RODO. Przewodnik ze wzorami
W książce w praktyczny sposób wyjaśniono przepisy RODO, wskazano wiele dokumentów i rozwiązań, dzięki którym czytelnik będzie mógł postępować zgodnie z tą regulacją unijną. Autorzy wykorzystali opinie Grupy Roboczej Art. 29 oraz GIODO, normy ISO z obszaru bezpieczeństwa informacji, a także bogate doświadczenie z własnej krajowej i międzynarodowej praktyki ochrony danych osobowych, cyberbezpieczeństwa i cloud computingu, w tym prace dla Grupy Roboczej Art. 29 i Komisji Europejskiej. W publikacji czytelnik znajdzie m.in.:
projekt polityki ochrony danych osobowych, która obejmuje obowiązki administratora i podmiotu przetwarzającego,
wzór umowy powierzenia danych,
wzory klauzul informacyjnych, w których zawarto kategorie informacji,
listy standardowych zagrożeń bezpieczeństwa informacji i potencjalnych naruszeń praw i wolności mogących wyniknąć z naruszenia ochrony danych osobowych.
Autorzy wyjaśniają również zagadnienia mogące stwarzać szczególne trudności przy stosowaniu RODO, jak np. art. 11 RODO dotyczący danych niezidentyfikowanych.
- Kategorie:
- Język wydania: polski
- ISBN: 978-83-8124-704-7
- ISBN druku: 978-83-8124-637-8
- EAN: 9788381247047
- Liczba stron: 456
-
Sposób dostarczenia produktu elektronicznegoProdukty elektroniczne takie jak Ebooki czy Audiobooki są udostępniane online po opłaceniu zamówienia kartą lub przelewem na stronie Twoje konto > Biblioteka.Pliki można pobrać zazwyczaj w ciągu kilku-kilkunastu minut po uzyskaniu poprawnej autoryzacji płatności, choć w przypadku niektórych publikacji elektronicznych czas oczekiwania może być nieco dłuższy.Sprzedaż terytorialna towarów elektronicznych jest regulowana wyłącznie ograniczeniami terytorialnymi licencji konkretnych produktów.
-
Ważne informacje techniczneMinimalne wymagania sprzętowe:procesor: architektura x86 1GHz lub odpowiedniki w pozostałych architekturachPamięć operacyjna: 512MBMonitor i karta graficzna: zgodny ze standardem XGA, minimalna rozdzielczość 1024x768 16bitDysk twardy: dowolny obsługujący system operacyjny z minimalnie 100MB wolnego miejscaMysz lub inny manipulator + klawiaturaKarta sieciowa/modem: umożliwiająca dostęp do sieci Internet z prędkością 512kb/sMinimalne wymagania oprogramowania:System Operacyjny: System MS Windows 95 i wyżej, Linux z X.ORG, MacOS 9 lub wyżej, najnowsze systemy mobilne: Android, iPhone, SymbianOS, Windows MobilePrzeglądarka internetowa: Internet Explorer 7 lub wyżej, Opera 9 i wyżej, FireFox 2 i wyżej, Chrome 1.0 i wyżej, Safari 5Przeglądarka z obsługą ciasteczek i włączoną obsługą JavaScriptZalecany plugin Flash Player w wersji 10.0 lub wyżej.Informacja o formatach plików:
- PDF - format polecany do czytania na laptopach oraz komputerach stacjonarnych.
- EPUB - format pliku, który umożliwia czytanie książek elektronicznych na urządzeniach z mniejszymi ekranami (np. e-czytnik lub smartfon), dając możliwość dopasowania tekstu do wielkości urządzenia i preferencji użytkownika.
- MOBI - format zapisu firmy Mobipocket, który można pobrać na dowolne urządzenie elektroniczne (np.e-czytnik Kindle) z zainstalowanym programem (np. MobiPocket Reader) pozwalającym czytać pliki MOBI.
- Audiobooki w formacie MP3 - format pliku, przeznaczony do odsłuchu nagrań audio.
Rodzaje zabezpieczeń plików:- Watermark - (znak wodny) to zaszyfrowana informacja o użytkowniku, który zakupił produkt. Dzięki temu łatwo jest zidentyfikować użytkownika, który rozpowszechnił produkt w sposób niezgodny z prawem. Ten rodzaj zabezpieczenia jest zdecydowanie bardziej przyjazny dla użytkownika, ponieważ aby otworzyć książkę zabezpieczoną Watermarkiem nie jest potrzebne konto Adobe ID oraz autoryzacja urządzenia.
- Brak zabezpieczenia - część oferowanych w naszym sklepie plików nie posiada zabezpieczeń. Zazwyczaj tego typu pliki można pobierać ograniczoną ilość razy, określaną przez dostawcę publikacji elektronicznych. W przypadku zbyt dużej ilości pobrań plików na stronie WWW pojawia się stosowny komunikat.
Wykaz skrótów | str. 25 Część A Kompendium RODO Rozdział I Zgodność podstawowa | str. 29 1. RODO – unijna „ustawa” o ochronie danych osobowych – Katarzyna Kloc, Maciej Gawroński | str. 29 1.1. RODO – nowa „ustawa” o ochronie danych osobowych | str. 29 1.2. Przedmiot i cel RODO | str. 30 1.2.1. Uwagi wstępne | str. 30 1.2.2. Ochrona osób fizycznych | str. 31 1.2.3. Bezpośredniość | str. 31 1.2.4. Konsekwencje dla polskich przedsiębiorców | str. 32 1.3. Prywatność, prawa, bezpieczeństwo – filary RODO | str. 32 1.4. Wymagania RODO | str. 34 1.4.1. Ogólnikowość | str. 34 1.4.2. Mierzalność | str. 35 1.4.3. Bezpośredniość | str. 36 1.4.4. Surowość | str. 36 1.4.5. Domniemanie winy | str. 37 1.5. Podział funkcjonalny RODO | str. 38 2. Przedmiotowy i terytorialny zakres stosowania RODO – Katarzyna Kloc, Maciej Gawroński | str. 42 2.1. Zakres stosowania RODO | str. 42 2.1.1. Zakres przedmiotowy | str. 42 2.1.2. Wyłączenia stosowania RODO | str. 43 2.1.3. Zakres terytorialny | str. 44 3. Rodosłowniczek, czyli omówienie podstawowych pojęć RODO wraz z przykładami – Patrycja Naklicka, Aleksandra Gawron | str. 47 3.1. Uwagi wstępne | str. 47 3.2. Administrator | str. 47 3.3. Analiza ryzyka | str. 48 3.4. Anonimizacja | str. 49 3.5. Czynności przetwarzania danych | str. 49 3.6. Dane osobowe | str. 50 3.7. Eksport danych | str. 52 3.8. GIODO i PUODO | str. 53 3.9. Grupa Robocza Art. 29 i Europejska Rada Ochrony Danych | str. 53 3.10. Inspektor ochrony danych | str. 54 3.11. Naruszenie ochrony danych osobowych | str. 54 3.12. Ocena skutków dla ochrony danych | str. 55 3.13. Odbiorca | str. 55 3.14. Ograniczenie przetwarzania | str. 56 3.15. Osoba, której dane dotyczą | str. 57 3.16. Personel | str. 57 3.17. Podmiot przetwarzający | str. 57 3.18. Przetwarzanie | str. 58 3.19. Pseudonimizacja | str. 61 3.20. Rejestr czynności przetwarzania danych | str. 61 3.21. Ryzyko | str. 62 3.22. Ustawa o ochronie danych osobowych | str. 63 4. Zasady przetwarzania danych osobowych – Marcin Dominiak, Maciej Gawroński | str. 64 4.1. Wprowadzenie | str. 64 4.1.1. Zasady materialne | str. 65 4.1.2. Zasada formalna – rozliczalność | str. 65 4.1.3. Bliżej o zasadach ochrony danych | str. 66 4.2. Zasada legalności, rzetelności i przejrzystości przetwarzania (zgodności z prawem) | str. 66 4.2.1. Legalność | str. 66 4.2.2. Rzetelność | str. 67 4.2.3. Przejrzystość | str. 67 4.3. Zasada celowości | str. 68 4.4. Zasada minimalizacji danych (adekwatności, proporcjonalności) | str. 70 4.5. Zasada prawidłowości (poprawności) | str. 72 4.6. Zasada ograniczenia czasowego (czasowości) | str. 73 4.7. Zasada bezpieczeństwa (integralności i poufności danych) | str. 76 4.7.1. Poufność | str. 77 4.7.2. Integralność | str. 77 4.7.3. Dostępność | str. 77 4.7.4. Odpowiedniość | str. 78 4.8. Zasada rozliczalności | str. 80 5. Podstawy prawne przetwarzania danych osobowych – Maciej Gawroński, Michał Sztąberek | str. 80 5.1. Wstęp | str. 80 5.2. Dane osobowe „zwykłe” – art. 6–8 RODO | str. 81 5.2.1. Zgoda na przetwarzanie danych osobowych | str. 83 5.2.1.1. Dobrowolność zgody | str. 83 5.2.1.2. Konkretność zgody | str. 84 5.2.1.3. Świadomość zgody | str. 85 5.2.1.4. Jednoznaczność zgody | str. 85 5.2.1.5. Forma zgody | str. 85 5.2.1.6. Zgoda dziecka na usługi społeczeństwa informacyjnego (np. media społecznościowe) | str. 87 5.2.2. Zawarcie i wykonywanie umowy | str. 89 5.2.2.1. Działania przed zawarciem umowy | str. 90 5.2.2.2. Wykonywanie umowy | str. 90 5.2.2.3. Przetwarzanie danych osoby trzeciej | str. 90 5.2.3. Obowiązek prawny | str. 91 5.2.4. Ochrona żywotnych interesów | str. 93 5.2.5. Zadania realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej | str. 94 5.2.6. Uzasadniony interes administratora danych lub strony trzeciej | str. 96 6. Artykuły 9 i 10 RODO – dane szczególnych kategorii i dane „karne” – Maciej Gawroński, Michał Sztąberek | str. 99 6.1. Przesłanka zgody | str. 101 6.2. Przetwarzanie wynikające ze stosunku pracy jest dozwolone prawem | str. 102 6.3. Ochrona żywotnych interesów | str. 102 6.4. Stowarzyszanie się | str. 103 6.5. Dane upublicznione | str. 103 6.6. Sprawy sądowe | str. 103 6.7. Na podstawie prawa dla ważnego interesu publicznego | str. 103 6.8. Dane „karne” | str. 105 7. Zgoda jako podstawa przetwarzania danych – Maciej Gawroński | str. 105 7.1. Wstęp | str. 105 7.2. Podstawa prawna | str. 106 7.3. Zgoda dziecka | str. 106 7.4. Warunki wyrażenia zgody | str. 107 7.5. Rozliczalność | str. 112 7.6. Retencja (okres ważności zgody) | str. 112 7.7. Równołatwość cofnięcia zgody | str. 113 7.8. Wybór podstawy przetwarzania | str. 113 7.9. Ważność „starych” zgód | str. 114 8. Administrator i podmiot przetwarzający – Maciej Gawroński, Katarzyna Kloc, Magdalena Wojtas | str. 114 8.1. Wstęp | str. 114 8.2. Administrator danych osobowych – definicja, cechy, obowiązki | str. 116 8.2.1. Definicja | str. 116 8.2.2. Każdy jest ADO | str. 116 8.2.3. Co przesądza, że dany podmiot jest ADO? | str. 117 8.2.4. Decydowanie o celach i środkach przetwarzania | str. 117 8.2.5. Praktyczny test ADO | str. 118 8.2.6. Rola ADO | str. 118 8.2.7. Obowiązki ADO | str. 119 8.3. Podmiot przetwarzający – definicja, cechy, rola i obowiązki | str. 121 8.3.1. Definicja | str. 121 8.3.2. Rola podmiotu przetwarzającego | str. 121 8.3.3. Wiarygodność i wystarczające gwarancje | str. 122 8.3.4. Umowa z ADO | str. 122 8.3.5. Obowiązki wynikające z umowy z ADO | str. 123 8.3.6. Obowiązki wynikające z RODO | str. 125 8.4. Porównanie roli i obowiązków ADO i podmiotu przetwarzającego | str. 126 9. Przetwarzanie danych niewymagające identyfikacji – Maciej Gawroński | str. 127 9.1. Wprowadzenie | str. 127 9.2. Brak obowiązku identyfikacji | str. 129 9.3. Brak obowiązku monitorowania | str. 130 9.4. Obowiązki informacyjne | str. 131 9.4.1. Obowiązek poinformowania osób „niezidentyfikowanych” o niemożności zidentyfikowania – jeśli to możliwe | str. 132 9.4.2. Umożliwienie wykonania praw jednostki | str. 134 9.4.3. Bezpieczeństwo | str. 134 9.4.4. Minimalizacja (dostępu i czasu) | str. 135 10. Rejestrowanie czynności przetwarzania danych – Katarzyna Kloc | str. 136 10.1. Własny rejestr zamiast zgłaszania do GIODO | str. 136 10.2. RCPD – podstawa rozliczalności | str. 137 10.3. Czynność przetwarzania danych | str. 137 10.4. Czynności realizowane w tym samym celu | str. 138 10.5. Czynności klasyfikowane w inny sposób | str. 140 10.6. RCPD dla „małych” i „dużych” – różnice | str. 141 10.6.1. Czy każdy musi prowadzić RCPD? | str. 142 10.6.2. Zatrudnienie 250 osób | str. 142 10.6.3. Przetwarzanie wysokiego ryzyka | str. 143 10.7. Zakres informacji w RCPD – administratorzy danych | str. 144 10.8. Zakres informacji w RCPD – podmioty przetwarzające dane | str. 146 10.9. Forma RCPD | str. 147 10.10. Osoba odpowiedzialna za prowadzenie RCPD | str. 148 11. Przekazywanie danych do państwa trzeciego lub organizacji międzynarodowej (eksport danych) – Maciej Gawroński | str. 148 11.1. Reglamentacja eksportu danych | str. 148 11.2. Praktyczne utrudnienie eksportu danych | str. 149 11.3. Legalność eksportu danych | str. 150 11.4. Podstawy eksportu danych | str. 150 11.5. Dodatkowe podstawy przekazania | str. 151 11.6. Przekazanie „naprawdę wyjątkowe” | str. 152 11.7. Zarejestrowanie przekazania wyjątkowego | str. 153 11.8. Zakaz sądowej samopomocy – ucinanie „długiej ręki” | str. 153 11.9. Podsumowanie | str. 153 12. Przetwarzanie transgraniczne, czyli właściwość wiodącego organu nadzorczego (art. 4 pkt 16 i 23, art. 56 RODO) – Maciej Gawroński | str. 154 12.1. Wstęp | str. 154 12.2. One -stop -shop | str. 155 12.3. Przetwarzający | str. 156 12.4. Administratorzy | str. 156 12.4.1. Przetwarzanie lokalne | str. 157 12.4.2. Zasięg lokalny | str. 158 12.5. Prawo holdingowe | str. 158 12.6. Wytyczne Grupy Roboczej Art. 29 | str. 158 12.7. Wnioski | str. 159 13. Współadministrowanie danymi osobowymi – Maciej Gawroński | str. 159 13.1. Wstęp | str. 159 13.2. Przykłady współadministrowania danymi | str. 160 13.3. Współadministrowania lepiej unikać | str. 161 13.4. Obowiązki współadministratorów | str. 162 13.5. Umowa o współadministrowanie | str. 162 13.6. Treść umowy, analogia do powierzenia | str. 162 13.7. Ujawnienie podmiotom danych | str. 163 13.8. Transgraniczne współadministrowanie | str. 163 13.9. Wnioski | str. 164 14. Kodeksy postępowania i certyfikacja (art. 40 i n. RODO) – Paweł Punda, Aleksander P. Czarnowski, Maciej Gawroński | str. 164 14.1. Wstęp | str. 164 14.2. Kodeksy | str. 165 14.2.1. Opracowanie | str. 165 14.2.2. Zatwierdzanie | str. 165 14.3. Certyfikacja | str. 166 14.3.1. Schematy certyfikacyjne | str. 166 14.3.2. Prace legislacyjne | str. 166 14.4. Korzyści | str. 167 14.5. Brak Urzędu | str. 168 14.6. Projekty kodeksów | str. 169 14.7. Certyfikacja prywatna | str. 169 Rozdział II Prawa jednostki | str. 170 1. Obsługa praw jednostki (art. 12 RODO) – Maciej Gawroński, Michał Kibil | str. 170 1.1. Wstęp | str. 170 1.2. Czytelność komunikowania się | str. 171 1.2.1. Czytelnie i zwięźle | str. 171 1.2.2. Kompletność | str. 171 1.2.3. Niecytowanie przepisów | str. 172 1.2.4. Dzieci | str. 172 1.2.5. Test Kowalskiego | str. 172 1.3. Uwierzytelnienie | str. 173 1.3.1. Potwierdzenie tożsamości | str. 173 1.3.2. Pogłębione uwierzytelnienie | str. 174 1.4. Forma komunikacji | str. 174 1.5. Ułatwianie | str. 175 1.6. Obsługa danych niezidentyfikowanych | str. 175 1.7. Czas reakcji i czas obsługi | str. 176 1.8. Nieuzasadnione lub nadmierne żądania | str. 177 1.8.1. Nieuzasadnione żądanie | str. 179 1.8.2. Nadmierne żądanie | str. 179 1.9. Schemat działania administratora | str. 180 2. Prawo do informacji i obowiązek informacyjny (art. 13 i 14 RODO) Maciej Gawroński | str. 180 2.1. Uwagi wstępne | str. 180 2.2. Zakres informacji | str. 181 2.2.1. Pozyskiwanie od osoby | str. 181 2.2.2. Pozyskiwanie nie od osoby | str. 183 2.2.3. Zmiana celu | str. 183 2.2.4. Prawo dostępu | str. 183 2.3. Szczegóły informacji | str. 183 2.3.1. Podstawa prawna | str. 183 2.3.2. Kategorie odbiorców i odbiorcy | str. 184 2.3.3. Eksport danych | str. 185 2.3.4. Profilowanie | str. 185 2.4. Kiedy i jak informować | str. 185 2.4.1. Kiedy informować? | str. 186 2.4.1.1. Podczas pozyskiwania od osoby | str. 186 2.4.1.2. W ciągu miesiąca – z innych źródeł | str. 186 2.4.1.3. Aktualizacja informacji | str. 186 2.4.1.4. Informowanie osób niezidentyfikowanych (art. 11 ust. 2 RODO) | str. 187 2.4.2. Jak informować? | str. 187 2.4.2.1. Przejrzystość | str. 187 2.4.2.2. Dostępność | str. 188 2.4.2.3. Konkretność | str. 189 2.5. Wyjątki od obowiązku informowania | str. 189 3. Prawo dostępu do danych (art. 15 RODO) – Maciej Gawroński, Michał Sztąberek | str. 190 3.1. Wstęp | str. 190 3.2. Terminy | str. 191 3.3. Informacje | str. 191 3.4. Dostęp | str. 192 3.5. Kopia danych | str. 192 3.6. Prośba o sprecyzowanie | str. 193 3.7. Odmowa | str. 193 3.8. Prawa innych | str. 193 3.9. Uwierzytelnienie i komunikacja | str. 195 3.10. Regulaminy i procedury | str. 195 3.11. Mapowanie danych, narzędzia eksploracji danych (data mining), narzędzia do tzw. ticketowania | str. 196 3.12. Podsumowanie | str. 196 4. Prawo do sprostowania danych (art. 16 RODO) – Maciej Gawroński, Michał Sztąberek | str. 196 4.1. Wstęp | str. 196 4.2. Zagadnienia ogólne – tryb uwierzytelnienia i komunikacji | str. 197 4.2.1. Element sporu | str. 197 4.2.2. Prawo do skargi | str. 198 4.2.3. Styl | str. 198 4.2.4. Wykazanie nieprawidłowości danych | str. 198 4.2.5. Dane nieaktualne czy nieprawidłowe | str. 199 4.2.6. Zakres korekty danych | str. 199 4.3. Uzupełnienie danych niekompletnych | str. 200 4.3.1. Adekwatność danych | str. 200 4.3.2. Podstawa aktualizacji | str. 200 4.4. Obowiązek powiadomienia | str. 201 5. Prawo do usunięcia danych, prawo do bycia zapomnianym (art. 17 RODO) – Maciej Gawroński, Katarzyna Kunda | str. 202 5.1. Historia prawa do bycia zapomnianym | str. 202 5.2. Składniki prawa do bycia zapomnianym | str. 203 5.3. Podstawy żądania usunięcia danych | str. 204 5.3.1. Zbędność do celów przetwarzania | str. 204 5.3.2. Cofnięcie zgody | str. 205 5.3.3. Wniesienie sprzeciwu | str. 205 5.3.4. Przetwarzanie niezgodne z prawem | str. 206 5.3.5. Prawny obowiązek usunięcia danych | str. 207 5.3.6. Oferowanie usług społeczeństwa informacyjnego dzieciom | str. 207 5.4. Wyjątki | str. 207 5.4.1. Korzystanie z praw do wolności wypowiedzi i informacji | str. 208 5.4.2. Wywiązanie się z obowiązku prawnego lub zadania realizowanych w interesie publicznym albo w ramach wykonywania władzy publicznej | str. 208 5.4.3. Interes publiczny w ochronie zdrowia publicznego | str. 209 5.4.4. Cele archiwalne, badania naukowe, historyczne, cele statystyczne | str. 210 5.4.5. Ustalenie, dochodzenie, obrona roszczeń | str. 210 5.5. Zakres usunięcia danych | str. 211 5.6. Przetwarzanie w celu realizacji prawa do usunięciadanych i prawa do bycia zapomnianym | str. 212 5.7. Przetwarzanie w celu zapewnienia bezpieczeństwa – problem kopii zapasowych i archiwalnych | str. 213 5.7.1. Jak wszyscy, to wszyscy | str. 213 5.7.2. Problem bezpieczeństwa i ciągłości działania | str. 214 5.7.3. Problem rozliczalności | str. 214 5.7.4. Problem praktyczny – zasoby i proces | str. 214 5.7.5. Rozwiązanie | str. 215 5.8. Problem danych nieustrukturyzowanych | str. 216 5.9. Poinformowanie innych administratorów | str. 218 5.10. Ograniczenie obowiązku poinformowania | str. 218 5.11. Listy kontrolne | str. 219 5.11.1. Przygotowanie do RODO – wprowadzenie prawa do bycia zapomnianym do organizacji | str. 219 5.11.2. Przetworzenie żądania usunięcia danych | str. 219 6. Prawo do ograniczenia przetwarzania (art. 18 RODO) – Michał Sztąberek, Maciej Gawroński | str. 220 6.1. Ograniczenie przetwarzania | str. 220 6.2. Prawo do ograniczenia przetwarzania | str. 221 6.2.1. Ograniczenie w razie sporu co do prawidłowości danych | str. 222 6.2.2. Ograniczenie w razie niezgodności z prawem | str. 222 6.2.3. Ograniczenie dla potrzeb roszczeń | str. 223 6.2.4. Ograniczenie w razie sprzeciwu ze względu na szczególną sytuację | str. 223 6.3. Sposób zastosowania się do żądania ograniczenia przetwarzania | str. 223 6.4. Obowiązek powiadomienia | str. 224 7. Prawo do przenoszenia danych, czyli jak przenieść dane od jednego administratora danych do drugiego (art. 20 RODO) – Aleksander P. Czarnowski, Maciej Gawroński, Paweł Punda | str. 225 7.1. Wstęp | str. 225 7.2. Na czym dokładnie polega prawo przenoszenia danych? | str. 226 7.3. Kiedy można skorzystać z prawa do przenoszenia danych? | str. 226 7.4. Jaki zakres danych należy przekazać? | str. 227 7.5. W jaki sposób należy zrealizować prawo do przeniesienia danych? | str. 229 7.5.1. Wyjątki | str. 231 7.5.2. Prawa osób trzecich | str. 231 7.5.3. Przenoszenie danych, które są równocześnie danymi wnioskodawcy i danymi innej osoby | str. 232 7.6. Kogo przenoszenie danych dotyczy najbardziej? | str. 234 7.6.1. Bezpieczeństwo | str. 234 7.6.2. Kwestia techniczna | str. 234 8. Prawo do sprzeciwu (art. 21 RODO) – Maciej Gawroński, Michał Sztąberek | str. 235 8.1. Prawo do sprzeciwu | str. 235 8.2. Sprzeciw ze względu na szczególną sytuację osoby | str. 236 8.2.1. Prawnie uzasadnione interesy | str. 238 8.2.2. Roszczenia i spory | str. 239 8.2.3. Interes publiczny lub władza publiczna | str. 239 8.3. Przetwarzanie danych na potrzeby marketingu bezpośredniego | str. 241 8.3.1. Sprzeciw względem marketingu bezpośredniego a cofnięcie zgody na przetwarzanie | str. 241 8.3.2. Sprzeciw względem marketingu bezpośredniego a zgoda na zdalną komunikację marketingową | str. 242 8.4. Skuteczne wniesienie sprzeciwu na przetwarzanie danych | str. 242 8.5. Jak powinien być składany sprzeciw | str. 243 9. Profilowanie i automatyczne podejmowanie decyzji (art. 22 RODO) – Michał Kibil | str. 244 9.1. Wstęp | str. 244 9.2. Definicja profilowania z RODO | str. 248 9.2.1. Automatyzacja | str. 249 9.2.2. Dane osobowe | str. 249 9.2.3. Efekt | str. 250 9.2.4. Czynności traktowane jako profilowanie | str. 250 9.3. Obowiązki administratora danych osobowych związane z profilowaniem lub automatycznym podejmowaniem decyzji, lub podejmowaniem decyzji w oparciu o profilowanie | str. 251 9.3.1. Obowiązki ogólne administratora | str. 252 9.3.1.1. Informowanie o decydowaniu automatycznym i w oparciu o profilowanie | str. 252 9.3.1.2. Ile razy informować | str. 253 9.3.1.3. Zmiana celu | str. 253 9.3.1.4. Profilowanie danych ze „starej” ustawy o ochronie danych osobowych | str. 253 9.3.2. Prawo sprzeciwu | str. 254 9.4. Profilowanie a podejmowanie zautomatyzowanych decyzji | str. 254 9.4.1. Środki bezpieczeństwa | str. 256 9.4.2. Kiedy można stosować decyzje zautomatyzowane lub oparte wyłącznie na profilowaniu | str. 257 9.4.2.1. Prawo do ludzkiej interwencji | str. 260 9.4.2.2. Proces reklamacyjny | str. 260 9.4.2.3. Automatyczne uwierzytelnienie | str. 260 9.4.3. Profilowanie dzieci | str. 261 9.4.4. Zautomatyzowane decyzje dotyczące danych wrażliwych | str. 262 9.4.5. Wnioski | str. 262 Rozdział III Bezpieczeństwo | str. 263 1. Bezpieczeństwo danych w świetle RODO – analiza ryzyka i adekwatność środków – Aleksander P. Czarnowski, Maciej Gawroński | str. 263 1.1. Bezpieczeństwo odpowiednie do ryzyka | str. 263 1.1.1. Ryzyko | str. 264 1.1.2. Ryzyko naruszenia praw lub wolności | str. 265 1.1.3. Analiza ryzyka | str. 266 1.2. Elementy oceny adekwatności środków bezpieczeństwa danych | str. 268 1.2.1. Stan wiedzy technicznej | str. 268 1.2.2. Koszt | str. 268 1.2.3. Cechy samego przetwarzania | str. 269 1.2.4. Ryzyko naruszenia praw lub wolności | str. 269 1.3. Nie trzeba wymyślać procesu samemu? | str. 276 1.4. Środki bezpieczeństwa | str. 277 1.5. Jak z tego wybrnąć na skróty? | str. 280 2. Pseudonimizacja i szyfrowanie – preferowane środki zabezpieczania danych osobowych – Aleksander P. Czarnowski, Maciej Gawroński, Paweł Punda | str. 280 2.1. Uwagi wstępne | str. 280 2.2. Szyfrowanie | str. 281 2.3. Pseudonimizacja | str. 282 2.4. Anonimizacja | str. 283 2.5. Pseudonimizacja czy szyfrowanie | str. 283 2.5.1. Bezpieczeństwo | str. 284 2.5.2. Analiza ryzyka | str. 284 2.5.2.1. Ocena skutków dla ochrony danych | str. 287 2.5.2.2. Metodyka analizy ryzyka | str. 287 2.6. Privacy by design | str. 290 2.7. Notyfikacja naruszeń ochrony danych | str. 290 2.8. Zastosowania biznesowe pseudonimizacji | str. 290 2.9. Podsumowanie | str. 291 3. Privacy by design, czyli projektowanie prywatności – Maciej Gawroński, Katarzyna Kunda | str. 292 3.1. Privacy by design | str. 292 3.1.1. Z czego się składa projektowanie prywatności | str. 294 3.1.1.1. Bezpieczeństwo | str. 294 3.1.1.2. Pseudonimizacja | str. 295 3.1.1.3. Minimalizacja | str. 296 3.1.2. Jak wdrożyć privacy by design w organizacji? | str. 296 3.1.2.1. Projektowanie prywatności w konkretnym projekcie | str. 296 3.1.2.2. Zasady projektowania prywatności | str. 296 3.1.2.3. Od kiedy projektować prywatność | str. 297 3.2. Certyfikacja projektowania prywatności i domyślnej prywatności | str. 298 4. Privacy by default, czyli domyślna ochrona danych – minimalizacja – Maciej Gawroński, Katarzyna Kunda | str. 298 4.1. Zasada privacy by default | str. 298 4.2. Privacy by default, czyli minimalizacja | str. 299 4.3. Atrybuty domyślnej prywatności | str. 300 4.4. Wskazówki praktyczne | str. 300 4.5. Udostępnianie nieokreślonej liczbie osób | str. 301 4.6. Certyfikacja projektowania prywatności i domyślnej prywatności | str. 302 5. Ocena skutków dla ochrony danych krok po kroku – Katarzyna Kloc | str. 302 5.1. Uwagi wstępne | str. 302 5.2. „Kwalifikowana” analiza ryzyka i rozliczalność | str. 303 5.3. Podobne procesy, jedna DPIA | str. 305 5.4. Analiza ryzyka do kwadratu | str. 305 5.4.1. Analiza ryzyka | str. 306 5.4.2. Jak w praktyce można przeprowadzić analizę ryzyka pierwszego stopnia i mieć wstępny przegląd operacji wymagających DPIA? | str. 307 5.5. DPIA – kiedy trzeba? | str. 307 5.5.1. Duża skala | str. 308 5.5.2. Wytyczne Grupy Roboczej Art. 29 | str. 310 5.6. Jak określić, czy w naszej firmie należy przeprowadzić DPIA i w odniesieniu do których procesów? | str. 313 5.6.1. Urzędowy katalog operacji DPIA | str. 314 5.7. Kiedy nie trzeba przeprowadzać DPIA? | str. 315 5.8. DPIA krok po kroku | str. 316 5.8.1. Uwagi ogólne | str. 316 5.8.2. IOD | str. 318 5.8.3. Eksperci | str. 318 5.8.4. Reprezentanci grup docelowych | str. 319 5.8.5. Uprzednie konsultacje z organem nadzorczym | str. 319 5.9. Wytyczne GIODO | str. 320 Rozdział IV Przetwarzający dane | str. 321 1. Powierzenie danych oraz elementy nowej umowy powierzenia danych – Aleksander P. Czarnowski, Maciej Gawroński, Patrycja Naklicka | str. 321 1.1. Uwagi wstępne | str. 321 1.2. Opis gwarancji zgodności | str. 321 1.3. Pisemna umowa | str. 322 1.4. Zgoda na podpowierzenie danych | str. 322 1.5. Transfer obowiązków na podprzetwarzającego | str. 323 1.6. Zakaz „wydmuszki” | str. 323 1.7. Przedmiot przetwarzania | str. 324 1.8. Pisemność poleceń ADO | str. 324 1.9. Zobowiązania do poufności | str. 324 1.10. Bezpieczeństwo danych | str. 325 1.11. Obsługa praw jednostki | str. 325 1.12. Wsparcie obowiązków bezpieczeństwa administratora | str. 326 1.13. Notyfikacja podejrzenia naruszenia ochrony danych | str. 326 1.14. Usuwanie i zwrot danych | str. 327 1.15. Obowiązek rozliczenia się ze zgodności z umową | str. 327 1.16. Podleganie audytom | str. 328 1.17. Odpłatność | str. 328 1.18. Informowanie o legalności poleceń | str. 328 1.19. Procedura rozstrzygania legalności | str. 328 1.20. Zasady odpowiedzialności | str. 329 1.21. Wyznaczanie inspektora ochrony danych | str. 329 2. Powierzenie danych oraz elementy nowej umowy powierzenia danych – Aleksander P. Czarnowski, Maciej Gawroński, Patrycja Naklicka | str. 329 2.1. Umowy powierzenia a umowy SLA | str. 329 2.1.1. Dostępność systemu SLA i czas reakcji | str. 330 2.1.2. SLA w praktyce | str. 330 2.1.3. Standaryzacja umów SLA a zgodność z RODO | str. 331 2.2. Nowe wyzwania dla administratora i procesora | str. 331 2.3. Rekomendacje | str. 332 Rozdział V Zarządzanie incydentami | str. 333 1. Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu (art. 33 RODO) – Maciej Gawroński, Zuzanna Piotrowska | str. 333 1.1. Przepis | str. 333 1.2. Co to jest naruszenie ochrony danych osobowych? | str. 334 1.2.1. Naruszenie ochrony danych wg Grupy Roboczej Art. 29 | str. 336 1.2.1.1. Naruszenie poufności | str. 336 1.2.1.2. Naruszenie dostępności | str. 337 1.2.1.3. Naruszenie integralności | str. 337 1.3. Czy każde naruszenie trzeba zgłaszać? | str. 337 1.3.1. Procedura zgłaszania | str. 338 1.3.1.1. Termin dla administratora | str. 338 1.3.1.2. Termin dla przetwarzającego | str. 338 1.3.2. Stwierdzenie naruszenia | str. 339 1.3.3. Zgłoszenie – treść i forma | str. 341 1.3.4. Powiadamianie z opóźnieniem | str. 342 1.3.5. Obowiązki podmiotu przetwarzającego | str. 343 1.4. Kiedy mimo wystąpienia incydentu naruszenia ochrony danych nie trzeba powiadamiać organu nadzorczego? | str. 343 1.4.1. Kwestie praktyczne | str. 345 1.4.2. Dokumentowanie naruszeń | str. 346 1.4.3. Sankcja administracyjna | str. 347 1.5. Elementy systemu zgłaszania naruszeń | str. 347 2. Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych (art. 34 RODO) – Katarzyna Kloc, Maciej Gawroński | str. 348 2.1. Wstęp | str. 348 2.2. Wysokie ryzyko naruszenia praw lub wolności | str. 348 2.2.1. Prawa i wolności | str. 349 2.3. Wyjątki od obowiązku zawiadomienia | str. 350 2.3.1. Działania prewencyjne | str. 351 2.3.2. Działania następcze | str. 351 2.4. Zawiadomienie | str. 351 2.4.1. Treść zawiadomienia | str. 351 2.4.2. Forma zawiadomienia | str. 352 2.4.3. Ogłoszenie w miejscu zawiadomienia | str. 353 2.4.4. Termin zawiadomienia | str. 353 2.5. Uzgodnienia z organem nadzorczym | str. 354 Rozdział VI Inspektor ochrony danych (IOD) | str. 355 1. Inspektor ochrony danych – wyznaczenie i status – Michał Kibil, Maciej Gawroński | str. 355 1.1. IOD – ewolucja czy rewolucja | str. 355 1.2. Kto ma obowiązek wyznaczenia inspektora ochrony danych? | str. 356 1.2.1. Organ lub podmiot publiczny | str. 357 1.2.2. Działalność wymagająca systematycznego i regularnego monitorowania oraz przetwarzanie na dużą skalę | str. 358 1.2.2.1. Główna działalność | str. 358 1.2.2.2. Monitorowanie osób | str. 358 1.3. Działanie w ramach zrzeszeń i grup przedsiębiorców | str. 362 1.4. Kwalifikacje IOD | str. 363 1.5. Zatrudnienie IOD | str. 364 1.6. Status inspektora danych | str. 365 1.6.1. Obowiązki administratora względem IOD | str. 365 1.6.2. Niezależność IOD | str. 367 2. Zadania inspektora ochrony danych osobowych – Michał Kibil, Maciej Gawroński | str. 368 2.1. Wstęp | str. 368 2.2. Informacje poufne oraz unikanie konfliktu interesów | str. 368 2.3. Zadania inspektora ochrony danych | str. 370 Rozdział VII Regulator | str. 372 1. Organ nadzorczy – status, rola i obowiązki – Katarzyna Kunda, Patrycja Naklicka, Zuzanna Piotrowska | str. 372 1.1. Niezależność | str. 372 1.2. Cechy i gwarancje niezależności | str. 373 1.3. Członkowie organu nadzorczego | str. 374 1.3.1. Wybór | str. 374 1.3.2. Okres kadencji – konflikt interesów | str. 375 1.4. Rola organu nadzorczego | str. 375 1.4.1. Kompetencje z art. 57 RODO | str. 375 1.5. Bezpłatność | str. 376 2. Uprawnienia organu nadzorczego z zakresu ochrony danych osobowych – Katarzyna Kunda, Patrycja Naklicka, Zuzanna Piotrowska | str. 377 2.1. Wstęp | str. 377 2.2. Uprawnienia kontrolne | str. 377 2.2.1. Rodzaje i techniki kontroli | str. 378 2.2.2. Przebieg kontroli | str. 378 2.2.3. Zakres kontroli | str. 379 2.2.4. Uprawnienia pokontrolne | str. 380 2.2.5. Obowiązek zachowania tajemnicy | str. 380 2.3. Kary przewidziane przez RODO | str. 380 2.4. Udzielanie zezwoleń i kompetencje doradcze | str. 381 2.5. Obowiązek rozpatrywania skarg przez PUODO | str. 381 Rozdział VIII Środki ochrony prawnej, odpowiedzialność i sankcje | str. 382 1. Środki ochrony prawnej – odpowiedzialność cywilnoprawna i administracyjna – Maciej Gawroński | str. 382 1.1. Wstęp | str. 382 1.2. Skarga do organu nadzorczego | str. 383 1.3. Skarga do sądu (administracyjnego) na organ nadzorczy | str. 384 1.4. Odpowiedzialność cywilnoprawna – żądanie zaniechania lub zachowania | str. 385 1.4.1. Prawo do sądu | str. 385 1.4.2. Właściwość miejscowa sądu | str. 386 1.4.3. Tryb procesowy | str. 386 1.5. Odpowiedzialność odszkodowawcza | str. 387 1.5.1. Szkoda majątkowa i niemajątkowa | str. 387 1.5.2. Administrator i przetwarzający | str. 387 1.5.3. Uwolnienie się od odpowiedzialności | str. 388 1.5.4. Domniemanie winy | str. 389 1.5.5. Współodpowiedzialność | str. 389 1.5.6. Właściwość sądu | str. 390 1.5.7. Proces cywilny | str. 390 1.6. Reprezentacja podmiotów danych przez wyspecjalizowane podmioty | str. 390 2. Sankcje administracyjne za naruszenie przepisów RODO – Maciej Gawroński | str. 391 2.1. Wstęp | str. 391 2.2. Komu grożą kary? | str. 391 2.3. Jakie powinny być kary? | str. 391 2.4. Kara większa i kara mniejsza | str. 391 2.5. Księgowość karania | str. 392 2.6. Konfiskata korzyści z „rodoprzestępstwa” | str. 394 3. Odpowiedzialność podmiotu przetwarzającego – Maciej Gawroński | str. 394 Część B Wzory dokumentów Wzór nr 1a. Klauzula zgody na przetwarzanie danych osobowych zwykłych | str. 399 Wzór nr 1b. Klauzula zgody na przetwarzanie danych osobowych „szczególnych kategorii” | str. 400 Wzór nr 2. Klauzula informacyjna o prawie do cofnięcia zgody | str. 402 Wzór nr 3. Klauzula informacyjna o przetwarzaniu danych | str. 403 Wzór nr 4. Klauzula informacyjna w przypadku współadministrowania danymi | str. 411 Wzór nr 5. Klauzula o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu – element klauzuli informacyjnej | str. 413 Wzór nr 6. Umowa powierzenia przetwarzania danych osobowych | str. 415 Wzór nr 7. Szczegółowa klauzula zgody na podpowierzenie | str. 426 Wzór nr 8. Sprzeciw administratora danych osobowych wobec podpowierzenia | str. 427 Wzór nr 9. Upoważnienie do przetwarzania danych osobowych | str. 428 Wzór nr 10. Klauzula informacyjna dla osoby, której dane dotyczą, o przekazaniu jej danych do państwa trzeciego | str. 430 Wzór nr 11. Polityka ochrony danych osobowych | str. 433 Wzory rejestrów Wzór Rejestru Czynności Przetwarzania Danych | str. 455 Tożsamość administratora | str. 455 Rejestr przetwarzającego | str. 456 RCPD ADO | str. wklejka Wzór Rejestru Naruszeń Ochrony Danych Osobowych | str. wklejka