofnięcia certyfikacji

13. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy zatwierdzenia wiążących reguł korporacyjnych

14. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy udzielenia zezwolenia, o którym mowa
w art. 46 ust. 3 RODO

15. Wzór skargi kasacyjnej od wyroku WSA

Bibliografia