Ochrona danych osobowych. Poradnik praktyczny

Publikacja jest kompleksowym opracowaniem praktycznych aspektów obowiązywania przepisów o ochronie danych osobowych, w tym w szczególności ogólnego rozporządzenia o ochronie danych. Struktura książki została podzielona na zagadnienia ogólne, odpowiadające zasadniczym kwestiom unormowanym w przepisach RODO, oraz zagadnienia szczegółowe, obejmujące wybrane obszary działalności administratora, mające swoje specyficzne regulacje na styku RODO i krajowych aktów prawnych (kodeksu pracy, prawa telekomunikacyjnego, ustawy o świadczeniu usług drogą elektroniczną itp.). Walorem publikacji jest jej praktyczny charakter i odniesienie do najbardziej aktualnych poglądów, wytycznych i tendencji orzeczniczych. Książka uwzględnia zarówno bieżące orzecznictwo sądów administracyjnych i TSUE, jak i aktualną linię orzeczniczą prezentowaną przez Prezesa UODO. Autorzy podjęli się także analizy najnowszych wytycznych i opinii europejskich organów ochrony danych osobowych, takich jak Europejska Rada Ochrony Danych czy Europejski Inspektor Ochrony Danych. Książka przeznaczona jest dla praktyków – adwokatów, radców prawnych i sędziów, jak również inspektorów ochrony danych, koordynatorów ochrony danych osobowych, osób odpowiedzialnych w organizacjach za ochronę danych osobowych. Zainteresuje też pracowników działów HR, m.in. w związku z rekrutacją, zatrudnieniem, przetwarzaniem danych w ramach pracy zdalnej oraz badaniem trzeźwości, a także osoby odpowiedzialne w organizacji lub nadzorujące zagadnienia compliance oraz ochronę danych osobowych, pracowników działów sprzedaży, marketingu i PR.

Spis treści

Słowo wstępne  | str.  17 Wykaz skrótów  | str.  19 CZĘŚĆ OGÓLNA Rozdział I Regulacje prawne ochrony danych osobowych – Dominik Lubasz, Adam Szkurłat  | str.  25 Wprowadzenie | str. 25 Rola rozporządzenia 2016/679 | str. 26 Cele reformy prawa ochrony danych osobowych | str. 28 Zakres zastosowania RODO | str. 29 Relacja RODO do polskich regulacji | str. 30 Rozdział II Podstawowe pojęcia i role w procesie przetwarzania danych osobowych – Anna Maciaszczyk  | str.  34 Wprowadzenie | str. 34 Dane osobowe | str. 34 Dane szczególnych kategorii | str. 40 Przetwarzanie | str. 41 Profilowanie „zwykłe” i profilowanie kwalifikowane | str. 43 Zgoda | str. 47 Administrator | str. 48 Podmiot przetwarzający | str. 50 Rozdział III Zasady przetwarzania danych osobowych – Anna Maciaszczyk  | str.  52 Wprowadzenie | str. 52 Zasada zgodności z prawem i rzetelności | str. 53 Zasada przejrzystości | str. 56 Zasada ograniczenia celu | str. 58 Zasada minimalizacji danych | str. 61 Zasada prawidłowości | str. 63 Zasada ograniczenia przechowywania | str. 64 Zasada integralności i poufności | str. 66 Zasada rozliczalności | str. 70 Rozdział IV Podstawy prawne przetwarzania – Witold Chomiczewski, Dominik Lubasz, Anna Maciaszczyk, Adam Szkurłat  | str.  72 Wprowadzenie | str. 72 Dane osobowe zwykłe | str. 72 Dane szczególnych kategorii | str. 74 Podstawy prawne przetwarzania danych osobowych zwykłych | str. 77 4.1. Zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO)  | str.  77 4.2. Wykonanie umowy lub podjęcie działań przed jej zawarciem (art. 6 ust. 1 lit. b RODO)  | str.  81 4.3. Wypełnienie obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO)  | str.  82 4.4. Ochrona żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit. d RODO)  | str.  84 4.5. Zadania realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej (art. 6 ust. 1 lit. e RODO)  | str.  85 4.6. Prawnie uzasadniony interes realizowany przez administratora lub stronę trzecią (art. 6 ust. 1 lit. f RODO)  | str.  85 Rozdział V Obowiązki informacyjne i sposób komunikacji – Joanna Łuczak-Tarka, Adam Szkurłat  | str.  89 Wprowadzenie | str. 89 Przejrzysta komunikacja | str. 89 Typy obowiązków informacyjnych i ich zakresy | str. 91 Sposób i termin realizacji obowiązku informacyjnego | str. 94 Wyłączenia obowiązku przekazania informacji o przetwarzaniu | str. 99 Rozdział VI Prawa podmiotów danych i ich realizacja – Kinga Majczak-Górecka  | str.  101 Wprowadzenie | str.  101 Prawo dostępu do danych oraz uzyskania informacji o przetwarzaniu (art. 15 RODO) | str.  106 Prawo do sprostowania danych (art. 16 RODO) | str.  111 Prawo do usunięcia danych (art. 17 RODO) | str.  112 Prawo do ograniczenia przetwarzania (art. 18 RODO) | str.  119 Prawo do przenoszenia danych (art. 20 RODO) | str.  122 Prawo do sprzeciwu (art. 21 RODO) | str.  125 Prawo do niepodlegania zautomatyzowanym decyzjom (art. 22 RODO) | str.  129 Prawo do wniesienia skargi do organu nadzorczego | str.  133 Brak realizacji żądania podmiotu danych | str. 135 Obowiązek powiadomienia o sprostowaniu, usunięciu lub ograniczeniu przetwarzania | str. 136 Rozdział VII Analiza ryzyka jako podstawa do realizacji obowiązków administratora – Dominik Lubasz  | str.  138 Wprowadzenie | str. 138 Analiza ryzyka | str. 140 Mapowanie czynności przetwarzania danych osobowych | str. 146 Przykłady rejestrów | str. 146 Obowiązek zapewnienia zgodności | str. 150 Bezpieczeństwo przetwarzania danych osobowych | str. 153 Rozdział VIII Praktyczne i narzędziowe aspekty analizy ryzyka – Wojciech Grenda  | str.  158 Wprowadzenie | str. 158 Etapy analizy | str. 159 Mapowanie zagrożeń | str. 161 Zabezpieczenia | str. 162 Waga danych | str. 163 Skutek | str. 163 Podsumowanie | str. 164 Rozdział IX Data protection by design i data protection by default – Adam Szkurłat  | str.  167 Wprowadzenie | str. 167 Istota data protection by design | str. 167 Idea data protection by default | str. 170 Czynniki determinujące skuteczne wdrożenie data protection by default i data protection by design | str. 171 Certyfikacja na gruncie art. 25 ust. 3 RODO | str. 176 Rozdział X Naruszenie ochrony danych osobowych – Witold Chomiczewski, Kinga Majczak-Górecka, Adam Szkurłat  | str.  177 Wprowadzenie | str. 177 Ocena naruszenia | str. 181 Mechanizm Grupy Roboczej Art. 29 | str. 183 Wzór Bernoulliego | str. 184 Algorytm ENISA | str. 185 Zgłoszenie naruszenia organowi nadzorczemu | str. 188 Elementy zgłoszenia | str. 190 Zawiadamianie o naruszeniu osoby, której dane dotyczą | str. 191 Dokumentowanie naruszeń | str. 199 Rozdział XI Powierzenie przetwarzania danych osobowych – Anna Maciaszczyk  | str.  203 Wprowadzenie | str. 203 Prawa i obowiązki administratora i podmiotu przetwarzającego w ramach powierzenia przetwarzania danych osobowych | str. 206 Wybór podmiotu przetwarzającego | str. 208 Umowa powierzenia przetwarzania danych osobowych | str. 211 4.1. Forma umowy  | str.  211 4.2. Treść umowy  | str.  212 4.3. Standardowe klauzule umowne  | str.  215 Podwykonawcy przetwarzania | str. 216 Decyzje Prezesa UODO dotyczące procesu powierzenia przetwarzania danych osobowych | str. 218 Rozdział XII Współadministrowanie – Adam Szkurłat  | str.  220 Wprowadzenie | str. 220 Istota współadministrowania | str. 220 Zakres uzgodnień | str. 223 Rozdział XIII Obowiązki dokumentacyjne – Adam Szkurłat  | str.  225 Wprowadzenie | str. 225 Polityki ochrony danych | str. 227 Rejestry dotyczące przetwarzania | str. 230 Rejestr czynności przetwarzania | str. 230 Rejestr kategorii czynności przetwarzania | str. 232 Rozdział XIV Rejestr czynności przetwarzania – Joanna Łuczak-Tarka  | str.  234 Wprowadzenie | str. 234 Zakres podmiotowy obowiązku prowadzenia rejestru | str. 235 Zakres przedmiotowy rejestru i jego forma | str. 239 Dostęp do rejestru | str. 243 Rozdział XV Dopuszczenie do przetwarzania danych osobowych – Dominik Lubasz, Adam Szkurłat  | str.  247 Wprowadzenie | str. 247 Polecenie administratora | str. 248 Indywidualne upoważnienie | str. 251 Zakres uprawnień i okres ważności | str. 253 Szkolenia personelu | str. 254 Rozdział XVI Ocena skutków dla ochrony danych – Dominik Lubasz, Julia Wawrzyńczak  | str.  255 Wprowadzenie | str. 255 Konsultacje z inspektorem ochrony danych | str. 257 Przesłanki obligatoryjnej oceny skutków dla ochrony danych | str. 257 Wykaz rodzajów operacji podlegających i niepodlegających DPIA | str. 261 Zakres i etapy DPIA | str. 262 Kodeksy postępowań | str. 267 Konsultacje – opinia podmiotów danych | str. 267 Przegląd operacji przetwarzania oraz dokonanej oceny skutków dla ochrony danych | str. 268 Rozdział XVII Inspektor ochrony danych – Adam Szkurłat  | str.  269 Wprowadzenie | str. 269 Obligatoryjne powołanie inspektora ochrony danych | str. 270 Zawiadomienie organu nadzorczego o powołaniu inspektora ochrony danych | str. 273 Status inspektora ochrony danych w organizacji | str. 274 Kwalifikacje i zasoby inspektora ochrony danych | str. 278 Zadania inspektora ochrony danych | str. 280 Konflikt interesów | str. 280 Rozdział XVIII Transfery danych osobowych – Adam Szkurłat, Paulina Wirska  | str.  283 Definicja transferu danych osobowych | str.  283 Regulacje prawne dotyczące zagadnień transferowych | str.  284 Przekazywanie danych na podstawie decyzji Komisji Europejskiej w sprawie odpowiedniego poziomu ochrony danych osobowych | str.  285 Przekazywanie danych z zastrzeżeniem odpowiednich zabezpieczeń | str.  286 Wyjątki w szczególnych sytuacjach | str.  288 Transfer zwrotny | str.  289 Dalszy transfer | str.  290 Transfer danych osobowych do Wielkiej Brytanii | str.  291 Transfer danych osobowych do Stanów Zjednoczonych | str.  293 Dostęp do danych spoza Europejskiego Obszaru Gospodarczego | str. 296 Stanowiska organów odnoszące się do zagadnień transferowych | str. 297 Rozdział XIX Organ nadzorczy – Adam Szkurłat  | str.  300 Wprowadzenie | str. 300 Procedura powołania organu nadzorczego | str. 302 Kompetencje i uprawnienia organu nadzorczego | str. 304 ZAGADNIENIA SZCZEGÓŁOWE Rozdział XX Przetwarzanie danych osobowych przez pracodawców – Adam Szkurłat  | str.  311 Wprowadzenie | str. 311 Przetwarzanie danych osobowych w procesie rekrutacji | str. 312 Przetwarzanie danych osobowych w związku z zatrudnieniem | str. 314 Monitoring | str. 318 Rozdział XXI Kontrola trzeźwości pracownika a ochrona danych osobowych – Joanna Łuczak-Tarka  | str.  324 Wprowadzenie | str. 324 Cel, podstawa prawna i zakres przetwarzanych danych | str. 326 Retencja danych gromadzonych w wyniku kontroli | str. 329 Prowadzenie działań kontrolnych wobec osób innych niż pracownicy i przetwarzanie danych tych osób | str. 330 Rozdział XXII Praca zdalna z perspektywy ochrony danych osobowych – Joanna Łuczak-Tarka  | str.  332 Wprowadzenie | str. 332 Wprowadzenie pracy zdalnej | str. 334 Procedury ochrony danych osobowych a praca zdalna | str. 337 Kontrola przestrzegania wymogów w zakresie procedur ochrony danych osobowych | str. 343 Rozdział XXIII Przetwarzanie danych osobowych na potrzeby marketingu bezpośredniego – Adam Szkurłat  | str.  347 Wprowadzenie | str. 347 Szczególne regulacje prawa polskiego | str. 349 Regulacja ustawy o świadczeniu usług drogą elektroniczną | str. 350 Regulacja Prawa telekomunikacyjnego | str. 351 Rozdział XXIV Profilowanie i automatyczne podejmowanie decyzji – Witold Chomiczewski  | str.  355 Wprowadzenie | str. 355 Istota przepisu art. 22 RODO | str. 356 Ograniczenia w zakresie zastosowania decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu | str. 357 Dodatkowe środki ochrony | str. 359 Zautomatyzowane przetwarzanie | str. 359 Charakter decyzji | str. 360 Wyjątki od zakazu podejmowania decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu | str. 362 Rozdział XXV RODO a ustawa o świadczeniu usług drogą elektroniczną i Prawo telekomunikacyjne – Anna Maciaszczyk  | str.  364 Wprowadzenie | str. 364 Relacje pomiędzy dyrektywą o prywatności i łączności elektronicznej a RODO | str. 365 Ustawa o świadczeniu usług drogą elektroniczną | str. 368 Prawo telekomunikacyjne | str. 370 4.1. Przetwarzanie danych osobowych użytkowników wchodzących w zakres tajemnicy komunikacyjnej oraz innych danych osobowych  | str.  370 4.2. Marketing bezpośredni i przesyłanie niezamówionej informacji handlowej  | str.  371 4.3. Pliki cookies  | str.  374 Aktualne problemy związane z ochroną prywatności w łączności elektronicznej | str. 377 Rozporządzenie ePrivacy | str. 378 Rozdział XXVI Administracyjne kary pieniężne – Adam Szkurłat  | str.  380 Wprowadzenie | str. 380 Administracyjna kara pieniężna | str. 381 Podstawy decyzji | str. 384 Wysokość sankcji | str. 387 Zasady dla sektora publicznego | str. 391 Rozdział XXVII Odpowiedzialność cywilna za naruszenie przepisów o ochronie danych osobowych – Aneta Frydrych-Romańska  | str.  393 Wprowadzenie | str. 393 Roszczenia wynikające z art. 82 RODO | str. 394 Przesłanki odpowiedzialności | str. 394 Podmioty odpowiedzialne | str. 396 Roszczenia z tytułu ochrony dóbr osobistych | str. 397 Zasady dochodzenia roszczeń w postępowaniu sądowym | str.  400 Właściwość sądu | str.  400 Wymiana informacji pomiędzy sądem a organem nadzorczym | str.  401 Zawieszenie postępowania sądowego | str.  403 Umorzenie postępowania sądowego | str. 404 Rozdział XXVIII Odpowiedzialność karna w świetle ustawy o ochronie danych osobowych – Aneta Frydrych-Romańska  | str.  405 Wprowadzenie | str. 405 Odpowiedzialność karnoprawna przewidziana w art. 107 u.o.d.o. | str. 407 2.1. Bezprawne przetwarzanie danych osobowych  | str.  407 2.2. Niedopuszczalność przetwarzania danych  | str.  408 2.3. Przetwarzanie danych przez podmiot nieuprawniony  | str.  409 2.4. Wymiar odpowiedzialności  | str.  409 Przestępstwo udaremniania lub utrudniania kontroli przestrzegania przepisów o ochronie danych osobowych | str. 411 Przestępstwo naruszenia obowiązku dostarczenia organowi nadzorczemu informacji niezbędnych do ustalenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarczenia danych uniemożliwiających ustalenie podstawy jej wymiaru | str. 413 Rozdział XXIX Warunki i tryb certyfikacji w świetle ustawy o ochronie danych osobowych – Karolina Przybysz  | str.  415 Wprowadzenie | str. 415 Pojęcie certyfikacji na gruncie przepisów RODO | str. 416 Korzyści płynące z poddania się certyfikacji | str. 420 Podmiot certyfikujący | str. 423 Warunki i tryb udzielania akredytacji podmiotowi certyfikującemu w świetle ustawy o ochronie danych osobowych | str. 426 Warunki i tryb dokonywania certyfikacji w świetle ustawy o ochronie danych osobowych | str. 433 Rozdział XXX Kodeksy postępowań – Karolina Przybysz  | str.  442 Wprowadzenie | str. 442 Pojęcie kodeksu postępowania na gruncie przepisów RODO | str. 443 Cel stosowania kodeksów i płynące z tego korzyści | str. 445 Procedura zatwierdzania kodeksu postępowania i akredytacji na gruncie RODO | str. 448 4.1. Podmioty uczestniczące w tworzeniu i stosowaniu kodeksów postępowania  | str.  448 4.2. Zakres przedmiotowy kodeksów postępowania  | str.  450 4.3. Procedura zatwierdzenia kodeksu postępowania  | str.  452 4.4. Monitorowanie zatwierdzonych kodeksów postępowania  | str.  454 Procedura zatwierdzenia kodeksu postępowania i akredytacji na gruncie ustawy o ochronie danych osobowych | str. 457 Kodeksy postępowania w Polsce | str. 461 Rozdział XXXI Wyjątek dziennikarski – Paulina Wirska  | str.  464 Wprowadzenie | str. 464 Przetwarzanie danych osobowych przez sztuczną inteligencję przy współtworzeniu tekstów dziennikarskich | str. 465 Istota wyjątku dziennikarskiego | str. 467 Prawa podstawowe w kontekście działalności dziennikarskiej i medialnej w prawie unijnym | str. 468 Wybrane orzecznictwo Trybunału Sprawiedliwości oraz Europejskiego Trybunału Praw Człowieka dotyczące ograniczania wolności słowa i wolności mediów | str. 470 Rola kodeksów dziennikarskich oraz samoregulacji mediów jako narzędzi ochrony praw i wolności | str. 471 „Prawo do bycia zapomnianym” oraz wpływ technologii na prywatność i ochronę danych osobowych | str. 472 Równoważność praw i wolności w kontekście działalności dziennikarskiej i medialnej: wolność słowa, wolność mediów oraz prawo do prywatności i ochrony danych osobowych | str.  475 Wyjątek dziennikarski w kontekście ochrony danych osobowych | str.  478 Wyjątek dziennikarski w Polsce | str. 479 Podsumowanie | str. 488 Bibliografia  | str.  491 Spis rysunków, tabel i wykresów  | str.  499 Autorzy  | str.  501