RODO – GDPR. Ocena ryzyka, ocena skutków naruszenia ochrony danych osobowych

Spis treści 5
Wstęp 17
Wstęp. Wprowadzenie 19
Zagadnienia związane z zapewnieniem bezpieczeństwa 22
Ocena skutków 23
Zagadnienia związane z działaniami, jakie powinny zostać podjęte przez administratora w sytuacji zaistnienia zjawisk, które godzą w bezpieczeństwo danych 26
Zagadnienia organizacyjne i związane z nimi zagadnienia dotyczące dokumentacji 27
Metodologia 29
Konstrukcja pracy 35
Konstrukcja pracy rozumianej jako całość 35
Konstrukcja każdego z rozdziałów pracy 35
Konstrukcja pracy. Uzupełnienie 41
Stan prawny 41
Cele pracy 43
Cele pracy dotyczące czynności o charakterze ocen (w zakresie analizy oceny ryzyka i zjawisk pochodnych) 43
Pozostałe cele pracy 45
Cele pracy. Uwagi uzupełniające 49

Rozdział 1 Ocena ryzyka na gruncie art. 24 RODO 51

Artykuł 24 RODO Obowiązki administratora 53
1.1. Art. 24 ust. 1 Analiza 53
2.1. Art. 24 ust. 1 Wnioski z analizy 60
1.2. Art. 24. ust. 2 Analiza 61
2.2. Art. 24 ust. 2 Wnioski z analizy 64
1.3. Art. 24. ust. 3 Analiza 64
2.3. Art. 24 ust. 3 Wnioski z analizy 66
3. Art. 24 Uwagi 67
3.1. Art. 24 Uwaga 1 Prawa i wolności 67
3.2. Art. 24 Uwaga 2 Przykładowe prawa i wolności zasadnicze 73
3.3. Art. 24 Uwaga 3 Przykładowe prawa i wolności szczegółowe 76
3.4. Art. 24 Uwaga 4 Inne prawa i wolności 79
3.5. Art. 24 Uwaga 5Proporcjonalność środków w świetle zasady rozliczalności 82
3.6. Art. 24 Uwaga 6 Odpowiedniość polityki ochrony danych 83
3.7. Art. 24 Uwaga 7 Charakter, zakres, kontekst i cele przetwarzania 83
3.8. Art. 24 Uwaga 8 Zakres przetwarzania 84
3.9. Art. 24 Uwaga 9 Cele przetwarzania 86
3.10. Art. 24 Uwaga 10 Charakter przetwarzania 87
3.11. Art. 24 Uwaga 11 Kontekst przetwarzania 89
3.12. Art. 24 Uwaga 12 Ocena ryzyka naruszenia praw i wolności z art. 24 RODO, a ocena ryzyka naruszenia praw i wolności z art. 32 RODO 91
3.13. Art. 24 Uwaga 13 Artykuł 24 RODO a artykuł 32 RODO 97
3.14. Art. 24 Uwaga 14 Poziomy ryzyka 98
3.15. Art. 24 Uwaga 15 Zestawienie poziomów ryzyka naruszenia praw i wolności osób fizycznych 103
3.16. Art. 24 Uwaga 16 Definicja ryzyka 106
3.17. Art. 24 Uwaga 17 Podmiot zobowiązany 107
3.18. Art. 24 Uwaga 18 Subiektywne podejście 108
3.19. Art. 24 Uwaga 19 Nieostrość przepisu. Skutki 111
3.20. Art. 24 Uwaga 20 Jak i kiedy oceniać ryzyko 112
3.21. Art. 24 Uwaga 21 Powtarzanie ocen ryzyka 113
3.22. Art. 24. Uwaga 22 Wykazanie realizacji obowiązków 114
3.23. Art. 24 Uwaga 23 Przepis jako zapis prawa, obowiązku i wolności 116
3.24. Art. 24. Uwaga 24Przepis jako zapis prawa, obowiązku i wolności. Argument z treści przepisów 117
3.25. Art. 24. Uwaga 25 Przepis jako zapis prawa, obowiązku i wolności Argument z racjonalności prawodawcy 122
3.26. Art. 24 Uwaga 26 Przepis jako zapis prawa, obowiązku i wolności. Argument z autorytetu 123
3.27. Art. 24 Uwaga 27 Przepis jako zapis prawa, obowiązku i wolności. Argument z filozofii 126
3.28. Art. 24 Uwaga 28 Ryzyko. Pojęcie na gruncie art. 24 130
3.29. Art. 24 Uwaga 29 Ryzyko. Pojęcie na gruncie art. 32 132
3.30. Art. 24 Uwaga 30 Ryzyko. Pojęcie na gruncie art. 32. Stałość zależności 139
3.31. Art. 24 Uwaga 31 Zdarzenie a naruszenie prawa – zasady 147
4. Art. 24 Podsumowanie w duchu. Konceptualizmu Prawniczego – Ogólnej Teorii Prawa 151
5. Art. 24 ust. 1 Konkretyzacja zasad 155
6. Art. 24 Postulaty de lege ferenda 160
6.1. Art. 24 Postulat 1 Zastąpienie przecinków literami „i” 160
6.2. Art. 24 Postulat 2 Zastąpienie słowa „lub” słowem „i” 161
6.3. Art. 24 Postulat 3 Korekta treści przepisu 162
6.4. Art. 24 Postulat 4 Poprawienie tłumaczenia polskiego 162
7. Art. 24 Rozważania historyczne 163
7.1. Art. 24. Rozważanie 1Odpowiedniki w dawnej legislacji 163

Rozdział 2 Ocena ryzyka na gruncie art. 32 RODO 165

Artykuł 32 Bezpieczeństwo przetwarzania 167
1. Art. 32 ust. 1 i 2 i 3 Analiza 169
1.1. Art. 32 ust. 1 Analiza 169
1.2. Art. 32 ust. 2. Analiza 179
1.2.1 Art. 32 ust. 2. Analiza szczegółowa. Omówienie przepisu z podziałem na kategorie ryzyk 181
1.2.1.1 Art. 32 ust. 2 Analiza szczegółowa dalsza. Ryzyka związane ze zniszczeniem danych osobowych 183
1.2.1.2 Art. 32 ust. 2. Analiza szczegółowa dalsza. Ryzyka związane z utratą danych osobowych 185
1.2.1.3 Art. 32 ust. 2 Analiza szczegółowa dalsza. Ryzyka związane z modyfikacją danych osobowych 186
1.2.1.4 Art. 32 ust. 2 Analiza szczegółowa dalsza. Ryzyka związane z ujawnieniem danych osobowych 188
1.2.1.5 Art. 32 ust. 2. Analiza szczegółowa dalsza. Ryzyka związane z dostępem do danych osobowych 190
1.3. Art. 32 ust. 3 Analiza 192
2.1. Art. 32 ust. 1 i 2 i 3 Wnioski z analizy 194
2.2. Art. 32 ust. 2 Wnioski z analizy 203
2.3. Art. 32 ust. 3 Wnioski z analizy 205
3. Art. 32 ust. 1 i 2 i 3 Uwagi 206
3.1. Art. 32 ust. 1 i 2 i 3 Uwaga 1. Niezgodność wersji językowych 206
3.2. Art. 32 ust. 1 i 2 i 3 Uwaga 2. Zagrożenia uporządkowane oparte na kryterium konkretnego zagrożenia 207
3.3 Art. 32 ust. 1 i 2 i 3 Uwaga 3 Zagrożenia uporządkowane oparte na kryterium czynności 210
3.3 Art. 32 ust. 1 i 2 i 3 Uwaga 3 Składowe oceny ryzyka 213
3.4 Art. 32 ust. 1 i 2 i 3 Uwaga 4 Błędy w ocenie ryzyka 215
3.5 Art. 32 ust. 1 i 2 i 3 Uwaga 5 Prawa i wolności 218
3.6 Art. 32 ust. 1 i 2 i 3 Uwaga 6 Podmioty zobowiązane 221
3.7 Art. 32 ust. 1 i 2 i 3 Uwaga 7 Czynności jako podstawa oceny ryzyka 223
3.8 Art. 32 ust. 1 i 2 i 3 Uwaga 8 Realność obowiązku oceny ryzyka 225
3.9 Art. 32 ust. 1 i 2 i 3 Uwaga 9 Wykazanie oceny ryzyka. 227
3.10 Art. 32 ust. 1 i 2 i 3 Uwaga 10 Ustalenie kolejności czynności 232
3.11 Art. 32 ust. 1 i 2 i 3 Uwaga 11 Kolejność czynności 234
3.12. Art. 32 Uwaga 12 Charakter, zakres, kontekst i cele przetwarzania 239
3.13. Art. 32 Uwaga 13 Niski poziom ryzyka jako pożądany 241
4. Art. 32 ust. 1 i 2 i 3 Podsumowanie w duchu. Konceptualizmu Prawniczego – Ogólnej Teorii Prawa 242
5. Art. 32 ust. 1 i 2 i 3. Konkretyzacja zasad 251
6. Art. 32 ust. 1 i 2 i 3 Postulaty de lege ferenda 254
6.1. Art. 32 ust. 1 i 2 i 3 Postulat 1 Uproszczenie przepisu 254
6.2. Art. 32 ust. 1 i 2 i 3 Postulat 2 Uczytelnienie przepisu 254
7. Art. 32 ust. 1 i 2 i 3 Rozważania historyczne 255

Rozdział 3 Naruszenie ochrony danych osobowych i jego zgłaszanie na gruncie art. 33 RODO i art. 34 RODO 257

Artykuł 33 RODO Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu 259
Artykuł 33 ust. 1 RODO 261
1. Art. 33 ust. 1 Analiza 261
2. Art. 33 ust. 1. Komentarz 269
3. Art. 33 ust. 1 Uwagi 271
3.1. Art. 33 ust. 1 Uwaga 1
Ocena ryzyka naruszenia praw i wolności 271
3.2. Art. 33 ust. 1 Uwaga 2 Prawa i wolności przy ocenie skutków naruszenia 271
3.3. Art. 33 ust. 1 Uwaga 3 Prawa i wolności w RODO. Zarys zagadnień 281
3.4. Art. 33 ust. 1 Uwaga 4 Prawa i wolności w RODO. Naruszenie łącznie z naruszeniem innych praw i wolności 282
3.5. Art. 33 ust. 1 Uwaga 5 Prawa i wolności. Źródła inne niż RODO 283
3.6. Art. 33 ust. 1 Uwaga 6 Prawa i wolności w EKPC 283
3.7. Art. 33 ust. 1 Uwaga 7 Prawa i wolności w KPP UE 285
3.8. Art. 33 ust. 1 Uwaga 8 Naruszenie praw lub wolności jednej osoby fizycznej 286
3.9. Art. 33 ust. 1 Uwaga 9 Incydent 292
3.10. Art. 33 ust. 1 Uwaga 10 Naruszenie ochrony danych osobowych – zestawienie 296
3.11. Art. 33 Uwaga 11 Naruszenie ochrony danych osobowych. Metoda ustalenia 305
3.12. Art. 33 Uwaga 12 Naruszenie zdaniem EROD. Wątpliwości 310
3.13. Art. 33 Uwaga 13 Naruszenie zdaniem EROD. Polemika 311
3.14. Art. 33 Uwaga 14 Naruszenie ochrony danych osobowych. Kolejność działań 316
3.15. Art. 33 Uwaga 15 Naruszenie dostępności 321
3.16. Art. 33 Uwaga 16 Naruszenie ochrony danych osobowych w realiach współadministrowania 325
3.17. Art. 33 Uwaga 17 Skutek niestwierdzenia naruszenia ochrony danych osobowych 325
3.18. Art. 33 Uwaga 18 Naruszenie ochrony danych osobowych a zjawiska sztucznej inteligencji 329
4. Art. 33 ust. 1 Podsumowanie w duchu 336
Konceptualizmu Prawniczego – Ogólnej Teorii Prawa I 336
5. Art. 33 ust. 1 Konkretyzacja zasad 338
6. Art. 33 Postulaty de lege ferenda 341
6.1. Art. 33 Postulat 1 Jak liczyć termin 72-godzinny 341
6.2. Art. 33 Postulat 2 Wskazanie praw i wolności 342
6.3. Art. 33 Postulat 3 Uczytelnienie przepisu 342
Artykuł 33 ust. 2 RODO 345
1. Art. 33 ust. 2 Analiza 345
2. Art. 33 ust. 2 Wnioski z analizy 349
3. Art. 33 ust. 2 Uwagi 349
3.1. Art. 33 ust. 2 Uwaga 1 Stwierdzenie naruszenia 349
3.2. Art. 33 ust. 2 Uwaga 2 Miejsce stwierdzenia naruszenia 350
3.3. Art. 33 ust. 2 Uwaga 3 Stwierdzenie naruszenia w realiach dalszego powierzenia przetwarzania 352
4. Art. 33 ust. 2 Podsumowanie w duchu. Konceptualizmu Prawniczego – Ogólnej Teorii Prawa I 354
5. Art. 33 ust. 2 Konkretyzacja zasady 354
6. Art. 33 ust. 2 Postulaty de lege ferenda 355
6.1. Art. 33 ust. 2 Postulat 1 Osoba stwierdzająca naruszenie 355
Artykuł 33 ust. 5 RODO 357
1. Art. 33 ust. 5 Analiza 357
2. Art. 33 ust. 5 Komentarz 359
3. Art. 33 ust. 1 i 2 i 5 Uwagi 360
3.4. Art. 33 Uwaga 1 Cel informowania organu nadzorczego 360
3. Art. 33 ust. 5 Uwagi 361
3.1. Art. 33 ust. 5 Uwaga 1 Odesłanie w przepisie 361
3.2. Art. 33 ust. 5 Uwaga 2 Dokumentowanie naruszeń 362
4. Art. 33 ust. 5 Podsumowanie w duchu. Konceptualizmu Prawniczego – Ogólnej Teorii Prawa I 363
5. Art. 33 ust. 5 Konkretyzacja zasad 364
6. Art. 33 ust. 1, 2, 5 Postulaty de lege ferenda 367
6.1 Art. 33 ust. 5 Postulat 1 Doprecyzowanie odesłania 367
6.2 Art. 33 ust. 5 Postulat 2 Doprecyzowanie obowiązku dokumentowania naruszeń 367
7. Art. 33 Rozważania historyczne 368
7.1. Art. 33 Rozważanie 1 Odpowiedniki w dawnej legislacji 368
Artykuł 34 RODO Zawiadamianie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych 369
Artykuł 34 ust. 1 RODO 371
1. Art. 34 ust. 1 Analiza 371
2. Art. 34 ust. 1 Wnioski z analizy 373
3. Art. 34 ust. 1 Uwagi 374
3.1. Art. 34 ust. 1 Uwaga 1 Analogie do art. 33 ust. 1 374
3.2. Art. 34 ust. 1 Uwaga 2 Ocena ryzyka naruszenia praw i wolności 375
3.3. Art. 34 ust. 1 Uwaga 3 Prawa i wolności w RODO 376
3.4. Art. 34 ust. 1 Uwaga 4 Zasady z art. 5 RODO jako prawa i wolności 380
3.5. Art. 34 ust. 1 Uwaga 5 Przepisy szczegółowe RODO jako prawa i wolności 381
3.6. Art. 34 ust. 1 Uwaga 6 Prawa i wolności spoza RODO 383
3.7. Art. 34 ust. 1 Uwaga 7 Naruszenie praw i wolności osób fizycznych 383
3.8. Art. 34 ust. 1 Uwaga 8 Zawiadamianie osób, zgłaszanie PUODO. Uwagi porządkujące 386
3.9. Art. 34 ust. 1 Uwaga 9 Adresaci przepisu 391
3.10. Art. 34 ust. 1 Uwaga 10 Cel informowania osób, których dane dotyczą 393
3.11. Art. 34 ust. 1 Uwaga 11 Moment informowania osób, których dane dotyczą 394
3.12. Art. 34 ust. 1 Uwaga 12 Informowanie jednej osoby fizycznej 395
3.13. Art. 34 ust. 1 Uwaga 13 Rola podmiotu przetwarzającego w realizacji art. 34 RODO 399
4. Art. 34 ust. 1 Podsumowanie w duchu. Konceptualizmu Prawniczego – Ogólnej Teorii Prawa 399
5. Art. 34 ust. 1 Konkretyzacja zasad 400
6. Art. 34 ust. 1 Postulaty de lege ferenda 400
6.1. Art. 34 ust. 1 Postulat 1 Połączenie przepisów. Wersja minimalistyczna 400
6.2. Art. 34 ust. 1 Postulat 2 i 3 Połączenie przepisów. Wersja pełniejsza. Uzupełnienie przepisu o naruszenie praw i wolności 401
6.4. Art. 34 ust. 1 Postulat 4 Uchylenie przepisu 404
6.5. Art. 34 ust. 1 Postulat 5 Zmiana funktora 405
6.6. Art. 34 ust. 1 Postulat 6 Wskazanie praw i wolności 406
Art. 34 ust. 3 RODO 409 1 i 2 Art. 34 ust. 3 Analiza i wnioski z analizy 409
3. Art. 34 ust. 3 Uwagi 418
3.1. Art. 34 ust. 3 Uwaga 1 Brak obowiązku 418
3.2. Art. 34 ust. 3 Uwaga 2 Moment zastosowania środków 419
3.3. Art. 34 ust. 3 Uwaga 3 Możliwość stosowania przepisu 420
3.4. Art. 34 ust. 3 Uwaga 4 Informowanie w interesie osób, których dane dotyczą 424
3.5. Art. 34 ust. 3 Uwaga 5 Związek z art. 32 RODO 424
3.6. Art. 34 ust. 3 Uwaga 6 Możliwość modyfikacji obowiązków wynikających z przepisu 425
4. Art. 34 ust. 3 Podsumowanie w duchu. Konceptualizmu Prawniczego – Ogólnej Teorii Prawa 426
5. Art. 34 ust. 1 Konkretyzacja zasad 428
6. Art. 34 ust. 3 Postulaty de lege ferenda 432
6.1. Art. 34 ust. 4 Postulat 1 Uporządkowanie pojęciowe 432
Tabele pomocnicze. Zestawienia 435
Zagrożenia uporządkowane na podstawie kryterium konkretnego zagrożenia 437
Zagrożenia uporządkowane na podstawie kryterium czynności 445
Prawa i wolności zasadnicze 453
Ocena skutków naruszenia ochrony danych osobowych Tabele 465
Zdarzenia, których zaistnienie oznacza, że miało miejsce naruszenie ochrony danych osobowych 469
Realizacja celów pracy 489
Realizacja celów pracy, dotyczących czynności o charakterze ocen 491
Realizacja celów pracy, dotyczących czynności o charakterze ocen (w zakresie analizy oceny ryzyka i zjawisk pochodnych), w odniesieniu do art. 24 RODO 491
Realizacja celów pracy, dotyczących czynności o charakterze ocen (w zakresie analizy oceny ryzyka i zjawisk pochodnych), w odniesieniu do art. 32 RODO 495
Realizacja celów pracy, dotyczących czynności o charakterze ocen (w zakresie analizy oceny ryzyka i zjawisk pochodnych), w odniesieniu do art. 33 i 34 RODO 499
Realizacja pozostałych celów pracy 505
Realizacja celu: „Poczynienie ustaleń szczegółowych, dotyczących ocen ryzyka” 505
Realizacja celu: „Poczynienie ustaleń szczegółowych, dotyczących ocen skutków naruszenia” 506
Realizacja celu: „Prezentacja etapowej analizy semantycznej” 508
Realizacja celu: „Prezentacja konceptualizmu prawniczego – ogólnej teorii prawa” 509
Realizacja celu: „Postawienie postulatów de lege ferenda” 510
Realizacja celu: „Drobiazgowa analiza tekstu prawnego wybranych przepisów RODO” 510
Realizacja celu: „Prezentacja warstwowej metody tworzenia prac naukowych” 511
Cele pracy. Uwagi uzupełniające 513

Zakończenie 515

Bibliografia 519