POLECAMY
Koszyk
RODO dla małych i średnich przedsiębiorstw
Autor:
Dariusz Szostek, Witold Chomiczewski, Dominik Lubasz, Damian Karwala, Katarzyna Witkowska-Nowakowska, Mirosław Gumularz, Patrycja Kozik, Karolina Alama, Roman Bieda, Marcin Jerzy Maruta, Beata Marek, Mariola Więckowska, Marcin Wielisiej
Wydawca:
Format:
Publikacja to przeznaczone dla na małych i średnich przedsiębiorców praktyczne omówienie nowych przepisów dotyczących ochrony danych osobowych wprowadzanych przez rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. (RODO).
Autorzy szczegółowo opisują, jak przedsiębiorcy powinni przygotować się do stosowania RODO. Praktyczne wskazówki ułatwią proces wdrożenia nowych regulacji. W stosunku do dotychczasowych przepisów istotnie zmieniają się obowiązki administratorów danych i sposób ich wykonywania.
Z książki czytelnik dowie się m.in.:
jakie są nowe prawa podmiotów danych, w tym prawa informacyjne, prawo do zapomnienia, do przenoszenia danych czy też prawo do ograniczenia przetwarzania, co oznaczają i jak je realizować,
jakie są nowe obowiązki nałożone na administratorów i jak się przygotować do ich wykonywania,
jakie sankcje, nie tylko finansowe, będą groziły za naruszenie nowych przepisów.
Autorzy omówili ponadto projekt nowej polskiej ustawy o ochronie danych osobowych w zakresie wyłączenia niektórych obowiązków dla małych i średnich przedsiębiorstw, które ma ułatwić stosowanie przez nich nowej regulacji.
| Rok wydania | 2018 |
|---|---|
| Liczba stron | 252 |
| Kategoria | Inne |
| Wydawca | Wolters Kluwer Polska SA |
| ISBN-13 | 978-83-8124-797-9 |
| Język publikacji | polski |
| Informacja o sprzedawcy | ePWN sp. z o.o. |
Ciekawe propozycje
Spis treści
| Wykaz skrótów | str. | 13 |
| Słowo wstępne | str. | 15 |
| Rozdział | 1 |
| Zagadnienia ogólne, definicje oraz zasady przetwarzania danych – Dominik Lubasz, Katarzyna Witkowska-Nowakowska | str. | 17 |
| 1.1. Zagadnienia wprowadzające – Dominik Lubasz | str. | 17 |
| 1.2. Zakres zastosowania regulacji – Dominik Lubasz | str. | 19 |
| 1.3. Defi nicje kluczowych pojęć – Dominik Lubasz | str. | 21 |
| 1.3.1. Dane osobowe | str. | 21 |
| 1.3.2. Przetwarzanie | str. | 26 |
| 1.3.3. Administrator i podmiot przetwarzający | str. | 27 |
| 1.4. Zasady przetwarzania – Katarzyna Witkowska-Nowakowska | str. | 28 |
| 1.4.1. Zasady: legalności, rzetelności i przejrzystości | str. | 29 |
| 1.4.2. Zasada ograniczenia celu | str. | 30 |
| 1.4.3. Zasada minimalizacji danych | str. | 31 |
| 1.4.4. Zasada prawidłowości | str. | 32 |
| 1.4.5. Zasada ograniczenia przechowywania | str. | 32 |
| 1.4.6. Zasada integralności i poufności | str. | 34 |
| 1.4.7. Zasada rozliczalności | str. | 35 |
| Rozdział | 2 |
| Zapewnienie legalności przetwarzania – Witold Chomiczewski, Mirosław Gumularz, Patrycja Kozik | str. | 37 |
| 2.1. Zagadnienia wprowadzające – Witold Chomiczewski | str. | 37 |
| 2.2. Zgoda jako podstawa legalizująca przetwarzanie danych osobowych – Mirosław Gumularz, Patrycja Kozik | str. | 38 |
| 2.2.1. Kryteria skuteczności zgody | str. | 39 |
| 2.2.1.1. Sposób wyrażenia i jednoznaczność zgody | str. | 39 |
| 2.2.1.2. Sposób wyrażenia zgody a dane wrażliwe | str. | 40 |
| 2.2.1.3. Forma wyrażenia zgody | str. | 41 |
| 2.2.1.4. Konkretność zgody | str. | 41 |
| 2.2.1.5. Dobrowolność zgody | str. | 42 |
| 2.2.1.6. Świadomość zgody | str. | 44 |
| 2.2.2. Wymóg zapewnienia rozliczalności w zakresie zgody | str. | 45 |
| 2.2.3. Wycofanie zgody | str. | 45 |
| 2.2.4. Zgoda dziecka | str. | 45 |
| 2.2.5. Zgoda a projektowane przepisy prawa pracy | str. | 48 |
| 2.2.6. Zgoda a inne podstawy przetwarzania | str. | 49 |
| 2.2.7. Zgoda na zmianę celu przetwarzania danych | str. | 50 |
| 2.2.8. Skuteczność zgód a wytyczne Grupy Roboczej Art. 29 | str. | 51 |
| 2.2.9. Pozyskiwanie zgód – wytyczne | str. | 52 |
| 2.3. Niezbędność przetwarzania do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy – Witold Chomiczewski | str. | 53 |
| 2.3.1. Wykonanie umowy | str. | 53 |
| 2.3.2. Działania przed zawarciem umowy | str. | 55 |
| 2.4. Niezbędność przetwarzania do wypełnienia obowiązku ciążącego na administratorze – Witold Chomiczewski | str. | 56 |
| 2.5. Niezbędność przetwarzania do ochrony żywotnych interesów podmiotu danych – Witold Chomiczewski | str. | 57 |
| 2.6. Niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym – Witold Chomiczewski | str. | 58 |
| 2.7. Niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów – Witold Chomiczewski | str. | 58 |
| 2.8. Dopuszczalność przetwarzania szczególnych kategorii danych osobowych – Dominik Lubasz | str. | 61 |
| Rozdział | 3 |
| Obowiązki administratorów – Witold Chomiczewski, Mirosław Gumularz, Patrycja Kozik, Dominik Lubasz, Mariola Więckowska | str. | 63 |
| 3.1. Obowiązki bazujące na ryzyku – Mariola Więckowska | str. | 63 |
| 3.1.1. Uwagi ogólne | str. | 63 |
| 3.1.1.1. Podejście oparte na ryzyku | str. | 65 |
| 3.1.1.2. Ochrona danych w fazie projektowania – privacy by design | str. | 66 |
| 3.1.2. Ocena skutków dla ochrony danych – OSOD | str. | 67 |
| 3.1.2.1. OSOD w przypadku współadministratorów i powierzenia danych podmiotom przetwarzającym | str. | 69 |
| 3.1.2.2. Kiedy konieczne jest przeprowadzenie OSOD? | str. | 70 |
| 3.1.3. Etap 1.: Wstępna ocena skutków dla ochrony danych wraz z ogólną analizą ryzyka | str. | 72 |
| 3.1.3.1. Przykładowy szablon do etapu 1.: Wstępna ocena skutków dla ochrony danych (WOSOD) | str. | 73 |
| 3.1.3.1.1. Informacje ogólne | str. | 73 |
| 3.1.3.1.2. Osoba odpowiedzialna za OSOD | str. | 73 |
| 3.1.3.1.3. Opis zmiany | str. | 73 |
| 3.1.3.1.4. Charakter danych | str. | 74 |
| 3.1.3.1.5. Typ, zakres i operacje na danych | str. | 75 |
| 3.1.3.1.6. Prawa podmiotów danych | str. | 76 |
| 3.1.3.1.7. Czy zmiana będzie wymagała dostosowania Regulaminu Firmy? Jeśli tak, krótko opisz, jakiej | str. | 77 |
| 3.1.3.1.8. Kryteria przeprowadzenia OSOD | str. | 77 |
| 3.1.3.1.9. Decyzja dotycząca ryzyka | str. | 78 |
| 3.1.3.1.10. Akceptacja osoby odpowiedzialnej za ochronę danych / inspektor ochrony danych | str. | 79 |
| 3.1.3.2. Podsumowanie | str. | 79 |
| 3.1.4. Etap 2.: Analiza zmiany i jej wpływu na prywatność | str. | 79 |
| 3.1.4.1. Identyfikacja zagrożeń i ich potencjalnego wpływu na prywatność | str. | 80 |
| 3.1.4.2. Przykładowa tabela obszarów analizy wpływu na prywatność | str. | 81 |
| 3.1.5. Etap 3.: Analiza ryzyka i działań zapobiegawczych | str. | 85 |
| 3.1.5.1. Szacowanie poziomu ryzyka | str. | 87 |
| 3.1.5.2. Postępowanie z ryzykiem | str. | 89 |
| 3.1.5.3. Przykładowa lista kontrolna dla oceny ryzyka i możliwych sposobów jego ograniczenia | str. | 91 |
| 3.1.6. Etap 4.: Przygotowanie raportu końcowego wraz ze strategią postępowania z ryzykiem | str. | 94 |
| 3.1.7. Etap 5.: Monitoring wdrożenia | str. | 95 |
| 3.1.8. Korzyści z OSOD | str. | 95 |
| 3.1.9. Zakończenie | str. | 96 |
| 3.2. Uprzednie konsultacje – Mirosław Gumularz, Patrycja Kozik | str. | 97 |
| 3.2.1. Uwagi ogólne | str. | 97 |
| 3.2.2. Typowe sytuacje, które mogą prowadzić do obowiązku dokonania uprzednich konsultacji | str. | 98 |
| 3.2.3. Istotne kryteria dokonywania uprzednich konsultacji w wytycznych Grupy Roboczej Art. 29 | str. | 98 |
| 3.2.4. Elementy konsultacji | str. | 100 |
| 3.2.5. Na kim ciąży obowiązek dokonania uprzednich konsultacji? | str. | 100 |
| 3.2.6. Działania organu nadzorczego | str. | 101 |
| 3.2.7. Przepisy szczególne mogące dotyczyć uprzednich konsultacji | str. | 102 |
| 3.2.8. Sankcje | str. | 102 |
| 3.3. Notyfikowanie naruszeń ochrony danych osobowych – Witold Chomiczewski | str. | 102 |
| 3.3.1. Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu | str. | 103 |
| 3.3.2. Zawiadamianie podmiotów danych o naruszeniach ochrony danych osobowych | str. | 104 |
| 3.4. Obowiązki dokumentacyjne – Dominik Lubasz | str. | 106 |
| 3.4.1. Rejestr czynności przetwarzania | str. | 108 |
| 3.4.1.1. Zakres danych w rejestrze czynności | str. | 108 |
| 3.4.1.2. Zwolnienie z obowiązku prowadzenia rejestrów dla MŚP | str. | 113 |
| 3.4.2. Rejestr kategorii czynności przetwarzania | str. | 113 |
| 3.4.3. Polityki ochrony danych | str. | 114 |
| 3.4.4. Pozostałe obowiązki dokumentacyjne | str. | 116 |
| Rozdział | 4 |
| Wymogi w zakresie formy w ogólnym rozporządzeniu – Dariusz Szostek | str. | 117 |
| 4.1. Zagadnienia wprowadzające | str. | 117 |
| 4.2. Źródła prawa w odniesieniu do formy | str. | 117 |
| 4.3. Forma dotycząca zgody | str. | 118 |
| 4.4. Dowód na fakt uzyskania zgody | str. | 121 |
| 4.5. Wymogi dotyczące formy dla poszczególnych oświadczeń | str. | 123 |
| 4.6. Forma umowy o powierzenie | str. | 124 |
| Rozdział | 5 |
| Inspektor ochrony danych – Roman Bieda | str. | 126 |
| 5.1. Zagadnienia wprowadzające | str. | 126 |
| 5.2. Wyznaczenie inspektora ochrony danych (IOD) | str. | 127 |
| 5.2.1. Uwagi ogólne | str. | 127 |
| 5.2.2. Obligatoryjne wyznaczenie IOD | str. | 128 |
| 5.2.3. Wymagane kwalifikacje zawodowe IOD | str. | 134 |
| 5.2.4. Podstawy zatrudnienia IOD | str. | 137 |
| 5.2.5. Notyfikacja oraz publikacja danych IOD | str. | 137 |
| 5.2.5.1. Publikacja danych kontaktowych IOD | str. | 137 |
| 5.2.5.2. Przekazanie danych IOD osobom, których dane dotyczą | str. | 138 |
| 5.2.5.3. Zawiadomienie organu nadzorczego o danych kontaktowych IOD | str. | 139 |
| 5.2.5.4. Zamieszczenie danych IOD w tzw. rejestrze czynności przetwarzania danych (rejestrze kategorii czynności przetwarzania) | str. | 140 |
| 5.3. Zadania inspektora ochrony danych | str. | 140 |
| 5.3.1. Uwagi ogólne | str. | 140 |
| 5.3.2. Podstawowe (obligatoryjne) zadania IOD | str. | 141 |
| 5.3.3. Informowanie administratora i podmiotu przetwarzającego o obowiązkach wynikających z przepisów o ochronie danych oraz doradzanie w tym zakresie (art. 39 ust. 1 lit. a RODO) | str. | 141 |
| 5.3.4. Monitorowanie przestrzegania przepisów o ochronie danych osobowych (art. 39 ust. 1 lit. b RODO) | str. | 142 |
| 5.3.5. Ocena skutków dla ochrony danych (art. 35, art. 39 ust. 1 lit. c RODO) | str. | 143 |
| 5.3.6. Współpraca z organem nadzorczym oraz pełnienie funkcji „punktu kontaktowego” dla organu nadzorczego | str. | 144 |
| 5.3.7. Pełnienie funkcji „punktu kontaktowego” dla osób, których dane dotyczą | str. | 145 |
| 5.3.8. Inne zadania IOD | str. | 145 |
| 5.4. Status inspektora ochrony danych | str. | 146 |
| 5.4.1. Uwagi ogólne | str. | 146 |
| 5.4.2. Zasada niezależności IOD | str. | 146 |
| 5.4.3. Obowiązek przedsiębiorcy włączania IOD we wszystkie sprawy dotyczące ochrony danych osobowych | str. | 147 |
| 5.4.4. Obowiązek wspierania IOD przez przedsiębiorcę | str. | 148 |
| 5.4.5. Obowiązek zachowania poufności przez IOD | str. | 149 |
| Rozdział | 6 |
| Outsourcing – powierzenie przetwarzania danych osobowych – Karolina Alama, Marcin Maruta | str. | 150 |
| 6.1. Zagadnienia wprowadzające | str. | 150 |
| 6.2. Powierzenie przetwarzania danych – podstawowe pojęcia | str. | 152 |
| 6.3. Powierzenie przetwarzania – prawa i obowiązki stron | str. | 153 |
| 6.4. Obowiązki administratora w związku z powierzeniem przetwarzania danych osobowych | str. | 154 |
| 6.4.1. Uwagi ogólne | str. | 154 |
| 6.4.2. Wybór podmiotu przetwarzającego spełniającego wymagania rozporządzenia 2016/679 | str. | 155 |
| 6.4.3. Wydawanie udokumentowanych poleceń | str. | 156 |
| 6.4.4. Umowa powierzenia przetwarzania danych osobowych | str. | 157 |
| 6.4.4.1. Forma umowy | str. | 157 |
| 6.4.4.2. Zakres przedmiotowy umowy powierzenia przetwarzania | str. | 159 |
| 6.4.4.3. Podpowierzenie przetwarzania danych – korzystanie z usług podprocesora | str. | 159 |
| 6.4.4.4. Obowiązek pomocy administratorowi | str. | 161 |
| 6.4.4.5. Współpraca z administratorem | str. | 162 |
| 6.4.4.6. Usunięcie lub zwrócenie danych | str. | 162 |
| 6.4.4.7. Stosunek umowy powierzenia danych do umowy głównej | str. | 162 |
| 6.5. Międzynarodowy transfer danych osobowych w kontekście powierzenia przetwarzania danych osobowych | str. | 163 |
| 6.5.1. Uwagi ogólne | str. | 163 |
| 6.5.2. Podstawy prawne transferu danych poza EOG | str. | 163 |
| 6.6. Odpowiedzialność podmiotów uczestniczących w powierzeniu przetwarzania danych osobowych | str. | 164 |
| 6.7. Rynek usług chmurowych a powierzenie przetwarzania danych osobowych | str. | 166 |
| 6.7.1. Uwagi ogólne | str. | 166 |
| 6.7.2. Zapewnienie zgodności powierzenia danych przez administratora | str. | 166 |
| 6.7.3. Prognozy w zakresie przyszłości rynku usług chmurowych | str. | 169 |
| 6.7.4. Migracja do rozwiązań chmurowych a zgodność z rozporządzeniem 2016/679 | str. | 170 |
| 6.8. Obowiązki administratora i procesora w zakresie powierzenia przetwarzania danych osobowych – podsumowanie | str. | 170 |
| Rozdział | 7 |
| Prawa podmiotów danych – Beata Marek, Marcin Wielisiej | str. | 173 |
| 7.1. Prawa informacyjne i dostępowe – Beata Marek | str. | 173 |
| 7.1.1. Obowiązki informacyjne, gdy dane pozyskiwane są bezpośrednio od osoby, której dane dotyczą | str. | 174 |
| 7.1.2. Obowiązki informacyjne, gdy dane pozyskiwane są w sposób inny niż od osoby, której dane dotyczą | str. | 177 |
| 7.1.3. Dostęp do danych | str. | 179 |
| 7.2. Prawo do sprostowania danych, usunięcia i zapomnienia – Beata Marek | str. | 180 |
| 7.2.1. Sprostowanie danych | str. | 180 |
| 7.2.2. Usunięcie danych (prawo do bycia zapomnianym) | str. | 181 |
| 7.3. Prawo do ograniczenia przetwarzania – Marcin Wielisiej | str. | 183 |
| 7.3.1. Uwagi ogólne | str. | 183 |
| 7.3.2. Uprawnieni do korzystania z prawa do ograniczenia przetwarzania danych | str. | 184 |
| 7.3.3. Zakres stosowania prawa do ograniczenia przetwarzania | str. | 184 |
| 7.3.4. Kwestionowanie prawidłowości danych | str. | 185 |
| 7.3.5. Przetwarzanie niezgodne z prawem | str. | 186 |
| 7.3.6. Dane nie są już niezbędne do realizacji celu przetwarzania | str. | 188 |
| 7.3.7. Wniesienie sprzeciwu | str. | 188 |
| 7.3.8. Treść i forma komunikacji z osobą, której dane dotyczą | str. | 189 |
| 7.3.9. Realizacja ograniczenia przetwarzania | str. | 190 |
| 7.3.10. Przesłanki uzasadniające przetwarzanie danych mimo wniesionego żądania ograniczenia | str. | 191 |
| 7.3.11. Sankcje | str. | 192 |
| 7.4. Prawo do przenoszenia danych – Marcin Wielisiej | str. | 192 |
| 7.4.1. Uwagi ogólne | str. | 192 |
| 7.4.2. Zakres stosowania prawa do przenoszenia danych | str. | 193 |
| 7.4.3. Zakres danych objętych prawem do przenoszenia | str. | 194 |
| 7.4.4. Treść i forma komunikacji z osobą, której dane dotyczą | str. | 195 |
| 7.4.5. Przygotowanie i format danych | str. | 196 |
| 7.4.6. Realizacja prawa do przeniesienia danych | str. | 197 |
| 7.4.7. Przekazanie danych osobie, której dane dotyczą | str. | 198 |
| 7.4.8. Przekazanie danych innemu administratorowi | str. | 199 |
| 7.4.9. Sankcje | str. | 200 |
| 7.5. Prawo do sprzeciwu – Marcin Wielisiej | str. | 200 |
| 7.5.1. Uwagi ogólne | str. | 200 |
| 7.5.2. Przesłanki zastosowania prawa do sprzeciwu | str. | 201 |
| 7.5.3. Forma zgłoszenia sprzeciwu | str. | 202 |
| 7.5.4. Realizacja sprzeciwu | str. | 203 |
| 7.5.5. Sankcje | str. | 203 |
| 7.6. Prawa związane z profilowaniem – Marcin Wielisiej | str. | 204 |
| 7.6.1. Uwagi ogólne | str. | 204 |
| 7.6.2. Zakaz podejmowania automatycznych decyzji | str. | 205 |
| 7.6.3. Ograniczenia zakazu podejmowania automatycznych decyzji | str. | 206 |
| 7.6.4. Profilowanie zgodne z rozporządzeniem 2016/679 | str. | 207 |
| 7.6.5. Sankcje | str. | 208 |
| Rozdział | 8 |
| Transfery danych do państw trzecich – Damian Karwala | str. | 209 |
| 8.1. Zagadnienia wprowadzające | str. | 209 |
| 8.1.1. Ponadgraniczne transfery danych w praktyce | str. | 209 |
| 8.1.2. Krytyka dotychczasowej regulacji transferowej i ogólna ocena zmian | str. | 210 |
| 8.2. Transfery danych na podstawie decyzji Komisji Europejskiej | str. | 212 |
| 8.3. Transfery danych z wykorzystaniem odpowiednich zabezpieczeń | str. | 215 |
| 8.4. Umowy transferowe | str. | 216 |
| 8.5. Transfery danych na podstawie wiążących reguł korporacyjnych | str. | 219 |
| 8.6. Kodeksy postępowania (dobrych praktyk) oraz mechanizmy certyfikacyjne jako nowe podstawy transferowe | str. | 220 |
| 8.7. Transfery danych z użyciem odstępstw (wyjątków) | str. | 221 |
| 8.8. Zgoda osoby zainteresowanej jako podstawa transferu | str. | 221 |
| 8.9. Prawnie uzasadnione interesy eksportera danych | str. | 224 |
| 8.10. Operacje dalszych transferów danych | str. | 225 |
| 8.11. Kolejność stosowania przesłanek transferowych | str. | 225 |
| Rozdział | 9 |
| Postępowanie kontrolne i sankcje – Katarzyna Witkowska-Nowakowska | str. | 227 |
| 9.1. Zagadnienia wprowadzające | str. | 227 |
| 9.2. Postępowanie kontrolne | str. | 228 |
| 9.3. Postępowanie w sprawie naruszenia ochrony danych osobowych | str. | 230 |
| 9.4. Administracyjne kary pieniężne | str. | 231 |
| 9.4.1. Warunki nakładania administracyjnych kar pieniężnych | str. | 231 |
| 9.4.2. Wysokość i podstawa do nałożenia kar | str. | 232 |
| 9.5. Sankcje karne | str. | 235 |
| 9.6. Uprawnienia podmiotu danych | str. | 236 |
| Rozdział | 10 |
| Szczególne sytuacje związane z przetwarzaniem – Mirosław Gumularz, Beata Marek | str. | 239 |
| 10.1. Przetwarzanie danych osobowych w związku z zatrudnieniem – Mirosław Gumularz | str. | 239 |
| 10.2. Przetwarzanie danych w big data – Beata Marek | str. | 242 |
| Bibliografia | str. | 247 |
KUP NA PREZENT
RODO dla małych i średnich przedsiębiorstw
102,00 zł
Uzupełnij informacje na temat odbiorcy.
Produkt został pomyślnie dodany do koszyka.
Nieudana próba zakupu produktu. Spróbuj jeszcze raz.
Wypożyczaj w abonamencie!
Już od 2,66 zł za ebooka
