Ochrona danych osobowych. Kontrola i postępowanie w sprawie naruszenia przepisów. Poradnik ze wzorami

Wykaz skrótów 15

Część I
Podziały danych osobowych objętych kontrolą

1. Dane osobowe wrażliwe (szczególne kategorie danych), dane o karalności oraz dane osobowe zwykłe 19
2. Dane osobowe podane, zaobserwowane, pochodne oraz wywnioskowane 21
3. Dane uporządkowane oraz nieuporządkowane 23
3.1. Ogólne informacje 23
3.2. Uporządkowanie a ustrukturyzowanie 29
4. Dane identyfikowalne oraz nieidentyfikowalne 30
4.1. Dwie normy wynikające z art. 11 RODO 30
4.2. Artykuł 11 RODO a definicja danych osobowych 31
4.3. Krótkotrwałe i długotrwałe przetwarzanie danych 38

Część II
Pytania i odpowiedzi

1. Czym jest RODO? 41
2. Jakie sankcje administracyjne i karne mogą grozić za naruszenie RODO? 42
3. Jakich kategorii danych dotyczy kontrola/postępowanie? 44
4. Kiedy przepisy RODO nie będą miały zastosowania? 48
5. Jakie podmioty podlegają kontroli / mogą być adresatem decyzji w ramach postępowania w sprawie naruszenia przepisów o ochronie danych osobowych? 49
6. Kiedy prowadzona jest kontrola, a kiedy prowadzi się postępowanie administracyjne w sprawie naruszenia przepisów o ochronie danych? 51
7. Czy do kontroli uzupełniającej stosuje się przepisy Kodeksu postępowania administracyjnego (w tym przepisy gwarancyjne)? 56
8. Jaka jest relacja pomiędzy przepisami o kontroli w RODO a przepisami prawa przedsiębiorców? 58
9. Jak należy rozumieć pojęcie naruszenia przepisów o ochronie danych osobowych? 61
10. Jakie są tryby kontroli? Czy kontrole mogą być niezapowiedziane? 62
11. Jakie są obowiązki kontrolowanego w trakcie kontroli i co grozi za ich naruszenie? 66
12. Czy można kwestionować wszczęcie kontroli lub inne czynności w toku kontroli? 67
13. Czy można kwestionować wszczęcie postępowania administracyjnego lub inne czynności w jego toku? 68
14. Jaka jest relacja zasady rozliczalności do obowiązku zebrania materiału dowodowego przez organ nadzorczy (art. 77 k.p.a.)? 69
15. Jak ustalić moment wszczęcia postępowania administracyjnego? 73
16. Jakie dokumenty inicjują kontrolę? 73
17. Czy i jak chroniona jest tajemnica przedsiębiorstwa? 76
18. Czy i w jakim zakresie Prezes UODO może mieć dostęp do tajemnic prawnie chronionych w toku kontroli i postępowania administracyjnego, na przykładzie poszczególnych tajemnic? 80
19. Jakie są konsekwencje naruszenia wymogów co do treści upoważnienia do kontroli? 81
20. Czy kontrola może być realizowana wyłącznie w zakresie upoważnienia? 82
21. Czy pracownicy kontrolowanego administratora /podmiotu przetwarzającego podlegają kontroli? 83
22. Czy można odpowiadać dyscyplinarnie za naruszenia przepisów dotyczących ochrony danych osobowych? 84
23. Jak długo może być prowadzona kontrola? 86
24. Kto prowadzi kontrolę? 87
25. Kto może brać udział w kontroli? Czy można prowadzić kontrolę pod nieobecność kontrolowanego? 87
26. Czy sektor publiczny objęty jest także kontrolą? 89
27. Czy można prowadzić kontrolę u procesora (podmiotu przetwarzającego)? 89
28. Jakie uprawnienia ma kontrolujący? 91
29. Jaka jest rola osoby, której dane dotyczą, w ramach kontroli i postępowania? 91
30. W jaki formalny sposób dochodzi do zakończenia kontroli? 93
31. W jaki sposób można kwestionować treść protokołu kontroli? 96
32. Czy protokół kontroli i materiał dowodowy kontroli stają się automatycznie częścią materiału dowodowego w postępowaniu administracyjnym? 97
33. Czy czynności w toku kontroli są utrwalane jedynie w protokole? 98
34. Czy wadliwość czynności w toku kontroli może mieć wpływ na postępowanie administracyjne? 99
35. Kto jest stroną w postępowaniu administracyjnym? 99
36. Kiedy postępowanie administracyjne może być umorzone? 101
37. Jakie są rodzaje rozstrzygnięć co do istoty sprawy w ramach postępowania w przedmiocie naruszenia przepisów o ochronie danych osobowych? 102
38. Jakie są skutki doręczenia decyzji Prezesa UODO? 103
39. Jaki środek przysługuje w postępowaniu administracyjnym w przypadku niezałatwienia sprawy w terminie? 104
40. Czy decyzja Prezesa UODO w postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych jest natychmiastowo wykonalna? 106
41. Jak można kwestionować (skarżyć) decyzję Prezesa UODO? 107
42. Czy niekorzystny wyrok WSA można zakwestionować? 108
43. Czy do postępowania w sprawie naruszenia przepisów o ochronie danych osobowych stosuje się reguły dotyczące milczącego załatwienia sprawy? 109
44. Jakie są podstawy wyłączenia kontrolera/ pracownika organu prowadzącego postępowanie administracyjne w sprawie naruszenia przepisów o ochronie danych osobowych? 110
45. Jakie są administracyjne kary pieniężne w sektorze prywatnym , a jakie w sektorze publicznym? 110
46. Jakie są kryteria miarkowania kary w ramach decyzji kończącej postępowanie? 113
47. Czy można nałożyć karę pieniężną bez postępowania/ decyzji? 115
48. Czy administracyjne kary pieniężne ulegają przedawnieniu? 116
49. W jakim terminie należy zapłacić karę? 117
50. Czy można starać się o rozłożenie kary na raty, odroczenie terminu płatności lub o ulgę w jej wykonaniu? 118
51. Jaka jest wysokość opłaty w przypadku skargi do WSA na decyzję Prezesa UODO? 119
52. Relacje pomiędzy kontrolą/postępowaniem w sprawie naruszenia przepisów o ochronie danych osobowych a postępowaniem cywilnym 120
53. Jaka jest rola inspektora ochrona danych w toku kontroli i postępowania w sprawie naruszenia przepisów o ochronie danych osobowych? 122
54. Jaka jest rola pełnomocników profesjonalnych w toku kontroli i postępowania w sprawie naruszenia przepisów o ochronie danych osobowych? 123
55. Jakie przepisy znajdą zastosowanie do kontroli i postępowania administracyjnego wszczętych przed 25.05.2018 r.? 124
56. Czy organy nadzorcze z poszczególnych państw członkowskich mogą prowadzić wspólne postępowania? 127
57. Czy wiadomo u kogo będzie prowadzona kontrola w 2019 roku? 128

Część III
Jak przygotować się do kontroli?

Rozdział I
Kategorie obowiązków: wymogi bezpośrednie i metawymogi 133

Rozdział II
Jak zapewnić i udokumentować zgodność 136
1. Zapewnienie rozliczalności w ramach przygotowania do kontroli – wprowadzenie 136
2. Rozliczalność na gruncie ustawy o ochronie danych osobowych z 1997 r. 138
3. Rozliczalność w RODO 139
4. Znaczenie rozliczalności w aspekcie kontroli 140
5. Zakres rozliczalności 140
6. Realizacja rozliczalności 141
7. Inne przykłady realizacji rozliczalności 143
8. Dokumentowanie w ramach rozliczalności 145
9. Dokumentowanie naruszeń ochrony danych osobowych 146
10. Obowiązki dokumentacyjne związane z realizacją obowiązków informacyjnych oraz praw podmiotów danych 147
11. Obowiązki dokumentacyjne związane z korzystaniem z podmiotu przetwarzającego 148
12. Rejestrowanie czynności przetwarzania 150
13. Ocena skutków i uprzednie konsultacje 151
14. Inne obowiązki dokumentacyjne 152
15. Obowiązki dokumentacyjne w RODO a dotychczasowe dokumenty 154
16. Rozliczalność w opiniach i wytycznych Europejskiej Rady Ochrony Danych 156
17. Podsumowanie 158

Rozdział III
Ocena ryzyka 159
1. Ocena ryzyka w RODO 159
1.1. Normatywny kontekst analizy ryzyka w RODO (kiedy ocena ryzyka jest wymagana?) 159
1.2. Ogólny wymóg monitorowania ryzyka dla praw lub wolności (art. 24 ust. 1 RODO) 160
1.3. Ocena ryzyka w fazie projektowania (art. 25 ust. 1 RODO) 160
1.4. Ocena ryzyka pod kątem obowiązku prowadzenia rejestru czynności (art. 30 ust. 5 RODO) 161
1.5. Ocena ryzyka w ramach oceny środków służących bezpieczeństwu (art. 32 ust. 1–2 RODO) 161
1.6. Ocena ryzyka w ramach oceny incydentów bezpieczeństwa danych osobowych pod kątem obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 ust. 1 RODO) 162
1.7. Ocena ryzyka w ramach oceny potrzeby zawiadamiania osoby, której dane dotyczą, w przypadku incydentu (art. 34 ust. 1 RODO) 162
1.8. Ocena ryzyka w ramach oceny skutków dla ochrony danych osobowych (art. 35 ust. 1 RODO) 162
1.9. Ocena ryzyka a funkcjonowanie inspektora ochrony danych (art. 39 ust. 2 RODO) 163
1.10. Założenia wstępne 164
2. Ramy analizy ryzyka 167
2.1. Ryzyko naruszenia praw lub wolności 167
2.2. Przykłady ryzyk 169
2.3. Etapy oceny ryzyka 173
2.4. Zagrożenie a ryzyko 176
2.4.1. Waga zagrożenia a waga ryzyka 180
2.4.2. Prawdopodobieństwo zagrożenia i prawdopodobieństwo ryzyka 182
2.5. Obiektywność oceny 186
2.6. Kryteria postępowania z ryzykiem 187
2.7. Rola podmiotu przetwarzającego 191
3. Ocena skutków dla ochrony danych i uprzednie konsultacje 194
3.1. Ocena skutków – wstęp 194
3.2. Kiedy ocena skutków może być wymagana? 195
3.3. Powiązanie oceny ryzyka i oceny skutków 200
3.4. Kiedy należy się konsultować z organem nadzorczym? 209
3.5. Elementy dokumentacyjne oceny skutków 210
3.6. Ocena ryzyka a inspektor ochrony danych 211
4. Podsumowanie 212

Część IV
Tabele

Tabela nr 1. Elementy pisemnego upoważnienia dla kontrolującego (zgodnie z art. 81 n.u.o.d.o.) 215
Tabela nr 2. Elementy upoważnienia kontrolującego – porównanie nowej ustawy o ochronie danych osobowych i prawa przedsiębiorców 217
Tabela nr 3. Kto ma / może być obecny w czasie kontroli? 219
Tabela nr 4. Uprawnienia kontrolującego 221
Tabela nr 5. Skorelowane obowiązki kontrolowanego 227
Tabela nr 6. Wyłączenie kontrolującego (w toku kontroli) a wyłączenie pracownika organu nadzorczego (Prezesa UODO) – porównanie 229
Tabela nr 7. Kontrola a czynności sprawdzające w ramach certyfikacji 231
Tabela nr 8. Elementy protokołu kontroli (zgodnie z art. 88 ust. 2 n.u.o.d.o.) 235
Tabela nr 9. Modyfikacje regulacji Kodeksu postępowania administracyjnego wprowadzone treścią nowej ustawy o ochronie danych osobowych 239
Tabela nr 10. Przykładowe zarzuty możliwe do podniesienia w skardze na decyzję administracyjną Prezesa UODO w ramach postępowania dowodowego prowadzonego w sprawie naruszenia przepisów nowej ustawy o ochronie danych osobowych w ramach postępowania administracyjnego 251
Tabela nr 11. Wybrane przepisy Kodeksu postępowania administracyjnego istotne z punktu widzenia kwestionowania rozstrzygnięć w postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych 253
Tabela nr 12. Środek tymczasowy – przesłanki i porównanie nowej ustawy o ochronie danych osobowych i ustawy o ochronie konkurencji i konsumentów 256
Tabela nr 13. Elementy decyzji administracyjnej kończącej postępowanie przed Prezesem UODO w sprawie naruszenia przepisów o ochronie danych osobowych 257
Tabela nr 14. Elementy skargi na decyzję/postanowienie Prezesa UODO 262
Tabela nr 15. Elementy skargi kasacyjnej od wyroku WSA 266
Tabela nr 16. Podstawowe środki ochrony prawnej na etapie kontroli i postępowania w sprawie naruszenia (kwestionowanie czynności lub braku czynności w ramach kontroli i postępowania w sprawie naruszenia przepisów o ochronie danych osobowych) 272
Tabela nr 17. Porównanie administratora bezpieczeństwa informacji i inspektora ochrony danych (w aspekcie kontroli i audytu
wewnętrznego) 276
Tabela nr 18. Przykładowa tabela określająca wymóg i możliwy sposób wdrożenia 280
Tabela nr 19. Zestawienie przepisów dotyczących oceny ryzyka 308
Tabela nr 20. Ocena operacji pod kątem potrzeby dokonywania oceny skutków (przykład) 311
Tabela nr 21. Przykładowy formularz oceny skutków (DPIA) 312

Część V
Wzory pism

1. Wzór skargi na decyzję Prezesa UODO w przedmiocie uchylenia zastrzeżenia tajemnicy przedsiębiorstwa wraz z wnioskiem o wstrzymanie wykonalności zaskarżonej decyzji 319
2. Wzór skargi na decyzję Prezesa UODO w przedmiocie stwierdzenia naruszenia i nakazania usunięcia danych osobowych oraz powiadomienia o tym odbiorców, których dane ujawniono 327
3. Wzór skargi na decyzję Prezesa UODO w przedmiocie stwierdzenia naruszenia i nałożenia administracyjnej kary pieniężnej 330
4. Wzór wniosku o odroczenie terminu uiszczenia administracyjnej kary pieniężnej ze względu na ważny interes wnioskodawcy 333
5. Wzór skargi na postanowienie Prezesa UODO w przedmiocie odmowy odroczenia terminu uiszczenia administracyjnej kary pieniężnej 336
6. Wzór skargi na postanowienie Prezesa UODO w przedmiocie ograniczenia przetwarzania danych osobowych 339
7. Wzór skargi na decyzję Prezesa UODO w przedmiocie wymierzenia kary grzywny w wysokości 5000 zł stosownie do art. 69 n.u.o.d.o. 342
8. Wzór zastrzeżeń do protokołu kontroli 345
9. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy udzielenia akredytacji 348
10. Wzór skargi na decyzję Prezesa UODO w przedmiocie cofnięcia akredytacji 351
11. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy dokonania certyfikacji 354
12. Wzór skargi na decyzję Prezesa UODO w przedmiocie cofnięcia certyfikacji 357
13. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy zatwierdzenia wiążących reguł korporacyjnych 359
14. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy udzielenia zezwolenia, o którym mowa w art. 46 ust. 3 RODO 362
15. Wzór skargi kasacyjnej od wyroku WSA 364

Bibliografia 371