RODO. Przewodnik ze wzorami

-20%

WYBIERZ RODZAJ DOSTĘPU

81,60  102,00

Format: pdf

81,60102,00

cena referencyjna

cena zawiera podatek VAT

\n\nW książce w praktyczny sposób wyjaśniono przepisy RODO, wskazano wiele dokumentów i rozwiązań, dzięki którym czytelnik będzie mógł postępować zgodnie z tą regulacją unijną. \n \n Autorzy wykorzystali opinie Grupy Roboczej Art. 29 oraz GIODO, normy ISO z obszaru bezpieczeństwa informacji, a także bogate doświadczenie z własnej krajowej i międzynarodowej praktyki ochrony danych osobowych, cyberbezpieczeństwa i cloud computingu, w tym prace dla Grupy Roboczej Art. 29 i Komisji Europejskiej. \n \n W publikacji czytelnik znajdzie m.in.:


projekt polityki ochrony danych osobowych, która obejmuje obowiązki administratora i podmiotu przetwarzającego,
wzór umowy powierzenia danych,
wzory klauzul informacyjnych, w których zawarto kategorie informacji,
listy standardowych zagrożeń bezpieczeństwa informacji i potencjalnych naruszeń praw i wolności mogących wyniknąć z naruszenia ochrony danych osobowych.


\n\nAutorzy wyjaśniają również zagadnienia mogące stwarzać szczególne trudności przy stosowaniu RODO, jak np. art. 11 RODO dotyczący danych niezidentyfikowanych.


Rok wydania2018
Liczba stron456
KategoriaInne
WydawcaWolters Kluwer Polska SA
ISBN-13978-83-8124-704-7
Język publikacjipolski
Informacja o sprzedawcyePWN sp. z o.o.

PayPo - Promocja!

Ciekawe propozycje

Spis treści

  Wykaz skrótów | str.    25
  
  Część A
  Kompendium RODO
  
  Rozdział I
  Zgodność podstawowa | str.    29
  1. RODO – unijna „ustawa” o ochronie danych osobowych – Katarzyna Kloc, Maciej Gawroński | str.    29
  1.1. RODO – nowa „ustawa” o ochronie danych osobowych | str.    29
  1.2. Przedmiot i cel RODO | str.    30
  1.2.1. Uwagi wstępne | str.    30
  1.2.2. Ochrona osób fizycznych | str.    31
  1.2.3. Bezpośredniość | str.    31
  1.2.4. Konsekwencje dla polskich przedsiębiorców | str.    32
  1.3. Prywatność, prawa, bezpieczeństwo – filary RODO | str.    32
  1.4. Wymagania RODO | str.    34
  1.4.1. Ogólnikowość | str.    34
  1.4.2. Mierzalność | str.    35
  1.4.3. Bezpośredniość | str.    36
  1.4.4. Surowość | str.    36
  1.4.5. Domniemanie winy | str.    37
  1.5. Podział funkcjonalny RODO | str.    38
  2. Przedmiotowy i terytorialny zakres stosowania RODO – Katarzyna Kloc, Maciej Gawroński | str.    42
  2.1. Zakres stosowania RODO | str.    42
  2.1.1. Zakres przedmiotowy | str.    42
  2.1.2. Wyłączenia stosowania RODO | str.    43
  2.1.3. Zakres terytorialny | str.    44
  3. Rodosłowniczek, czyli omówienie podstawowych pojęć RODO wraz z przykładami – Patrycja Naklicka, Aleksandra Gawron | str.    47
  3.1. Uwagi wstępne | str.    47
  3.2. Administrator | str.    47
  3.3. Analiza ryzyka | str.    48
  3.4. Anonimizacja | str.    49
  3.5. Czynności przetwarzania danych | str.    49
  3.6. Dane osobowe | str.    50
  3.7. Eksport danych | str.    52
  3.8. GIODO i PUODO | str.    53
  3.9. Grupa Robocza Art. 29 i Europejska Rada Ochrony Danych | str.    53
  3.10. Inspektor ochrony danych | str.    54
  3.11. Naruszenie ochrony danych osobowych | str.    54
  3.12. Ocena skutków dla ochrony danych | str.    55
  3.13. Odbiorca | str.    55
  3.14. Ograniczenie przetwarzania | str.    56
  3.15. Osoba, której dane dotyczą | str.    57
  3.16. Personel | str.    57
  3.17. Podmiot przetwarzający | str.    57
  3.18. Przetwarzanie | str.    58
  3.19. Pseudonimizacja | str.    61
  3.20. Rejestr czynności przetwarzania danych | str.    61
  3.21. Ryzyko | str.    62
  3.22. Ustawa o ochronie danych osobowych | str.    63
  4. Zasady przetwarzania danych osobowych – Marcin Dominiak, Maciej Gawroński | str.    64
  4.1. Wprowadzenie | str.    64
  4.1.1. Zasady materialne | str.    65
  4.1.2. Zasada formalna – rozliczalność | str.    65
  4.1.3. Bliżej o zasadach ochrony danych | str.    66
  4.2. Zasada legalności, rzetelności i przejrzystości przetwarzania (zgodności z prawem) | str.    66
  4.2.1. Legalność | str.    66
  4.2.2. Rzetelność | str.    67
  4.2.3. Przejrzystość | str.    67
  4.3. Zasada celowości | str.    68
  4.4. Zasada minimalizacji danych (adekwatności, proporcjonalności) | str.    70
  4.5. Zasada prawidłowości (poprawności) | str.    72
  4.6. Zasada ograniczenia czasowego (czasowości) | str.    73
  4.7. Zasada bezpieczeństwa (integralności i poufności danych) | str.    76
  4.7.1. Poufność | str.    77
  4.7.2. Integralność | str.    77
  4.7.3. Dostępność | str.    77
  4.7.4. Odpowiedniość | str.    78
  4.8. Zasada rozliczalności | str.    80
  5. Podstawy prawne przetwarzania danych osobowych – Maciej Gawroński, Michał Sztąberek | str.    80
  5.1. Wstęp | str.    80
  5.2. Dane osobowe „zwykłe” – art. 6–8 RODO | str.    81
  5.2.1. Zgoda na przetwarzanie danych osobowych | str.    83
  5.2.1.1. Dobrowolność zgody | str.    83
  5.2.1.2. Konkretność zgody | str.    84
  5.2.1.3. Świadomość zgody | str.    85
  5.2.1.4. Jednoznaczność zgody | str.    85
  5.2.1.5. Forma zgody | str.    85
  5.2.1.6. Zgoda dziecka na usługi społeczeństwa informacyjnego (np. media społecznościowe) | str.    87
  5.2.2. Zawarcie i wykonywanie umowy | str.    89
  5.2.2.1. Działania przed zawarciem umowy | str.    90
  5.2.2.2. Wykonywanie umowy | str.    90
  5.2.2.3. Przetwarzanie danych osoby trzeciej | str.    90
  5.2.3. Obowiązek prawny | str.    91
  5.2.4. Ochrona żywotnych interesów | str.    93
  5.2.5. Zadania realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej | str.    94
  5.2.6. Uzasadniony interes administratora danych lub strony trzeciej | str.    96
  6. Artykuły 9 i 10 RODO – dane szczególnych kategorii i dane „karne” – Maciej Gawroński, Michał Sztąberek | str.    99
  6.1. Przesłanka zgody | str.    101
  6.2. Przetwarzanie wynikające ze stosunku pracy jest dozwolone prawem | str.    102
  6.3. Ochrona żywotnych interesów | str.    102
  6.4. Stowarzyszanie się | str.    103
  6.5. Dane upublicznione | str.    103
  6.6. Sprawy sądowe | str.    103
  6.7. Na podstawie prawa dla ważnego interesu publicznego | str.    103
  6.8. Dane „karne” | str.    105
  7. Zgoda jako podstawa przetwarzania danych – Maciej Gawroński | str.    105
  7.1. Wstęp | str.    105
  7.2. Podstawa prawna | str.    106
  7.3. Zgoda dziecka | str.    106
  7.4. Warunki wyrażenia zgody | str.    107
  7.5. Rozliczalność | str.    112
  7.6. Retencja (okres ważności zgody) | str.    112
  7.7. Równołatwość cofnięcia zgody | str.    113
  7.8. Wybór podstawy przetwarzania | str.    113
  7.9. Ważność „starych” zgód | str.    114
  8. Administrator i podmiot przetwarzający – Maciej Gawroński, Katarzyna Kloc, Magdalena Wojtas | str.    114
  8.1. Wstęp | str.    114
  8.2. Administrator danych osobowych – definicja, cechy, obowiązki | str.    116
  8.2.1. Definicja | str.    116
  8.2.2. Każdy jest ADO | str.    116
  8.2.3. Co przesądza, że dany podmiot jest ADO? | str.    117
  8.2.4. Decydowanie o celach i środkach przetwarzania | str.    117
  8.2.5. Praktyczny test ADO | str.    118
  8.2.6. Rola ADO | str.    118
  8.2.7. Obowiązki ADO | str.    119
  8.3. Podmiot przetwarzający – definicja, cechy, rola i obowiązki | str.    121
  8.3.1. Definicja | str.    121
  8.3.2. Rola podmiotu przetwarzającego | str.    121
  8.3.3. Wiarygodność i wystarczające gwarancje | str.    122
  8.3.4. Umowa z ADO | str.    122
  8.3.5. Obowiązki wynikające z umowy z ADO | str.    123
  8.3.6. Obowiązki wynikające z RODO | str.    125
  8.4. Porównanie roli i obowiązków ADO i podmiotu przetwarzającego | str.    126
  9. Przetwarzanie danych niewymagające identyfikacji – Maciej Gawroński | str.    127
  9.1. Wprowadzenie | str.    127
  9.2. Brak obowiązku identyfikacji | str.    129
  9.3. Brak obowiązku monitorowania | str.    130
  9.4. Obowiązki informacyjne | str.    131
  9.4.1. Obowiązek poinformowania osób „niezidentyfikowanych” o niemożności zidentyfikowania – jeśli to możliwe | str.    132
  9.4.2. Umożliwienie wykonania praw jednostki | str.    134
  9.4.3. Bezpieczeństwo | str.    134
  9.4.4. Minimalizacja (dostępu i czasu) | str.    135
  10. Rejestrowanie czynności przetwarzania danych – Katarzyna Kloc | str.    136
  10.1. Własny rejestr zamiast zgłaszania do GIODO | str.    136
  10.2. RCPD – podstawa rozliczalności | str.    137
  10.3. Czynność przetwarzania danych | str.    137
  10.4. Czynności realizowane w tym samym celu | str.    138
  10.5. Czynności klasyfikowane w inny sposób | str.    140
  10.6. RCPD dla „małych” i „dużych” – różnice | str.    141
  10.6.1. Czy każdy musi prowadzić RCPD? | str.    142
  10.6.2. Zatrudnienie 250 osób | str.    142
  10.6.3. Przetwarzanie wysokiego ryzyka | str.    143
  10.7. Zakres informacji w RCPD – administratorzy danych | str.    144
  10.8. Zakres informacji w RCPD – podmioty przetwarzające dane | str.    146
  10.9. Forma RCPD | str.    147
  10.10. Osoba odpowiedzialna za prowadzenie RCPD | str.    148
  11. Przekazywanie danych do państwa trzeciego lub organizacji międzynarodowej (eksport danych) – Maciej Gawroński | str.    148
  11.1. Reglamentacja eksportu danych | str.    148
  11.2. Praktyczne utrudnienie eksportu danych | str.    149
  11.3. Legalność eksportu danych | str.    150
  11.4. Podstawy eksportu danych | str.    150
  11.5. Dodatkowe podstawy przekazania | str.    151
  11.6. Przekazanie „naprawdę wyjątkowe” | str.    152
  11.7. Zarejestrowanie przekazania wyjątkowego | str.    153
  11.8. Zakaz sądowej samopomocy – ucinanie „długiej ręki” | str.    153
  11.9. Podsumowanie | str.    153
  12. Przetwarzanie transgraniczne, czyli właściwość wiodącego organu nadzorczego (art. 4 pkt 16 i 23, art. 56 RODO) – Maciej Gawroński | str.    154
  12.1. Wstęp | str.    154
  12.2. One -stop -shop | str.    155
  12.3. Przetwarzający | str.    156
  12.4. Administratorzy | str.    156
  12.4.1. Przetwarzanie lokalne | str.    157
  12.4.2. Zasięg lokalny | str.    158
  12.5. Prawo holdingowe | str.    158
  12.6. Wytyczne Grupy Roboczej Art. 29 | str.    158
  12.7. Wnioski | str.    159
  13. Współadministrowanie danymi osobowymi – Maciej Gawroński | str.    159
  13.1. Wstęp | str.    159
  13.2. Przykłady współadministrowania danymi | str.    160
  13.3. Współadministrowania lepiej unikać | str.    161
  13.4. Obowiązki współadministratorów | str.    162
  13.5. Umowa o współadministrowanie | str.    162
  13.6. Treść umowy, analogia do powierzenia | str.    162
  13.7. Ujawnienie podmiotom danych | str.    163
  13.8. Transgraniczne współadministrowanie | str.    163
  13.9. Wnioski | str.    164
  14. Kodeksy postępowania i certyfikacja (art. 40 i n. RODO) – Paweł Punda, Aleksander P. Czarnowski, Maciej Gawroński | str.    164
  14.1. Wstęp | str.    164
  14.2. Kodeksy | str.    165
  14.2.1. Opracowanie | str.    165
  14.2.2. Zatwierdzanie | str.    165
  14.3. Certyfikacja | str.    166
  14.3.1. Schematy certyfikacyjne | str.    166
  14.3.2. Prace legislacyjne | str.    166
  14.4. Korzyści | str.    167
  14.5. Brak Urzędu | str.    168
  14.6. Projekty kodeksów | str.    169
  14.7. Certyfikacja prywatna | str.    169
  
  Rozdział II
  Prawa jednostki | str.    170
  1. Obsługa praw jednostki (art. 12 RODO) – Maciej Gawroński, Michał Kibil | str.    170
  1.1. Wstęp | str.    170
  1.2. Czytelność komunikowania się | str.    171
  1.2.1. Czytelnie i zwięźle | str.    171
  1.2.2. Kompletność | str.    171
  1.2.3. Niecytowanie przepisów | str.    172
  1.2.4. Dzieci | str.    172
  1.2.5. Test Kowalskiego | str.    172
  1.3. Uwierzytelnienie | str.    173
  1.3.1. Potwierdzenie tożsamości | str.    173
  1.3.2. Pogłębione uwierzytelnienie | str.    174
  1.4. Forma komunikacji | str.    174
  1.5. Ułatwianie | str.    175
  1.6. Obsługa danych niezidentyfikowanych | str.    175
  1.7. Czas reakcji i czas obsługi | str.    176
  1.8. Nieuzasadnione lub nadmierne żądania | str.    177
  1.8.1. Nieuzasadnione żądanie | str.    179
  1.8.2. Nadmierne żądanie | str.    179
  1.9. Schemat działania administratora | str.    180
  2. Prawo do informacji i obowiązek informacyjny (art. 13 i 14 RODO) Maciej Gawroński | str.    180
  2.1. Uwagi wstępne | str.    180
  2.2. Zakres informacji | str.    181
  2.2.1. Pozyskiwanie od osoby | str.    181
  2.2.2. Pozyskiwanie nie od osoby | str.    183
  2.2.3. Zmiana celu | str.    183
  2.2.4. Prawo dostępu | str.    183
  2.3. Szczegóły informacji | str.    183
  2.3.1. Podstawa prawna | str.    183
  2.3.2. Kategorie odbiorców i odbiorcy | str.    184
  2.3.3. Eksport danych | str.    185
  2.3.4. Profilowanie | str.    185
  2.4. Kiedy i jak informować | str.    185
  2.4.1. Kiedy informować? | str.    186
  2.4.1.1. Podczas pozyskiwania od osoby | str.    186
  2.4.1.2. W ciągu miesiąca – z innych źródeł | str.    186
  2.4.1.3. Aktualizacja informacji | str.    186
  2.4.1.4. Informowanie osób niezidentyfikowanych (art. 11 ust. 2 RODO) | str.    187
  2.4.2. Jak informować? | str.    187
  2.4.2.1. Przejrzystość | str.    187
  2.4.2.2. Dostępność | str.    188
  2.4.2.3. Konkretność | str.    189
  2.5. Wyjątki od obowiązku informowania | str.    189
  3. Prawo dostępu do danych (art. 15 RODO) – Maciej Gawroński, Michał Sztąberek | str.    190
  3.1. Wstęp | str.    190
  3.2. Terminy | str.    191
  3.3. Informacje | str.    191
  3.4. Dostęp | str.    192
  3.5. Kopia danych | str.    192
  3.6. Prośba o sprecyzowanie | str.    193
  3.7. Odmowa | str.    193
  3.8. Prawa innych | str.    193
  3.9. Uwierzytelnienie i komunikacja | str.    195
  3.10. Regulaminy i procedury | str.    195
  3.11. Mapowanie danych, narzędzia eksploracji danych (data mining), narzędzia do tzw. ticketowania | str.    196
  3.12. Podsumowanie | str.    196
  4. Prawo do sprostowania danych (art. 16 RODO) – Maciej Gawroński, Michał Sztąberek | str.    196
  4.1. Wstęp | str.    196
  4.2. Zagadnienia ogólne – tryb uwierzytelnienia i komunikacji | str.    197
  4.2.1. Element sporu | str.    197
  4.2.2. Prawo do skargi | str.    198
  4.2.3. Styl | str.    198
  4.2.4. Wykazanie nieprawidłowości danych | str.    198
  4.2.5. Dane nieaktualne czy nieprawidłowe | str.    199
  4.2.6. Zakres korekty danych | str.    199
  4.3. Uzupełnienie danych niekompletnych | str.    200
  4.3.1. Adekwatność danych | str.    200
  4.3.2. Podstawa aktualizacji | str.    200
  4.4. Obowiązek powiadomienia | str.    201
  5. Prawo do usunięcia danych, prawo do bycia zapomnianym (art. 17 RODO) – Maciej Gawroński, Katarzyna Kunda | str.    202
  5.1. Historia prawa do bycia zapomnianym | str.    202
  5.2. Składniki prawa do bycia zapomnianym | str.    203
  5.3. Podstawy żądania usunięcia danych | str.    204
  5.3.1. Zbędność do celów przetwarzania | str.    204
  5.3.2. Cofnięcie zgody | str.    205
  5.3.3. Wniesienie sprzeciwu | str.    205
  5.3.4. Przetwarzanie niezgodne z prawem | str.    206
  5.3.5. Prawny obowiązek usunięcia danych | str.    207
  5.3.6. Oferowanie usług społeczeństwa informacyjnego dzieciom | str.    207
  5.4. Wyjątki | str.    207
  5.4.1. Korzystanie z praw do wolności wypowiedzi i informacji | str.    208
  5.4.2. Wywiązanie się z obowiązku prawnego lub zadania realizowanych w interesie publicznym albo w ramach wykonywania władzy publicznej | str.    208
  5.4.3. Interes publiczny w ochronie zdrowia publicznego | str.    209
  5.4.4. Cele archiwalne, badania naukowe, historyczne, cele statystyczne | str.    210
  5.4.5. Ustalenie, dochodzenie, obrona roszczeń | str.    210
  5.5. Zakres usunięcia danych | str.    211
  5.6. Przetwarzanie w celu realizacji prawa do usunięciadanych i prawa do bycia zapomnianym | str.    212
  5.7. Przetwarzanie w celu zapewnienia bezpieczeństwa – problem kopii zapasowych i archiwalnych | str.    213
  5.7.1. Jak wszyscy, to wszyscy | str.    213
  5.7.2. Problem bezpieczeństwa i ciągłości działania | str.    214
  5.7.3. Problem rozliczalności | str.    214
  5.7.4. Problem praktyczny – zasoby i proces | str.    214
  5.7.5. Rozwiązanie | str.    215
  5.8. Problem danych nieustrukturyzowanych | str.    216
  5.9. Poinformowanie innych administratorów | str.    218
  5.10. Ograniczenie obowiązku poinformowania | str.    218
  5.11. Listy kontrolne | str.    219
  5.11.1. Przygotowanie do RODO – wprowadzenie prawa do bycia zapomnianym do organizacji | str.    219
  5.11.2. Przetworzenie żądania usunięcia danych | str.    219
  6. Prawo do ograniczenia przetwarzania (art. 18 RODO) – Michał Sztąberek, Maciej Gawroński | str.    220
  6.1. Ograniczenie przetwarzania | str.    220
  6.2. Prawo do ograniczenia przetwarzania | str.    221
  6.2.1. Ograniczenie w razie sporu co do prawidłowości danych | str.    222
  6.2.2. Ograniczenie w razie niezgodności z prawem | str.    222
  6.2.3. Ograniczenie dla potrzeb roszczeń | str.    223
  6.2.4. Ograniczenie w razie sprzeciwu ze względu na szczególną sytuację | str.    223
  6.3. Sposób zastosowania się do żądania ograniczenia przetwarzania | str.    223
  6.4. Obowiązek powiadomienia | str.    224
  7. Prawo do przenoszenia danych, czyli jak przenieść dane od jednego administratora danych do drugiego (art. 20 RODO) – Aleksander P. Czarnowski, Maciej Gawroński, Paweł Punda | str.    225
  7.1. Wstęp | str.    225
  7.2. Na czym dokładnie polega prawo przenoszenia danych? | str.    226
  7.3. Kiedy można skorzystać z prawa do przenoszenia danych? | str.    226
  7.4. Jaki zakres danych należy przekazać? | str.    227
  7.5. W jaki sposób należy zrealizować prawo do przeniesienia danych? | str.    229
  7.5.1. Wyjątki | str.    231
  7.5.2. Prawa osób trzecich | str.    231
  7.5.3. Przenoszenie danych, które są równocześnie danymi wnioskodawcy i danymi innej osoby | str.    232
  7.6. Kogo przenoszenie danych dotyczy najbardziej? | str.    234
  7.6.1. Bezpieczeństwo | str.    234
  7.6.2. Kwestia techniczna | str.    234
  8. Prawo do sprzeciwu (art. 21 RODO) – Maciej Gawroński, Michał Sztąberek | str.    235
  8.1. Prawo do sprzeciwu | str.    235
  8.2. Sprzeciw ze względu na szczególną sytuację osoby | str.    236
  8.2.1. Prawnie uzasadnione interesy | str.    238
  8.2.2. Roszczenia i spory | str.    239
  8.2.3. Interes publiczny lub władza publiczna | str.    239
  8.3. Przetwarzanie danych na potrzeby marketingu bezpośredniego | str.    241
  8.3.1. Sprzeciw względem marketingu bezpośredniego a cofnięcie zgody na przetwarzanie | str.    241
  8.3.2. Sprzeciw względem marketingu bezpośredniego a zgoda na zdalną komunikację marketingową | str.    242
  8.4. Skuteczne wniesienie sprzeciwu na przetwarzanie danych | str.    242
  8.5. Jak powinien być składany sprzeciw | str.    243
  9. Profilowanie i automatyczne podejmowanie decyzji (art. 22 RODO) – Michał Kibil | str.    244
  9.1. Wstęp | str.    244
  9.2. Definicja profilowania z RODO | str.    248
  9.2.1. Automatyzacja | str.    249
  9.2.2. Dane osobowe | str.    249
  9.2.3. Efekt | str.    250
  9.2.4. Czynności traktowane jako profilowanie | str.    250
  9.3. Obowiązki administratora danych osobowych związane z profilowaniem lub automatycznym podejmowaniem decyzji, lub podejmowaniem decyzji w oparciu o profilowanie | str.    251
  9.3.1. Obowiązki ogólne administratora | str.    252
  9.3.1.1. Informowanie o decydowaniu automatycznym i w oparciu o profilowanie | str.    252
  9.3.1.2. Ile razy informować | str.    253
  9.3.1.3. Zmiana celu | str.    253
  9.3.1.4. Profilowanie danych ze „starej” ustawy o ochronie danych osobowych | str.    253
  9.3.2. Prawo sprzeciwu | str.    254
  9.4. Profilowanie a podejmowanie zautomatyzowanych decyzji | str.    254
  9.4.1. Środki bezpieczeństwa | str.    256
  9.4.2. Kiedy można stosować decyzje zautomatyzowane lub oparte wyłącznie na profilowaniu | str.    257
  9.4.2.1. Prawo do ludzkiej interwencji | str.    260
  9.4.2.2. Proces reklamacyjny | str.    260
  9.4.2.3. Automatyczne uwierzytelnienie | str.    260
  9.4.3. Profilowanie dzieci | str.    261
  9.4.4. Zautomatyzowane decyzje dotyczące danych wrażliwych | str.    262
  9.4.5. Wnioski | str.    262
  
  Rozdział III
  Bezpieczeństwo | str.    263
  1. Bezpieczeństwo danych w świetle RODO – analiza ryzyka i adekwatność środków – Aleksander P. Czarnowski, Maciej Gawroński | str.    263
  1.1. Bezpieczeństwo odpowiednie do ryzyka | str.    263
  1.1.1. Ryzyko | str.    264
  1.1.2. Ryzyko naruszenia praw lub wolności | str.    265
  1.1.3. Analiza ryzyka | str.    266
  1.2. Elementy oceny adekwatności środków bezpieczeństwa danych | str.    268
  1.2.1. Stan wiedzy technicznej | str.    268
  1.2.2. Koszt | str.    268
  1.2.3. Cechy samego przetwarzania | str.    269
  1.2.4. Ryzyko naruszenia praw lub wolności | str.    269
  1.3. Nie trzeba wymyślać procesu samemu? | str.    276
  1.4. Środki bezpieczeństwa | str.    277
  1.5. Jak z tego wybrnąć na skróty? | str.    280
  2. Pseudonimizacja i szyfrowanie – preferowane środki zabezpieczania danych osobowych – Aleksander P. Czarnowski, Maciej Gawroński, Paweł Punda | str.    280
  2.1. Uwagi wstępne | str.    280
  2.2. Szyfrowanie | str.    281
  2.3. Pseudonimizacja | str.    282
  2.4. Anonimizacja | str.    283
  2.5. Pseudonimizacja czy szyfrowanie | str.    283
  2.5.1. Bezpieczeństwo | str.    284
  2.5.2. Analiza ryzyka | str.    284
  2.5.2.1. Ocena skutków dla ochrony danych | str.    287
  2.5.2.2. Metodyka analizy ryzyka | str.    287
  2.6. Privacy by design | str.    290
  2.7. Notyfikacja naruszeń ochrony danych | str.    290
  2.8. Zastosowania biznesowe pseudonimizacji | str.    290
  2.9. Podsumowanie | str.    291
  3. Privacy by design, czyli projektowanie prywatności – Maciej Gawroński, Katarzyna Kunda | str.    292
  3.1. Privacy by design | str.    292
  3.1.1. Z czego się składa projektowanie prywatności | str.    294
  3.1.1.1. Bezpieczeństwo | str.    294
  3.1.1.2. Pseudonimizacja | str.    295
  3.1.1.3. Minimalizacja | str.    296
  3.1.2. Jak wdrożyć privacy by design w organizacji? | str.    296
  3.1.2.1. Projektowanie prywatności w konkretnym projekcie | str.    296
  3.1.2.2. Zasady projektowania prywatności | str.    296
  3.1.2.3. Od kiedy projektować prywatność | str.    297
  3.2. Certyfikacja projektowania prywatności i domyślnej prywatności | str.    298
  4. Privacy by default, czyli domyślna ochrona danych – minimalizacja – Maciej Gawroński, Katarzyna Kunda | str.    298
  4.1. Zasada privacy by default | str.    298
  4.2. Privacy by default, czyli minimalizacja | str.    299
  4.3. Atrybuty domyślnej prywatności | str.    300
  4.4. Wskazówki praktyczne | str.    300
  4.5. Udostępnianie nieokreślonej liczbie osób | str.    301
  4.6. Certyfikacja projektowania prywatności i domyślnej prywatności | str.    302
  5. Ocena skutków dla ochrony danych krok po kroku – Katarzyna Kloc | str.    302
  5.1. Uwagi wstępne | str.    302
  5.2. „Kwalifikowana” analiza ryzyka i rozliczalność | str.    303
  5.3. Podobne procesy, jedna DPIA | str.    305
  5.4. Analiza ryzyka do kwadratu | str.    305
  5.4.1. Analiza ryzyka | str.    306
  5.4.2. Jak w praktyce można przeprowadzić analizę ryzyka pierwszego stopnia i mieć wstępny przegląd operacji wymagających DPIA? | str.    307
  5.5. DPIA – kiedy trzeba? | str.    307
  5.5.1. Duża skala | str.    308
  5.5.2. Wytyczne Grupy Roboczej Art. 29 | str.    310
  5.6. Jak określić, czy w naszej firmie należy przeprowadzić DPIA i w odniesieniu do których procesów? | str.    313
  5.6.1. Urzędowy katalog operacji DPIA | str.    314
  5.7. Kiedy nie trzeba przeprowadzać DPIA? | str.    315
  5.8. DPIA krok po kroku | str.    316
  5.8.1. Uwagi ogólne | str.    316
  5.8.2. IOD | str.    318
  5.8.3. Eksperci | str.    318
  5.8.4. Reprezentanci grup docelowych | str.    319
  5.8.5. Uprzednie konsultacje z organem nadzorczym | str.    319
  5.9. Wytyczne GIODO | str.    320
  
  Rozdział IV
  Przetwarzający dane | str.    321
  1. Powierzenie danych oraz elementy nowej umowy powierzenia danych – Aleksander P. Czarnowski, Maciej Gawroński, Patrycja Naklicka | str.    321
  1.1. Uwagi wstępne | str.    321
  1.2. Opis gwarancji zgodności | str.    321
  1.3. Pisemna umowa | str.    322
  1.4. Zgoda na podpowierzenie danych | str.    322
  1.5. Transfer obowiązków na podprzetwarzającego | str.    323
  1.6. Zakaz „wydmuszki” | str.    323
  1.7. Przedmiot przetwarzania | str.    324
  1.8. Pisemność poleceń ADO | str.    324
  1.9. Zobowiązania do poufności | str.    324
  1.10. Bezpieczeństwo danych | str.    325
  1.11. Obsługa praw jednostki | str.    325
  1.12. Wsparcie obowiązków bezpieczeństwa administratora | str.    326
  1.13. Notyfikacja podejrzenia naruszenia ochrony danych | str.    326
  1.14. Usuwanie i zwrot danych | str.    327
  1.15. Obowiązek rozliczenia się ze zgodności z umową | str.    327
  1.16. Podleganie audytom | str.    328
  1.17. Odpłatność | str.    328
  1.18. Informowanie o legalności poleceń | str.    328
  1.19. Procedura rozstrzygania legalności | str.    328
  1.20. Zasady odpowiedzialności | str.    329
  1.21. Wyznaczanie inspektora ochrony danych | str.    329
  2. Powierzenie danych oraz elementy nowej umowy powierzenia danych – Aleksander P. Czarnowski, Maciej Gawroński, Patrycja Naklicka | str.    329
  2.1. Umowy powierzenia a umowy SLA | str.    329
  2.1.1. Dostępność systemu SLA i czas reakcji | str.    330
  2.1.2. SLA w praktyce | str.    330
  2.1.3. Standaryzacja umów SLA a zgodność z RODO | str.    331
  2.2. Nowe wyzwania dla administratora i procesora | str.    331
  2.3. Rekomendacje | str.    332
  
  Rozdział V
  Zarządzanie incydentami | str.    333
  1. Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu (art. 33 RODO) – Maciej Gawroński, Zuzanna Piotrowska | str.    333
  1.1. Przepis | str.    333
  1.2. Co to jest naruszenie ochrony danych osobowych? | str.    334
  1.2.1. Naruszenie ochrony danych wg Grupy Roboczej Art. 29 | str.    336
  1.2.1.1. Naruszenie poufności | str.    336
  1.2.1.2. Naruszenie dostępności | str.    337
  1.2.1.3. Naruszenie integralności | str.    337
  1.3. Czy każde naruszenie trzeba zgłaszać? | str.    337
  1.3.1. Procedura zgłaszania | str.    338
  1.3.1.1. Termin dla administratora | str.    338
  1.3.1.2. Termin dla przetwarzającego | str.    338
  1.3.2. Stwierdzenie naruszenia | str.    339
  1.3.3. Zgłoszenie – treść i forma | str.    341
  1.3.4. Powiadamianie z opóźnieniem | str.    342
  1.3.5. Obowiązki podmiotu przetwarzającego | str.    343
  1.4. Kiedy mimo wystąpienia incydentu naruszenia ochrony danych nie trzeba powiadamiać organu nadzorczego? | str.    343
  1.4.1. Kwestie praktyczne | str.    345
  1.4.2. Dokumentowanie naruszeń | str.    346
  1.4.3. Sankcja administracyjna | str.    347
  1.5. Elementy systemu zgłaszania naruszeń | str.    347
  2. Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych (art. 34 RODO) – Katarzyna Kloc, Maciej Gawroński | str.    348
  2.1. Wstęp | str.    348
  2.2. Wysokie ryzyko naruszenia praw lub wolności | str.    348
  2.2.1. Prawa i wolności | str.    349
  2.3. Wyjątki od obowiązku zawiadomienia | str.    350
  2.3.1. Działania prewencyjne | str.    351
  2.3.2. Działania następcze | str.    351
  2.4. Zawiadomienie | str.    351
  2.4.1. Treść zawiadomienia | str.    351
  2.4.2. Forma zawiadomienia | str.    352
  2.4.3. Ogłoszenie w miejscu zawiadomienia | str.    353
  2.4.4. Termin zawiadomienia | str.    353
  2.5. Uzgodnienia z organem nadzorczym | str.    354
  
  Rozdział VI
  Inspektor ochrony danych (IOD) | str.    355
  1. Inspektor ochrony danych – wyznaczenie i status – Michał Kibil, Maciej Gawroński | str.    355
  1.1. IOD – ewolucja czy rewolucja | str.    355
  1.2. Kto ma obowiązek wyznaczenia inspektora ochrony danych? | str.    356
  1.2.1. Organ lub podmiot publiczny | str.    357
  1.2.2. Działalność wymagająca systematycznego i regularnego monitorowania oraz przetwarzanie na dużą skalę | str.    358
  1.2.2.1. Główna działalność | str.    358
  1.2.2.2. Monitorowanie osób | str.    358
  1.3. Działanie w ramach zrzeszeń i grup przedsiębiorców | str.    362
  1.4. Kwalifikacje IOD | str.    363
  1.5. Zatrudnienie IOD | str.    364
  1.6. Status inspektora danych | str.    365
  1.6.1. Obowiązki administratora względem IOD | str.    365
  1.6.2. Niezależność IOD | str.    367
  2. Zadania inspektora ochrony danych osobowych – Michał Kibil, Maciej Gawroński | str.    368
  2.1. Wstęp | str.    368
  2.2. Informacje poufne oraz unikanie konfliktu interesów | str.    368
  2.3. Zadania inspektora ochrony danych | str.    370
  
  Rozdział VII
  Regulator | str.    372
  1. Organ nadzorczy – status, rola i obowiązki – Katarzyna Kunda, Patrycja Naklicka, Zuzanna Piotrowska | str.    372
  1.1. Niezależność | str.    372
  1.2. Cechy i gwarancje niezależności | str.    373
  1.3. Członkowie organu nadzorczego | str.    374
  1.3.1. Wybór | str.    374
  1.3.2. Okres kadencji – konflikt interesów | str.    375
  1.4. Rola organu nadzorczego | str.    375
  1.4.1. Kompetencje z art. 57 RODO | str.    375
  1.5. Bezpłatność | str.    376
  2. Uprawnienia organu nadzorczego z zakresu ochrony danych osobowych – Katarzyna Kunda, Patrycja Naklicka, Zuzanna Piotrowska | str.    377
  2.1. Wstęp | str.    377
  2.2. Uprawnienia kontrolne | str.    377
  2.2.1. Rodzaje i techniki kontroli | str.    378
  2.2.2. Przebieg kontroli | str.    378
  2.2.3. Zakres kontroli | str.    379
  2.2.4. Uprawnienia pokontrolne | str.    380
  2.2.5. Obowiązek zachowania tajemnicy | str.    380
  2.3. Kary przewidziane przez RODO | str.    380
  2.4. Udzielanie zezwoleń i kompetencje doradcze | str.    381
  2.5. Obowiązek rozpatrywania skarg przez PUODO | str.    381
  
  Rozdział VIII
  Środki ochrony prawnej, odpowiedzialność i sankcje | str.    382
  1. Środki ochrony prawnej – odpowiedzialność cywilnoprawna i administracyjna – Maciej Gawroński | str.    382
  1.1. Wstęp | str.    382
  1.2. Skarga do organu nadzorczego | str.    383
  1.3. Skarga do sądu (administracyjnego) na organ nadzorczy | str.    384
  1.4. Odpowiedzialność cywilnoprawna – żądanie zaniechania lub zachowania | str.    385
  1.4.1. Prawo do sądu | str.    385
  1.4.2. Właściwość miejscowa sądu | str.    386
  1.4.3. Tryb procesowy | str.    386
  1.5. Odpowiedzialność odszkodowawcza | str.    387
  1.5.1. Szkoda majątkowa i niemajątkowa | str.    387
  1.5.2. Administrator i przetwarzający | str.    387
  1.5.3. Uwolnienie się od odpowiedzialności | str.    388
  1.5.4. Domniemanie winy | str.    389
  1.5.5. Współodpowiedzialność | str.    389
  1.5.6. Właściwość sądu | str.    390
  1.5.7. Proces cywilny | str.    390
  1.6. Reprezentacja podmiotów danych przez wyspecjalizowane podmioty | str.    390
  2. Sankcje administracyjne za naruszenie przepisów RODO – Maciej Gawroński | str.    391
  2.1. Wstęp | str.    391
  2.2. Komu grożą kary? | str.    391
  2.3. Jakie powinny być kary? | str.    391
  2.4. Kara większa i kara mniejsza | str.    391
  2.5. Księgowość karania | str.    392
  2.6. Konfiskata korzyści z „rodoprzestępstwa” | str.    394
  3. Odpowiedzialność podmiotu przetwarzającego – Maciej Gawroński | str.    394
  
  Część B
  Wzory dokumentów
  
  Wzór nr 1a. Klauzula zgody na przetwarzanie danych osobowych zwykłych | str.    399
  Wzór nr 1b. Klauzula zgody na przetwarzanie danych osobowych „szczególnych kategorii” | str.    400
  Wzór nr 2. Klauzula informacyjna o prawie do cofnięcia zgody | str.    402
  Wzór nr 3. Klauzula informacyjna o przetwarzaniu danych | str.    403
  Wzór nr 4. Klauzula informacyjna w przypadku współadministrowania danymi | str.    411
  Wzór nr 5. Klauzula o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu – element klauzuli informacyjnej | str.    413
  Wzór nr 6. Umowa powierzenia przetwarzania danych osobowych | str.    415
  Wzór nr 7. Szczegółowa klauzula zgody na podpowierzenie | str.    426
  Wzór nr 8. Sprzeciw administratora danych osobowych wobec podpowierzenia | str.    427
  Wzór nr 9. Upoważnienie do przetwarzania danych osobowych | str.    428
  Wzór nr 10. Klauzula informacyjna dla osoby, której dane dotyczą, o przekazaniu jej danych do państwa trzeciego | str.    430
  Wzór nr 11. Polityka ochrony danych osobowych | str.    433
  
  Wzory rejestrów
  
  Wzór Rejestru Czynności Przetwarzania Danych | str.    455
  Tożsamość administratora | str.    455
  Rejestr przetwarzającego | str.    456
  RCPD ADO | str. wklejka
  Wzór Rejestru Naruszeń Ochrony Danych Osobowych | str. wklejka
RozwińZwiń
Informacja o cookies
Strona ibuk.pl korzysta z plików cookies w celu dostarczenia Ci oferty jak najlepiej dopasowanej do Twoich oczekiwań i preferencji, jak również w celach marketingowych i analitycznych.
Nasi partnerzy również mogą używać ciasteczek do profilowania i dopasowywania do Ciebie pokazywanych treści na naszych stronach oraz w reklamach.
Poprzez kontynuowanie wizyty na naszej stronie wyrażasz zgodę na użycie tych ciasteczek. Więcej informacji, w tym o możliwości zmiany ustawień cookies, znajdziesz w naszej Polityce Prywatności.

Nie pokazuj więcej tego powiadomienia