Analiza ryzyka w ochronie danych osobowych
Publikacja przedstawia analizę zastosowania konstrukcji prawnej konkretyzacji obowiązków prawnych, opartej na kryterium ryzyka naruszenia praw lub wolności osób fizycznych.
W opracowaniu zostały omówione m.in.:
- przyczyny stosowania norm prawnych opartych na analizie ryzyka,
- sposoby konkretyzacji obowiązków prawnych w prawie powszechnie obowiązującym,
- akt konkretyzacji obowiązku prawnego na podstawie kryterium ryzyka naruszenia praw lub wolności osób fizycznych i jego wykonanie,
- pojęcie „ryzyko” oraz regulacja prawna ,,ryzyka naruszenia praw lub wolności osób fizycznych”,
- metodyka identyfikacji i szacowania ryzyka naruszenia praw lub wolności osób fizycznych,
- postępowanie z ryzykiem naruszenia praw lub wolności osób fizycznych,
- kompetencje Prezesa Urzędu Ochrony Danych Osobowych w zakresie prowadzenia postępowań odnoszących się do ryzyka naruszenia praw lub wolności osób fizycznych, w tym m.in. zasady postępowania przed Prezesem Urzędu Ochrony Danych Osobowych,
- rola sądownictwa administracyjnego w kontekście stosowania modelu regulacji, polegającego na konkretyzacji obowiązków prawnych przez podmioty zobowiązane, za pomocą kryterium ryzyka.
Książka będzie przydatna administratorom, inspektorom ochrony danych, adwokatom i radcom prawnym. Zainteresuje też przedstawicieli nauki.
- Kategorie:
- Język wydania: polski
- ISBN: 978-83-8328-016-5
- ISBN druku: 978-83-8286-718-3
- EAN: 9788383280165
- Liczba stron: 428
-
Sposób dostarczenia produktu elektronicznegoProdukty elektroniczne takie jak Ebooki czy Audiobooki są udostępniane online po opłaceniu zamówienia kartą lub przelewem na stronie Twoje konto > Biblioteka.Pliki można pobrać zazwyczaj w ciągu kilku-kilkunastu minut po uzyskaniu poprawnej autoryzacji płatności, choć w przypadku niektórych publikacji elektronicznych czas oczekiwania może być nieco dłuższy.Sprzedaż terytorialna towarów elektronicznych jest regulowana wyłącznie ograniczeniami terytorialnymi licencji konkretnych produktów.
-
Ważne informacje techniczneMinimalne wymagania sprzętowe:procesor: architektura x86 1GHz lub odpowiedniki w pozostałych architekturachPamięć operacyjna: 512MBMonitor i karta graficzna: zgodny ze standardem XGA, minimalna rozdzielczość 1024x768 16bitDysk twardy: dowolny obsługujący system operacyjny z minimalnie 100MB wolnego miejscaMysz lub inny manipulator + klawiaturaKarta sieciowa/modem: umożliwiająca dostęp do sieci Internet z prędkością 512kb/sMinimalne wymagania oprogramowania:System Operacyjny: System MS Windows 95 i wyżej, Linux z X.ORG, MacOS 9 lub wyżej, najnowsze systemy mobilne: Android, iPhone, SymbianOS, Windows MobilePrzeglądarka internetowa: Internet Explorer 7 lub wyżej, Opera 9 i wyżej, FireFox 2 i wyżej, Chrome 1.0 i wyżej, Safari 5Przeglądarka z obsługą ciasteczek i włączoną obsługą JavaScriptZalecany plugin Flash Player w wersji 10.0 lub wyżej.Informacja o formatach plików:
- PDF - format polecany do czytania na laptopach oraz komputerach stacjonarnych.
- EPUB - format pliku, który umożliwia czytanie książek elektronicznych na urządzeniach z mniejszymi ekranami (np. e-czytnik lub smartfon), dając możliwość dopasowania tekstu do wielkości urządzenia i preferencji użytkownika.
- MOBI - format zapisu firmy Mobipocket, który można pobrać na dowolne urządzenie elektroniczne (np.e-czytnik Kindle) z zainstalowanym programem (np. MobiPocket Reader) pozwalającym czytać pliki MOBI.
- Audiobooki w formacie MP3 - format pliku, przeznaczony do odsłuchu nagrań audio.
Rodzaje zabezpieczeń plików:- Watermark - (znak wodny) to zaszyfrowana informacja o użytkowniku, który zakupił produkt. Dzięki temu łatwo jest zidentyfikować użytkownika, który rozpowszechnił produkt w sposób niezgodny z prawem. Ten rodzaj zabezpieczenia jest zdecydowanie bardziej przyjazny dla użytkownika, ponieważ aby otworzyć książkę zabezpieczoną Watermarkiem nie jest potrzebne konto Adobe ID oraz autoryzacja urządzenia.
- Brak zabezpieczenia - część oferowanych w naszym sklepie plików nie posiada zabezpieczeń. Zazwyczaj tego typu pliki można pobierać ograniczoną ilość razy, określaną przez dostawcę publikacji elektronicznych. W przypadku zbyt dużej ilości pobrań plików na stronie WWW pojawia się stosowny komunikat.
Wykaz skrótów | str. 13 Wprowadzenie | str. 21 Rozdział I Regulowanie obowiązków prawnych w oparciu o kryterium ryzyka | str. 27 Sposoby konkretyzacji obowiązków w prawie | str. 27 Definicja terminu „ryzyko” | str. 30 Zastosowanie konstrukcji konkretyzacji obowiązków prawnych w oparciu o kryterium ryzyka w wybranych aktach prawnych | str. 35 Rozdział II Metody badawcze konkretyzacji obowiązków prawnych ustalanych w oparciu o kryterium ryzyka | str. 54 Wprowadzenie | str. 54 Metoda badań naukowych | str. 55 Zastosowanie normatywnej teorii wykładni | str. 56 Rozdział III Ryzyko naruszenia praw lub wolności osób fizycznych | str. 60 Regulacja prawna ryzyka w RODO | str. 60 Akt konkretyzacji obowiązku prawnego na podstawie kryterium ryzyka naruszenia praw lub wolności osób fizycznych i jego wykonanie | str. 77 Ujęcie podmiotowe i przedmiotowe ryzyka naruszenia praw lub wolności osób fizycznych | str. 83 3.1. Ujęcie podmiotowe | str. 83 3.2. Ujęcie przedmiotowe | str. 86 3.3. Prawa i wolności osób fizycznych, których dotyczy ryzyko | str. 89 3.3.1. Źródła regulacji praw i wolności osób fizycznych – uwagi wstępne | str. 89 3.3.2. Prawa i wolności osób fizycznych określone w RODO | str. 92 3.3.3. Prawa i wolności osób fizycznych określone w Traktatach | str. 98 3.3.4. Prawa i wolności osób fizycznych określone w Karcie Praw Podstawowych Unii Europejskiej | str. 105 3.3.5. Prawa i wolności osób fizycznych określone w EKPCz | str. 111 3.3.6. Prawa i wolności osób fizycznych określone w Konstytucji RP | str. 112 3.4. Skutki prawne naruszenia praw lub wolności osób fizycznych | str. 122 Rozdział IV Metody identyfikacji i szacowania ryzyka naruszenia praw lub wolności osób fizycznych | str. 131 Znaczenie podejścia procesowego dla identyfikacji i zarządzania ryzykiem naruszenia praw lub wolności osób fizycznych, których dane osobowe są przetwarzane | str. 131 Zastosowanie dokumentacji wewnętrznej do identyfikacji ryzyka | str. 135 2.1. Uwagi ogólne | str. 135 2.2. Modele i mapy procesów | str. 136 2.3. Metodyka analizowania ryzyka | str. 139 2.3.1. Wyjaśnienie pojęć metodologii, metodyki i metody oceny ryzyka | str. 139 2.3.2. Wymagania RODO dotyczące metodyki analizowania ryzyka | str. 140 2.4. Przegląd wybranych metodyk wykorzystywanych do analizy ryzyka związanej z przetwarzaniem danych osobowych | str. 143 2.4.1. Metodyka proponowana przez polskiego regulatora – GIODO | str. 143 2.4.2. Metodyki opracowane przez regulatora francuskiego – CNIL | str. 144 2.4.3. Metodyka zaproponowana przez brytyjski organ nadzorczy – ICO | str. 145 2.4.4. Metodyka zaproponowana w Podręczniku Inspektora Ochrony Danych | str. 145 2.4.5. Porównanie metodyk | str. 146 Przegląd wybranych rekomendacji i standardów związanych z podejściem opartym na ryzyku | str. 149 3.1. Rekomendacje ENISA w sprawie oceny skutków naruszenia danych osobowych | str. 149 3.2. Norma ISO 31010 – wybrane metody analizowania ryzyka | str. 150 3.3. Norma ISO 27005. Zarządzanie ryzykiem w bezpieczeństwie informacji | str. 152 3.4. Norma ISO 29134. Wytyczne dotyczące oceny skutków dla prywatności | str. 152 Iteracje, wykorzystanie audytu do zarządzania przetwarzaniem danych osobowych opartego na ryzyku | str. 153 Ustanawianie kontekstu i szacowanie ryzyka naruszenia praw lub wolności osób fizycznych | str. 154 5.1. Uwagi ogólne | str. 154 5.1.1. Analiza prosta w zastosowaniu | str. 154 5.1.2. Analiza obiektywna i pomocna przy wykazywaniu zgodności | str. 156 5.2. Ustanawianie kontekstu przetwarzania | str. 157 5.2.1. Uwagi wprowadzające | str. 157 5.2.2. Cele analizowania ryzyka | str. 159 5.2.3. Kryteria identyfikacji ryzyka naruszenia praw lub wolności osób fizycznych, skala ryzyka | str. 161 5.2.4. Cele przetwarzania danych osobowych i czynności przetwarzania | str. 165 5.2.5. Kategorie danych, osób, których dane dotyczą, ich prawa i wolności | str. 167 5.3. Szacowanie ryzyka | str. 171 5.3.1. Uwagi ogólne | str. 171 5.3.2. Zagrożenia | str. 173 5.3.3. Prawdopodobieństwo materializacji zagrożenia | str. 177 5.3.3.1. Przegląd metodyk dotyczących szacowania prawdopodobieństwa | str. 177 5.3.3.2. Wykorzystanie statystyki do oceny prawdopodobieństwa naruszenia praw i wolności | str. 180 5.3.3.3. Ocena niezawodności człowieka | str. 192 5.3.3.3.1. Uwagi wprowadzające | str. 192 5.3.3.3.2. Metoda TESEO | str. 195 5.3.3.3.3. Metoda HEART (ang. human error assessment and reduction technique) | str. 195 5.3.3.4. Sposób obliczania prawdopodobieństwa .. 196 5.3.4. Następstwa materializacji zagrożenia | str. 216 5.3.5. Wstępne wyliczenie ryzyka | str. 221 Rozdział V Postępowanie z ryzykiem naruszenia praw lub wolności osób fizycznych | str. 224 Uwagi ogólne | str. 224 Analiza i ocena ryzyka | str. 225 2.1. Wprowadzenie | str. 225 2.2. Sposób sprowadzenia wyników do oczekiwanej skali ryzyka (współczynnik korekcji) | str. 226 2.3. Ewaluacja ryzyka | str. 227 2.4. Zarządzanie niepewnością danych | str. 229 Modyfikowanie ryzyka do poziomu zwykłego | str. 234 3.1. Uwagi ogólne | str. 234 3.2. Katalog referencyjny środków i katalog zrealizowanych środków, czyli wyznaczanie poziomu realizacji zabezpieczeń | str. 238 3.3. Ocena poziomu realizacji zabezpieczeń | str. 244 3.4. Ocena adekwatności zastosowanych środków, odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania | str. 245 3.4.1. Uwagi wprowadzające | str. 245 3.4.2. Przykładowe obszary oceny adekwatności zabezpieczeń | str. 247 3.4.2.1. Środki techniczne | str. 247 3.4.2.2. Środki organizacyjne | str. 248 3.4.2.3. Bezpieczeństwo osobowe | str. 250 3.4.2.4. Testowanie, mierzenie i ocenianie skuteczności środków | str. 251 3.5. Podatność jako parametr odwrotnie proporcjonalny do poziomu realizacji zabezpieczeń | str. 253 Określanie ryzyka szczątkowego | str. 258 Dalsze postępowanie z nieakceptowalnym ryzykiem czynności przetwarzania | str. 261 5.1. Obniżanie ryzyka na poziomie poszczególnych operacji – ocena skutków przetwarzania | str. 261 5.2. Unikanie, transferowanie lub dzielenie ryzyka | str. 262 Rejestrowanie, raportowanie i akceptowanie ryzyka naruszenia praw lub wolności osób fizycznych | str. 265 Rozdział VI Nadzór administracyjnoprawny wykonania obowiązków prawnych na podstawie kryterium ryzyka naruszenia praw lub wolności osób fizycznych | str. 270 Wprowadzenie | str. 270 Zdolność prawna Prezesa UODO | str. 271 Kompetencja szczególna Prezesa UODO | str. 279 3.1. Uwagi wstępne | str. 279 3.2. Kompetencja szczególna związana z udzielaniem, odmową i cofaniem certyfikatów | str. 282 3.2.1. Rodzaj kompetencji w ramach postępowania administracyjnego i poza tym postępowaniem | str. 282 3.2.2. Znaczenie analizy ryzyka w postępowaniu w sprawie udzielenia certyfikatu, odmowy udzielenia oraz cofnięcia certyfikatu | str. 293 3.3. Kompetencja szczególna związana z zatwierdzaniem kodeksu postępowania oraz warunków i trybu akredytacji podmiotu monitorującego jego przestrzeganie | str. 296 3.3.1. Rodzaj kompetencji w ramach postępowania administracyjnego i poza tym postępowaniem | str. 296 3.3.2. Znaczenie analizy ryzyka w postępowaniu w sprawie zatwierdzenia kodeksu postępowania oraz warunków i trybu akredytacji podmiotu monitorującego jego przestrzeganie | str. 300 3.4. Kompetencja szczególna związana z prowadzeniem postępowania w sprawie naruszenia przepisów o ochronie danych osobowych | str. 301 3.4.1. Rodzaj kompetencji w ramach postępowania administracyjnego | str. 301 3.4.2. Znaczenie analizy ryzyka w postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych | str. 310 3.5. Kompetencja szczególna związana z nakładaniem administracyjnych kar pieniężnych | str. 311 3.5.1. Zasady nakładania kar pieniężnych | str. 311 3.5.2. Znaczenie analizy ryzyka w postępowaniu w sprawie nakładania administracyjnych kar pieniężnych | str. 320 Zastosowanie zasad ogólnych postępowania administracyjnego w postępowaniu przed Prezesem UODO | str. 320 4.1. Uwagi wstępne | str. 320 4.2. Zastosowanie zasady praworządności działania organu administracji publicznej i dbałości o praworządne działanie stron i uczestników postępowania w postępowaniu przed Prezesem UODO | str. 324 4.3. Zasada prawdy obiektywnej | str. 341 4.4. Zasada pogłębiania zaufania do organu władzy publicznej | str. 359 4.5. Zasada przekonywania | str. 365 Rozstrzyganie sprawy indywidualnej w postępowaniu przed Prezesem UODO | str. 369 Środki odwoławcze od rozstrzygnięć Prezesa UODO | str. 375 Prawomocność i egzekwowalność orzeczeń sądów administracyjnych w sprawach skarg na decyzje i postanowienia Prezesa UODO | str. 378 Zakończenie | str. 383 Bibliografia | str. 407 Wykaz orzecznictwa | str. 415 Spis tabel | str. 423 Spis schematów | str. 425 Autorzy | str. 427