Tytuł RODO. Przewodnik ze wzorami Autorzy Maciej Gawroński, Katarzyna Kloc, Paweł Punda, Zuzanna Piotrowska, Marcin Dominiak, Aleksandra Gawron, Magdalena Wojtas, Michał Sztąberek, Aleksander P. Czarnowski, Michał Kibil, Katarzyna Kunda, Patrycja Naklicka Język polski Wydawnictwo Wolters Kluwer Polska SA ISBN 978-83-8124-704-7 seria Prawo w praktyce Rok wydania 2018 liczba stron 456 Format pdf Spis treści Wykaz skrótów | str. 25
Część A
Kompendium RODO
Rozdział I
Zgodność podstawowa | str. 29
1. RODO – unijna „ustawa” o ochronie danych osobowych – Katarzyna Kloc, Maciej Gawroński | str. 29
1.1. RODO – nowa „ustawa” o ochronie informacji osobowych | str. 29
1.2. Przedmiot i cel RODO | str. 30
1.2.1. Uwagi wstępne | str. 30
1.2.2. Ochrona osób fizycznych | str. 31
1.2.3. Bezpośredniość | str. 31
1.2.4. Konsekwencje dla polskich przedsiębiorców | str. 32
1.3. Prywatność, prawa, bezpieczeństwo – filary RODO | str. 32
1.4. Oczekiwania RODO | str. 34
1.4.1. Ogólnikowość | str. 34
1.4.2. Mierzalność | str. 35
1.4.3. Bezpośredniość | str. 36
1.4.4. Ascetycznieść | str. 36
1.4.5. Domniemanie winy | str. 37
1.5. Podział ergonomiczny RODO | str. 38
2. Przedmiotowy i terytorialny zakres stosowania RODO – Katarzyna Kloc, Maciej Gawroński | str. 42
2.1. Zakres użytkowania RODO | str. 42
2.1.1. Zakres przedmiotowy | str. 42
2.1.2. Wyłączenia używania RODO | str. 43
2.1.3. Zakres terytorialny | str. 44
3. Rodosłowniczek, czyli omówienie podstawowych pojęć RODO wraz z przykładami – Patrycja Naklicka, Aleksandra Gawron | str. 47
3.1. Uwagi wstępne | str. 47
3.2. Administrator | str. 47
3.3. Analiza ryzyka | str. 48
3.4. Anonimizacja | str. 49
3.5. Czynności przetwarzania informacji | str. 49
3.6. Informacje osobowe | str. 50
3.7. Eksport danych | str. 52
3.8. GIODO i PUODO | str. 53
3.9. Grupa Robocza Art. 29 i Europejska Rada Ochrony informacji | str. 53
3.10. Inspektor ochrony informacji | str. 54
3.11. Naruszenie ochrony danych osobowych | str. 54
3.12. Ocena skutków dla ochrony informacji | str. 55
3.13. Odbiorca | str. 55
3.14. Ograniczenie przetwarzania | str. 56
3.15. Osoba, której dane dotyczą | str. 57
3.16. Personel | str. 57
3.17. Podmiot przetwarzający | str. 57
3.18. Przetwarzanie | str. 58
3.19. Pseudonimizacja | str. 61
3.20. Rejestr czynności przetwarzania danych | str. 61
3.21. Ryzyko | str. 62
3.22. Ustawa o ochronie informacji osobowych | str. 63
4. Zasady przetwarzania informacji osobowych – Marcin Dominiak, Maciej Gawroński | str. 64
4.1. Wprowadzenie | str. 64
4.1.1. Zasady materialne | str. 65
4.1.2. Zasada formalna – rozliczalność | str. 65
4.1.3. Bliżej o zasadach ochrony danych | str. 66
4.2. Zasada legalności, rzetelności i transparentności przetwarzania (zgodności z prawem) | str. 66
4.2.1. Legalność | str. 66
4.2.2. Rzetelność | str. 67
4.2.3. Przejrzystość | str. 67
4.3. Zasada celowości | str. 68
4.4. Zasada minimalizacji informacji (stosowności, proporcjonalności) | str. 70
4.5. Zasada korzystnieści (poprawności) | str. 72
4.6. Zasada ograniczenia czasowego (czasowości) | str. 73
4.7. Zasada bezpieczeństwa (nierozdzielności i prywatności danych) | str. 76
4.7.1. Poufność | str. 77
4.7.2. Niepodzielność | str. 77
4.7.3. Przystępność | str. 77
4.7.4. Odpowiedniość | str. 78
4.8. Zasada rozliczalności | str. 80
5. Podstawy prawne przetwarzania informacji osobowych – Maciej Gawroński, Michał Sztąberek | str. 80
5.1. Wstęp | str. 80
5.2. Dane osobowe „zwykłe” – art. 6–8 RODO | str. 81
5.2.1. Zgoda na przetwarzanie informacji osobowych | str. 83
5.2.1.1. Dobrowolność zgody | str. 83
5.2.1.2. Konkretność zgody | str. 84
5.2.1.3. Świadomość zgody | str. 85
5.2.1.4. Jednoznaczność zgody | str. 85
5.2.1.5. Forma zgody | str. 85
5.2.1.6. Zgoda dziecka na usługi społeczeństwa informacyjnego (np. Media społecznościowe) | str. 87
5.2.2. Zawarcie i realizowanie umowy | str. 89
5.2.2.1. Działania przed zawarciem umowy | str. 90
5.2.2.2. Realizowanie umowy | str. 90
5.2.2.3. Przetwarzanie danych osoby trzeciej | str. 90
5.2.3. Obowiązek prawny | str. 91
5.2.4. Ochrona żywotnych interesów | str. 93
5.2.5. Zadania realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej | str. 94
5.2.6. Uzasadniony interes administratora danych lub strony trzeciej | str. 96
6. Artykuły 9 i 10 RODO – dane szczególnych kategorii i dane „karne” – Maciej Gawroński, Michał Sztąberek | str. 99
6.1. Przesłanka zgody | str. 101
6.2. Przetwarzanie wynikające ze stosunku pracy jest dozwolone prawem | str. 102
6.3. Ochrona żywotnych interesów | str. 102
6.4. Stowarzyszanie się | str. 103
6.5. Informacje upublicznione | str. 103
6.6. Sprawy sądowe | str. 103
6.7. Na podstawie prawa dla ważnego interesu publicznego | str. 103
6.8. Informacje „karne” | str. 105
7. Zgoda jako podstawa przetwarzania informacji – Maciej Gawroński | str. 105
7.1. Wstęp | str. 105
7.2. Podstawa prawna | str. 106
7.3. Zgoda dziecka | str. 106
7.4. Warunki wyrażenia zgody | str. 107
7.5. Rozliczalność | str. 112
7.6. Retencja (okres ważności zgody) | str. 112
7.7. Równołatwość cofnięcia zgody | str. 113
7.8. Wybór podstawy przetwarzania | str. 113
7.9. Ważność „starych” zgód | str. 114
8. Administrator i podmiot przetwarzający – Maciej Gawroński, Katarzyna Kloc, Magdalena Wojtas | str. 114
8.1. Wstęp | str. 114
8.2. Administrator informacji osobowych – definicja, parametry, obowiązki | str. 116
8.2.1. Definicja | str. 116
8.2.2. Każdy jest ADO | str. 116
8.2.3. Co przesądza, iż dany podmiot jest ADO? | str. 117
8.2.4. Decydowanie o celach i środkach przetwarzania | str. 117
8.2.5. Ergonomiczny test ADO | str. 118
8.2.6. Rola ADO | str. 118
8.2.7. Obowiązki ADO | str. 119
8.3. Podmiot przetwarzający – definicja, cechy, rola i obowiązki | str. 121
8.3.1. Definicja | str. 121
8.3.2. Rola podmiotu przetwarzającego | str. 121
8.3.3. Wiarygodność i wystarczające gwarancje | str. 122
8.3.4. Umowa z ADO | str. 122
8.3.5. Obowiązki wynikające z umowy z ADO | str. 123
8.3.6. Obowiązki wynikające z RODO | str. 125
8.4. Porównanie roli i obowiązków ADO i podmiotu przetwarzającego | str. 126
9. Przetwarzanie danych niewymagające identyfikacji – Maciej Gawroński | str. 127
9.1. Wprowadzenie | str. 127
9.2. Brak obowiązku identyfikacji | str. 129
9.3. Brak obowiązku monitorowania | str. 130
9.4. Obowiązki informacyjne | str. 131
9.4.1. Obowiązek poinformowania osób „niezidentyfikowanych” o niemożności zidentyfikowania – jeśli to realne | str. 132
9.4.2. Umożliwienie wykonania praw jednostki | str. 134
9.4.3. Bezpieczeństwo | str. 134
9.4.4. Minimalizacja (dostępu i czasu) | str. 135
10. Rejestrowanie czynności przetwarzania informacji – Katarzyna Kloc | str. 136
10.1. Własny rejestr zamiast zgłaszania do GIODO | str. 136
10.2. RCPD – podstawa rozliczalności | str. 137
10.3. Czynność przetwarzania informacji | str. 137
10.4. Czynności wykonywane w tym samym celu | str. 138
10.5. Czynności klasyfikowane w inny sposób | str. 140
10.6. RCPD dla „śladowych” i „pokaźnych” – różnice | str. 141
10.6.1. Czy każdy musi prowadzić RCPD? | str. 142
10.6.2. Zatrudnienie 250 osób | str. 142
10.6.3. Przetwarzanie wysokiego ryzyka | str. 143
10.7. Zakres informacji w RCPD – administratorzy danych | str. 144
10.8. Zakres danych w RCPD – podmioty przetwarzające dane | str. 146
10.9. Forma RCPD | str. 147
10.10. Osoba odpowiedzialna za prowadzenie RCPD | str. 148
11. Przekazywanie informacji do państwa trzeciego lub organizacji międzynarodowej (eksport informacji) – Maciej Gawroński | str. 148
11.1. Reglamentacja eksportu informacji | str. 148
11.2. Użyteczne utrudnienie eksportu danych | str. 149
11.3. Legalność eksportu informacji | str. 150
11.4. Podstawy eksportu informacji | str. 150
11.5. Dodatkowe podstawy podania | str. 151
11.6. Przekazanie „naprawdę wyjątkowe” | str. 152
11.7. Zarejestrowanie przekazania wyjątkowego | str. 153
11.8. Zakaz sądowej samopomocy – ucinanie „długiej ręki” | str. 153
11.9. Podsumowanie | str. 153
12. Przetwarzanie transgraniczne, czyli właściwość wiodącego organu nadzorczego (art. 4 pkt 16 i 23, art. 56 RODO) – Maciej Gawroński | str. 154
12.1. Wstęp | str. 154
12.2. One -stop -shop | str. 155
12.3. Przetwarzający | str. 156
12.4. Administratorzy | str. 156
12.4.1. Przetwarzanie lokalne | str. 157
12.4.2. Zasięg lokalny | str. 158
12.5. Prawo holdingowe | str. 158
12.6. Wytyczne Grupy Roboczej Art. 29 | str. 158
12.7. Wnioski | str. 159
13. Współadministrowanie danymi osobowymi – Maciej Gawroński | str. 159
13.1. Wstęp | str. 159
13.2. Przykłady współadministrowania danymi | str. 160
13.3. Współadministrowania lepiej unikać | str. 161
13.4. Obowiązki współadministratorów | str. 162
13.5. Umowa o współadministrowanie | str. 162
13.6. Treść umowy, analogia do powierzenia | str. 162
13.7. Ujawnienie podmiotom informacji | str. 163
13.8. Transgraniczne współadministrowanie | str. 163
13.9. Wnioski | str. 164
14. Kodeksy nowoczesnania i certyfikacja (art. 40 i n. RODO) – Paweł Punda, Aleksander P. Czarnowski, Maciej Gawroński | str. 164
14.1. Wstęp | str. 164
14.2. Kodeksy | str. 165
14.2.1. Opracowanie | str. 165
14.2.2. Zatwierdzanie | str. 165
14.3. Certyfikacja | str. 166
14.3.1. Schematy certyfikacyjne | str. 166
14.3.2. Prace legislacyjne | str. 166
14.4. Korzyści | str. 167
14.5. Brak Urzędu | str. 168
14.6. Projekty kodeksów | str. 169
14.7. Certyfikacja prywatna | str. 169
Rozdział II
Prawa jednostki | str. 170
1. Obsługa praw jednostki (art. 12 RODO) – Maciej Gawroński, Michał Kibil | str. 170
1.1. Wstęp | str. 170
1.2. Czytelność komunikowania się | str. 171
1.2.1. Czytelnie i zwięźle | str. 171
1.2.2. Kompletność | str. 171
1.2.3. Niecytowanie przepisów | str. 172
1.2.4. Dzieci | str. 172
1.2.5. Test Kowalskiego | str. 172
1.3. Uwierzytelnienie | str. 173
1.3.1. Potwierdzenie tożsamości | str. 173
1.3.2. Pogłębione uwierzytelnienie | str. 174
1.4. Forma komunikacji | str. 174
1.5. Upraszczanie | str. 175
1.6. Obsługa danych niezidentyfikowanych | str. 175
1.7. Czas reakcji i czas obsługi | str. 176
1.8. Nieuzasadnione lub nadmierne żądania | str. 177
1.8.1. Nieuzasadnione żądanie | str. 179
1.8.2. Nadmierne żądanie | str. 179
1.9. Schemat działania administratora | str. 180
2. Prawo do informacji i obowiązek informacyjny (art. 13 i 14 RODO) Maciej Gawroński | str. 180
2.1. Uwagi wstępne | str. 180
2.2. Zakres danych | str. 181
2.2.1. Pozyskiwanie od osoby | str. 181
2.2.2. Pozyskiwanie nie od osoby | str. 183
2.2.3. Zmiana celu | str. 183
2.2.4. Prawo dostępu | str. 183
2.3. Detale informacji | str. 183
2.3.1. Podstawa prawna | str. 183
2.3.2. Kategorie odbiorców i odbiorcy | str. 184
2.3.3. Eksport danych | str. 185
2.3.4. Profilowanie | str. 185
2.4. Kiedy i jak zawiadamiać | str. 185
2.4.1. Kiedy oznajmiać? | str. 186
2.4.1.1. Podczas pozyskiwania od osoby | str. 186
2.4.1.2. W ciągu miesiąca – z innych źródeł | str. 186
2.4.1.3. Aktualizacja danych | str. 186
2.4.1.4. Informowanie osób niezidentyfikowanych (art. 11 ust. 2 RODO) | str. 187
2.4.2. Jak sygnalizować? | str. 187
2.4.2.1. Krystaliczność | str. 187
2.4.2.2. Przystępność | str. 188
2.4.2.3. Konkretność | str. 189
2.5. Wyjątki od obowiązku informowania | str. 189
3. Prawo dostępu do informacji (art. 15 RODO) – Maciej Gawroński, Michał Sztąberek | str. 190
3.1. Wstęp | str. 190
3.2. Terminy | str. 191
3.3. Dane | str. 191
3.4. Dostęp | str. 192
3.5. Kopia informacji | str. 192
3.6. Prośba o sprecyzowanie | str. 193
3.7. Odmowa | str. 193
3.8. Prawa innych | str. 193
3.9. Uwierzytelnienie i komunikacja | str. 195
3.10. Regulaminy i procedury | str. 195
3.11. Mapowanie danych, narzędzia eksploracji danych (data mining), narzędzia do tzw. Ticketowania | str. 196
3.12. Podsumowanie | str. 196
4. Prawo do sprostowania informacji (art. 16 RODO) – Maciej Gawroński, Michał Sztąberek | str. 196
4.1. Wstęp | str. 196
4.2. Zagadnienia ogólne – tryb uwierzytelnienia i komunikacji | str. 197
4.2.1. Element sporu | str. 197
4.2.2. Prawo do skargi | str. 198
4.2.3. Fason | str. 198
4.2.4. Wykazanie nieprawidłowości danych | str. 198
4.2.5. Dane nieaktualne czy nieprawidłowe | str. 199
4.2.6. Zakres korekty danych | str. 199
4.3. Uzupełnienie danych niekompletnych | str. 200
4.3.1. Trafność danych | str. 200
4.3.2. Podstawa aktualizacji | str. 200
4.4. Obowiązek powiadomienia | str. 201
5. Prawo do usunięcia danych, prawo do bycia zapomnianym (art. 17 RODO) – Maciej Gawroński, Katarzyna Kunda | str. 202
5.1. Historia prawa do bycia zapomnianym | str. 202
5.2. Składniki prawa do bycia zapomnianym | str. 203
5.3. Podstawy żądania usunięcia informacji | str. 204
5.3.1. Zbędność do celów przetwarzania | str. 204
5.3.2. Cofnięcie zgody | str. 205
5.3.3. Wniesienie sprzeciwu | str. 205
5.3.4. Przetwarzanie niezgodne z prawem | str. 206
5.3.5. Prawny obowiązek usunięcia danych | str. 207
5.3.6. Oferowanie usług społeczeństwa informacyjnego dzieciom | str. 207
5.4. Wyjątki | str. 207
5.4.1. Korzystanie z praw do wolności wypowiedzi i informacji | str. 208
5.4.2. Wywiązanie się z obowiązku prawnego albo zadania realizowanych w interesie publicznym albo w ramach realizowania władzy publicznej | str. 208
5.4.3. Interes publiczny w ochronie zdrowia publicznego | str. 209
5.4.4. Cele archiwalne, badania naukowe, historyczne, cele statystyczne | str. 210
5.4.5. Ustalenie, dochodzenie, obrona roszczeń | str. 210
5.5. Zakres usunięcia danych | str. 211
5.6. Przetwarzanie w celu realizacji prawa do usunięciadanych i prawa do bycia zapomnianym | str. 212
5.7. Przetwarzanie w celu zapewnienia bezpieczeństwa – problem kopii zapasowych i archiwalnych | str. 213
5.7.1. Jak wszyscy, to wszyscy | str. 213
5.7.2. Problem bezpieczeństwa i ciągłości działania | str. 214
5.7.3. Problem rozliczalności | str. 214
5.7.4. Problem poręczny – zasoby i cykl | str. 214
5.7.5. Rozwiązanie | str. 215
5.8. Problem informacji nieustrukturyzowanych | str. 216
5.9. Poinformowanie innych administratorów | str. 218
5.10. Ograniczenie obowiązku poinformowania | str. 218
5.11. Listy kontrolne | str. 219
5.11.1. Przygotowanie do RODO – wprowadzenie prawa do bycia zapomnianym do organizacji | str. 219
5.11.2. Przetworzenie żądania usunięcia danych | str. 219
6. Prawo do ograniczenia przetwarzania (art. 18 RODO) – Michał Sztąberek, Maciej Gawroński | str. 220
6.1. Ograniczenie przetwarzania | str. 220
6.2. Prawo do ograniczenia przetwarzania | str. 221
6.2.1. Ograniczenie w razie sporu co do należycieści informacji | str. 222
6.2.2. Ograniczenie w razie niezgodności z prawem | str. 222
6.2.3. Ograniczenie dla potrzeb roszczeń | str. 223
6.2.4. Ograniczenie w razie sprzeciwu ze względu na szczególną sytuację | str. 223
6.3. Sposób użycia się do żądania ograniczenia przetwarzania | str. 223
6.4. Obowiązek powiadomienia | str. 224
7. Prawo do przenoszenia danych, czyli jak przenieść informacje od jednego administratora informacji do drugiego (art. 20 RODO) – Aleksander P. Czarnowski, Maciej Gawroński, Paweł Punda | str. 225
7.1. Wstęp | str. 225
7.2. Na czym skrupulatnie polega prawo przenoszenia informacji? | str. 226
7.3. Kiedy można skorzystać z prawa do przenoszenia danych? | str. 226
7.4. Jaki zakres informacji należy przekazać? | str. 227
7.5. W jaki sposób należy zrealizować prawo do przeniesienia informacji? | str. 229
7.5.1. Wyjątki | str. 231
7.5.2. Prawa osób trzecich | str. 231
7.5.3. Przenoszenie danych, które są jednocześnie danymi wnioskodawcy i danymi innej osoby | str. 232
7.6. Kogo przenoszenie danych dotyczy najmocniej? | str. 234
7.6.1. Bezpieczeństwo | str. 234
7.6.2. Kwestia techniczna | str. 234
8. Prawo do sprzeciwu (art. 21 RODO) – Maciej Gawroński, Michał Sztąberek | str. 235
8.1. Prawo do sprzeciwu | str. 235
8.2. Sprzeciw ze względu na szczególną sytuację osoby | str. 236
8.2.1. Prawnie uzasadnione interesy | str. 238
8.2.2. Roszczenia i obszerny | str. 239
8.2.3. Interes publiczny albo władza publiczna | str. 239
8.3. Przetwarzanie informacji na zapotrzebowania marketingu bezpośredniego | str. 241
8.3.1. Sprzeciw względem marketingu bezpośredniego a cofnięcie zgody na przetwarzanie | str. 241
8.3.2. Sprzeciw względem marketingu bezpośredniego a zgoda na zdalną komunikację marketingową | str. 242
8.4. Produktywne wniesienie sprzeciwu na przetwarzanie informacji | str. 242
8.5. Jak powinien być składany sprzeciw | str. 243
9. Profilowanie i automatyczne podejmowanie decyzji (art. 22 RODO) – Michał Kibil | str. 244
9.1. Wstęp | str. 244
9.2. Definicja profilowania z RODO | str. 248
9.2.1. Automatyzacja | str. 249
9.2.2. Informacje osobowe | str. 249
9.2.3. Efekt | str. 250
9.2.4. Czynności traktowane jako profilowanie | str. 250
9.3. Obowiązki administratora danych osobowych związane z profilowaniem lub automatycznym podejmowaniem decyzji, lub podejmowaniem decyzji w oparciu o profilowanie | str. 251
9.3.1. Obowiązki ogólne administratora | str. 252
9.3.1.1. Informowanie o decydowaniu samoczynnym i w oparciu o profilowanie | str. 252
9.3.1.2. Ile razy oznajmiać | str. 253
9.3.1.3. Zmiana celu | str. 253
9.3.1.4. Profilowanie informacji ze „starej” ustawy o ochronie danych osobowych | str. 253
9.3.2. Prawo sprzeciwu | str. 254
9.4. Profilowanie a podejmowanie samoczynnych decyzji | str. 254
9.4.1. Środki bezpieczeństwa | str. 256
9.4.2. Kiedy można stosować decyzje samoczynne lub oparte wyłącznie na profilowaniu | str. 257
9.4.2.1. Prawo do ludzkiej interwencji | str. 260
9.4.2.2. Proces reklamacyjny | str. 260
9.4.2.3. Automatyczne uwierzytelnienie | str. 260
9.4.3. Profilowanie dzieci | str. 261
9.4.4. Samoczynne decyzje dotyczące danych wrażliwych | str. 262
9.4.5. Wnioski | str. 262
Rozdział III
Bezpieczeństwo | str. 263
1. Bezpieczeństwo danych w świetle RODO – analiza ryzyka i optymalność środków – Aleksander P. Czarnowski, Maciej Gawroński | str. 263
1.1. Bezpieczeństwo optymalne do ryzyka | str. 263
1.1.1. Ryzyko | str. 264
1.1.2. Ryzyko naruszenia praw lub wolności | str. 265
1.1.3. Analiza ryzyka | str. 266
1.2. Komponenty oceny adekwatności środków bezpieczeństwa informacji | str. 268
1.2.1. Stan wiedzy technicznej | str. 268
1.2.2. Koszt | str. 268
1.2.3. Właściwości samego przetwarzania | str. 269
1.2.4. Ryzyko naruszenia praw lub wolności | str. 269
1.3. Nie trzeba wymyślać cyklu samemu? | str. 276
1.4. Środki bezpieczeństwa | str. 277
1.5. Jak z tego wybrnąć na skróty? | str. 280
2. Pseudonimizacja i szyfrowanie – preferowane środki zabezpieczania danych osobowych – Aleksander P. Czarnowski, Maciej Gawroński, Paweł Punda | str. 280
2.1. Uwagi wstępne | str. 280
2.2. Szyfrowanie | str. 281
2.3. Pseudonimizacja | str. 282
2.4. Anonimizacja | str. 283
2.5. Pseudonimizacja czy szyfrowanie | str. 283
2.5.1. Bezpieczeństwo | str. 284
2.5.2. Analiza ryzyka | str. 284
2.5.2.1. Ocena skutków dla ochrony informacji | str. 287
2.5.2.2. Metodyka analizy ryzyka | str. 287
2.6. Privacy żeby design | str. 290
2.7. Notyfikacja naruszeń ochrony informacji | str. 290
2.8. Użycia biznesowe pseudonimizacji | str. 290
2.9. Podsumowanie | str. 291
3. Privacy by design, czyli projektowanie prywatności – Maciej Gawroński, Katarzyna Kunda | str. 292
3.1. Privacy aby design | str. 292
3.1.1. Z czego się składa projektowanie prywatności | str. 294
3.1.1.1. Bezpieczeństwo | str. 294
3.1.1.2. Pseudonimizacja | str. 295
3.1.1.3. Minimalizacja | str. 296
3.1.2. Jak wdrożyć privacy żeby design w organizacji? | str. 296
3.1.2.1. Projektowanie prywatności w potężnym projekcie | str. 296
3.1.2.2. Zasady projektowania prywatności | str. 296
3.1.2.3. Od kiedy projektować prywatność | str. 297
3.2. Certyfikacja projektowania prywatności i domyślnej prywatności | str. 298
4. Privacy by default, czyli domyślna ochrona informacji – minimalizacja – Maciej Gawroński, Katarzyna Kunda | str. 298
4.1. Zasada privacy by default | str. 298
4.2. Privacy aby default, czyli minimalizacja | str. 299
4.3. Cechy domyślnej prywatności | str. 300
4.4. Wskazówki użyteczne | str. 300
4.5. Udostępnianie nieokreślonej liczbie osób | str. 301
4.6. Certyfikacja projektowania prywatności i domyślnej prywatności | str. 302
5. Ocena skutków dla ochrony danych krok po kroku – Katarzyna Kloc | str. 302
5.1. Uwagi wstępne | str. 302
5.2. „Kwalifikowana” analiza ryzyka i rozliczalność | str. 303
5.3. Podobne procesy, jedna DPIA | str. 305
5.4. Analiza ryzyka do kwadratu | str. 305
5.4.1. Analiza ryzyka | str. 306
5.4.2. Jak w praktyce można przeprowadzić analizę ryzyka pierwszego stopnia i posiadać wstępny przegląd operacji wymagających DPIA? | str. 307
5.5. DPIA – kiedy trzeba? | str. 307
5.5.1. Obszerna skala | str. 308
5.5.2. Wytyczne Grupy Roboczej Art. 29 | str. 310
5.6. Jak określić, czy w naszej firmie należy przeprowadzić DPIA i w odniesieniu do których procesów? | str. 313
5.6.1. Urzędowy katalog operacji DPIA | str. 314
5.7. Kiedy nie trzeba przeprowadzać DPIA? | str. 315
5.8. DPIA krok po kroku | str. 316
5.8.1. Uwagi ogólne | str. 316
5.8.2. IOD | str. 318
5.8.3. Eksperci | str. 318
5.8.4. Reprezentanci grup docelowych | str. 319
5.8.5. Uprzednie konsultacje z organem nadzorczym | str. 319
5.9. Wytyczne GIODO | str. 320
Rozdział IV
Przetwarzający informacje | str. 321
1. Powierzenie , a także elementy nowej umowy powierzenia danych – Aleksander P. Czarnowski, Maciej Gawroński, Patrycja Naklicka | str. 321
1.1. Uwagi wstępne | str. 321
1.2. Opis gwarancji zgodności | str. 321
1.3. Pisemna umowa | str. 322
1.4. Zgoda na podpowierzenie danych | str. 322
1.5. Transfer obowiązków na podprzetwarzającego | str. 323
1.6. Zakaz „wydmuszki” | str. 323
1.7. Przedmiot przetwarzania | str. 324
1.8. Pisemność poleceń ADO | str. 324
1.9. Zobowiązania do tajności | str. 324
1.10. Bezpieczeństwo informacji | str. 325
1.11. Obsługa praw jednostki | str. 325
1.12. Wsparcie obowiązków bezpieczeństwa administratora | str. 326
1.13. Notyfikacja podejrzenia naruszenia ochrony danych | str. 326
1.14. Likwidowanie i zwrot danych | str. 327
1.15. Obowiązek rozliczenia się ze zgodności z umową | str. 327
1.16. Podleganie audytom | str. 328
1.17. Odpłatność | str. 328
1.18. Informowanie o legalności poleceń | str. 328
1.19. Procedura rozstrzygania legalności | str. 328
1.20. Zasady odpowiedzialności | str. 329
1.21. Wyznaczanie inspektora ochrony danych | str. 329
2. Powierzenie oraz elementy nowej umowy powierzenia informacji – Aleksander P. Czarnowski, Maciej Gawroński, Patrycja Naklicka | str. 329
2.1. Umowy powierzenia a umowy SLA | str. 329
2.1.1. Dostępność systemu SLA i czas reakcji | str. 330
2.1.2. SLA w praktyce | str. 330
2.1.3. Standaryzacja umów SLA a zgodność z RODO | str. 331
2.2. Nowe wyzwania dla administratora i procesora | str. 331
2.3. Rekomendacje | str. 332
Rozdział V
Zarządzanie incydentami | str. 333
1. Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu (art. 33 RODO) – Maciej Gawroński, Zuzanna Piotrowska | str. 333
1.1. Przepis | str. 333
1.2. Co to jest naruszenie ochrony informacji osobowych? | str. 334
1.2.1. Naruszenie ochrony danych wg Grupy Roboczej Art. 29 | str. 336
1.2.1.1. Naruszenie prywatności | str. 336
1.2.1.2. Naruszenie przystępności | str. 337
1.2.1.3. Naruszenie integralności | str. 337
1.3. Czy każde naruszenie trzeba zgłaszać? | str. 337
1.3.1. Procedura zgłaszania | str. 338
1.3.1.1. Termin dla administratora | str. 338
1.3.1.2. Termin dla przetwarzającego | str. 338
1.3.2. Stwierdzenie naruszenia | str. 339
1.3.3. Zgłoszenie – treść i forma | str. 341
1.3.4. Powiadamianie z opóźnieniem | str. 342
1.3.5. Obowiązki podmiotu przetwarzającego | str. 343
1.4. Kiedy mimo wystąpienia incydentu naruszenia ochrony informacji nie trzeba zawiadamiać organu nadzorczego? | str. 343
1.4.1. Kwestie ergonomiczne | str. 345
1.4.2. Dokumentowanie naruszeń | str. 346
1.4.3. Sankcja administracyjna | str. 347
1.5. Części systemu zgłaszania naruszeń | str. 347
2. Zawiadamianie osoby, której informacje dotyczą, o naruszeniu ochrony informacji (art. 34 RODO) – Katarzyna Kloc, Maciej Gawroński | str. 348
2.1. Wstęp | str. 348
2.2. Wysokie ryzyko naruszenia praw albo wolności | str. 348
2.2.1. Prawa i wolności | str. 349
2.3. Wyjątki od obowiązku zawiadomienia | str. 350
2.3.1. Działania prewencyjne | str. 351
2.3.2. Działania następcze | str. 351
2.4. Zawiadomienie | str. 351
2.4.1. Treść zawiadomienia | str. 351
2.4.2. Forma zawiadomienia | str. 352
2.4.3. Ogłoszenie w miejscu zawiadomienia | str. 353
2.4.4. Termin zawiadomienia | str. 353
2.5. Uzgodnienia z organem nadzorczym | str. 354
Rozdział VI
Inspektor ochrony danych (IOD) | str. 355
1. Inspektor ochrony danych – wyznaczenie i status – Michał Kibil, Maciej Gawroński | str. 355
1.1. IOD – ewolucja czy rewolucja | str. 355
1.2. Kto ma obowiązek wyznaczenia inspektora ochrony informacji? | str. 356
1.2.1. Organ albo podmiot publiczny | str. 357
1.2.2. Działalność wymagająca systematycznego i regularnego monitorowania oraz przetwarzanie na dużą skalę | str. 358
1.2.2.1. Główna działalność | str. 358
1.2.2.2. Monitorowanie osób | str. 358
1.3. Działanie w ramach zrzeszeń i grup przedsiębiorców | str. 362
1.4. Kwalifikacje IOD | str. 363
1.5. Zatrudnienie IOD | str. 364
1.6. Status inspektora danych | str. 365
1.6.1. Obowiązki administratora względem IOD | str. 365
1.6.2. Niezależność IOD | str. 367
2. Zadania inspektora ochrony danych osobowych – Michał Kibil, Maciej Gawroński | str. 368
2.1. Wstęp | str. 368
2.2. Dane poufne i unikanie konfliktu interesów | str. 368
2.3. Zadania inspektora ochrony danych | str. 370
Rozdział VII
Regulator | str. 372
1. Organ nadzorczy – status, rola i obowiązki – Katarzyna Kunda, Patrycja Naklicka, Zuzanna Piotrowska | str. 372
1.1. Niezależność | str. 372
1.2. Atrybuty i gwarancje niezależności | str. 373
1.3. Członkowie organu nadzorczego | str. 374
1.3.1. Wybór | str. 374
1.3.2. Okres kadencji – konflikt interesów | str. 375
1.4. Rola organu nadzorczego | str. 375
1.4.1. Kompetencje z art. 57 RODO | str. 375
1.5. Darmowość | str. 376
2. Uprawnienia organu nadzorczego z zakresu ochrony danych osobowych – Katarzyna Kunda, Patrycja Naklicka, Zuzanna Piotrowska | str. 377
2.1. Wstęp | str. 377
2.2. Uprawnienia kontrolne | str. 377
2.2.1. Rodzaje i techniki kontroli | str. 378
2.2.2. Przebieg kontroli | str. 378
2.2.3. Zakres kontroli | str. 379
2.2.4. Uprawnienia pokontrolne | str. 380
2.2.5. Obowiązek zachowania tajemnicy | str. 380
2.3. Kary przewidziane przez RODO | str. 380
2.4. Udzielanie zezwoleń i kompetencje doradcze | str. 381
2.5. Obowiązek rozpatrywania skarg poprzez PUODO | str. 381
Rozdział VIII
Środki ochrony prawnej, odpowiedzialność i sankcje | str. 382
1. Środki ochrony prawnej – odpowiedzialność cywilnoprawna i administracyjna – Maciej Gawroński | str. 382
1.1. Wstęp | str. 382
1.2. Skarga do organu nadzorczego | str. 383
1.3. Skarga do sądu (administracyjnego) na organ nadzorczy | str. 384
1.4. Odpowiedzialność cywilnoprawna – żądanie zaniechania albo zachowania | str. 385
1.4.1. Prawo do sądu | str. 385
1.4.2. Właściwość miejscowa sądu | str. 386
1.4.3. Tryb procesowy | str. 386
1.5. Odpowiedzialność odszkodowawcza | str. 387
1.5.1. Szkoda majątkowa i niemajątkowa | str. 387
1.5.2. Administrator i przetwarzający | str. 387
1.5.3. Uwolnienie się od odpowiedzialności | str. 388
1.5.4. Domniemanie winy | str. 389
1.5.5. Współodpowiedzialność | str. 389
1.5.6. Właściwość sądu | str. 390
1.5.7. Cykl cywilny | str. 390
1.6. Reprezentacja podmiotów informacji poprzez wyspecjalizowane podmioty | str. 390
2. Sankcje administracyjne za naruszenie przepisów RODO – Maciej Gawroński | str. 391
2.1. Wstęp | str. 391
2.2. Komu grożą kary? | str. 391
2.3. Jakie powinny być kary? | str. 391
2.4. Kara większa i kara mniejsza | str. 391
2.5. Księgowość karania | str. 392
2.6. Konfiskata korzyści z „rodoprzestępstwa” | str. 394
3. Odpowiedzialność podmiotu przetwarzającego – Maciej Gawroński | str. 394
Część B
Wzory dokumentów
Wzór nr 1a. Klauzula zgody na przetwarzanie danych osobowych zwykłych | str. 399
Wzór nr 1b. Klauzula zgody na przetwarzanie danych osobowych „szczególnych kategorii” | str. 400
Wzór nr 2. Klauzula informacyjna o prawie do cofnięcia zgody | str. 402
Wzór nr 3. Klauzula informacyjna o przetwarzaniu danych | str. 403
Wzór nr 4. Klauzula informacyjna w przypadku współadministrowania danymi | str. 411
Wzór nr 5. Klauzula o samoczynnym podejmowaniu decyzji, w tym profilowaniu – komponent klauzuli informacyjnej | str. 413
Wzór nr 6. Umowa powierzenia przetwarzania informacji osobowych | str. 415
Wzór nr 7. Szczegółowa klauzula zgody na podpowierzenie | str. 426
Wzór nr 8. Sprzeciw administratora danych osobowych wobec podpowierzenia | str. 427
Wzór nr 9. Upoważnienie do przetwarzania informacji osobowych | str. 428
Wzór nr 10. Klauzula informacyjna dla osoby, której dane dotyczą, o podaniu jej informacji do państwa trzeciego | str. 430
Wzór nr 11. Polityka ochrony informacji osobowych | str. 433
Wzory rejestrów
Wzór Rejestru Czynności Przetwarzania danych | str. 455
Tożsamość administratora | str. 455
Rejestr przetwarzającego | str. 456
RCPD ADO | str. Wklejka
Wzór Rejestru Naruszeń Ochrony danych Osobowych | str. Wklejka
Część A
Kompendium RODO
Rozdział I
Zgodność podstawowa | str. 29
1. RODO – unijna „ustawa” o ochronie danych osobowych – Katarzyna Kloc, Maciej Gawroński | str. 29
1.1. RODO – nowa „ustawa” o ochronie informacji osobowych | str. 29
1.2. Przedmiot i cel RODO | str. 30
1.2.1. Uwagi wstępne | str. 30
1.2.2. Ochrona osób fizycznych | str. 31
1.2.3. Bezpośredniość | str. 31
1.2.4. Konsekwencje dla polskich przedsiębiorców | str. 32
1.3. Prywatność, prawa, bezpieczeństwo – filary RODO | str. 32
1.4. Oczekiwania RODO | str. 34
1.4.1. Ogólnikowość | str. 34
1.4.2. Mierzalność | str. 35
1.4.3. Bezpośredniość | str. 36
1.4.4. Ascetycznieść | str. 36
1.4.5. Domniemanie winy | str. 37
1.5. Podział ergonomiczny RODO | str. 38
2. Przedmiotowy i terytorialny zakres stosowania RODO – Katarzyna Kloc, Maciej Gawroński | str. 42
2.1. Zakres użytkowania RODO | str. 42
2.1.1. Zakres przedmiotowy | str. 42
2.1.2. Wyłączenia używania RODO | str. 43
2.1.3. Zakres terytorialny | str. 44
3. Rodosłowniczek, czyli omówienie podstawowych pojęć RODO wraz z przykładami – Patrycja Naklicka, Aleksandra Gawron | str. 47
3.1. Uwagi wstępne | str. 47
3.2. Administrator | str. 47
3.3. Analiza ryzyka | str. 48
3.4. Anonimizacja | str. 49
3.5. Czynności przetwarzania informacji | str. 49
3.6. Informacje osobowe | str. 50
3.7. Eksport danych | str. 52
3.8. GIODO i PUODO | str. 53
3.9. Grupa Robocza Art. 29 i Europejska Rada Ochrony informacji | str. 53
3.10. Inspektor ochrony informacji | str. 54
3.11. Naruszenie ochrony danych osobowych | str. 54
3.12. Ocena skutków dla ochrony informacji | str. 55
3.13. Odbiorca | str. 55
3.14. Ograniczenie przetwarzania | str. 56
3.15. Osoba, której dane dotyczą | str. 57
3.16. Personel | str. 57
3.17. Podmiot przetwarzający | str. 57
3.18. Przetwarzanie | str. 58
3.19. Pseudonimizacja | str. 61
3.20. Rejestr czynności przetwarzania danych | str. 61
3.21. Ryzyko | str. 62
3.22. Ustawa o ochronie informacji osobowych | str. 63
4. Zasady przetwarzania informacji osobowych – Marcin Dominiak, Maciej Gawroński | str. 64
4.1. Wprowadzenie | str. 64
4.1.1. Zasady materialne | str. 65
4.1.2. Zasada formalna – rozliczalność | str. 65
4.1.3. Bliżej o zasadach ochrony danych | str. 66
4.2. Zasada legalności, rzetelności i transparentności przetwarzania (zgodności z prawem) | str. 66
4.2.1. Legalność | str. 66
4.2.2. Rzetelność | str. 67
4.2.3. Przejrzystość | str. 67
4.3. Zasada celowości | str. 68
4.4. Zasada minimalizacji informacji (stosowności, proporcjonalności) | str. 70
4.5. Zasada korzystnieści (poprawności) | str. 72
4.6. Zasada ograniczenia czasowego (czasowości) | str. 73
4.7. Zasada bezpieczeństwa (nierozdzielności i prywatności danych) | str. 76
4.7.1. Poufność | str. 77
4.7.2. Niepodzielność | str. 77
4.7.3. Przystępność | str. 77
4.7.4. Odpowiedniość | str. 78
4.8. Zasada rozliczalności | str. 80
5. Podstawy prawne przetwarzania informacji osobowych – Maciej Gawroński, Michał Sztąberek | str. 80
5.1. Wstęp | str. 80
5.2. Dane osobowe „zwykłe” – art. 6–8 RODO | str. 81
5.2.1. Zgoda na przetwarzanie informacji osobowych | str. 83
5.2.1.1. Dobrowolność zgody | str. 83
5.2.1.2. Konkretność zgody | str. 84
5.2.1.3. Świadomość zgody | str. 85
5.2.1.4. Jednoznaczność zgody | str. 85
5.2.1.5. Forma zgody | str. 85
5.2.1.6. Zgoda dziecka na usługi społeczeństwa informacyjnego (np. Media społecznościowe) | str. 87
5.2.2. Zawarcie i realizowanie umowy | str. 89
5.2.2.1. Działania przed zawarciem umowy | str. 90
5.2.2.2. Realizowanie umowy | str. 90
5.2.2.3. Przetwarzanie danych osoby trzeciej | str. 90
5.2.3. Obowiązek prawny | str. 91
5.2.4. Ochrona żywotnych interesów | str. 93
5.2.5. Zadania realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej | str. 94
5.2.6. Uzasadniony interes administratora danych lub strony trzeciej | str. 96
6. Artykuły 9 i 10 RODO – dane szczególnych kategorii i dane „karne” – Maciej Gawroński, Michał Sztąberek | str. 99
6.1. Przesłanka zgody | str. 101
6.2. Przetwarzanie wynikające ze stosunku pracy jest dozwolone prawem | str. 102
6.3. Ochrona żywotnych interesów | str. 102
6.4. Stowarzyszanie się | str. 103
6.5. Informacje upublicznione | str. 103
6.6. Sprawy sądowe | str. 103
6.7. Na podstawie prawa dla ważnego interesu publicznego | str. 103
6.8. Informacje „karne” | str. 105
7. Zgoda jako podstawa przetwarzania informacji – Maciej Gawroński | str. 105
7.1. Wstęp | str. 105
7.2. Podstawa prawna | str. 106
7.3. Zgoda dziecka | str. 106
7.4. Warunki wyrażenia zgody | str. 107
7.5. Rozliczalność | str. 112
7.6. Retencja (okres ważności zgody) | str. 112
7.7. Równołatwość cofnięcia zgody | str. 113
7.8. Wybór podstawy przetwarzania | str. 113
7.9. Ważność „starych” zgód | str. 114
8. Administrator i podmiot przetwarzający – Maciej Gawroński, Katarzyna Kloc, Magdalena Wojtas | str. 114
8.1. Wstęp | str. 114
8.2. Administrator informacji osobowych – definicja, parametry, obowiązki | str. 116
8.2.1. Definicja | str. 116
8.2.2. Każdy jest ADO | str. 116
8.2.3. Co przesądza, iż dany podmiot jest ADO? | str. 117
8.2.4. Decydowanie o celach i środkach przetwarzania | str. 117
8.2.5. Ergonomiczny test ADO | str. 118
8.2.6. Rola ADO | str. 118
8.2.7. Obowiązki ADO | str. 119
8.3. Podmiot przetwarzający – definicja, cechy, rola i obowiązki | str. 121
8.3.1. Definicja | str. 121
8.3.2. Rola podmiotu przetwarzającego | str. 121
8.3.3. Wiarygodność i wystarczające gwarancje | str. 122
8.3.4. Umowa z ADO | str. 122
8.3.5. Obowiązki wynikające z umowy z ADO | str. 123
8.3.6. Obowiązki wynikające z RODO | str. 125
8.4. Porównanie roli i obowiązków ADO i podmiotu przetwarzającego | str. 126
9. Przetwarzanie danych niewymagające identyfikacji – Maciej Gawroński | str. 127
9.1. Wprowadzenie | str. 127
9.2. Brak obowiązku identyfikacji | str. 129
9.3. Brak obowiązku monitorowania | str. 130
9.4. Obowiązki informacyjne | str. 131
9.4.1. Obowiązek poinformowania osób „niezidentyfikowanych” o niemożności zidentyfikowania – jeśli to realne | str. 132
9.4.2. Umożliwienie wykonania praw jednostki | str. 134
9.4.3. Bezpieczeństwo | str. 134
9.4.4. Minimalizacja (dostępu i czasu) | str. 135
10. Rejestrowanie czynności przetwarzania informacji – Katarzyna Kloc | str. 136
10.1. Własny rejestr zamiast zgłaszania do GIODO | str. 136
10.2. RCPD – podstawa rozliczalności | str. 137
10.3. Czynność przetwarzania informacji | str. 137
10.4. Czynności wykonywane w tym samym celu | str. 138
10.5. Czynności klasyfikowane w inny sposób | str. 140
10.6. RCPD dla „śladowych” i „pokaźnych” – różnice | str. 141
10.6.1. Czy każdy musi prowadzić RCPD? | str. 142
10.6.2. Zatrudnienie 250 osób | str. 142
10.6.3. Przetwarzanie wysokiego ryzyka | str. 143
10.7. Zakres informacji w RCPD – administratorzy danych | str. 144
10.8. Zakres danych w RCPD – podmioty przetwarzające dane | str. 146
10.9. Forma RCPD | str. 147
10.10. Osoba odpowiedzialna za prowadzenie RCPD | str. 148
11. Przekazywanie informacji do państwa trzeciego lub organizacji międzynarodowej (eksport informacji) – Maciej Gawroński | str. 148
11.1. Reglamentacja eksportu informacji | str. 148
11.2. Użyteczne utrudnienie eksportu danych | str. 149
11.3. Legalność eksportu informacji | str. 150
11.4. Podstawy eksportu informacji | str. 150
11.5. Dodatkowe podstawy podania | str. 151
11.6. Przekazanie „naprawdę wyjątkowe” | str. 152
11.7. Zarejestrowanie przekazania wyjątkowego | str. 153
11.8. Zakaz sądowej samopomocy – ucinanie „długiej ręki” | str. 153
11.9. Podsumowanie | str. 153
12. Przetwarzanie transgraniczne, czyli właściwość wiodącego organu nadzorczego (art. 4 pkt 16 i 23, art. 56 RODO) – Maciej Gawroński | str. 154
12.1. Wstęp | str. 154
12.2. One -stop -shop | str. 155
12.3. Przetwarzający | str. 156
12.4. Administratorzy | str. 156
12.4.1. Przetwarzanie lokalne | str. 157
12.4.2. Zasięg lokalny | str. 158
12.5. Prawo holdingowe | str. 158
12.6. Wytyczne Grupy Roboczej Art. 29 | str. 158
12.7. Wnioski | str. 159
13. Współadministrowanie danymi osobowymi – Maciej Gawroński | str. 159
13.1. Wstęp | str. 159
13.2. Przykłady współadministrowania danymi | str. 160
13.3. Współadministrowania lepiej unikać | str. 161
13.4. Obowiązki współadministratorów | str. 162
13.5. Umowa o współadministrowanie | str. 162
13.6. Treść umowy, analogia do powierzenia | str. 162
13.7. Ujawnienie podmiotom informacji | str. 163
13.8. Transgraniczne współadministrowanie | str. 163
13.9. Wnioski | str. 164
14. Kodeksy nowoczesnania i certyfikacja (art. 40 i n. RODO) – Paweł Punda, Aleksander P. Czarnowski, Maciej Gawroński | str. 164
14.1. Wstęp | str. 164
14.2. Kodeksy | str. 165
14.2.1. Opracowanie | str. 165
14.2.2. Zatwierdzanie | str. 165
14.3. Certyfikacja | str. 166
14.3.1. Schematy certyfikacyjne | str. 166
14.3.2. Prace legislacyjne | str. 166
14.4. Korzyści | str. 167
14.5. Brak Urzędu | str. 168
14.6. Projekty kodeksów | str. 169
14.7. Certyfikacja prywatna | str. 169
Rozdział II
Prawa jednostki | str. 170
1. Obsługa praw jednostki (art. 12 RODO) – Maciej Gawroński, Michał Kibil | str. 170
1.1. Wstęp | str. 170
1.2. Czytelność komunikowania się | str. 171
1.2.1. Czytelnie i zwięźle | str. 171
1.2.2. Kompletność | str. 171
1.2.3. Niecytowanie przepisów | str. 172
1.2.4. Dzieci | str. 172
1.2.5. Test Kowalskiego | str. 172
1.3. Uwierzytelnienie | str. 173
1.3.1. Potwierdzenie tożsamości | str. 173
1.3.2. Pogłębione uwierzytelnienie | str. 174
1.4. Forma komunikacji | str. 174
1.5. Upraszczanie | str. 175
1.6. Obsługa danych niezidentyfikowanych | str. 175
1.7. Czas reakcji i czas obsługi | str. 176
1.8. Nieuzasadnione lub nadmierne żądania | str. 177
1.8.1. Nieuzasadnione żądanie | str. 179
1.8.2. Nadmierne żądanie | str. 179
1.9. Schemat działania administratora | str. 180
2. Prawo do informacji i obowiązek informacyjny (art. 13 i 14 RODO) Maciej Gawroński | str. 180
2.1. Uwagi wstępne | str. 180
2.2. Zakres danych | str. 181
2.2.1. Pozyskiwanie od osoby | str. 181
2.2.2. Pozyskiwanie nie od osoby | str. 183
2.2.3. Zmiana celu | str. 183
2.2.4. Prawo dostępu | str. 183
2.3. Detale informacji | str. 183
2.3.1. Podstawa prawna | str. 183
2.3.2. Kategorie odbiorców i odbiorcy | str. 184
2.3.3. Eksport danych | str. 185
2.3.4. Profilowanie | str. 185
2.4. Kiedy i jak zawiadamiać | str. 185
2.4.1. Kiedy oznajmiać? | str. 186
2.4.1.1. Podczas pozyskiwania od osoby | str. 186
2.4.1.2. W ciągu miesiąca – z innych źródeł | str. 186
2.4.1.3. Aktualizacja danych | str. 186
2.4.1.4. Informowanie osób niezidentyfikowanych (art. 11 ust. 2 RODO) | str. 187
2.4.2. Jak sygnalizować? | str. 187
2.4.2.1. Krystaliczność | str. 187
2.4.2.2. Przystępność | str. 188
2.4.2.3. Konkretność | str. 189
2.5. Wyjątki od obowiązku informowania | str. 189
3. Prawo dostępu do informacji (art. 15 RODO) – Maciej Gawroński, Michał Sztąberek | str. 190
3.1. Wstęp | str. 190
3.2. Terminy | str. 191
3.3. Dane | str. 191
3.4. Dostęp | str. 192
3.5. Kopia informacji | str. 192
3.6. Prośba o sprecyzowanie | str. 193
3.7. Odmowa | str. 193
3.8. Prawa innych | str. 193
3.9. Uwierzytelnienie i komunikacja | str. 195
3.10. Regulaminy i procedury | str. 195
3.11. Mapowanie danych, narzędzia eksploracji danych (data mining), narzędzia do tzw. Ticketowania | str. 196
3.12. Podsumowanie | str. 196
4. Prawo do sprostowania informacji (art. 16 RODO) – Maciej Gawroński, Michał Sztąberek | str. 196
4.1. Wstęp | str. 196
4.2. Zagadnienia ogólne – tryb uwierzytelnienia i komunikacji | str. 197
4.2.1. Element sporu | str. 197
4.2.2. Prawo do skargi | str. 198
4.2.3. Fason | str. 198
4.2.4. Wykazanie nieprawidłowości danych | str. 198
4.2.5. Dane nieaktualne czy nieprawidłowe | str. 199
4.2.6. Zakres korekty danych | str. 199
4.3. Uzupełnienie danych niekompletnych | str. 200
4.3.1. Trafność danych | str. 200
4.3.2. Podstawa aktualizacji | str. 200
4.4. Obowiązek powiadomienia | str. 201
5. Prawo do usunięcia danych, prawo do bycia zapomnianym (art. 17 RODO) – Maciej Gawroński, Katarzyna Kunda | str. 202
5.1. Historia prawa do bycia zapomnianym | str. 202
5.2. Składniki prawa do bycia zapomnianym | str. 203
5.3. Podstawy żądania usunięcia informacji | str. 204
5.3.1. Zbędność do celów przetwarzania | str. 204
5.3.2. Cofnięcie zgody | str. 205
5.3.3. Wniesienie sprzeciwu | str. 205
5.3.4. Przetwarzanie niezgodne z prawem | str. 206
5.3.5. Prawny obowiązek usunięcia danych | str. 207
5.3.6. Oferowanie usług społeczeństwa informacyjnego dzieciom | str. 207
5.4. Wyjątki | str. 207
5.4.1. Korzystanie z praw do wolności wypowiedzi i informacji | str. 208
5.4.2. Wywiązanie się z obowiązku prawnego albo zadania realizowanych w interesie publicznym albo w ramach realizowania władzy publicznej | str. 208
5.4.3. Interes publiczny w ochronie zdrowia publicznego | str. 209
5.4.4. Cele archiwalne, badania naukowe, historyczne, cele statystyczne | str. 210
5.4.5. Ustalenie, dochodzenie, obrona roszczeń | str. 210
5.5. Zakres usunięcia danych | str. 211
5.6. Przetwarzanie w celu realizacji prawa do usunięciadanych i prawa do bycia zapomnianym | str. 212
5.7. Przetwarzanie w celu zapewnienia bezpieczeństwa – problem kopii zapasowych i archiwalnych | str. 213
5.7.1. Jak wszyscy, to wszyscy | str. 213
5.7.2. Problem bezpieczeństwa i ciągłości działania | str. 214
5.7.3. Problem rozliczalności | str. 214
5.7.4. Problem poręczny – zasoby i cykl | str. 214
5.7.5. Rozwiązanie | str. 215
5.8. Problem informacji nieustrukturyzowanych | str. 216
5.9. Poinformowanie innych administratorów | str. 218
5.10. Ograniczenie obowiązku poinformowania | str. 218
5.11. Listy kontrolne | str. 219
5.11.1. Przygotowanie do RODO – wprowadzenie prawa do bycia zapomnianym do organizacji | str. 219
5.11.2. Przetworzenie żądania usunięcia danych | str. 219
6. Prawo do ograniczenia przetwarzania (art. 18 RODO) – Michał Sztąberek, Maciej Gawroński | str. 220
6.1. Ograniczenie przetwarzania | str. 220
6.2. Prawo do ograniczenia przetwarzania | str. 221
6.2.1. Ograniczenie w razie sporu co do należycieści informacji | str. 222
6.2.2. Ograniczenie w razie niezgodności z prawem | str. 222
6.2.3. Ograniczenie dla potrzeb roszczeń | str. 223
6.2.4. Ograniczenie w razie sprzeciwu ze względu na szczególną sytuację | str. 223
6.3. Sposób użycia się do żądania ograniczenia przetwarzania | str. 223
6.4. Obowiązek powiadomienia | str. 224
7. Prawo do przenoszenia danych, czyli jak przenieść informacje od jednego administratora informacji do drugiego (art. 20 RODO) – Aleksander P. Czarnowski, Maciej Gawroński, Paweł Punda | str. 225
7.1. Wstęp | str. 225
7.2. Na czym skrupulatnie polega prawo przenoszenia informacji? | str. 226
7.3. Kiedy można skorzystać z prawa do przenoszenia danych? | str. 226
7.4. Jaki zakres informacji należy przekazać? | str. 227
7.5. W jaki sposób należy zrealizować prawo do przeniesienia informacji? | str. 229
7.5.1. Wyjątki | str. 231
7.5.2. Prawa osób trzecich | str. 231
7.5.3. Przenoszenie danych, które są jednocześnie danymi wnioskodawcy i danymi innej osoby | str. 232
7.6. Kogo przenoszenie danych dotyczy najmocniej? | str. 234
7.6.1. Bezpieczeństwo | str. 234
7.6.2. Kwestia techniczna | str. 234
8. Prawo do sprzeciwu (art. 21 RODO) – Maciej Gawroński, Michał Sztąberek | str. 235
8.1. Prawo do sprzeciwu | str. 235
8.2. Sprzeciw ze względu na szczególną sytuację osoby | str. 236
8.2.1. Prawnie uzasadnione interesy | str. 238
8.2.2. Roszczenia i obszerny | str. 239
8.2.3. Interes publiczny albo władza publiczna | str. 239
8.3. Przetwarzanie informacji na zapotrzebowania marketingu bezpośredniego | str. 241
8.3.1. Sprzeciw względem marketingu bezpośredniego a cofnięcie zgody na przetwarzanie | str. 241
8.3.2. Sprzeciw względem marketingu bezpośredniego a zgoda na zdalną komunikację marketingową | str. 242
8.4. Produktywne wniesienie sprzeciwu na przetwarzanie informacji | str. 242
8.5. Jak powinien być składany sprzeciw | str. 243
9. Profilowanie i automatyczne podejmowanie decyzji (art. 22 RODO) – Michał Kibil | str. 244
9.1. Wstęp | str. 244
9.2. Definicja profilowania z RODO | str. 248
9.2.1. Automatyzacja | str. 249
9.2.2. Informacje osobowe | str. 249
9.2.3. Efekt | str. 250
9.2.4. Czynności traktowane jako profilowanie | str. 250
9.3. Obowiązki administratora danych osobowych związane z profilowaniem lub automatycznym podejmowaniem decyzji, lub podejmowaniem decyzji w oparciu o profilowanie | str. 251
9.3.1. Obowiązki ogólne administratora | str. 252
9.3.1.1. Informowanie o decydowaniu samoczynnym i w oparciu o profilowanie | str. 252
9.3.1.2. Ile razy oznajmiać | str. 253
9.3.1.3. Zmiana celu | str. 253
9.3.1.4. Profilowanie informacji ze „starej” ustawy o ochronie danych osobowych | str. 253
9.3.2. Prawo sprzeciwu | str. 254
9.4. Profilowanie a podejmowanie samoczynnych decyzji | str. 254
9.4.1. Środki bezpieczeństwa | str. 256
9.4.2. Kiedy można stosować decyzje samoczynne lub oparte wyłącznie na profilowaniu | str. 257
9.4.2.1. Prawo do ludzkiej interwencji | str. 260
9.4.2.2. Proces reklamacyjny | str. 260
9.4.2.3. Automatyczne uwierzytelnienie | str. 260
9.4.3. Profilowanie dzieci | str. 261
9.4.4. Samoczynne decyzje dotyczące danych wrażliwych | str. 262
9.4.5. Wnioski | str. 262
Rozdział III
Bezpieczeństwo | str. 263
1. Bezpieczeństwo danych w świetle RODO – analiza ryzyka i optymalność środków – Aleksander P. Czarnowski, Maciej Gawroński | str. 263
1.1. Bezpieczeństwo optymalne do ryzyka | str. 263
1.1.1. Ryzyko | str. 264
1.1.2. Ryzyko naruszenia praw lub wolności | str. 265
1.1.3. Analiza ryzyka | str. 266
1.2. Komponenty oceny adekwatności środków bezpieczeństwa informacji | str. 268
1.2.1. Stan wiedzy technicznej | str. 268
1.2.2. Koszt | str. 268
1.2.3. Właściwości samego przetwarzania | str. 269
1.2.4. Ryzyko naruszenia praw lub wolności | str. 269
1.3. Nie trzeba wymyślać cyklu samemu? | str. 276
1.4. Środki bezpieczeństwa | str. 277
1.5. Jak z tego wybrnąć na skróty? | str. 280
2. Pseudonimizacja i szyfrowanie – preferowane środki zabezpieczania danych osobowych – Aleksander P. Czarnowski, Maciej Gawroński, Paweł Punda | str. 280
2.1. Uwagi wstępne | str. 280
2.2. Szyfrowanie | str. 281
2.3. Pseudonimizacja | str. 282
2.4. Anonimizacja | str. 283
2.5. Pseudonimizacja czy szyfrowanie | str. 283
2.5.1. Bezpieczeństwo | str. 284
2.5.2. Analiza ryzyka | str. 284
2.5.2.1. Ocena skutków dla ochrony informacji | str. 287
2.5.2.2. Metodyka analizy ryzyka | str. 287
2.6. Privacy żeby design | str. 290
2.7. Notyfikacja naruszeń ochrony informacji | str. 290
2.8. Użycia biznesowe pseudonimizacji | str. 290
2.9. Podsumowanie | str. 291
3. Privacy by design, czyli projektowanie prywatności – Maciej Gawroński, Katarzyna Kunda | str. 292
3.1. Privacy aby design | str. 292
3.1.1. Z czego się składa projektowanie prywatności | str. 294
3.1.1.1. Bezpieczeństwo | str. 294
3.1.1.2. Pseudonimizacja | str. 295
3.1.1.3. Minimalizacja | str. 296
3.1.2. Jak wdrożyć privacy żeby design w organizacji? | str. 296
3.1.2.1. Projektowanie prywatności w potężnym projekcie | str. 296
3.1.2.2. Zasady projektowania prywatności | str. 296
3.1.2.3. Od kiedy projektować prywatność | str. 297
3.2. Certyfikacja projektowania prywatności i domyślnej prywatności | str. 298
4. Privacy by default, czyli domyślna ochrona informacji – minimalizacja – Maciej Gawroński, Katarzyna Kunda | str. 298
4.1. Zasada privacy by default | str. 298
4.2. Privacy aby default, czyli minimalizacja | str. 299
4.3. Cechy domyślnej prywatności | str. 300
4.4. Wskazówki użyteczne | str. 300
4.5. Udostępnianie nieokreślonej liczbie osób | str. 301
4.6. Certyfikacja projektowania prywatności i domyślnej prywatności | str. 302
5. Ocena skutków dla ochrony danych krok po kroku – Katarzyna Kloc | str. 302
5.1. Uwagi wstępne | str. 302
5.2. „Kwalifikowana” analiza ryzyka i rozliczalność | str. 303
5.3. Podobne procesy, jedna DPIA | str. 305
5.4. Analiza ryzyka do kwadratu | str. 305
5.4.1. Analiza ryzyka | str. 306
5.4.2. Jak w praktyce można przeprowadzić analizę ryzyka pierwszego stopnia i posiadać wstępny przegląd operacji wymagających DPIA? | str. 307
5.5. DPIA – kiedy trzeba? | str. 307
5.5.1. Obszerna skala | str. 308
5.5.2. Wytyczne Grupy Roboczej Art. 29 | str. 310
5.6. Jak określić, czy w naszej firmie należy przeprowadzić DPIA i w odniesieniu do których procesów? | str. 313
5.6.1. Urzędowy katalog operacji DPIA | str. 314
5.7. Kiedy nie trzeba przeprowadzać DPIA? | str. 315
5.8. DPIA krok po kroku | str. 316
5.8.1. Uwagi ogólne | str. 316
5.8.2. IOD | str. 318
5.8.3. Eksperci | str. 318
5.8.4. Reprezentanci grup docelowych | str. 319
5.8.5. Uprzednie konsultacje z organem nadzorczym | str. 319
5.9. Wytyczne GIODO | str. 320
Rozdział IV
Przetwarzający informacje | str. 321
1. Powierzenie , a także elementy nowej umowy powierzenia danych – Aleksander P. Czarnowski, Maciej Gawroński, Patrycja Naklicka | str. 321
1.1. Uwagi wstępne | str. 321
1.2. Opis gwarancji zgodności | str. 321
1.3. Pisemna umowa | str. 322
1.4. Zgoda na podpowierzenie danych | str. 322
1.5. Transfer obowiązków na podprzetwarzającego | str. 323
1.6. Zakaz „wydmuszki” | str. 323
1.7. Przedmiot przetwarzania | str. 324
1.8. Pisemność poleceń ADO | str. 324
1.9. Zobowiązania do tajności | str. 324
1.10. Bezpieczeństwo informacji | str. 325
1.11. Obsługa praw jednostki | str. 325
1.12. Wsparcie obowiązków bezpieczeństwa administratora | str. 326
1.13. Notyfikacja podejrzenia naruszenia ochrony danych | str. 326
1.14. Likwidowanie i zwrot danych | str. 327
1.15. Obowiązek rozliczenia się ze zgodności z umową | str. 327
1.16. Podleganie audytom | str. 328
1.17. Odpłatność | str. 328
1.18. Informowanie o legalności poleceń | str. 328
1.19. Procedura rozstrzygania legalności | str. 328
1.20. Zasady odpowiedzialności | str. 329
1.21. Wyznaczanie inspektora ochrony danych | str. 329
2. Powierzenie oraz elementy nowej umowy powierzenia informacji – Aleksander P. Czarnowski, Maciej Gawroński, Patrycja Naklicka | str. 329
2.1. Umowy powierzenia a umowy SLA | str. 329
2.1.1. Dostępność systemu SLA i czas reakcji | str. 330
2.1.2. SLA w praktyce | str. 330
2.1.3. Standaryzacja umów SLA a zgodność z RODO | str. 331
2.2. Nowe wyzwania dla administratora i procesora | str. 331
2.3. Rekomendacje | str. 332
Rozdział V
Zarządzanie incydentami | str. 333
1. Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu (art. 33 RODO) – Maciej Gawroński, Zuzanna Piotrowska | str. 333
1.1. Przepis | str. 333
1.2. Co to jest naruszenie ochrony informacji osobowych? | str. 334
1.2.1. Naruszenie ochrony danych wg Grupy Roboczej Art. 29 | str. 336
1.2.1.1. Naruszenie prywatności | str. 336
1.2.1.2. Naruszenie przystępności | str. 337
1.2.1.3. Naruszenie integralności | str. 337
1.3. Czy każde naruszenie trzeba zgłaszać? | str. 337
1.3.1. Procedura zgłaszania | str. 338
1.3.1.1. Termin dla administratora | str. 338
1.3.1.2. Termin dla przetwarzającego | str. 338
1.3.2. Stwierdzenie naruszenia | str. 339
1.3.3. Zgłoszenie – treść i forma | str. 341
1.3.4. Powiadamianie z opóźnieniem | str. 342
1.3.5. Obowiązki podmiotu przetwarzającego | str. 343
1.4. Kiedy mimo wystąpienia incydentu naruszenia ochrony informacji nie trzeba zawiadamiać organu nadzorczego? | str. 343
1.4.1. Kwestie ergonomiczne | str. 345
1.4.2. Dokumentowanie naruszeń | str. 346
1.4.3. Sankcja administracyjna | str. 347
1.5. Części systemu zgłaszania naruszeń | str. 347
2. Zawiadamianie osoby, której informacje dotyczą, o naruszeniu ochrony informacji (art. 34 RODO) – Katarzyna Kloc, Maciej Gawroński | str. 348
2.1. Wstęp | str. 348
2.2. Wysokie ryzyko naruszenia praw albo wolności | str. 348
2.2.1. Prawa i wolności | str. 349
2.3. Wyjątki od obowiązku zawiadomienia | str. 350
2.3.1. Działania prewencyjne | str. 351
2.3.2. Działania następcze | str. 351
2.4. Zawiadomienie | str. 351
2.4.1. Treść zawiadomienia | str. 351
2.4.2. Forma zawiadomienia | str. 352
2.4.3. Ogłoszenie w miejscu zawiadomienia | str. 353
2.4.4. Termin zawiadomienia | str. 353
2.5. Uzgodnienia z organem nadzorczym | str. 354
Rozdział VI
Inspektor ochrony danych (IOD) | str. 355
1. Inspektor ochrony danych – wyznaczenie i status – Michał Kibil, Maciej Gawroński | str. 355
1.1. IOD – ewolucja czy rewolucja | str. 355
1.2. Kto ma obowiązek wyznaczenia inspektora ochrony informacji? | str. 356
1.2.1. Organ albo podmiot publiczny | str. 357
1.2.2. Działalność wymagająca systematycznego i regularnego monitorowania oraz przetwarzanie na dużą skalę | str. 358
1.2.2.1. Główna działalność | str. 358
1.2.2.2. Monitorowanie osób | str. 358
1.3. Działanie w ramach zrzeszeń i grup przedsiębiorców | str. 362
1.4. Kwalifikacje IOD | str. 363
1.5. Zatrudnienie IOD | str. 364
1.6. Status inspektora danych | str. 365
1.6.1. Obowiązki administratora względem IOD | str. 365
1.6.2. Niezależność IOD | str. 367
2. Zadania inspektora ochrony danych osobowych – Michał Kibil, Maciej Gawroński | str. 368
2.1. Wstęp | str. 368
2.2. Dane poufne i unikanie konfliktu interesów | str. 368
2.3. Zadania inspektora ochrony danych | str. 370
Rozdział VII
Regulator | str. 372
1. Organ nadzorczy – status, rola i obowiązki – Katarzyna Kunda, Patrycja Naklicka, Zuzanna Piotrowska | str. 372
1.1. Niezależność | str. 372
1.2. Atrybuty i gwarancje niezależności | str. 373
1.3. Członkowie organu nadzorczego | str. 374
1.3.1. Wybór | str. 374
1.3.2. Okres kadencji – konflikt interesów | str. 375
1.4. Rola organu nadzorczego | str. 375
1.4.1. Kompetencje z art. 57 RODO | str. 375
1.5. Darmowość | str. 376
2. Uprawnienia organu nadzorczego z zakresu ochrony danych osobowych – Katarzyna Kunda, Patrycja Naklicka, Zuzanna Piotrowska | str. 377
2.1. Wstęp | str. 377
2.2. Uprawnienia kontrolne | str. 377
2.2.1. Rodzaje i techniki kontroli | str. 378
2.2.2. Przebieg kontroli | str. 378
2.2.3. Zakres kontroli | str. 379
2.2.4. Uprawnienia pokontrolne | str. 380
2.2.5. Obowiązek zachowania tajemnicy | str. 380
2.3. Kary przewidziane przez RODO | str. 380
2.4. Udzielanie zezwoleń i kompetencje doradcze | str. 381
2.5. Obowiązek rozpatrywania skarg poprzez PUODO | str. 381
Rozdział VIII
Środki ochrony prawnej, odpowiedzialność i sankcje | str. 382
1. Środki ochrony prawnej – odpowiedzialność cywilnoprawna i administracyjna – Maciej Gawroński | str. 382
1.1. Wstęp | str. 382
1.2. Skarga do organu nadzorczego | str. 383
1.3. Skarga do sądu (administracyjnego) na organ nadzorczy | str. 384
1.4. Odpowiedzialność cywilnoprawna – żądanie zaniechania albo zachowania | str. 385
1.4.1. Prawo do sądu | str. 385
1.4.2. Właściwość miejscowa sądu | str. 386
1.4.3. Tryb procesowy | str. 386
1.5. Odpowiedzialność odszkodowawcza | str. 387
1.5.1. Szkoda majątkowa i niemajątkowa | str. 387
1.5.2. Administrator i przetwarzający | str. 387
1.5.3. Uwolnienie się od odpowiedzialności | str. 388
1.5.4. Domniemanie winy | str. 389
1.5.5. Współodpowiedzialność | str. 389
1.5.6. Właściwość sądu | str. 390
1.5.7. Cykl cywilny | str. 390
1.6. Reprezentacja podmiotów informacji poprzez wyspecjalizowane podmioty | str. 390
2. Sankcje administracyjne za naruszenie przepisów RODO – Maciej Gawroński | str. 391
2.1. Wstęp | str. 391
2.2. Komu grożą kary? | str. 391
2.3. Jakie powinny być kary? | str. 391
2.4. Kara większa i kara mniejsza | str. 391
2.5. Księgowość karania | str. 392
2.6. Konfiskata korzyści z „rodoprzestępstwa” | str. 394
3. Odpowiedzialność podmiotu przetwarzającego – Maciej Gawroński | str. 394
Część B
Wzory dokumentów
Wzór nr 1a. Klauzula zgody na przetwarzanie danych osobowych zwykłych | str. 399
Wzór nr 1b. Klauzula zgody na przetwarzanie danych osobowych „szczególnych kategorii” | str. 400
Wzór nr 2. Klauzula informacyjna o prawie do cofnięcia zgody | str. 402
Wzór nr 3. Klauzula informacyjna o przetwarzaniu danych | str. 403
Wzór nr 4. Klauzula informacyjna w przypadku współadministrowania danymi | str. 411
Wzór nr 5. Klauzula o samoczynnym podejmowaniu decyzji, w tym profilowaniu – komponent klauzuli informacyjnej | str. 413
Wzór nr 6. Umowa powierzenia przetwarzania informacji osobowych | str. 415
Wzór nr 7. Szczegółowa klauzula zgody na podpowierzenie | str. 426
Wzór nr 8. Sprzeciw administratora danych osobowych wobec podpowierzenia | str. 427
Wzór nr 9. Upoważnienie do przetwarzania informacji osobowych | str. 428
Wzór nr 10. Klauzula informacyjna dla osoby, której dane dotyczą, o podaniu jej informacji do państwa trzeciego | str. 430
Wzór nr 11. Polityka ochrony informacji osobowych | str. 433
Wzory rejestrów
Wzór Rejestru Czynności Przetwarzania danych | str. 455
Tożsamość administratora | str. 455
Rejestr przetwarzającego | str. 456
RCPD ADO | str. Wklejka
Wzór Rejestru Naruszeń Ochrony danych Osobowych | str. Wklejka
