INNE EBOOKI AUTORA
-14%
Autor:
Wydawca:
Format:
Publikacja to praktyczny kompleksowy przewodnik po nowej polskiej ustawie o ochronie danych osobowych oraz unijnym ogólnym rozporządzeniu o ochronie danych osobowych. Autorzy szczegółowo omawiają:
obowiązki administratorów,
postępowanie przed Prezesem Urzędu Ochrony Danych,
warunki i tryb certyfikacji,
postępowanie w sprawach naruszenia przepisów o ochronie danych.
Publikacja zawiera również ponad 30 praktycznych wzorów dokumentów w tym:
analizę wystąpienia ryzyka naruszenia praw lub wolności w związku z incydentem ochrony danych osobowych,
procedury odtwarzania systemu po awarii
zgłoszenie naruszenia ochrony danych osobowych.
Adresaci:Opracowanie jest przeznaczone dla prawników, a także administratorów, podmiotów przetwarzających i inspektorów ochrony danych. Będzie przydatna pracownikom administracji oraz przedsiębiorcom przetwarzającym dane osobowe.
Rok wydania | 2018 |
---|---|
Liczba stron | 856 |
Kategoria | Inne |
Wydawca | Wolters Kluwer Polska SA |
ISBN-13 | 978-83-8160-235-8 |
Język publikacji | polski |
Informacja o sprzedawcy | ePWN sp. z o.o. |
INNE EBOOKI AUTORA
POLECAMY
Ciekawe propozycje
Ochrona odgromowa obiektów budowlanych
do koszyka
Ochrona autorskich praw osobistych w...
do koszyka
Ochrona bezpieczeństwa państwa jako...
do koszyka
Ochrona danych osobowych a prawo do...
do koszyka
Spis treści
Wykaz skrótów | str. | 37 |
Wstęp | str. | 39 |
Część A | |
Kompendium ochrony danych osobowych | |
Rozdział I | |
Zgodność podstawowa | str. | 43 |
1. RODO – unijna „ustawa” o ochronie danych osobowych – Katarzyna Kloc, Maciej Gawroński | str. | 43 |
1.1. RODO – nowa „ustawa” o ochronie danych osobowych | str. | 43 |
1.2. Przedmiot i cel RODO | str. | 44 |
1.2.1. Uwagi wstępne | str. | 44 |
1.2.2. Ochrona osób fizycznych | str. | 45 |
1.2.3. Bezpośredniość | str. | 45 |
1.2.4. Konsekwencje dla polskich przedsiębiorców | str. | 46 |
1.3. Prywatność, prawa, bezpieczeństwo – filary RODO | str. | 46 |
1.4. Wymagania RODO | str. | 48 |
1.4.1. Ogólnikowość | str. | 48 |
1.4.2. Mierzalność | str. | 49 |
1.4.3. Bezpośredniość | str. | 50 |
1.4.4. Surowość | str. | 50 |
1.4.5. Domniemanie winy | str. | 51 |
1.5. Podział funkcjonalny RODO | str. | 52 |
2. Przedmiotowy i terytorialny zakres stosowania RODO – Katarzyna Kloc, Maciej Gawroński | str. | 56 |
2.1. Zakres stosowania RODO | str. | 56 |
2.1.1. Zakres przedmiotowy | str. | 56 |
2.1.2. Wyłączenia stosowania RODO | str. | 59 |
2.1.3. Zakres terytorialny | str. | 60 |
3. Rodosłowniczek, czyli omówienie podstawowych pojęć RODO wraz z przykładami – Patrycja Naklicka, Aleksandra Gawron | str. | 63 |
3.1. Uwagi wstępne | str. | 63 |
3.2. Administrator | str. | 63 |
3.3. Analiza ryzyka | str. | 65 |
3.4. Anonimizacja | str. | 65 |
3.5. Czynności przetwarzania danych | str. | 66 |
3.6. Dane osobowe | str. | 66 |
3.7. Kategorie danych osobowych | str. | 68 |
3.8. Rodzaj danych osobowych | str. | 73 |
3.9. Eksport danych / Transfer danych | str. | 73 |
3.10. GIODO i PUODO | str. | 74 |
3.11. Grupa Robocza Art. 29 i Europejska Rada Ochrony Danych | str. | 74 |
3.12. Inspektor ochrony danych | str. | 75 |
3.13. Naruszenie ochrony danych osobowych | str. | 75 |
3.14. Ocena skutków dla ochrony danych | str. | 76 |
3.15. Odbiorca danych | str. | 76 |
3.16. Ograniczenie przetwarzania | str. | 77 |
3.17. Operacje przetwarzania danych | str. | 78 |
3.18. Osoba, której dane dotyczą | str. | 80 |
3.19. Personel | str. | 81 |
3.20. Podmiot przetwarzający | str. | 81 |
3.21. Przetwarzanie | str. | 83 |
3.22. Pseudonimizacja | str. | 85 |
3.23. Rejestr czynności przetwarzania danych | str. | 86 |
3.24. Ryzyko | str. | 86 |
3.25. Ustawa o ochronie danych osobowych | str. | 87 |
3.26. Współadministrowanie | str. | 88 |
4. Zasady przetwarzania danych osobowych – Marcin Dominiak, Maciej Gawroński | str. | 90 |
4.1. Wprowadzenie | str. | 90 |
4.1.1. Zasady materialne | str. | 91 |
4.1.2. Zasada formalna – rozliczalność | str. | 91 |
4.1.3. Bliżej o zasadach ochrony danych | str. | 92 |
4.2. Zasada legalności, rzetelności i przejrzystości przetwarzania (zgodności z prawem) | str. | 93 |
4.2.1. Legalność | str. | 93 |
4.2.2. Rzetelność | str. | 94 |
4.2.3. Przejrzystość | str. | 94 |
4.3. Zasada celowości | str. | 95 |
4.4. Zasada minimalizacji danych (adekwatności, proporcjonalności) | str. | 96 |
4.5. Zasada prawidłowości (poprawności) | str. | 98 |
4.6. Zasada ograniczenia czasowego (czasowości) | str. | 99 |
4.7. Zasada bezpieczeństwa (integralności i poufności danych) | str. | 103 |
4.7.1. Poufność | str. | 103 |
4.7.2. Integralność | str. | 104 |
4.7.3. Dostępność | str. | 104 |
4.7.4. Odpowiedniość | str. | 105 |
4.8. Zasada rozliczalności | str. | 107 |
5. Podstawy prawne przetwarzania danych osobowych – Maciej Gawroński, Michał Sztąberek | str. | 107 |
5.1. Wstęp | str. | 107 |
5.2. Dane osobowe „zwykłe” – art. 6–8 RODO | str. | 108 |
5.2.1. Zgoda jako podstawa przetwarzania danych | str. | 109 |
5.2.1.1. Wstęp | str. | 109 |
5.2.1.2. Zgoda jako podstawa prawna | str. | 110 |
5.2.1.3. Zgoda dziecka | str. | 110 |
5.2.2. Zawarcie i wykonywanie umowy | str. | 111 |
5.2.2.1. Działania przed zawarciem umowy | str. | 112 |
5.2.2.2. Wykonywanie umowy | str. | 112 |
5.2.2.3. Przetwarzanie danych osoby trzeciej | str. | 112 |
5.2.3. Obowiązek prawny | str. | 113 |
5.2.4. Ochrona żywotnych interesów | str. | 115 |
5.2.5. Zadania realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej | str. | 116 |
5.2.6. Uzasadniony interes administratora danych lub strony trzeciej | str. | 118 |
5.3. Wybór podstawy przetwarzania | str. | 121 |
6. Artykuły 9 i 10 RODO – dane szczególnych kategorii i dane „karne” – Maciej Gawroński, Michał Sztąberek | str. | 122 |
6.1. Przesłanka zgody | str. | 124 |
6.2. Przetwarzanie wynikające ze stosunku pracy jest dozwolone prawem | str. | 125 |
6.3. Ochrona żywotnych interesów | str. | 126 |
6.4. Stowarzyszanie się | str. | 126 |
6.5. Dane upublicznione | str. | 126 |
6.6. Sprawy sądowe | str. | 126 |
6.7. Na podstawie prawa dla ważnego interesu publicznego | str. | 127 |
6.8. Dane „karne” | str. | 128 |
7. Zgoda – cechy oraz warunki wyrażenia zgody – Maciej Gawroński | str. | 129 |
7.1. Definicja zgody | str. | 129 |
7.1.1. Dobrowolność zgody | str. | 129 |
7.1.2. Konkretność zgody | str. | 134 |
7.1.3. Świadomość zgody | str. | 134 |
7.1.4. Jednoznaczność zgody | str. | 135 |
7.2. Warunki wyrażenia zgody | str. | 136 |
7.2.1. Rozliczalność – forma udzielonej zgody | str. | 137 |
7.3. Retencja (okres ważności zgody) | str. | 139 |
7.4. Równołatwość cofnięcia zgody | str. | 139 |
7.5. Ważność „starych” zgód | str. | 140 |
7.6. Wyraźna zgoda | str. | 140 |
7.7. Zgoda dziecka na usługi społeczeństwa informacyjnego (np. media społecznościowe) | str. | 141 |
7.8. Zgoda jako pozorna podstawa prawna | str. | 143 |
8. Administrator i podmiot przetwarzający – Maciej Gawroński, Katarzyna Kloc, Magdalena Wojtas | str. | 144 |
8.1. Wstęp | str. | 144 |
8.2. Administrator danych osobowych – definicja, cechy, obowiązki | str. | 145 |
8.2.1. Definicja | str. | 145 |
8.2.2. Każdy jest ADO | str. | 146 |
8.2.3. Co przesądza, że dany podmiot jest ADO? | str. | 147 |
8.2.4. Decydowanie o celach i środkach przetwarzania | str. | 147 |
8.2.5. Praktyczny test ADO | str. | 148 |
8.2.6. Rola ADO | str. | 148 |
8.2.7. Obowiązki ADO | str. | 149 |
8.3. Podmiot przetwarzający – definicja, cechy, rola i obowiązki | str. | 151 |
8.3.1. Definicja | str. | 151 |
8.3.2. Rola podmiotu przetwarzającego | str. | 151 |
8.3.3. Wiarygodność i wystarczające gwarancje | str. | 151 |
8.3.4. Umowa z ADO | str. | 152 |
8.3.5. Obowiązki wynikające z umowy z ADO | str. | 152 |
8.3.6. Obowiązki wynikające z RODO | str. | 155 |
8.4. Porównanie roli i obowiązków ADO i podmiotu przetwarzającego | str. | 156 |
9. Przetwarzanie danych niewymagające identyfikacji – Maciej Gawroński | str. | 157 |
9.1. Wprowadzenie | str. | 157 |
9.2. Brak obowiązku identyfikacji | str. | 159 |
9.3. Brak obowiązku monitorowania | str. | 161 |
9.4. Obowiązki informacyjne | str. | 161 |
9.4.1. Obowiązek poinformowania osób „niezidentyfikowanych” o niemożności zidentyfikowania – jeśli to możliwe | str. | 162 |
9.4.2. Umożliwienie wykonania praw jednostki | str. | 164 |
9.4.3. Bezpieczeństwo | str. | 165 |
9.4.4. Minimalizacja (dostępu i czasu) | str. | 165 |
10. Rejestrowanie czynności przetwarzania danych – Katarzyna Kloc | str. | 166 |
10.1. Własny rejestr zamiast zgłaszania do GIODO | str. | 166 |
10.2. RCPD – podstawa rozliczalności | str. | 167 |
10.3. Czynność przetwarzania danych | str. | 167 |
10.4. Czynności realizowane w tym samym celu | str. | 168 |
10.5. Czynności klasyfikowane w inny sposób | str. | 170 |
10.6. RCPD dla „małych” i „dużych” – różnice | str. | 171 |
10.6.1. Czy każdy musi prowadzić RCPD? | str. | 172 |
10.6.2. Zatrudnienie 250 osób | str. | 173 |
10.6.3. Przetwarzanie wysokiego ryzyka | str. | 173 |
10.7. Zakres informacji w RCPD – administratorzy danych | str. | 174 |
10.8. Zakres informacji w RCPD – podmioty przetwarzające dane | str. | 177 |
10.9. Forma RCPD | str. | 178 |
10.10. Osoba odpowiedzialna za prowadzenie RCPD | str. | 178 |
11. Przekazywanie danych do państwa trzeciego lub organizacji międzynarodowej (eksport danych lub transfer danych) – Maciej Gawroński | str. | 179 |
11.1. Reglamentacja eksportu danych | str. | 179 |
11.2. Praktyczne utrudnienie eksportu danych | str. | 180 |
11.3. Legalność eksportu danych | str. | 181 |
11.4. Podstawy eksportu danych | str. | 181 |
11.5. Dodatkowe podstawy przekazania | str. | 182 |
11.6. Przekazanie „naprawdę wyjątkowe” | str. | 183 |
11.7. Zarejestrowanie przekazania wyjątkowego | str. | 184 |
11.8. Zakaz sądowej samopomocy – ucinanie „długiej ręki” | str. | 184 |
11.9. Podsumowanie | str. | 184 |
12. Przetwarzanie transgraniczne, czyli właściwość wiodącego organu nadzorczego (art. 4 pkt 16 i 23, art. 56 RODO) – Maciej Gawroński | str. | 186 |
12.1. Wstęp | str. | 186 |
12.2. One-stop-shop | str. | 187 |
12.3. Przetwarzający | str. | 187 |
12.4. Administratorzy | str. | 188 |
12.4.1. Przetwarzanie lokalne | str. | 189 |
12.4.2. Zasięg lokalny | str. | 190 |
12.5. Tryb pilny | str. | 190 |
12.6. Prawo holdingowe | str. | 190 |
12.7. Wytyczne Grupy Roboczej Art. 29 | str. | 190 |
12.8. Wnioski | str. | 191 |
13. Współadministrowanie danymi osobowymi – Maciej Gawroński | str. | 191 |
13.1. Wstęp | str. | 191 |
13.2. Przykłady współadministrowania danymi | str. | 192 |
13.3. Czy unikać współadministrowania? | str. | 193 |
13.4. Obowiązki współadministratorów | str. | 194 |
13.5. Umowa o współadministrowanie | str. | 195 |
13.6. Treść umowy, analogia do powierzenia danych | str. | 195 |
13.7. Ujawnienie podmiotom danych | str. | 196 |
13.8. Transgraniczne współadministrowanie | str. | 196 |
13.9. Wnioski | str. | 196 |
14. Kodeksy postępowania i certyfikacja (art. 40 i n. RODO) – Paweł Punda, Aleksander P. Czarnowski, Maciej Gawroński | str. | 197 |
14.1. Wstęp | str. | 197 |
14.2. Kodeksy | str. | 198 |
14.2.1. Opracowanie | str. | 198 |
14.2.2. Zatwierdzanie | str. | 199 |
14.3. Certyfikacja | str. | 199 |
14.3.1. Schematy certyfikacyjne | str. | 199 |
14.3.2. Prace legislacyjne | str. | 199 |
14.4. Korzyści | str. | 200 |
14.5. Projekty kodeksów | str. | 202 |
14.6. Certyfikacja prywatna | str. | 202 |
Rozdział II | |
Prawa jednostki | str. | 204 |
1. Obsługa praw jednostki (art. 12 RODO) – Maciej Gawroński, Michał Kibil | str. | 204 |
1.1. Wstęp | str. | 204 |
1.2. Czytelność komunikowania się | str. | 205 |
1.2.1. Czytelnie i zwięźle | str. | 205 |
1.2.2. Kompletność | str. | 206 |
1.2.3. Niecytowanie przepisów | str. | 206 |
1.2.4. Dzieci | str. | 206 |
1.2.5. Test Kowalskiego | str. | 206 |
1.3. Uwierzytelnienie | str. | 207 |
1.3.1. Potwierdzenie tożsamości | str. | 207 |
1.3.2. Pogłębione uwierzytelnienie | str. | 209 |
1.4. Forma komunikacji | str. | 209 |
1.5. Ułatwianie | str. | 210 |
1.6. Obsługa danych niezidentyfikowanych | str. | 210 |
1.7. Czas reakcji i czas obsługi | str. | 211 |
1.8. Nieuzasadnione lub nadmierne żądania | str. | 212 |
1.8.1. Nieuzasadnione żądanie | str. | 214 |
1.8.2. Nadmierne żądanie | str. | 214 |
1.9. Schemat działania administratora | str. | 215 |
2. Prawo do informacji i obowiązek informacyjny (art. 13 i 14 RODO) – Maciej Gawroński | str. | 215 |
2.1. Uwagi wstępne | str. | 215 |
2.2. Zakres informacji | str. | 216 |
2.2.1. Pozyskiwanie od osoby | str. | 216 |
2.2.2. Pozyskiwanie nie od osoby | str. | 217 |
2.2.3. Zmiana celu | str. | 218 |
2.2.4. Prawo dostępu | str. | 218 |
2.3. Szczegóły informacji | str. | 218 |
2.3.1. Podstawa prawna | str. | 218 |
2.3.2. Kategorie odbiorców i odbiorcy | str. | 218 |
2.3.3. Eksport danych | str. | 219 |
2.3.4. Profilowanie | str. | 221 |
2.4. Kiedy i jak informować | str. | 221 |
2.4.1. Kiedy informować? | str. | 221 |
2.4.1.1. Podczas pozyskiwania od osoby | str. | 221 |
2.4.1.2. W ciągu miesiąca – z innych źródeł | str. | 222 |
2.4.1.3. Aktualizacja informacji | str. | 222 |
2.4.1.4. Informowanie osób niezidentyfikowanych (art. 11 ust. 2 RODO) | str. | 223 |
2.4.2. Jak informować? | str. | 223 |
2.4.2.1. Przejrzystość | str. | 223 |
2.4.2.2. Dostępność | str. | 224 |
2.4.2.3. Konkretność | str. | 225 |
2.5. Wyjątki od obowiązku informowania | str. | 226 |
3. Prawo dostępu do danych (art. 15 RODO) – Maciej Gawroński, Michał Sztąberek | str. | 227 |
3.1. Wstęp | str. | 227 |
3.2. Terminy | str. | 228 |
3.3. Informacje | str. | 228 |
3.4. Dostęp | str. | 229 |
3.5. Kopia danych | str. | 229 |
3.6. Prośba o sprecyzowanie | str. | 230 |
3.7. Odmowa | str. | 231 |
3.8. Prawa innych | str. | 231 |
3.9. Uwierzytelnienie i komunikacja | str. | 233 |
3.10. Regulaminy i procedury | str. | 234 |
3.11. Mapowanie danych, narzędzia eksploracji danych (data mining), narzędzia do tzw. ticketowania | str. | 234 |
3.12. Podsumowanie | str. | 234 |
4. Prawo do sprostowania danych (art. 16 RODO) – Maciej Gawroński, Michał Sztąberek | str. | 235 |
4.1. Wstęp | str. | 235 |
4.2. Zagadnienia ogólne – tryb uwierzytelnienia i komunikacji | str. | 235 |
4.2.1. Element sporu | str. | 236 |
4.2.2. Prawo do skargi | str. | 236 |
4.2.3. Styl | str. | 236 |
4.2.4. Wykazanie nieprawidłowości danych | str. | 237 |
4.2.5. Dane nieaktualne czy nieprawidłowe | str. | 237 |
4.2.6. Zakres korekty danych | str. | 237 |
4.3. Uzupełnienie danych niekompletnych | str. | 238 |
4.3.1. Adekwatność danych | str. | 238 |
4.3.2. Podstawa aktualizacji | str. | 238 |
4.4. Obowiązek powiadomienia | str. | 239 |
5. Prawo do usunięcia danych, prawo do bycia zapomnianym (art. 17 RODO) – Maciej Gawroński, Katarzyna Kunda | str. | 240 |
5.1. Historia prawa do bycia zapomnianym | str. | 240 |
5.2. Składniki prawa do bycia zapomnianym | str. | 242 |
5.3. Podstawy żądania usunięcia danych | str. | 242 |
5.3.1. Zbędność do celów przetwarzania | str. | 243 |
5.3.2. Cofnięcie zgody | str. | 243 |
5.3.3. Wniesienie sprzeciwu | str. | 244 |
5.3.4. Przetwarzanie niezgodne z prawem | str. | 245 |
5.3.5. Prawny obowiązek usunięcia danych | str. | 246 |
5.3.6. Oferowanie usług społeczeństwa informacyjnego dzieciom | str. | 246 |
5.4. Wyjątki | str. | 246 |
5.4.1. Korzystanie z prawa do wolności wypowiedzi i informacji | str. | 247 |
5.4.2. Wywiązanie się z obowiązku prawnego lub zadania realizowanych w interesie publicznym albo w ramach wykonywania władzy publicznej | str. | 248 |
5.4.3. Interes publiczny w ochronie zdrowia publicznego | str. | 248 |
5.4.4. Cele archiwalne, badania naukowe, historyczne, cele statystyczne | str. | 249 |
5.4.5. Ustalenie, dochodzenie, obrona roszczeń | str. | 250 |
5.5. Zakres usunięcia danych | str. | 250 |
5.6. Przetwarzanie w celu realizacji prawa do usunięcia danych i prawa do bycia zapomnianym | str. | 252 |
5.7. Przetwarzanie w celu zapewnienia bezpieczeństwa – problem kopii zapasowych i archiwalnych | str. | 253 |
5.7.1. Jak wszyscy, to wszyscy | str. | 253 |
5.7.2. Problem bezpieczeństwa i ciągłości działania | str. | 253 |
5.7.3. Problem rozliczalności | str. | 254 |
5.7.4. Problem praktyczny – zasoby i proces | str. | 254 |
5.7.5. Rozwiązanie | str. | 255 |
5.8. Problem danych nieustrukturyzowanych | str. | 256 |
5.9. Obowiązek powiadomienia | str. | 258 |
5.10. Poinformowanie innych administratorów | str. | 258 |
5.11. Ograniczenie obowiązku poinformowania | str. | 259 |
5.12. Listy kontrolne | str. | 259 |
5.12.1. Przygotowanie do RODO – wprowadzenie prawa do bycia zapomnianym do organizacji | str. | 259 |
5.12.2. Przetworzenie żądania usunięcia danych | str. | 260 |
6. Prawo do ograniczenia przetwarzania (art. 18 RODO) – Michał Sztąberek, Maciej Gawroński | str. | 261 |
6.1. Ograniczenie przetwarzania | str. | 261 |
6.2. Prawo do ograniczenia przetwarzania | str. | 261 |
6.2.1. Ograniczenie w razie sporu co do prawidłowości danych | str. | 262 |
6.2.2. Ograniczenie w razie niezgodności z prawem | str. | 263 |
6.2.3. Ograniczenie dla potrzeb roszczeń | str. | 263 |
6.2.4. Ograniczenie w razie sprzeciwu ze względu na szczególną sytuację | str. | 264 |
6.3. Sposób zastosowania się do żądania ograniczenia przetwarzania | str. | 264 |
7. Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania (art. 19 RODO) – Aleksander P. Czarnowski, Maciej Gawroński, Paweł Punda | str. | 265 |
7.1. Obowiązek śledzenia danych | str. | 265 |
7.2. Odbiorca danych na gruncie art. 19 RODO | str. | 266 |
7.3. Obowiązek informacyjny na żądanie | str. | 266 |
8. Prawo do przenoszenia danych, czyli jak przenieść dane od jednego administratora danych do drugiego (art. 20 RODO) – Aleksander P. Czarnowski, Maciej Gawroński, Paweł Punda | str. | 267 |
8.1. Wstęp | str. | 267 |
8.2. Na czym dokładnie polega prawo przenoszenia danych? | str. | 268 |
8.3. Kiedy można skorzystać z prawa do przenoszenia danych? | str. | 269 |
8.4. Jaki zakres danych należy przekazać? | str. | 269 |
8.5. W jaki sposób należy zrealizować prawo do przeniesienia danych? | str. | 271 |
8.5.1. Wyjątki | str. | 273 |
8.5.2. Prawa osób trzecich | str. | 274 |
8.5.3. Przenoszenie danych, które są równocześnie danymi wnioskodawcy i danymi innej osoby | str. | 275 |
8.6. Kogo przenoszenie danych dotyczy najbardziej? | str. | 276 |
8.6.1. Bezpieczeństwo | str. | 276 |
8.6.2. Kwestia techniczna | str. | 277 |
9. Prawo do sprzeciwu (art. 21 RODO) – Maciej Gawroński, Michał Sztąberek | str. | 277 |
9.1. Prawo do sprzeciwu | str. | 277 |
9.2. Sprzeciw ze względu na szczególną sytuację osoby | str. | 279 |
9.2.1. Prawnie uzasadnione interesy | str. | 280 |
9.2.2. Roszczenia i spory | str. | 281 |
9.2.3. Interes publiczny lub władza publiczna | str. | 282 |
9.3. Przetwarzanie danych na potrzeby marketingu bezpośredniego | str. | 283 |
9.3.1. Sprzeciw względem marketingu bezpośredniego a cofnięcie zgody na przetwarzanie | str. | 284 |
9.3.2. Sprzeciw względem marketingu bezpośredniego a zgoda na zdalną komunikację marketingową | str. | 284 |
9.4. Skuteczne wniesienie sprzeciwu na przetwarzanie danych | str. | 285 |
9.5. Jak powinien być składany sprzeciw | str. | 286 |
10. Profilowanie i automatyczne podejmowanie decyzji (art. 22 RODO) – Michał Kibil | str. | 286 |
10.1. Wstęp | str. | 286 |
10.2. Definicja profilowania z RODO | str. | 291 |
10.2.1. Automatyzacja | str. | 292 |
10.2.2. Dane osobowe | str. | 292 |
10.2.3. Efekt | str. | 292 |
10.2.4. Czynności traktowane jako profilowanie | str. | 293 |
10.3. Obowiązki administratora danych osobowych związane z profilowaniem lub automatycznym podejmowaniem decyzji, lub podejmowaniem decyzji w oparciu o profilowanie | str. | 294 |
10.3.1. Obowiązki ogólne administratora | str. | 295 |
10.3.1.1. Informowanie o decydowaniu automatycznym i w oparciu o profilowanie | str. | 295 |
10.3.1.2. Ile razy informować | str. | 296 |
10.3.1.3. Zmiana celu | str. | 296 |
10.3.1.4. Profilowanie danych ze „starej” ustawy o ochronie danych osobowych | str. | 296 |
10.3.2. Prawo sprzeciwu | str.296 | |
10.4. Profilowanie a podejmowanie zautomatyzowanych decyzji | str. | 297 |
10.4.1. Środki bezpieczeństwa | str. | 299 |
10.4.2. Kiedy można stosować decyzje zautomatyzowane lub oparte wyłącznie na profilowaniu | str. | 300 |
10.4.2.1. Prawo do ludzkiej interwencji | str. | 302 |
10.4.2.2. Proces reklamacyjny | str. | 303 |
10.4.2.3. Automatyczne uwierzytelnienie | str. | 3031 |
10.4.3. Profilowanie dzieci | str. | 304 |
10.4.4. Zautomatyzowane decyzje dotyczące danych wrażliwych | str. | 304 |
10.4.5. Wnioski | str. | 305 |
Rozdział III | |
Bezpieczeństwo | str. | 306 |
1. Bezpieczeństwo danych w świetle RODO – analiza ryzyka i adekwatność środków – Aleksander P. Czarnowski, Maciej Gawroński | str. | 306 |
1.1. Bezpieczeństwo odpowiednie do ryzyka | str. | 306 |
1.1.1. Ryzyko | str. | 307 |
1.1.2. Ryzyko naruszenia praw lub wolności | str. | 308 |
1.1.3. Analiza ryzyka | str. | 309 |
1.2. Elementy oceny adekwatności środków bezpieczeństwa danych | str. | 312 |
1.2.1. Stan wiedzy technicznej | str. | 313 |
1.2.2. Koszt | str. | 313 |
1.2.3. Cechy samego przetwarzania | str. | 314 |
1.2.4. Ryzyko naruszenia praw lub wolności | str. | 314 |
1.3. Nie trzeba wymyślać procesu samemu? | str. | 321 |
1.4. Środki bezpieczeństwa | str. | 323 |
1.5. Jak z tego wybrnąć na skróty? | str. | 325 |
2. Pseudonimizacja i szyfrowanie – preferowane środki zabezpieczania danych osobowych – Aleksander P. Czarnowski, Maciej Gawroński, Paweł Punda | str. | 326 |
2.1. Uwagi wstępne | str. | 326 |
2.2. Szyfrowanie | str. | 326 |
2.3. Pseudonimizacja | str. | 329 |
2.4. Anonimizacja | str. | 330 |
2.5. Pseudonimizacja czy szyfrowanie | str. | 330 |
2.5.1. Bezpieczeństwo | str. | 331 |
2.5.2. Analiza ryzyka | str. | 332 |
2.5.2.1. Ocena skutków dla ochrony danych | str.334 | |
2.5.2.2. Metodyka analizy ryzyka | str. | 335 |
2.6. Privacy by design | str. | 337 |
2.7. Notyfikacja naruszeń ochrony danych | str. | 337 |
2.8. Zastosowania biznesowe pseudonimizacji | str. | 338 |
2.9. Podsumowanie | str. | 339 |
3. Privacy by design, czyli projektowanie prywatności – Maciej Gawroński, Katarzyna Kunda | str. | 339 |
3.1. Privacy by design | str. | 339 |
3.1.1. Z czego się składa projektowanie prywatności | str. | 341 |
3.1.1.1. Bezpieczeństwo | str. | 342 |
3.1.1.2. Pseudonimizacja | str. | 343 |
3.1.1.3. Minimalizacja | str. | 344 |
3.1.1.4. Prawa jednostki i czasowość | str. | 344 |
3.1.2. Jak wdrożyć privacy by design w organizacji? | str. | 345 |
3.1.2.1. Projektowanie prywatności w konkretnym projekcie | str. | 345 |
3.1.2.2. Zasady projektowania prywatności | str. | 345 |
3.1.2.3. Od kiedy projektować prywatność | str. | 346 |
3.2. Certyfikacja projektowania prywatności i domyślnej prywatności | str. | 346 |
4. Privacy by default, czyli domyślna ochrona danych – minimalizacja – Maciej Gawroński, Katarzyna Kunda | str. | 347 |
4.1. Zasada privacy by default | str. | 347 |
4.2. Privacy by default, czyli minimalizacja | str.347 | |
4.3. Atrybuty domyślnej prywatności | str. | 348 |
4.4. Wskazówki praktyczne | str. | 349 |
4.5. Udostępnianie nieokreślonej liczbie osób | str. | 350 |
4.6. Certyfikacja projektowania prywatności i domyślnej prywatności | str. | 351 |
5. Ocena skutków dla ochrony danych krok po kroku – Katarzyna Kloc | str. | 351 |
5.1. Uwagi wstępne | str. | 351 |
5.2. „Kwalifikowana” analiza ryzyka i rozliczalność | str. | 352 |
5.3. Podobne procesy, jedna DPIA | str. | 354 |
5.4. Analiza ryzyka do kwadratu | str. | 355 |
5.4.1. Analiza ryzyka | str. | 355 |
5.4.2. Jak w praktyce można przeprowadzić analizę ryzyka pierwszego stopnia i mieć wstępny przegląd operacji wymagających DPIA? | str. | 356 |
5.5. DPIA – kiedy trzeba? | str. | 357 |
5.5.1. Duża skala | str. | 358 |
5.5.2. Wytyczne Grupy Roboczej Art. 29 | str. | 360 |
5.6. Jak określić, czy w naszej firmie należy przeprowadzić DPIA i w odniesieniu do których procesów? | str. | 363 |
5.6.1. Urzędowy katalog operacji DPIA | str. | 364 |
5.7. Kiedy nie trzeba przeprowadzać DPIA? | str. | 372 |
5.8. DPIA krok po kroku | str. | 373 |
5.8.1. Uwagi ogólne | str. | 373 |
5.8.2. IOD | str. | 376 |
5.8.3. Eksperci | str. | 376 |
5.8.4. Reprezentanci grup docelowych | str. | 376 |
5.8.5. Uprzednie konsultacje z organem nadzorczym | str. | 377 |
5.9. Wytyczne GIODO | str. | 378 |
5.9. Podsumowanie | str. | 378 |
Rozdział IV | |
Przetwarzający dane | str. | 380 |
1. Powierzenie danych oraz elementy nowej umowy powierzenia danych – Aleksander P. Czarnowski, Maciej Gawroński, Patrycja Naklicka | str. | 380 |
1.1. Uwagi wstępne | str. | 380 |
1.2. Opis gwarancji zgodności | str. | 380 |
1.3. Pisemna umowa | str. | 381 |
1.4. Zgoda na podpowierzenie danych | str. | 381 |
1.5. Transfer obowiązków na podprzetwarzającego | str. | 382 |
1.6. Zakaz „wydmuszki” | str. | 382 |
1.7. Przedmiot przetwarzania | str. | 383 |
1.8. Pisemność poleceń ADO | str. | 383 |
1.9. Zobowiązania do poufności | str. | 383 |
1.10. Bezpieczeństwo danych | str. | 384 |
1.11. Obsługa praw jednostki | str. | 384 |
1.12. Wsparcie obowiązków bezpieczeństwa administratora | str. | 384 |
1.13. Notyfi kacja podejrzenia naruszenia ochrony danych | str. | 385 |
1.14. Usuwanie i zwrot danych | str. | 385 |
1.15. Obowiązek rozliczenia się ze zgodności z umową | str. | 387 |
1.16. Podleganie audytom | str. | 387 |
1.17. Odpłatność | str. | 388 |
1.18. Informowanie o legalności poleceń | str. | 388 |
1.19. Procedura rozstrzygania legalności | str. | 388 |
1.20. Zasady odpowiedzialności | str. | 389 |
1.21. Wyznaczanie inspektora ochrony danych | str.390 | |
2. Powierzenie danych oraz elementy nowej umowy powierzenia danych – Aleksander P. Czarnowski, Maciej Gawroński, Patrycja Naklicka | str. | 390 |
2.1. Umowy powierzenia a umowy SLA | str. | 390 |
2.1.1. Dostępność systemu SLA i czas reakcji | str. | 391 |
2.1.2. SLA w praktyce | str. | 391 |
2.1.3. Standaryzacja umów SLA a zgodność z RODO | str. | 391 |
2.2. Nowe wyzwania dla administratora i procesora | str. | 392 |
2.3. Rekomendacje | str. | 393 |
Rozdział V | |
Zarządzanie incydentami | str. | 394 |
1. Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu (art. 33 RODO) – Maciej Gawroński, Zuzanna Piotrowska | str. | 394 |
1.1. Przepis | str. | 394 |
1.2. Co to jest naruszenie ochrony danych osobowych? | str. | 395 |
1.2.1. Naruszenie ochrony danych wg Grupy Roboczej Art. 29 | str. | 397 |
1.2.1.1. Naruszenie poufności | str. | 397 |
1.2.1.2. Naruszenie dostępności | str. | 398 |
1.2.1.3. Naruszenie integralności | str. | 398 |
1.3. Czy każde naruszenie trzeba zgłaszać? | str. | 398 |
1.3.1. Procedura zgłaszania | str. | 399 |
1.3.1.1. Termin dla administratora | str. | 399 |
1.3.1.2. Termin dla przetwarzającego | str. | 400 |
1.3.2. Stwierdzenie naruszenia | str. | 400 |
1.3.3. Zgłoszenie – treść i forma | str. | 402 |
1.3.4. Powiadamianie z opóźnieniem | str. | 403 |
1.3.5. Obowiązki podmiotu przetwarzającego | str. | 404 |
1.4. Kiedy mimo wystąpienia incydentu naruszenia ochrony danych nie trzeba powiadamiać organu nadzorczego? | str. | 404 |
1.4.1. Kwestie praktyczne | str. | 407 |
1.4.2. Dokumentowanie naruszeń | str. | 407 |
1.4.3. Sankcja administracyjna | str. | 409 |
1.5. Elementy systemu zgłaszania naruszeń | str. | 410 |
2. Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych (art. 34 RODO) – Katarzyna Kloc, Maciej Gawroński | str. | 410 |
2.1. Wstęp | str. | 410 |
2.2. Wysokie ryzyko naruszenia praw lub wolności | str. | 411 |
2.2.1. Prawa i wolności | str. | 411 |
2.3. Wyjątki od obowiązku zawiadomienia | str. | 413 |
2.3.1. Działania prewencyjne | str. | 414 |
2.3.2. Działania następcze | str. | 414 |
2.4. Zawiadomienie | str. | 414 |
2.4.1. Treść zawiadomienia | str. | 414 |
2.4.2. Forma zawiadomienia | str. | 415 |
2.4.3. Ogłoszenie w miejscu zawiadomienia | str. | 416 |
2.4.4. Termin zawiadomienia | str. | 416 |
2.5. Uzgodnienia z organem nadzorczym | str. | 417 |
Rozdział VI | |
Inspektor ochrony danych (IOD) | str. | 418 |
1. Inspektor ochrony danych – wyznaczenie i status – Michał Kibil, Maciej Gawroński | str. | 418 |
1.1. IOD – ewolucja czy rewolucja | str. | 418 |
1.2. Kto ma obowiązek wyznaczenia inspektora ochrony danych? | str. | 419 |
1.2.1. Organ lub podmiot publiczny | str. | 420 |
1.2.2. Działalność wymagająca systematycznego i regularnego monitorowania oraz przetwarzanie na dużą skalę | str. | 421 |
1.2.2.1. Główna działalność | str. | 421 |
1.2.2.2. Monitorowanie osób | str. | 422 |
1.3. Działanie w ramach zrzeszeń i grup przedsiębiorców | str. | 426 |
1.4. Kwalifikacje IOD | str. | 427 |
1.5. Zatrudnienie IOD | str. | 428 |
1.6. Status inspektora danych | str. | 429 |
1.6.1. Obowiązki administratora względem IOD | str. | 429 |
1.6.2. Niezależność IOD | str. | 431 |
2. Zadania inspektora ochrony danych osobowych – Michał Kibil, Maciej Gawroński | str. | 432 |
2.1. Wstęp | str. | 432 |
2.2. Informacje poufne oraz unikanie konfliktu interesów | str. | 432 |
2.3. Zadania inspektora ochrony danych | str. | 434 |
Rozdział VII | |
Regulator | str. | 437 |
1. Organ nadzorczy – status, rola i obowiązki – Katarzyna Kunda, Patrycja Naklicka, Zuzanna Piotrowska | str. | 437 |
1.1. Niezależność | str. | 437 |
1.2. Cechy i gwarancje niezależności | str. | 438 |
1.3. Członkowie organu nadzorczego | str. | 439 |
1.3.1. Wybór | str. | 439 |
1.3.2. Okres kadencji – konflikt interesów | str. | 440 |
1.4. Rola organu nadzorczego | str. | 440 |
1.4.1. Kompetencje z art. 57 RODO | str. | 440 |
1.5. Bezpłatność | str. | 441 |
2. Uprawnienia organu nadzorczego z zakresu ochrony danych osobowych – Katarzyna Kunda, Patrycja Naklicka, Zuzanna Piotrowska | str. | 442 |
2.1. Wstęp | str. | 442 |
2.2. Uprawnienia kontrolne | str. | 442 |
2.2.1. Rodzaje i techniki kontroli | str. | 442 |
2.2.2. Przebieg kontroli | str. | 443 |
2.2.3. Zakres kontroli | str. | 443 |
2.2.4. Uprawnienia pokontrolne | str. | 445 |
2.2.5. Obowiązek zachowania tajemnicy | str. | 445 |
2.3. Kary przewidziane przez RODO | str. | 445 |
2.4. Udzielanie zezwoleń i kompetencje doradcze | str. | 446 |
2.5. Obowiązek rozpatrywania skarg przez PUODO | str. | 446 |
Rozdział VIII | |
Środki ochrony prawnej, odpowiedzialność i sankcje | str. | 447 |
1. Środki ochrony prawnej – odpowiedzialność cywilnoprawna i administracyjna – Maciej Gawroński | str. | 447 |
1.1. Wstęp | str. | 447 |
1.2. Skarga do organu nadzorczego | str. | 448 |
1.3. Skarga do sądu (administracyjnego) na organ nadzorczy | str. | 449 |
1.4. Odpowiedzialność cywilnoprawna – żądanie zaniechania lub zachowania | str. | 450 |
1.4.1. Prawo do sądu | str. | 450 |
1.4.2. Właściwość miejscowa sądu | str. | 451 |
1.4.3. Tryb procesowy | str. | 451 |
1.5. Odpowiedzialność odszkodowawcza | str. | 451 |
1.5.1. Szkoda majątkowa i niemajątkowa | str. | 452 |
1.5.2. Administrator i przetwarzający | str. | 452 |
1.5.3. Uwolnienie się od odpowiedzialności | str. | 452 |
1.5.4. Domniemanie winy | str. | 454 |
1.5.5. Współodpowiedzialność | str. | 454 |
1.5.6. Właściwość sądu | str. | 455 |
1.5.7. Proces cywilny | str. | 455 |
1.6. Reprezentacja podmiotów danych przez wyspecjalizowane podmioty | str. | 455 |
2. Sankcje administracyjne za naruszenie przepisów RODO – Maciej Gawroński | str. | 456 |
2.1. Wstęp | str. | 456 |
2.2. Komu grożą kary? | str. | 456 |
2.3. Jakie powinny być kary? | str. | 456 |
2.4. Kara większa i kara mniejsza | str. | 456 |
2.5. Księgowość karania | str. | 458 |
2.6. Konfiskata korzyści z „rodoprzestępstwa” | str. | 459 |
3. Odpowiedzialność podmiotu przetwarzającego – Maciej Gawroński | str. | 460 |
Rozdział IX | |
Nowa ustawa o ochronie danych osobowych – rola i miejsce w porządku prawnym po 25.05.2018 r. – Katarzyna Kloc | str. | 462 |
1. Wprowadzenie | str. | 462 |
2. Porządek prawny przed 25.05.2018 r. | str. | 462 |
3. Planowane zmiany – przepisy sektorowe | str. | 464 |
4. Rola nowej ustawy o ochronie danych osobowych | str. | 465 |
5. Niewielki zakres obowiązywania ustawy o ochronie danych osobowych z 1997 r. | str. | 466 |
6. Podsumowanie | str. | 467 |
Rozdział X | |
Wyjątek dziennikarski (art. 2), cz. 1 – Maciej Gawroński, Katarzyna Kunda, Katarzyna Kloc | str. | 468 |
1. Wolność wypowiedzi i informacji a RODO | str. | 468 |
1.1. Wyłączenia – podstawa w RODO | str. | 469 |
1.2. Pogodzenie przepisów regulujących wolność wypowiedzi i informacji z RODO w polskim porządku prawnym | str. | 471 |
2. Wyjątek dziennikarski, działalność artystyczna i literacka a RODO | str. | 472 |
2.1. Wyjątek dziennikarski – wyłączenia dla dziennikarzy | str. | 473 |
2.2. Waga wyłączenia w przypadku dziennikarzy | str. | 474 |
2.3. Wyłączenia dla pisarzy i artystów – działalność literacka i artystyczna | str. | 475 |
2.4. Zakres wyłączenia stosowania RODO | str. | 476 |
2.5. Wyłączenia w zakresie podstawowych zasad | str. | 477 |
Rozdział XI | |
Wyjątek dziennikarski (art. 2), cz. 2 – Maciej Gawroński, Katarzyna Kunda, Katarzyna Kloc | str. | 479 |
1. Wyłączenia w zakresie obsługi praw jednostki | str. | 479 |
2. Wyłączenia w zakresie obowiązków przy powierzeniu przetwarzania | str. | 482 |
3. Wyłączenia w zakresie rejestru czynności przetwarzania danych | str. | 483 |
4. Przepisy RODO stosowane do dziennikarzy, literatów i artystów | str. | 483 |
4.1. Przetwarzanie danych karnych | str. | 484 |
4.2. Bezpieczeństwo | str. | 484 |
4.3. Inspektor ochrony danych | str. | 485 |
4.4. Współadministrowanie | str. | 485 |
4.5. Transfer danych poza EOG | str. | 485 |
4.6. Odpowiedzialność | str. | 486 |
5. Wypowiedź akademicka | str. | 486 |
5.1. Wyłączenia stosowania przepisów RODO dla wypowiedzi akademickiej | str. | 487 |
5.2. Ograniczenia w zakresie realizacji praw jednostki | str. | 487 |
5.3. Powierzenie przetwarzania danych | str. | 488 |
5.4. Wyłączenie w zakresie obowiązku prowadzenia rejestru czynności przetwarzania danych | str. | 488 |
5.5. Zakres stosowania RODO w przypadku wypowiedzi akademickich | str. | 488 |
Rozdział XII | |
Prezes Urzędu Ochrony Danych – polski organ nadzorczy – Maciej Gawroński, Patrycja Naklicka | str. | 490 |
1. Prezes Urzędu | str. | 490 |
2. GIODO a Prezes Urzędu | str. | 491 |
2.1. Zmiana nazwy organu nadzorczego | str. | 491 |
2.2. Kontynuacja kierownictwa | str. | 492 |
3. Zadania oraz uprawnienia Prezesa Urzędu | str. | 493 |
3.1. Zadania i uprawnienia Prezesa Urzędu określone w RODO | str. | 493 |
3.2. Zadania i uprawnienia Prezesa Urzędu określone w ustawie o ochronie danych osobowych | str. | 497 |
4. Podmioty uprawnione do wystąpienia o uprzednie konsultacje | str. | 504 |
5. Dodatkowe uprawnienia Prezesa Urzędu i kwestia rozstrzygania sporów o właściwość | str. | 505 |
6. Sposób powoływania, odwoływania oraz kadencja Prezesa Urzędu | str. | 506 |
6.1. Powoływanie Prezesa Urzędu | str. | 506 |
6.2. Wymogi względem Prezesa Urzędu | str. | 506 |
6.3. Kadencja | str. | 506 |
6.4. Sposób odwołania Prezesa Urzędu | str. | 507 |
7. Niezależność Prezesa Urzędu | str. | 508 |
8. Niezależność materialna. Zapewnienie zasobów i zaplecza administracyjnego dla Prezesa Urzędu | str. | 509 |
8.1. Budżet | str. | 509 |
8.2. Urząd | str. | 509 |
8.3. Statut Urzędu | str. | 511 |
8.4. Zachowanie poufności | str. | 511 |
8.5. Zastępcy Prezesa Urzędu | str. | 512 |
8.6. Zakaz zajmowania innych stanowisk | str. | 512 |
8.7. Apolityczność | str. | 512 |
9. Immunitet formalny Prezesa Urzędu | str. | 513 |
9.1. Wniosek o pociągnięcie do odpowiedzialności | str. | 513 |
9.2. Wymogi formalne wniosku o pociągnięcie do odpowiedzialności | str. | 514 |
9.3. Procedura rozpatrywania wniosku | str. | 514 |
9.4. Zgoda | str. | 515 |
9.5. Wniosek o wyrażenie zgody na zatrzymanie lub aresztowanie | str. | 515 |
9.6. Wymogi formalne wniosku o zatrzymanie lub aresztowanie | str. | 515 |
9.7. Powiadomienie i ogłoszenie uchwały | str. | 516 |
9.8. Odpowiedzialność karna a odpowiedzialność za wykroczenia | str. | 516 |
10. Rada do Spraw Ochrony Danych Osobowych | str. | 516 |
10.1. Kompetencje Rady | str. | 516 |
10.2. Skład Rady | str. | 517 |
10.3. Członkowie Rady | str. | 518 |
10.4. Zachowanie tajemnicy | str. | 518 |
10.5. Kadencja członka Rady | str. | 518 |
10.6. Funkcjonowanie Rady | str. | 519 |
10.7. Wynagrodzenie za udział w pracach | str. | 519 |
Rozdział XIII | |
Postępowanie przed Prezesem Urzędu Ochrony Danych – podstawowe informacje i rodzaje postępowań (akredytacja, certyfikacja, postępowania kontrolne i postępowania w sprawie naruszeń przepisów o ochronie danych) – Magdalena Wojtas | str. | 520 |
1. Rodzaje postępowań przed Prezesem Urzędu Ochrony Danych Osobowych | str. | 520 |
2. Ogólny opis postępowań przed Prezesem Urzędu | str. | 521 |
2.1. Postępowanie certyfikacyjne | str. | 521 |
2.2. Postępowanie w sprawie zatwierdzenia kodeksu postępowania | str. | 522 |
2.3. Postępowanie w sprawie akredytacji podmiotu monitorującego | str. | 523 |
2.4. Postępowanie kontrolne | str. | 524 |
2.5. Postępowanie w sprawie naruszeń przepisów o ochronie danych | str. | 524 |
Rozdział XIV | |
Warunki i tryb certyfikacji – Maciej Gawroński, Paweł Punda | str. | 526 |
1. Mechanizmy certyfikacji | str. | 526 |
2. Podstawy certyfikacji | str. | 526 |
3. Cel certyfikacji | str. | 527 |
3.1. Certyfikacja przez Prezesa Urzędu | str. | 529 |
3.2. Certyfikacja przez podmiot certyfikujący | str. | 529 |
4. Postępowanie w sprawie certyfikacji | str. | 530 |
4.1. Cofnięcie certyfikacji | str. | 530 |
4.2. Okres certyfikacji | str. | 531 |
4.3. Zasięg terytorialny certyfikacji | str. | 531 |
5. Specyfika mikro-, małych i średnich przedsiębiorstw | str. | 531 |
Rozdział XV | |
Postępowanie w sprawach naruszenia przepisów o ochronie danych – Maciej Gawroński, Patrycja Naklicka | str. | 534 |
1. Prowadzenie postępowania przez Prezesa Urzędu Ochrony Danych Osobowych (art. 60 u.o.d.o.) | str. | 534 |
1.1. Właściwość Prezesa Urzędu | str. | 534 |
1.2. Naruszenie przepisów | str. | 534 |
1.3. Stosowanie Kodeksu postępowania administracyjnego | str. | 535 |
2. Jednoinstancyjność postępowania (art. 7 u.o.d.o.) | str. | 535 |
2.1. Zaskarżanie postanowień Prezesa Urzędu w postępowaniu w sprawie naruszenia | str. | 537 |
3. Kiedy Prezes Urzędu wszczyna postępowanie? | str. | 538 |
4. Przedstawiciel organizacji jako pełnomocnik strony (art. 61 u.o.d.o.) | str. | 539 |
5. Zawiadomienie strony o niezałatwieniu sprawy w terminie (art. 63 u.o.d.o.) | str. | 540 |
5.1. Termin na załatwienie sprawy | str. | 540 |
5.2. Obowiązki organu po upływie terminu | str. | 541 |
5.3. Dwa czy trzy miesiące na załatwienie sprawy przez Prezesa Urzędu? | str. | 541 |
5.4. Terminy instrukcyjne | str. | 542 |
5.5. Załatwienie sprawy w terminie a liczba skarg | str. | 542 |
6. Uprawnienia Prezesa Urzędu w zakresie prowadzenia postępowania o naruszeniu przepisów | str. | 543 |
Rozdział XVI | |
Kontrola organu nadzorczego – Magdalena Wojtas | str. | 559 |
1. Zakres kontroli | str. | 559 |
2. Podmioty kontrolujące | str. | 561 |
2.1. Kontrolujący | str. | 561 |
2.2. Wyłączenie kontrolującego | str. | 561 |
2.3. Specjalista | str. | 562 |
3. Termin przeprowadzenia kontroli | str. | 563 |
3.1. Podstawa wszczęcia kontroli | str.563 | |
3.2. Brak obowiązku wcześniejszego zawiadomienia | str. | 563 |
4. Cel kontroli | str. | 564 |
5. Sposób przeprowadzania kontroli | str. | 565 |
5.1. Upoważnienie | str. | 565 |
5.2. Rodzaje kontroli | str. | 567 |
5.3. Zasady kontroli | str. | 567 |
5.4. Udział Policji w kontroli | str. | 568 |
5.5. Protokół | str. | 570 |
5.6. Czas trwania kontroli | str. | 571 |
6. Podejście do kontroli | str. | 572 |
Rozdział XVII | |
Wyznaczanie IOD, cz. 1 – Maciej Gawroński, Adrianna Gnatowska | str. | 573 |
1. Wstęp | str. | 573 |
2. Obowiązek powołania IOD | str. | 574 |
2.1. Uwagi ogólne | str. | 574 |
2.2. Powołanie fakultatywnego IOD | str. | 575 |
2.3. Organy i podmioty publiczne | str. | 575 |
2.4. Główna działalność | str. | 576 |
2.5. Przetwarzanie danych na dużą skalę | str. | 576 |
2.6. Duża skala według estońskiego DPA | str. | 576 |
2.7. Monitoring wizyjny | str. | 578 |
3. Procedura zawiadomienia o wyznaczeniu IOD według ustawy o ochronie danych osobowych | str. | 578 |
3.1. Uwagi ogólne | str. | 578 |
3.2. Zawiadomienie o wyznaczeniu IOD | str. | 580 |
3.3. Zastępca IOD | str. | 581 |
3.4. Zawiadomienie o zmianach | str. | 581 |
3.5. Forma zawiadomienia | str. | 582 |
3.6. Zawiadomienie przez pełnomocnika | str. | 582 |
3.7. IOD dla grupy przedsiębiorstw | str. | 583 |
3.8. Udostępnienie danych IOD | str. | 583 |
4. Charakter przepisów przejściowych | str. | 584 |
4.1. Przepisy przejściowe | str. | 584 |
4.2. ABI jako „prowizoryczny” IOD | str. | 585 |
4.3. Termin wyznaczenia IOD w sytuacji niepowołania ABI przed 24.05.2018 r. | str. | 586 |
4.4. Wyznaczenie IOD przez podmiot przetwarzający | str. | 586 |
Rozdział XVIII | |
Wyznaczanie IOD, cz. 2 – Maciej Gawroński, Adrianna Gnatowska | str. | 587 |
1. Praktyczne aspekty wyznaczania inspektora ochrony danych | str. | 587 |
1.1. Zawiadomienie w formie elektronicznej | str. | 587 |
1.1.1. Kwalifikowany podpis elektroniczny | str. | 587 |
1.1.2. Profil zaufany ePUAP | str. | 588 |
1.1.3. Profil zaufany ePUAP dla organizacji | str. | 588 |
1.1.4. Zawiadomienie przez pełnomocnika | str. | 589 |
1.2. Wyznaczenie IOD dla oddziału | str. | 589 |
1.3. Konflikt interesów | str. | 592 |
1.3.1. Funkcja compliance a stanowisko IOD | str. | 592 |
1.3.2. Prawnik jako IOD | str. | 593 |
1.3.3. Osoba reprezentująca związek zawodowy („ZZ”) a IOD | str. | 595 |
Rozdział XIX | |
Postępowania przed sądem w przypadku naruszenia przepisów o ochronie danych – Maciej Gawroński, Patrycja Naklicka | str. | 598 |
1. Właściwość sądu okręgowego | str. | 598 |
2. Synchronizacja między Urzędem a sądami | str. | 598 |
3. Wzajemne informowanie | str. | 600 |
4. Sprzeczne z RODO zamrożenie prawa do sądu | str. | 600 |
5. Gravamen | str. | 601 |
6. Związanie sądu decyzją Prezesa | str. | 601 |
7. Udział Prezesa w postępowaniu sądowym | str. | 601 |
8. Rozkład ciężaru dowodu | str. | 602 |
9. Ogólny ciężar udowodnienia okoliczności | str. | 602 |
10. Ciężar udowodnienia zgodności zdarzenia z prawem | str. | 603 |
11. Pojęcie szkody | str. | 603 |
12. Odpowiedzialność solidarna | str. | 604 |
13. Odpowiedzialność podmiotu przetwarzającego | str. | 605 |
14. Odesłanie do przepisów Kodeksu postępowania cywilnego | str. | 606 |
Rozdział XX | |
Kary pieniężne za naruszenie przepisów o ochronie danych – Paweł Dmowski, Maciej Gawroński | str. | 607 |
1. Wstęp | str. | 607 |
2. Kto? | str. | 607 |
3. Komu i ile? | str. | 608 |
4. Za co? | str. | 609 |
4.1. Kara mniejsza | str. | 609 |
4.2. Kara większa | str. | 610 |
5. Ustalenie wysokości kary | str. | 612 |
6. Różnica w odpowiedzialności podmiotu przetwarzającego | str. | 615 |
7. Odwołanie od decyzji wymierzającej karę | str. | 616 |
8. Wykonanie kary (egzekucja) | str. | 616 |
9. Odroczenie płatności | str. | 617 |
10. Pozostałe ulgi w przedmiocie wykonania kary | str. | 618 |
11. Podsumowanie | str. | 619 |
Rozdział XXI | |
Europejska współpraca – Maciej Gawroński, Patrycja Naklicka | str. | 620 |
1. Wstęp | str. | 620 |
2. Przepisy o wzajemnej współpracy europejskiej | str. | 621 |
3. Cel mechanizmu wzajemnej współpracy | str. | 621 |
3.1. Swoboda przetwarzania danych w całej Unii | str. | 621 |
3.2. Regulacje wzajemnej współpracy | str. | 622 |
4. Wyjątek od stosowania mechanizmu wzajemnej współpracy | str. | 622 |
5. Co to jest wzajemna współpraca? | str. | 623 |
5.1. Zakres wzajemnej współpracy | str. | 623 |
5.2. Formy wzajemnej współpracy | str. | 623 |
6. Przepisy proceduralne w ustawie o ochronie danych osobowych | str. | 624 |
Rozdział XXII | |
Kodeksy postępowań – Aleksander P. Czarnowski | str. | 626 |
1. Wprowadzenie | str. | 626 |
2. ISO 9001 a RODO | str. | 628 |
3. Inne ważne normy ISO z perspektywy RODO | str. | 629 |
4. ISO a kodeksy postępowań | str. | 629 |
5. Kodeksy postępowań | str. | 630 |
6. Rola kodeksów w praktyce | str. | 631 |
7. Zakres kodeksu | str. | 632 |
Rozdział XXIII | |
Odpowiedzialność cywilna za naruszenie przepisów – Maciej Gawroński, Patrycja Naklicka | str. | 633 |
1. Wstęp | str. | 633 |
2. Tryb dochodzenia roszczeń na gruncie poprzedniej ustawy o ochronie danych osobowych a RODO | str. | 634 |
3. Odesłanie do przepisów Kodeksu cywilnego | str. | 635 |
4. Roszczenia z art. 79 RODO – żądanie wykonania uprawnień lub zaprzestania naruszeń | str. | 635 |
5. Brak przedawnienia i zakaz zbywania | str. | 636 |
6. Roszczenie o odszkodowanie z art. 82 RODO | str. | 637 |
Rozdział XXIV | |
Akredytacja podmiotów monitorujących przestrzeganie zatwierdzonych kodeksów postępowań – Aleksander P. Czarnowski | str. | 639 |
1. Wstęp | str. | 639 |
2. Przebieg procesu akredytacyjnego | str. | 640 |
Rozdział XXV | |
Monitoring jako jedna z kluczowych zmian wprowadzonych przez ustawę o ochronie danych osobowych. Część 1 – monitoring pracowniczy – Maciej Gawroński, Katarzyna Kloc | str. | 643 |
1. Wstęp | str. | 643 |
2. Monitoring pracowników | str. | 644 |
3. Monitoring wizyjny | str. | 646 |
4. Cele | str. | 646 |
5. Przykład naruszenia zasad korzystania z monitoringu wizyjnego | str. | 647 |
6. Rejestracja obrazu | str. | 647 |
7. Monitorowany obszar | str. | 648 |
8. Monitoring wizyjny a RODO | str. | 648 |
9. Podstawa przetwarzania danych z monitoringu | str. | 649 |
10. Prawnie uzasadniony interes jako podstawa stosowania monitoringu wizyjnego przez podmioty publiczne | str. | 649 |
11. Obowiązki pracodawcy związane z monitoringiem | str. | 651 |
12. Monitoring wizyjny a dane szczególnych kategorii | str. | 653 |
13. Monitoring poczty elektronicznej i inne formy monitoringu | str. | 654 |
Rozdział XXVI | |
Monitoring jako jedna z kluczowych zmian wprowadzonych przez ustawę o ochronie danych osobowych. Część 2 – monitoring w przypadku jednostek samorządu terytorialnego oraz monitoring w szkołach – Maciej Gawroński, Katarzyna Kloc | str. | 657 |
1. Monitoring w przypadku jednostek samorządu terytorialnego | str. | 657 |
2. Cele monitoringu | str. | 660 |
3. Monitorowany obszar | str. | 661 |
4. Okres przechowywania danych z nagrań | str. | 661 |
5. Informowanie o monitoringu | str. | 662 |
6. Bezpieczeństwo | str. | 662 |
7. Monitoring w szkołach | str. | 662 |
8. Bezpieczeństwo lub ochrona mienia – cele monitoringu w oświacie | str. | 664 |
9. Wprowadzenie monitoringu – konsultacje | str. | 665 |
10. Podstawa prawna przetwarzania danych z monitoringu | str. | 666 |
11. Obszar monitorowany | str. | 667 |
12. Warunki stosowania monitoringu | str. | 668 |
13. Okres przechowania danych z nagrań | str. | 669 |
Rozdział XXVII | |
Odpowiedzialność karna – Maciej Gawroński, Katarzyna Kloc | str. | 670 |
1. Przepisy karne w ustawie o ochronie danych osobowych | str. | 670 |
2. Przepisy karne a RODO | str. | 671 |
3. Nowe przepisy karne a ustawa z 1997 r. | str. | 672 |
4. Niedopuszczalne i nieuprawnione przetwarzanie danych | str. | 673 |
5. Przestępstwo niedopuszczalnego przetwarzania danych | str. | 674 |
6. Przestępstwo nieuprawnionego przetwarzania danych | str. | 676 |
7. Udaremnianie lub utrudnianie kontroli | str. | 677 |
8. Odpowiedzialność karna według ustawy o ochronie danych osobowych a inne przestępstwa z Kodeksu karnego | str. | 678 |
9. Odpowiedzialność karna a zasada rozliczalności i rozkład ciężaru dowodu | str. | 679 |
10. Nie ma osób niewinnych, są tylko źle przesłuchane? RODO – absurd | str. | 681 |
Rozdział XXVIII | |
Ograniczenie obowiązków RODO dla podmiotów wykonujących zadania publiczne – Maciej Gawroński | str. | 684 |
1. Wstęp | str. | 684 |
1.1. Zakres ułatwień | str. | 684 |
1.2. Wyłączenia informowania | str. | 685 |
1.3. Wyłączenie wyszukiwania | str. | 686 |
2. Uzasadnienie ułatwień dla administracji | str. | 686 |
3. Analiza przesłanek wyłączenia obowiązku informacyjnego | str. | 688 |
4. Informacja niejawna i bezpieczeństwo narodowe | str. | 690 |
Rozdział XXIX | |
Akredytacja podmiotu uprawnionego do certyfikacji w zakresie ochrony danych osobowych – Paweł Punda | str. | 691 |
1. Podstawy akredytacji | str. | 691 |
2. Pojęcie akredytacji | str. | 692 |
3. Podmiot akredytujący | str. | 693 |
4. Kryteria akredytacji | str. | 693 |
4.1. Niezależność i brak konfliktu interesów | str. | 694 |
4.2. Wiedza fachowa | str. | 696 |
4.3. Przestrzeganie kryteriów, procedury, obsługa procesu skarg | str. | 697 |
5. Postępowanie w sprawie akredytacji | str. | 697 |
6. Cofnięcie akredytacji | str. | 699 |
Część B | |
Wzory dokumentów | |
Wzór nr 1a. Klauzula zgody na przetwarzanie danych osobowych zwykłych – Michał Sztąberek | str. | 703 |
Wzór nr 1b. Klauzula zgody na przetwarzanie danych osobowych „szczególnych kategorii” – Michał Sztąberek | str. | 704 |
Wzór nr 2. Klauzula informacyjna o prawie do cofnięcia zgody – Paweł Punda | str. | 706 |
Wzór nr 3. Klauzula informacyjna o przetwarzaniu danych – Michał Sztąberek | str. | 707 |
Wzór nr 4. Klauzula informacyjna w przypadku współadministrowania danymi – Michał Kibil | str. | 715 |
Wzór nr 5. Klauzula o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu – element klauzuli informacyjnej – Paweł Punda | str. | 717 |
Wzór nr 6. Umowa powierzenia przetwarzania danych osobowych – Paweł Punda | str. | 719 |
Wzór nr 7. Szczegółowa klauzula zgody na podpowierzenie – Paweł Punda | str. | 730 |
Wzór nr 8. Sprzeciw administratora danych osobowych wobec podpowierzenia – Patrycja Naklicka | str. | 731 |
Wzór nr 9. Upoważnienie do przetwarzania danych osobowych – Katarzyna Kloc | str. | 732 |
Wzór nr 10. Klauzula informacyjna dla osoby, której dane dotyczą, o przekazaniu jej danych do państwa trzeciego – Maciej Gawroński | str. | 734 |
Wzór nr 11. Polityka ochrony danych osobowych – Maciej Gawroński | str. | 737 |
Wzór nr 12a. Wytyczne dotyczące klasyfi kacji naruszeń i procedura zgłaszania naruszenia ochrony danych do organu nadzorczego (UODO) (art. 33 ust. 3 RODO) – Tomasz Soczyński | str. | 756 |
Wzór nr 12b. Analiza wystąpienia ryzyka naruszenia praw lub wolności w związku z incydentem ochrony danych osobowych – Patrycja Naklicka | str. | 768 |
Wzór nr 13. Wytyczne na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób w zakresie ich informowania o działaniach, jakie powinni wykonać w celu ograniczenia ryzyka – Tomasz Soczyński | str. | 769 |
Wzór nr 14. Raport z przeprowadzonej ogólnej analizy ryzyka – Tomasz Soczyński | str. | 773 |
Wzór nr 15a. Formularz z ogólnej analizy ryzyka – Patrycja Naklicka | str. | 777 |
Wzór nr 15b. Instrukcja przeprowadzania ogólnej analizy ryzyka dla danych osobowych – Patrycja Naklicka | str. | 778 |
Wzór nr 15c. Uproszczona metodyka analizy ryzyka – Maciej Gawroński | str. | 801 |
Wzór nr 16. Proces oceny DPIA – Patrycja Naklicka | str. | 811 |
Wzór nr 17a. Plan Ciągłości Działania (art. 32 ust. 1 lit. b RODO) – Tomasz Soczyński | str. | 812 |
Wzór nr 17b. Plan Ciągłości Działania – Aleksander P. Czarnowski | str. | 814 |
Wzór nr 18a. Procedura odtwarzania systemu po awarii oraz testowania (art. 32 ust. 1 lit. c RODO) – Tomasz Soczyński | str. | 824 |
Wzór nr 18b. Procedura odtwarzania systemu po awarii oraz testowania – Aleksander P. Czarnowski | str. | 828 |
Wzór nr 19. Umowa o współadministrowanie – Maciej Gawroński, Adrianna Gnatowska | str. | 831 |
Wzory rejestrów | |
Wzór Rejestru Czynności Przetwarzania Danych – Katarzyna Kloc | str. | 851 |
Wzór Rejestru Naruszeń Ochrony Danych Osobowych – Paweł Punda | str. | 854 |