POLECAMY
-25%
Autor:
Paweł Fajgielski, Mariusz Jagielski, Dominik Lubasz, Marlena Sakowska-Baryła, Damian Karwala, Paweł Tobiczyk, Paulina Komorowska, Artur Cieślik, Marta Otto, Katarzyna Palka-Bartoszek, Mariola Więckowska, Magdalena Czaplińska, Wojciech Piszewski, Paulina Komorowska-Mrozik
Wydawca:
Format:
Prezentowana książka zawiera liczne przykłady, które pomogą czytelnikowi w zrozumieniu wymagań w zakresie dokumentacji ochrony danych osobowych, oraz praktyczne wskazówki ułatwiające ich realizację. W publikacji zamieszczono także wzory oraz instrukcje krok po kroku wyjaśniające, w jaki sposób wypełnić dany wzór i dostosować go na własne potrzeby.
Nowe wydanie poszerzono o szczegółowe omówienie m.in. następujących zagadnień:
• dokumentacja serwisu internetowego,
• prawne i etyczne kwestie, które powinny być uwzględnione w przypadku zastosowania rozwiązań informatycznych z zastosowaniem sztucznej inteligencji,
• współadministrowanie danymi osobowymi oraz status współadministratorów,
• nowe tabele audytów,
• nowe szablony w zakresie oceny ryzyka, w szczególności wykaz aktywów wspomagających czy klasyfikację informacji,
• nowy wykaz rodzajów operacji wymagających przeprowadzenia oceny skutków dla ochrony danych,
• nowe wskazówki praktyczne w zakresie dokumentacji pracowniczej (w tym wzory dotyczące innego niż wizyjny monitoringu pracowniczego oraz ankiety kontrolnej).
Zaprezentowano też najnowsze orzeczenia sądów polskich i europejskich, rozstrzygnięcia i interpretacje organów nadzorczych, zwłaszcza Prezesa Urzędu Ochrony Danych Osobowych oraz Europejskiej Rady Ochrony Danych Osobowych, a także tzw. dobre praktyki wydane na gruncie kluczowych aktów prawnych z zakresu omawianej tematyki.
„Nowe wydanie liczy o 218 stron tekstu więcej niż wydanie pierwsze. Śmiało można powiedzieć, że przedstawiana Czytelnikom publikacja stanowi nowe opracowanie problematyki dokumentacji ochrony danych osobowych”.
Z przedmowy do drugiego wydania
Książka jest przeznaczona dla adwokatów, radców prawnych, pracowników administracji rządowej i samorządowej, działów kadr, zasobów ludzkich, IT, sprzedaży, marketingu i PR, menedżerów, przedsiębiorców, inspektorów ochrony danych osobowych i innych osób, które realizują obowiązki z tej dziedziny. Będzie cennym źródłem wiedzy dla przedstawicieli nauki oraz studentów prawa, administracji, zarządzania i przedsiębiorczości.
Wzory dostępne w wersji elektronicznej do pobrania ze strony www.dokumentacja-ochrony-danych-osobowych.wolterskluwer.pl po wpisaniu zamieszczonego w książce kodu aktywacyjnego. Wzory można modyfikować i dostosowywać do indywidualnych potrzeb.
Rok wydania | 2022 |
---|---|
Liczba stron | 548 |
Kategoria | Inne |
Wydawca | Wolters Kluwer Polska SA |
ISBN-13 | 978-83-8286-707-7 |
Język publikacji | polski |
Informacja o sprzedawcy | ePWN sp. z o.o. |
POLECAMY
Ciekawe propozycje
Spis treści
Wykaz skrótów | 13 |
Przedmowa do drugiego wydania | 17 |
Rozdział | 1 |
Dokumentacja ochrony danych osobowych zgodna z RODO | 21 |
1.1. Wprowadzenie | 21 |
1.2. Podstawy prawne i zasady prowadzenia dokumentacji ochrony | |
danych osobowych | 22 |
1.3. Podmioty zobowiązane do opracowania dokumentacji ochrony | |
danych osobowych | 26 |
1.4. Zakres przedmiotowy dokumentacji ochrony danych osobowych | 29 |
Literatura | 33 |
Rozdział | 2 |
Polityka ochrony danych osobowych | 35 |
2.1. Wprowadzenie | 35 |
2.2. Struktura polityki | 36 |
2.3. Zakres przedmiotowy polityki | 37 |
2.4. Szczegółowa część polityki – uwagi praktyczne | 42 |
2.4.1. Procedura retencji danych osobowych | 44 |
2.4.2. Procedura wyboru dostawcy przetwarzającego dane osobowe ... | 46 |
2.4.3. Procedura obsługi żądań podmiotów danych | 48 |
2.5. Możliwe rozszerzenie treści polityki | 49 |
2.6. Polityka w świetle dotychczasowej dokumentacji | 50 |
2.7. Wzory | 52 |
2.8. Instrukcja korzystania ze wzorów | 73 |
Literatura | 77 |
Rozdział | 3 |
Dokumentacja serwisu internetowego | 79 |
3.1. Wprowadzenie | 79 |
3.2. Zakres obowiązków informacyjnych w serwisie internetowym | 81 |
3.2.1. Obowiązki na gruncie RODO | 81 |
3.2.2. Dodatkowe wymogi wynikające z przepisów Prawa telekomunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną | 83 |
3.3. Sposób realizacji obowiązków informacyjnych w serwisie | |
internetowym | 84 |
3.4. Dokumenty stosowane w serwisie internetowym | 86 |
3.4.1. Klauzule zgód i skrócone klauzule informacyjne | 88 |
3.4.2. Polityka prywatności | 89 |
3.4.3. Polityka cookies | 91 |
3.5. Wzory | 93 |
3.6. Instrukcja korzystania ze wzorów | 100 |
Literatura | 105 |
Rozdział | 4 |
Prawna i etyczna ocena rozwiązań informatycznych z zastosowaniem sztucznej inteligencji – kwestie dokumentacyjne w kontekście ochrony | |
danych osobowych | 107 |
4.1. Ochrona danych osobowych i sztuczna inteligencja | 107 |
4.2. Wykorzystywanie systemów AI, w tym tworzenie nowych danych | |
o osobach fizycznych lub podejmowanie decyzji przez system sztucznej inteligencji wobec takich osób jako wynik działania systemu | 109 |
4.3. Uwzględnienie uwarunkowań regulacyjnych oraz dokumentów | |
gremiów europejskich | 110 |
4.4. Zakres wstępnych ustaleń i dokumentowania | 111 |
4.5. Przejrzystość i wyjaśnialność systemów AI | 114 |
4.6. Zagadnienie wykorzystywania w systemach AI danych osobowych | 117 |
4.7. Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych | 119 |
4.8. Prawa osób fizycznych w kontekście przetwarzania danych | |
osobowych w systemach AI | 121 |
4.9. Rozliczalność i ryzyko w obszarze zastosowania AI do przetwarzania danych osobowych | 123 |
4.10. Analiza modelu biznesowego, w którym będzie wykorzystywany | |
system AI | 129 |
Literatura | 134 |
Rozdział | 5 |
Ocena (szacowanie) ryzyka | 137 |
5.1. Wprowadzenie | 137 |
5.2. Podstawy zarządzania ryzykiem w bezpieczeństwie informacji | 141 |
5.3. Wybieranie zabezpieczeń – dobre praktyki | 176 |
Literatura | 179 |
Rozdział | 6 |
Ocena skutków dla ochrony danych osobowych | 181 |
6.1. Zastosowanie dokumentu | 181 |
6.2. Kontekst historyczny | 182 |
6.3. Kiedy konieczne jest przeprowadzenie oceny skutków dla ochrony | |
danych | 182 |
6.4. Ocena skutków dla ochrony danych – zasady | 190 |
6.4.1. Minimalne wymogi DPIA | 191 |
6.4.2. Udział osób trzecich w przeprowadzaniu oceny skutków dla | |
ochrony danych | 193 |
6.4.2.1. Eksperci zewnętrzni | 193 |
6.4.2.2. Osoby, których dane dotyczą | 194 |
6.4.2.3. Podmioty przetwarzające działające w imieniu administratora | 194 |
6.5. Ocena skutków dla ochrony danych – wzór | 194 |
6.6. Konsekwencje DPIA. Obowiązek konsultacji z organem nadzorczym | |
– Prezesem Urzędu Ochrony Danych Osobowych | 200 |
6.6.1. Wniosek o uprzednie konsultacje | 200 |
6.6.2. Przebieg i czas trwania konsultacji | 201 |
6.6.3. Rezultat konsultacji | 202 |
Literatura | 202 |
Rozdział | 7 |
Rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania | 205 |
7.1. Wstęp | 205 |
7.2. Podstawa prowadzenia rejestrów | 205 |
7.2.1. Przepis art. 30 RODO jako formalnoprawne źródło obowiązku prowadzenia rejestrów | 205 |
7.2.2. Wpływ ustawodawstwa krajowego na wymóg prowadzenia | |
rejestrów wynikający z art. 30 RODO | 206 |
7.2.3. Wyłączenie obowiązku prowadzenia rejestru dla „działalności prasowej”, wypowiedzi w ramach działalności literackiej, wypowiedzi akademickiej | 208 |
7.2.4. Wyłączenie obowiązku prowadzenia rejestrów przez | |
przedsiębiorcę lub podmiot zatrudniający mniej niż 250 osób | 210 |
7.3. Prawne znaczenie rejestrów w polityce ochrony danych osobowych administratora danych osobowych lub podmiotu przetwarzającego | 213 |
7.3.1. Prowadzenie rejestru jako realizacja wymogu przetwarzania | |
danych osobowych zgodnie z RODO | 214 |
7.3.2. Prowadzenie rejestru jako narzędzie wykazania przetwarzania danych osobowych zgodnie z RODO wobec organu nadzoru | 214 |
7.4. Cel realizacji obowiązku prowadzenia rejestru czynności | |
przetwarzania i rejestru kategorii czynności przetwarzania | 215 |
7.5. Podmiot zobowiązany do prowadzenia rejestru | 219 |
7.6. Dla kogo dostępne są rejestry? | 222 |
7.7. Skąd czerpać informacje stanowiące treść rejestru? | 224 |
7.8. Obowiązek uaktualniania rejestrów | 225 |
7.9. Rejestr i jego forma | 226 |
7.10. Czynności przetwarzania danych osobowych | 227 |
7.11. Treść rejestru czynności przetwarzania | 229 |
7.11.1. Obligatoryjna treść rejestru czynności przetwarzania; art. | 30 |
ust. 1 RODO | 229 |
7.11.2. Fakultatywne elementy treści rejestru czynności | |
przetwarzania | 236 |
7.12. Kategorie czynności przetwarzań | 238 |
7.13. Elementy treści rejestru kategorii czynności przetwarzania | 239 |
7.13.1. Obligatoryjne elementy treści rejestru kategorii czynności przetwarzania | 239 |
7.13.2. Fakultatywne elementy treści rejestru kategorii czynności przetwarzania | 240 |
7.14. Uwagi dotyczące treści zawartych w przykładowych rejestrach: | |
czynności przetwarzania i kategorii czynności przetwarzania | 240 |
7.15. Wzory | 241 |
Literatura | 261 |
Rozdział | 8 |
Współadministrowanie danymi osobowymi | 263 |
8.1. Wstęp | 263 |
8.2. Podstawa prawna współadministrowania | 264 |
8.3. Elementy istotne dla rozpoznania, czy występuje | |
współadministrowanie | 265 |
8.4. Kryteria ustalenia współadministrowania | 267 |
8.4.1. Wspólne lub zbieżne decyzje współadministratorów | 268 |
8.4.2. Wspólne cele współadministratorów | 269 |
8.4.3. Wspólne sposoby przetwarzania danych | |
przez współadministratorów | 270 |
8.5. Obowiązki formalne współadministratorów | 275 |
8.5.1. Forma porozumienia współadministratorów | 275 |
8.5.2. Treść umowy | 276 |
8.5.2.1. Elementy obligatoryjne | 276 |
8.5.2.2. Elementy fakultatywne | 276 |
8.5.3. Znaczenie umowy w stosunkach wewnętrznych między współadministratorami | 277 |
8.5.4. Znaczenie umowy wobec osób, których dane dotyczą | 277 |
8.5.5. Udostępnienie zasadniczej treści uzgodnień osobom, których | |
dane dotyczą | 278 |
8.5.6. Wyznaczenie punktu kontaktowego | 279 |
8.5.7. Obowiązki współadministratorów wobec PUODO | 279 |
8.6. Współadministrowanie podmiotów publicznych – przykłady | 280 |
8.6.1. Współadministrowanie w Systemie Wspomagania Decyzji Państwowej Straży Pożarnej | 280 |
8.6.2. Współadministrowanie na potrzeby obsługi bonu turystycznego | 280 |
8.6.3. Współadministrowanie Komisji, organów celnych i organów nadzoru | 281 |
Literatura | 292 |
Rozdział | 9 |
Przetwarzanie danych osobowych w kontekście zatrudnienia | 293 |
9.1. Upoważnienie do przetwarzania danych osobowych | 293 |
9.1.1. Wprowadzenie | 293 |
9.1.2. Wzory upoważnienia do przetwarzania danych osobowych oraz oświadczenia osoby upoważnionej do przetwarzania | |
danych osobowych | 297 |
9.1.3. Praktyczne wskazówki | 300 |
9.2. Ewidencja osób upoważnionych do przetwarzania danych | 302 |
9.2.1. Wprowadzenie | 302 |
9.2.2. Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych | 303 |
9.2.3. Praktyczne wskazówki | 304 |
9.3. Umowa powierzenia przetwarzania danych osobowych | 305 |
9.3.1. Wprowadzenie | 305 |
9.3.2. Wzór ankiety oceny spełnienia wymagań dotyczących ochrony danych osobowych wynikających z RODO oraz wzór umowy powierzenia przetwarzania danych osobowych | 311 |
9.3.3. Wskazówki praktyczne | 325 |
9.4. Klauzula informacyjna dotycząca przetwarzania danych osobowych pracowników | 327 |
9.4.1. Wprowadzenie | 327 |
9.4.2. Wzór klauzuli informacyjnej dotyczącej przetwarzania danych osobowych | 328 |
9.4.3. Wskazówki praktyczne | 332 |
9.5. Monitoring wizyjny | 332 |
9.5.1. Wprowadzenie | 332 |
9.5.2. Wzory informacji o monitoringu wizyjnym oraz klauzuli informacyjnej o przetwarzaniu danych osobowych w ramach monitoringu wizyjnego | 337 |
9.5.3. Praktyczne wskazówki | 341 |
9.6. Monitoring poczty elektronicznej i inne formy monitoringu | 344 |
9.6.1. Wprowadzenie | 344 |
9.6.2. Wzory informacji o funkcjonowaniu monitoringu poczty elektronicznej oraz monitoringu GPS | 346 |
9.6.3. Praktyczne wskazówki | 351 |
Literatura | 352 |
Rozdział | 10 |
Dokumentacja naruszeń ochrony danych osobowych | 355 |
10.1. Wprowadzenie | 355 |
10.2. Naruszenie ochrony danych – pojęcie, zakres | 356 |
10.3. Obowiązek dokumentowania naruszeń | 356 |
10.4. Rejestr naruszeń – zawartość | 359 |
10.5. Instrukcja wypełnienia rejestru naruszeń ochrony danych | |
osobowych | 362 |
Literatura | 364 |
Rozdział | 11 |
Dokumentacja monitorowania zgodności z RODO – audyty wewnętrzne | |
i weryfikacja powierzenia przetwarzania | 365 |
11.1. Wprowadzenie – po co audytować? | 365 |
11.2. Audyt wewnętrzny, sprawdzenie, kontrola | 366 |
11.3. Wobec kogo wykazywać zgodność z RODO | 369 |
11.4. Dokumentacja audytu wewnętrznego | 371 |
11.5. Plan audytów wewnętrznych (sprawdzeń, kontroli) | 373 |
11.6. Audyty pozaplanowe | 375 |
11.7. Sposób i zakres dokumentowania audytu | 378 |
11.8. Audyt stanu stosowania RODO | 380 |
11.9. Audyt podmiotu przetwarzającego | 390 |
11.10. Audyt umów powierzenia przetwarzania danych | 393 |
11.11. Zagadnienia audytowe | 397 |
11.12. Raport (sprawozdanie) z audytu wewnętrznego | 406 |
Literatura | 408 |
Rozdział | 12 |
Klauzule wyrażenia zgód i klauzule informacyjne | 411 |
12.1. Zgoda na przetwarzanie danych osobowych | 411 |
12.1.1. Wprowadzenie | 411 |
12.1.2. Zgoda jako przesłanka legalizacyjna – zagadnienia ogólne | 413 |
12.1.3. Wzory oświadczeń o wyrażeniu zgody | 415 |
12.1.3.1. Wyrażenie zgody w procesie rekrutacyjnym | 415 |
12.1.3.2. Zgoda na działania marketingowe inne niż przesyłanie informacji handlowej drogą elektroniczną oraz inne niż marketing bezpośredni | |
na podstawie Prawa telekomunikacyjnego | 416 |
12.1.3.3. Zgoda na otrzymywanie informacji handlowej | |
drogą elektroniczną | 417 |
12.1.4. Szczegółowe wymogi dotyczące zgody | 418 |
12.1.4.1. Dobrowolność zgody | 418 |
12.1.4.2. Konkretność zgody | 420 |
12.1.4.3. Świadomość zgody | 421 |
12.1.4.4. Jednoznaczność zgody | 422 |
12.1.4.5. Wyraźność zgody | 424 |
12.1.4.6. Forma zgody | 425 |
12.1.4.7. Dodatkowe wymogi dotyczące pisemnej zgody | 426 |
12.1.4.8. Wycofanie zgody | 426 |
12.1.4.9. Ciężar dowodu – rozliczalność | 427 |
12.2. Klauzule informacyjne | 429 |
12.2.1. Wprowadzenie | 429 |
12.2.2. Obowiązki informacyjne – zagadnienia ogólne | 430 |
12.2.3. Wzory klauzul informacyjnych | 431 |
12.2.3.1. Klauzula rekrutacyjna | 431 |
12.2.3.2. Klauzula kontrahencka | 435 |
12.2.3.3. Klauzula kliencka | 438 |
12.2.3.4. Klauzula newsletterowa | 441 |
12.2.4. Szczegółowe wymogi dotyczące realizacji obowiązków informacyjnych | 443 |
12.2.4.1. Typy obowiązków informacyjnych | 443 |
12.2.4.2. Zakres obowiązków informacyjnych | 445 |
12.2.4.3. Sposób realizacji obowiązków informacyjnych | 449 |
12.2.4.4. Termin realizacji obowiązków informacyjnych | 452 |
12.2.4.5. Aktualizacja informacji | 453 |
12.2.4.6. Wyłączenia spod obowiązku realizacji | 454 |
Literatura | 458 |
Rozdział | 13 |
Transfer danych osobowych do państw trzecich | 459 |
13.1. Wprowadzenie | 459 |
13.2. Podstawy dopuszczalnego transferu danych osobowych oraz | |
kolejność ich stosowania | 460 |
13.3. Kontekst historyczny, najważniejsze zmiany | 464 |
13.4. Umowy transferowe oparte na klauzulach modelowych | 466 |
13.5. Zgoda na transfer danych oraz obowiązek informacyjny | 468 |
13.6. Wzory | 470 |
13.7. Instrukcja korzystania ze wzorów | 470 |
Literatura | 539 |
O Autorach | 541 |