POLECAMY
Autor:
Dariusz Szostek, Witold Chomiczewski, Dominik Lubasz, Damian Karwala, Katarzyna Witkowska-Nowakowska, Mirosław Gumularz, Patrycja Kozik, Karolina Alama, Roman Bieda, Marcin Jerzy Maruta, Beata Marek, Mariola Więckowska, Marcin Wielisiej
Wydawca:
Format:
Publikacja to przeznaczone dla na małych i średnich przedsiębiorców praktyczne omówienie nowych przepisów dotyczących ochrony danych osobowych wprowadzanych przez rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. (RODO).
Autorzy szczegółowo opisują, jak przedsiębiorcy powinni przygotować się do stosowania RODO. Praktyczne wskazówki ułatwią proces wdrożenia nowych regulacji. W stosunku do dotychczasowych przepisów istotnie zmieniają się obowiązki administratorów danych i sposób ich wykonywania.
Z książki czytelnik dowie się m.in.:
jakie są nowe prawa podmiotów danych, w tym prawa informacyjne, prawo do zapomnienia, do przenoszenia danych czy też prawo do ograniczenia przetwarzania, co oznaczają i jak je realizować,
jakie są nowe obowiązki nałożone na administratorów i jak się przygotować do ich wykonywania,
jakie sankcje, nie tylko finansowe, będą groziły za naruszenie nowych przepisów.
Autorzy omówili ponadto projekt nowej polskiej ustawy o ochronie danych osobowych w zakresie wyłączenia niektórych obowiązków dla małych i średnich przedsiębiorstw, które ma ułatwić stosowanie przez nich nowej regulacji.
Rok wydania | 2018 |
---|---|
Liczba stron | 252 |
Kategoria | Inne |
Wydawca | Wolters Kluwer Polska SA |
ISBN-13 | 978-83-8124-797-9 |
Język publikacji | polski |
Informacja o sprzedawcy | ePWN sp. z o.o. |
POLECAMY
Ciekawe propozycje
Spis treści
Wykaz skrótów | str. | 13 |
Słowo wstępne | str. | 15 |
Rozdział | 1 |
Zagadnienia ogólne, definicje oraz zasady przetwarzania danych – Dominik Lubasz, Katarzyna Witkowska-Nowakowska | str. | 17 |
1.1. Zagadnienia wprowadzające – Dominik Lubasz | str. | 17 |
1.2. Zakres zastosowania regulacji – Dominik Lubasz | str. | 19 |
1.3. Defi nicje kluczowych pojęć – Dominik Lubasz | str. | 21 |
1.3.1. Dane osobowe | str. | 21 |
1.3.2. Przetwarzanie | str. | 26 |
1.3.3. Administrator i podmiot przetwarzający | str. | 27 |
1.4. Zasady przetwarzania – Katarzyna Witkowska-Nowakowska | str. | 28 |
1.4.1. Zasady: legalności, rzetelności i przejrzystości | str. | 29 |
1.4.2. Zasada ograniczenia celu | str. | 30 |
1.4.3. Zasada minimalizacji danych | str. | 31 |
1.4.4. Zasada prawidłowości | str. | 32 |
1.4.5. Zasada ograniczenia przechowywania | str. | 32 |
1.4.6. Zasada integralności i poufności | str. | 34 |
1.4.7. Zasada rozliczalności | str. | 35 |
Rozdział | 2 |
Zapewnienie legalności przetwarzania – Witold Chomiczewski, Mirosław Gumularz, Patrycja Kozik | str. | 37 |
2.1. Zagadnienia wprowadzające – Witold Chomiczewski | str. | 37 |
2.2. Zgoda jako podstawa legalizująca przetwarzanie danych osobowych – Mirosław Gumularz, Patrycja Kozik | str. | 38 |
2.2.1. Kryteria skuteczności zgody | str. | 39 |
2.2.1.1. Sposób wyrażenia i jednoznaczność zgody | str. | 39 |
2.2.1.2. Sposób wyrażenia zgody a dane wrażliwe | str. | 40 |
2.2.1.3. Forma wyrażenia zgody | str. | 41 |
2.2.1.4. Konkretność zgody | str. | 41 |
2.2.1.5. Dobrowolność zgody | str. | 42 |
2.2.1.6. Świadomość zgody | str. | 44 |
2.2.2. Wymóg zapewnienia rozliczalności w zakresie zgody | str. | 45 |
2.2.3. Wycofanie zgody | str. | 45 |
2.2.4. Zgoda dziecka | str. | 45 |
2.2.5. Zgoda a projektowane przepisy prawa pracy | str. | 48 |
2.2.6. Zgoda a inne podstawy przetwarzania | str. | 49 |
2.2.7. Zgoda na zmianę celu przetwarzania danych | str. | 50 |
2.2.8. Skuteczność zgód a wytyczne Grupy Roboczej Art. 29 | str. | 51 |
2.2.9. Pozyskiwanie zgód – wytyczne | str. | 52 |
2.3. Niezbędność przetwarzania do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy – Witold Chomiczewski | str. | 53 |
2.3.1. Wykonanie umowy | str. | 53 |
2.3.2. Działania przed zawarciem umowy | str. | 55 |
2.4. Niezbędność przetwarzania do wypełnienia obowiązku ciążącego na administratorze – Witold Chomiczewski | str. | 56 |
2.5. Niezbędność przetwarzania do ochrony żywotnych interesów podmiotu danych – Witold Chomiczewski | str. | 57 |
2.6. Niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym – Witold Chomiczewski | str. | 58 |
2.7. Niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów – Witold Chomiczewski | str. | 58 |
2.8. Dopuszczalność przetwarzania szczególnych kategorii danych osobowych – Dominik Lubasz | str. | 61 |
Rozdział | 3 |
Obowiązki administratorów – Witold Chomiczewski, Mirosław Gumularz, Patrycja Kozik, Dominik Lubasz, Mariola Więckowska | str. | 63 |
3.1. Obowiązki bazujące na ryzyku – Mariola Więckowska | str. | 63 |
3.1.1. Uwagi ogólne | str. | 63 |
3.1.1.1. Podejście oparte na ryzyku | str. | 65 |
3.1.1.2. Ochrona danych w fazie projektowania – privacy by design | str. | 66 |
3.1.2. Ocena skutków dla ochrony danych – OSOD | str. | 67 |
3.1.2.1. OSOD w przypadku współadministratorów i powierzenia danych podmiotom przetwarzającym | str. | 69 |
3.1.2.2. Kiedy konieczne jest przeprowadzenie OSOD? | str. | 70 |
3.1.3. Etap 1.: Wstępna ocena skutków dla ochrony danych wraz z ogólną analizą ryzyka | str. | 72 |
3.1.3.1. Przykładowy szablon do etapu 1.: Wstępna ocena skutków dla ochrony danych (WOSOD) | str. | 73 |
3.1.3.1.1. Informacje ogólne | str. | 73 |
3.1.3.1.2. Osoba odpowiedzialna za OSOD | str. | 73 |
3.1.3.1.3. Opis zmiany | str. | 73 |
3.1.3.1.4. Charakter danych | str. | 74 |
3.1.3.1.5. Typ, zakres i operacje na danych | str. | 75 |
3.1.3.1.6. Prawa podmiotów danych | str. | 76 |
3.1.3.1.7. Czy zmiana będzie wymagała dostosowania Regulaminu Firmy? Jeśli tak, krótko opisz, jakiej | str. | 77 |
3.1.3.1.8. Kryteria przeprowadzenia OSOD | str. | 77 |
3.1.3.1.9. Decyzja dotycząca ryzyka | str. | 78 |
3.1.3.1.10. Akceptacja osoby odpowiedzialnej za ochronę danych / inspektor ochrony danych | str. | 79 |
3.1.3.2. Podsumowanie | str. | 79 |
3.1.4. Etap 2.: Analiza zmiany i jej wpływu na prywatność | str. | 79 |
3.1.4.1. Identyfikacja zagrożeń i ich potencjalnego wpływu na prywatność | str. | 80 |
3.1.4.2. Przykładowa tabela obszarów analizy wpływu na prywatność | str. | 81 |
3.1.5. Etap 3.: Analiza ryzyka i działań zapobiegawczych | str. | 85 |
3.1.5.1. Szacowanie poziomu ryzyka | str. | 87 |
3.1.5.2. Postępowanie z ryzykiem | str. | 89 |
3.1.5.3. Przykładowa lista kontrolna dla oceny ryzyka i możliwych sposobów jego ograniczenia | str. | 91 |
3.1.6. Etap 4.: Przygotowanie raportu końcowego wraz ze strategią postępowania z ryzykiem | str. | 94 |
3.1.7. Etap 5.: Monitoring wdrożenia | str. | 95 |
3.1.8. Korzyści z OSOD | str. | 95 |
3.1.9. Zakończenie | str. | 96 |
3.2. Uprzednie konsultacje – Mirosław Gumularz, Patrycja Kozik | str. | 97 |
3.2.1. Uwagi ogólne | str. | 97 |
3.2.2. Typowe sytuacje, które mogą prowadzić do obowiązku dokonania uprzednich konsultacji | str. | 98 |
3.2.3. Istotne kryteria dokonywania uprzednich konsultacji w wytycznych Grupy Roboczej Art. 29 | str. | 98 |
3.2.4. Elementy konsultacji | str. | 100 |
3.2.5. Na kim ciąży obowiązek dokonania uprzednich konsultacji? | str. | 100 |
3.2.6. Działania organu nadzorczego | str. | 101 |
3.2.7. Przepisy szczególne mogące dotyczyć uprzednich konsultacji | str. | 102 |
3.2.8. Sankcje | str. | 102 |
3.3. Notyfikowanie naruszeń ochrony danych osobowych – Witold Chomiczewski | str. | 102 |
3.3.1. Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu | str. | 103 |
3.3.2. Zawiadamianie podmiotów danych o naruszeniach ochrony danych osobowych | str. | 104 |
3.4. Obowiązki dokumentacyjne – Dominik Lubasz | str. | 106 |
3.4.1. Rejestr czynności przetwarzania | str. | 108 |
3.4.1.1. Zakres danych w rejestrze czynności | str. | 108 |
3.4.1.2. Zwolnienie z obowiązku prowadzenia rejestrów dla MŚP | str. | 113 |
3.4.2. Rejestr kategorii czynności przetwarzania | str. | 113 |
3.4.3. Polityki ochrony danych | str. | 114 |
3.4.4. Pozostałe obowiązki dokumentacyjne | str. | 116 |
Rozdział | 4 |
Wymogi w zakresie formy w ogólnym rozporządzeniu – Dariusz Szostek | str. | 117 |
4.1. Zagadnienia wprowadzające | str. | 117 |
4.2. Źródła prawa w odniesieniu do formy | str. | 117 |
4.3. Forma dotycząca zgody | str. | 118 |
4.4. Dowód na fakt uzyskania zgody | str. | 121 |
4.5. Wymogi dotyczące formy dla poszczególnych oświadczeń | str. | 123 |
4.6. Forma umowy o powierzenie | str. | 124 |
Rozdział | 5 |
Inspektor ochrony danych – Roman Bieda | str. | 126 |
5.1. Zagadnienia wprowadzające | str. | 126 |
5.2. Wyznaczenie inspektora ochrony danych (IOD) | str. | 127 |
5.2.1. Uwagi ogólne | str. | 127 |
5.2.2. Obligatoryjne wyznaczenie IOD | str. | 128 |
5.2.3. Wymagane kwalifikacje zawodowe IOD | str. | 134 |
5.2.4. Podstawy zatrudnienia IOD | str. | 137 |
5.2.5. Notyfikacja oraz publikacja danych IOD | str. | 137 |
5.2.5.1. Publikacja danych kontaktowych IOD | str. | 137 |
5.2.5.2. Przekazanie danych IOD osobom, których dane dotyczą | str. | 138 |
5.2.5.3. Zawiadomienie organu nadzorczego o danych kontaktowych IOD | str. | 139 |
5.2.5.4. Zamieszczenie danych IOD w tzw. rejestrze czynności przetwarzania danych (rejestrze kategorii czynności przetwarzania) | str. | 140 |
5.3. Zadania inspektora ochrony danych | str. | 140 |
5.3.1. Uwagi ogólne | str. | 140 |
5.3.2. Podstawowe (obligatoryjne) zadania IOD | str. | 141 |
5.3.3. Informowanie administratora i podmiotu przetwarzającego o obowiązkach wynikających z przepisów o ochronie danych oraz doradzanie w tym zakresie (art. 39 ust. 1 lit. a RODO) | str. | 141 |
5.3.4. Monitorowanie przestrzegania przepisów o ochronie danych osobowych (art. 39 ust. 1 lit. b RODO) | str. | 142 |
5.3.5. Ocena skutków dla ochrony danych (art. 35, art. 39 ust. 1 lit. c RODO) | str. | 143 |
5.3.6. Współpraca z organem nadzorczym oraz pełnienie funkcji „punktu kontaktowego” dla organu nadzorczego | str. | 144 |
5.3.7. Pełnienie funkcji „punktu kontaktowego” dla osób, których dane dotyczą | str. | 145 |
5.3.8. Inne zadania IOD | str. | 145 |
5.4. Status inspektora ochrony danych | str. | 146 |
5.4.1. Uwagi ogólne | str. | 146 |
5.4.2. Zasada niezależności IOD | str. | 146 |
5.4.3. Obowiązek przedsiębiorcy włączania IOD we wszystkie sprawy dotyczące ochrony danych osobowych | str. | 147 |
5.4.4. Obowiązek wspierania IOD przez przedsiębiorcę | str. | 148 |
5.4.5. Obowiązek zachowania poufności przez IOD | str. | 149 |
Rozdział | 6 |
Outsourcing – powierzenie przetwarzania danych osobowych – Karolina Alama, Marcin Maruta | str. | 150 |
6.1. Zagadnienia wprowadzające | str. | 150 |
6.2. Powierzenie przetwarzania danych – podstawowe pojęcia | str. | 152 |
6.3. Powierzenie przetwarzania – prawa i obowiązki stron | str. | 153 |
6.4. Obowiązki administratora w związku z powierzeniem przetwarzania danych osobowych | str. | 154 |
6.4.1. Uwagi ogólne | str. | 154 |
6.4.2. Wybór podmiotu przetwarzającego spełniającego wymagania rozporządzenia 2016/679 | str. | 155 |
6.4.3. Wydawanie udokumentowanych poleceń | str. | 156 |
6.4.4. Umowa powierzenia przetwarzania danych osobowych | str. | 157 |
6.4.4.1. Forma umowy | str. | 157 |
6.4.4.2. Zakres przedmiotowy umowy powierzenia przetwarzania | str. | 159 |
6.4.4.3. Podpowierzenie przetwarzania danych – korzystanie z usług podprocesora | str. | 159 |
6.4.4.4. Obowiązek pomocy administratorowi | str. | 161 |
6.4.4.5. Współpraca z administratorem | str. | 162 |
6.4.4.6. Usunięcie lub zwrócenie danych | str. | 162 |
6.4.4.7. Stosunek umowy powierzenia danych do umowy głównej | str. | 162 |
6.5. Międzynarodowy transfer danych osobowych w kontekście powierzenia przetwarzania danych osobowych | str. | 163 |
6.5.1. Uwagi ogólne | str. | 163 |
6.5.2. Podstawy prawne transferu danych poza EOG | str. | 163 |
6.6. Odpowiedzialność podmiotów uczestniczących w powierzeniu przetwarzania danych osobowych | str. | 164 |
6.7. Rynek usług chmurowych a powierzenie przetwarzania danych osobowych | str. | 166 |
6.7.1. Uwagi ogólne | str. | 166 |
6.7.2. Zapewnienie zgodności powierzenia danych przez administratora | str. | 166 |
6.7.3. Prognozy w zakresie przyszłości rynku usług chmurowych | str. | 169 |
6.7.4. Migracja do rozwiązań chmurowych a zgodność z rozporządzeniem 2016/679 | str. | 170 |
6.8. Obowiązki administratora i procesora w zakresie powierzenia przetwarzania danych osobowych – podsumowanie | str. | 170 |
Rozdział | 7 |
Prawa podmiotów danych – Beata Marek, Marcin Wielisiej | str. | 173 |
7.1. Prawa informacyjne i dostępowe – Beata Marek | str. | 173 |
7.1.1. Obowiązki informacyjne, gdy dane pozyskiwane są bezpośrednio od osoby, której dane dotyczą | str. | 174 |
7.1.2. Obowiązki informacyjne, gdy dane pozyskiwane są w sposób inny niż od osoby, której dane dotyczą | str. | 177 |
7.1.3. Dostęp do danych | str. | 179 |
7.2. Prawo do sprostowania danych, usunięcia i zapomnienia – Beata Marek | str. | 180 |
7.2.1. Sprostowanie danych | str. | 180 |
7.2.2. Usunięcie danych (prawo do bycia zapomnianym) | str. | 181 |
7.3. Prawo do ograniczenia przetwarzania – Marcin Wielisiej | str. | 183 |
7.3.1. Uwagi ogólne | str. | 183 |
7.3.2. Uprawnieni do korzystania z prawa do ograniczenia przetwarzania danych | str. | 184 |
7.3.3. Zakres stosowania prawa do ograniczenia przetwarzania | str. | 184 |
7.3.4. Kwestionowanie prawidłowości danych | str. | 185 |
7.3.5. Przetwarzanie niezgodne z prawem | str. | 186 |
7.3.6. Dane nie są już niezbędne do realizacji celu przetwarzania | str. | 188 |
7.3.7. Wniesienie sprzeciwu | str. | 188 |
7.3.8. Treść i forma komunikacji z osobą, której dane dotyczą | str. | 189 |
7.3.9. Realizacja ograniczenia przetwarzania | str. | 190 |
7.3.10. Przesłanki uzasadniające przetwarzanie danych mimo wniesionego żądania ograniczenia | str. | 191 |
7.3.11. Sankcje | str. | 192 |
7.4. Prawo do przenoszenia danych – Marcin Wielisiej | str. | 192 |
7.4.1. Uwagi ogólne | str. | 192 |
7.4.2. Zakres stosowania prawa do przenoszenia danych | str. | 193 |
7.4.3. Zakres danych objętych prawem do przenoszenia | str. | 194 |
7.4.4. Treść i forma komunikacji z osobą, której dane dotyczą | str. | 195 |
7.4.5. Przygotowanie i format danych | str. | 196 |
7.4.6. Realizacja prawa do przeniesienia danych | str. | 197 |
7.4.7. Przekazanie danych osobie, której dane dotyczą | str. | 198 |
7.4.8. Przekazanie danych innemu administratorowi | str. | 199 |
7.4.9. Sankcje | str. | 200 |
7.5. Prawo do sprzeciwu – Marcin Wielisiej | str. | 200 |
7.5.1. Uwagi ogólne | str. | 200 |
7.5.2. Przesłanki zastosowania prawa do sprzeciwu | str. | 201 |
7.5.3. Forma zgłoszenia sprzeciwu | str. | 202 |
7.5.4. Realizacja sprzeciwu | str. | 203 |
7.5.5. Sankcje | str. | 203 |
7.6. Prawa związane z profilowaniem – Marcin Wielisiej | str. | 204 |
7.6.1. Uwagi ogólne | str. | 204 |
7.6.2. Zakaz podejmowania automatycznych decyzji | str. | 205 |
7.6.3. Ograniczenia zakazu podejmowania automatycznych decyzji | str. | 206 |
7.6.4. Profilowanie zgodne z rozporządzeniem 2016/679 | str. | 207 |
7.6.5. Sankcje | str. | 208 |
Rozdział | 8 |
Transfery danych do państw trzecich – Damian Karwala | str. | 209 |
8.1. Zagadnienia wprowadzające | str. | 209 |
8.1.1. Ponadgraniczne transfery danych w praktyce | str. | 209 |
8.1.2. Krytyka dotychczasowej regulacji transferowej i ogólna ocena zmian | str. | 210 |
8.2. Transfery danych na podstawie decyzji Komisji Europejskiej | str. | 212 |
8.3. Transfery danych z wykorzystaniem odpowiednich zabezpieczeń | str. | 215 |
8.4. Umowy transferowe | str. | 216 |
8.5. Transfery danych na podstawie wiążących reguł korporacyjnych | str. | 219 |
8.6. Kodeksy postępowania (dobrych praktyk) oraz mechanizmy certyfikacyjne jako nowe podstawy transferowe | str. | 220 |
8.7. Transfery danych z użyciem odstępstw (wyjątków) | str. | 221 |
8.8. Zgoda osoby zainteresowanej jako podstawa transferu | str. | 221 |
8.9. Prawnie uzasadnione interesy eksportera danych | str. | 224 |
8.10. Operacje dalszych transferów danych | str. | 225 |
8.11. Kolejność stosowania przesłanek transferowych | str. | 225 |
Rozdział | 9 |
Postępowanie kontrolne i sankcje – Katarzyna Witkowska-Nowakowska | str. | 227 |
9.1. Zagadnienia wprowadzające | str. | 227 |
9.2. Postępowanie kontrolne | str. | 228 |
9.3. Postępowanie w sprawie naruszenia ochrony danych osobowych | str. | 230 |
9.4. Administracyjne kary pieniężne | str. | 231 |
9.4.1. Warunki nakładania administracyjnych kar pieniężnych | str. | 231 |
9.4.2. Wysokość i podstawa do nałożenia kar | str. | 232 |
9.5. Sankcje karne | str. | 235 |
9.6. Uprawnienia podmiotu danych | str. | 236 |
Rozdział | 10 |
Szczególne sytuacje związane z przetwarzaniem – Mirosław Gumularz, Beata Marek | str. | 239 |
10.1. Przetwarzanie danych osobowych w związku z zatrudnieniem – Mirosław Gumularz | str. | 239 |
10.2. Przetwarzanie danych w big data – Beata Marek | str. | 242 |
Bibliografia | str. | 247 |