ebook Ochrona danych osobowych. Przewodnik po ustawie i RODO ze wzorami Maciej Gawroński

Spis treści ebooka Ochrona danych osobowych. Przewodnik po ustawie i RODO ze wzorami

Wykaz skrótów , str. 37

Wstęp , str. 39

Część A

Kompendium ochrony danych osobowych

Rozdział I
Zgodność podstawowa , str. 43
1. RODO &ndash, unijna &bdquo,ustawa&rdquo, o ochronie danych osobowych &ndash, Katarzyna Kloc, Maciej Gawroński , str. 43
1.1. RODO &ndash, nowa &bdquo,ustawa&rdquo, o ochronie danych osobowych , str. 43
1.2. Przedmiot i cel RODO , str. 44
1.2.1. Uwagi wstępne , str. 44
1.2.2. Ochrona osób fizycznych , str. 45
1.2.3. Bezpośredniość , str. 45
1.2.4. Konsekwencje dla polskich przedsiębiorców , str. 46
1.3. Prywatność, prawa, bezpieczeństwo &ndash, filary RODO , str. 46
1.4. Wymagania RODO , str. 48
1.4.1. Ogólnikowość , str. 48
1.4.2. Mierzalność , str. 49
1.4.3. Bezpośredniość , str. 50
1.4.4. Surowość , str. 50
1.4.5. Domniemanie winy , str. 51
1.5. Podział funkcjonalny RODO , str. 52
2. Przedmiotowy i terytorialny zakres stosowania RODO &ndash, Katarzyna Kloc, Maciej Gawroński , str. 56
2.1. Zakres stosowania RODO , str. 56
2.1.1. Zakres przedmiotowy , str. 56
2.1.2. Wyłączenia stosowania RODO , str. 59
2.1.3. Zakres terytorialny , str. 60
3. Rodosłowniczek, czyli omówienie podstawowych pojęć RODO wraz z przykładami &ndash, Patrycja Naklicka, Aleksandra Gawron , str. 63
3.1. Uwagi wstępne , str. 63
3.2. Administrator , str. 63
3.3. Analiza ryzyka , str. 65
3.4. Anonimizacja , str. 65
3.5. Czynności przetwarzania danych , str. 66
3.6. Dane osobowe , str. 66
3.7. Kategorie danych osobowych , str. 68
3.8. Rodzaj danych osobowych , str. 73
3.9. Eksport danych / Transfer danych , str. 73
3.10. GIODO i PUODO , str. 74
3.11. Grupa Robocza Art. 29 i Europejska Rada Ochrony Danych , str. 74
3.12. Inspektor ochrony danych , str. 75
3.13. Naruszenie ochrony danych osobowych , str. 75
3.14. Ocena skutków dla ochrony danych , str. 76
3.15. Odbiorca danych , str. 76
3.16. Ograniczenie przetwarzania , str. 77
3.17. Operacje przetwarzania danych , str. 78
3.18. Osoba, której dane dotyczą , str. 80
3.19. Personel , str. 81
3.20. Podmiot przetwarzający , str. 81
3.21. Przetwarzanie , str. 83
3.22. Pseudonimizacja , str. 85
3.23. Rejestr czynności przetwarzania danych , str. 86
3.24. Ryzyko , str. 86
3.25. Ustawa o ochronie danych osobowych , str. 87
3.26. Współadministrowanie , str. 88
4. Zasady przetwarzania danych osobowych &ndash, Marcin Dominiak, Maciej Gawroński , str. 90
4.1. Wprowadzenie , str. 90
4.1.1. Zasady materialne , str. 91
4.1.2. Zasada formalna &ndash, rozliczalność , str. 91
4.1.3. Bliżej o zasadach ochrony danych , str. 92
4.2. Zasada legalności, rzetelności i przejrzystości przetwarzania (zgodności z prawem) , str. 93
4.2.1. Legalność , str. 93
4.2.2. Rzetelność , str. 94
4.2.3. Przejrzystość , str. 94
4.3. Zasada celowości , str. 95
4.4. Zasada minimalizacji danych (adekwatności, proporcjonalności) , str. 96
4.5. Zasada prawidłowości (poprawności) , str. 98
4.6. Zasada ograniczenia czasowego (czasowości) , str. 99
4.7. Zasada bezpieczeństwa (integralności i poufności danych) , str. 103
4.7.1. Poufność , str. 103
4.7.2. Integralność , str. 104
4.7.3. Dostępność , str. 104
4.7.4. Odpowiedniość , str. 105
4.8. Zasada rozliczalności , str. 107
5. Podstawy prawne przetwarzania danych osobowych &ndash, Maciej Gawroński, Michał Sztąberek , str. 107
5.1. Wstęp , str. 107
5.2. Dane osobowe &bdquo,zwykłe&rdquo, &ndash, art. 6&ndash,8 RODO , str. 108
5.2.1. Zgoda jako podstawa przetwarzania danych , str. 109
5.2.1.1. Wstęp , str. 109
5.2.1.2. Zgoda jako podstawa prawna , str. 110
5.2.1.3. Zgoda dziecka , str. 110
5.2.2. Zawarcie i wykonywanie umowy , str. 111
5.2.2.1. Działania przed zawarciem umowy , str. 112
5.2.2.2. Wykonywanie umowy , str. 112
5.2.2.3. Przetwarzanie danych osoby trzeciej , str. 112
5.2.3. Obowiązek prawny , str. 113
5.2.4. Ochrona żywotnych interesów , str. 115
5.2.5. Zadania realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej , str. 116
5.2.6. Uzasadniony interes administratora danych lub strony trzeciej , str. 118
5.3. Wybór podstawy przetwarzania , str. 121
6. Artykuły 9 i 10 RODO &ndash, dane szczególnych kategorii i dane &bdquo,karne&rdquo, &ndash, Maciej Gawroński, Michał Sztąberek , str. 122
6.1. Przesłanka zgody , str. 124
6.2. Przetwarzanie wynikające ze stosunku pracy jest dozwolone prawem , str. 125
6.3. Ochrona żywotnych interesów , str. 126
6.4. Stowarzyszanie się , str. 126
6.5. Dane upublicznione , str. 126
6.6. Sprawy sądowe , str. 126
6.7. Na podstawie prawa dla ważnego interesu publicznego , str. 127
6.8. Dane &bdquo,karne&rdquo, , str. 128
7. Zgoda &ndash, cechy oraz warunki wyrażenia zgody &ndash, Maciej Gawroński , str. 129
7.1. Definicja zgody , str. 129
7.1.1. Dobrowolność zgody , str. 129
7.1.2. Konkretność zgody , str. 134
7.1.3. Świadomość zgody , str. 134
7.1.4. Jednoznaczność zgody , str. 135
7.2. Warunki wyrażenia zgody , str. 136
7.2.1. Rozliczalność &ndash, forma udzielonej zgody , str. 137
7.3. Retencja (okres ważności zgody) , str. 139
7.4. Równołatwość cofnięcia zgody , str. 139
7.5. Ważność &bdquo,starych&rdquo, zgód , str. 140
7.6. Wyraźna zgoda , str. 140
7.7. Zgoda dziecka na usługi społeczeństwa informacyjnego (np. media społecznościowe) , str. 141
7.8. Zgoda jako pozorna podstawa prawna , str. 143
8. Administrator i podmiot przetwarzający &ndash, Maciej Gawroński, Katarzyna Kloc, Magdalena Wojtas , str. 144
8.1. Wstęp , str. 144
8.2. Administrator danych osobowych &ndash, definicja, cechy, obowiązki , str. 145
8.2.1. Definicja , str. 145
8.2.2. Każdy jest ADO , str. 146
8.2.3. Co przesądza, że dany podmiot jest ADO? , str. 147
8.2.4. Decydowanie o celach i środkach przetwarzania , str. 147
8.2.5. Praktyczny test ADO , str. 148
8.2.6. Rola ADO , str. 148
8.2.7. Obowiązki ADO , str. 149
8.3. Podmiot przetwarzający &ndash, definicja, cechy, rola i obowiązki , str. 151
8.3.1. Definicja , str. 151
8.3.2. Rola podmiotu przetwarzającego , str. 151
8.3.3. Wiarygodność i wystarczające gwarancje , str. 151
8.3.4. Umowa z ADO , str. 152
8.3.5. Obowiązki wynikające z umowy z ADO , str. 152
8.3.6. Obowiązki wynikające z RODO , str. 155
8.4. Porównanie roli i obowiązków ADO i podmiotu przetwarzającego , str. 156
9. Przetwarzanie danych niewymagające identyfikacji &ndash, Maciej Gawroński , str. 157
9.1. Wprowadzenie , str. 157
9.2. Brak obowiązku identyfikacji , str. 159
9.3. Brak obowiązku monitorowania , str. 161
9.4. Obowiązki informacyjne , str. 161
9.4.1. Obowiązek poinformowania osób &bdquo,niezidentyfikowanych&rdquo, o niemożności zidentyfikowania &ndash, jeśli to możliwe , str. 162
9.4.2. Umożliwienie wykonania praw jednostki , str. 164
9.4.3. Bezpieczeństwo , str. 165
9.4.4. Minimalizacja (dostępu i czasu) , str. 165
10. Rejestrowanie czynności przetwarzania danych &ndash, Katarzyna Kloc , str. 166
10.1. Własny rejestr zamiast zgłaszania do GIODO , str. 166
10.2. RCPD &ndash, podstawa rozliczalności , str. 167
10.3. Czynność przetwarzania danych , str. 167
10.4. Czynności realizowane w tym samym celu , str. 168
10.5. Czynności klasyfikowane w inny sposób , str. 170
10.6. RCPD dla &bdquo,małych&rdquo, i &bdquo,dużych&rdquo, &ndash, różnice , str. 171
10.6.1. Czy każdy musi prowadzić RCPD? , str. 172
10.6.2. Zatrudnienie 250 osób , str. 173
10.6.3. Przetwarzanie wysokiego ryzyka , str. 173
10.7. Zakres informacji w RCPD &ndash, administratorzy danych , str. 174
10.8. Zakres informacji w RCPD &ndash, podmioty przetwarzające dane , str. 177
10.9. Forma RCPD , str. 178
10.10. Osoba odpowiedzialna za prowadzenie RCPD , str. 178
11. Przekazywanie danych do państwa trzeciego lub organizacji międzynarodowej (eksport danych lub transfer danych) &ndash, Maciej Gawroński , str. 179
11.1. Reglamentacja eksportu danych , str. 179
11.2. Praktyczne utrudnienie eksportu danych , str. 180
11.3. Legalność eksportu danych , str. 181
11.4. Podstawy eksportu danych , str. 181
11.5. Dodatkowe podstawy przekazania , str. 182
11.6. Przekazanie &bdquo,naprawdę wyjątkowe&rdquo, , str. 183
11.7. Zarejestrowanie przekazania wyjątkowego , str. 184
11.8. Zakaz sądowej samopomocy &ndash, ucinanie &bdquo,długiej ręki&rdquo, , str. 184
11.9. Podsumowanie , str. 184
12. Przetwarzanie transgraniczne, czyli właściwość wiodącego organu nadzorczego (art. 4 pkt 16 i 23, art. 56 RODO) &ndash, Maciej Gawroński , str. 186
12.1. Wstęp , str. 186
12.2. One-stop-shop , str. 187
12.3. Przetwarzający , str. 187
12.4. Administratorzy , str. 188
12.4.1. Przetwarzanie lokalne , str. 189
12.4.2. Zasięg lokalny , str. 190
12.5. Tryb pilny , str. 190
12.6. Prawo holdingowe , str. 190
12.7. Wytyczne Grupy Roboczej Art. 29 , str. 190
12.8. Wnioski , str. 191
13. Współadministrowanie danymi osobowymi &ndash, Maciej Gawroński , str. 191
13.1. Wstęp , str. 191
13.2. Przykłady współadministrowania danymi , str. 192
13.3. Czy unikać współadministrowania? , str. 193
13.4. Obowiązki współadministratorów , str. 194
13.5. Umowa o współadministrowanie , str. 195
13.6. Treść umowy, analogia do powierzenia danych , str. 195
13.7. Ujawnienie podmiotom danych , str. 196
13.8. Transgraniczne współadministrowanie , str. 196
13.9. Wnioski , str. 196
14. Kodeksy postępowania i certyfikacja (art. 40 i n. RODO) &ndash, Paweł Punda, Aleksander P. Czarnowski, Maciej Gawroński , str. 197
14.1. Wstęp , str. 197
14.2. Kodeksy , str. 198
14.2.1. Opracowanie , str. 198
14.2.2. Zatwierdzanie , str. 199
14.3. Certyfikacja , str. 199
14.3.1. Schematy certyfikacyjne , str. 199
14.3.2. Prace legislacyjne , str. 199
14.4. Korzyści , str. 200
14.5. Projekty kodeksów , str. 202
14.6. Certyfikacja prywatna , str. 202

Rozdział II
Prawa jednostki , str. 204
1. Obsługa praw jednostki (art. 12 RODO) &ndash, Maciej Gawroński, Michał Kibil , str. 204
1.1. Wstęp , str. 204
1.2. Czytelność komunikowania się , str. 205
1.2.1. Czytelnie i zwięźle , str. 205
1.2.2. Kompletność , str. 206
1.2.3. Niecytowanie przepisów , str. 206
1.2.4. Dzieci , str. 206
1.2.5. Test Kowalskiego , str. 206
1.3. Uwierzytelnienie , str. 207
1.3.1. Potwierdzenie tożsamości , str. 207
1.3.2. Pogłębione uwierzytelnienie , str. 209
1.4. Forma komunikacji , str. 209
1.5. Ułatwianie , str. 210
1.6. Obsługa danych niezidentyfikowanych , str. 210
1.7. Czas reakcji i czas obsługi , str. 211
1.8. Nieuzasadnione lub nadmierne żądania , str. 212
1.8.1. Nieuzasadnione żądanie , str. 214
1.8.2. Nadmierne żądanie , str. 214
1.9. Schemat działania administratora , str. 215
2. Prawo do informacji i obowiązek informacyjny (art. 13 i 14 RODO) &ndash, Maciej Gawroński , str. 215
2.1. Uwagi wstępne , str. 215
2.2. Zakres informacji , str. 216
2.2.1. Pozyskiwanie od osoby , str. 216
2.2.2. Pozyskiwanie nie od osoby , str. 217
2.2.3. Zmiana celu , str. 218
2.2.4. Prawo dostępu , str. 218
2.3. Szczegóły informacji , str. 218
2.3.1. Podstawa prawna , str. 218
2.3.2. Kategorie odbiorców i odbiorcy , str. 218
2.3.3. Eksport danych , str. 219
2.3.4. Profilowanie , str. 221
2.4. Kiedy i jak informować , str. 221
2.4.1. Kiedy informować? , str. 221
2.4.1.1. Podczas pozyskiwania od osoby , str. 221
2.4.1.2. W ciągu miesiąca &ndash, z innych źródeł ,, str. 222
2.4.1.3. Aktualizacja informacji , str. 222
2.4.1.4. Informowanie osób niezidentyfikowanych (art. 11 ust. 2 RODO) , str. 223
2.4.2. Jak informować? , str. 223
2.4.2.1. Przejrzystość , str. 223
2.4.2.2. Dostępność , str. 224
2.4.2.3. Konkretność , str. 225
2.5. Wyjątki od obowiązku informowania , str. 226
3. Prawo dostępu do danych (art. 15 RODO) &ndash, Maciej Gawroński, Michał Sztąberek , str. 227
3.1. Wstęp , str. 227
3.2. Terminy , str. 228
3.3. Informacje , str. 228
3.4. Dostęp , str. 229
3.5. Kopia danych , str. 229
3.6. Prośba o sprecyzowanie , str. 230
3.7. Odmowa , str. 231
3.8. Prawa innych , str. 231
3.9. Uwierzytelnienie i komunikacja , str. 233
3.10. Regulaminy i procedury , str. 234
3.11. Mapowanie danych, narzędzia eksploracji danych (data mining), narzędzia do tzw. ticketowania , str. 234
3.12. Podsumowanie , str. 234
4. Prawo do sprostowania danych (art. 16 RODO) &ndash, Maciej Gawroński, Michał Sztąberek , str. 235
4.1. Wstęp , str. 235
4.2. Zagadnienia ogólne &ndash, tryb uwierzytelnienia i komunikacji , str. 235
4.2.1. Element sporu , str. 236
4.2.2. Prawo do skargi , str. 236
4.2.3. Styl , str. 236
4.2.4. Wykazanie nieprawidłowości danych , str. 237
4.2.5. Dane nieaktualne czy nieprawidłowe , str. 237
4.2.6. Zakres korekty danych , str. 237
4.3. Uzupełnienie danych niekompletnych , str. 238
4.3.1. Adekwatność danych , str. 238
4.3.2. Podstawa aktualizacji , str. 238
4.4. Obowiązek powiadomienia , str. 239
5. Prawo do usunięcia danych, prawo do bycia zapomnianym (art. 17 RODO) &ndash, Maciej Gawroński, Katarzyna Kunda , str. 240
5.1. Historia prawa do bycia zapomnianym , str. 240
5.2. Składniki prawa do bycia zapomnianym , str. 242
5.3. Podstawy żądania usunięcia danych , str. 242
5.3.1. Zbędność do celów przetwarzania , str. 243
5.3.2. Cofnięcie zgody , str. 243
5.3.3. Wniesienie sprzeciwu , str. 244
5.3.4. Przetwarzanie niezgodne z prawem , str. 245
5.3.5. Prawny obowiązek usunięcia danych , str. 246
5.3.6. Oferowanie usług społeczeństwa informacyjnego dzieciom , str. 246
5.4. Wyjątki , str. 246
5.4.1. Korzystanie z prawa do wolności wypowiedzi i informacji , str. 247
5.4.2. Wywiązanie się z obowiązku prawnego lub zadania realizowanych w interesie publicznym albo w ramach wykonywania władzy publicznej , str. 248
5.4.3. Interes publiczny w ochronie zdrowia publicznego , str. 248
5.4.4. Cele archiwalne, badania naukowe, historyczne, cele statystyczne , str. 249
5.4.5. Ustalenie, dochodzenie, obrona roszczeń , str. 250
5.5. Zakres usunięcia danych , str. 250
5.6. Przetwarzanie w celu realizacji prawa do usunięcia danych i prawa do bycia zapomnianym , str. 252
5.7. Przetwarzanie w celu zapewnienia bezpieczeństwa &ndash, problem kopii zapasowych i archiwalnych , str. 253
5.7.1. Jak wszyscy, to wszyscy , str. 253
5.7.2. Problem bezpieczeństwa i ciągłości działania , str. 253
5.7.3. Problem rozliczalności , str. 254
5.7.4. Problem praktyczny &ndash, zasoby i proces , str. 254
5.7.5. Rozwiązanie , str. 255
5.8. Problem danych nieustrukturyzowanych , str. 256
5.9. Obowiązek powiadomienia , str. 258
5.10. Poinformowanie innych administratorów , str. 258
5.11. Ograniczenie obowiązku poinformowania , str. 259
5.12. Listy kontrolne , str. 259
5.12.1. Przygotowanie do RODO &ndash, wprowadzenie prawa do bycia zapomnianym do organizacji , str. 259
5.12.2. Przetworzenie żądania usunięcia danych , str. 260
6. Prawo do ograniczenia przetwarzania (art. 18 RODO) &ndash, Michał Sztąberek, Maciej Gawroński , str. 261
6.1. Ograniczenie przetwarzania , str. 261
6.2. Prawo do ograniczenia przetwarzania , str. 261
6.2.1. Ograniczenie w razie sporu co do prawidłowości danych , str. 262
6.2.2. Ograniczenie w razie niezgodności z prawem , str. 263
6.2.3. Ograniczenie dla potrzeb roszczeń , str. 263
6.2.4. Ograniczenie w razie sprzeciwu ze względu na szczególną sytuację , str. 264
6.3. Sposób zastosowania się do żądania ograniczenia przetwarzania , str. 264
7. Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania (art. 19 RODO) &ndash, Aleksander P. Czarnowski, Maciej Gawroński, Paweł Punda , str. 265
7.1. Obowiązek śledzenia danych , str. 265
7.2. Odbiorca danych na gruncie art. 19 RODO , str. 266
7.3. Obowiązek informacyjny na żądanie , str. 266
8. Prawo do przenoszenia danych, czyli jak przenieść dane od jednego administratora danych do drugiego (art. 20 RODO) &ndash, Aleksander P. Czarnowski, Maciej Gawroński, Paweł Punda , str. 267
8.1. Wstęp , str. 267
8.2. Na czym dokładnie polega prawo przenoszenia danych? , str. 268
8.3. Kiedy można skorzystać z prawa do przenoszenia danych? , str. 269
8.4. Jaki zakres danych należy przekazać? , str. 269
8.5. W jaki sposób należy zrealizować prawo do przeniesienia danych? , str. 271
8.5.1. Wyjątki , str. 273
8.5.2. Prawa osób trzecich , str. 274
8.5.3. Przenoszenie danych, które są równocześnie danymi wnioskodawcy i danymi innej osoby , str. 275
8.6. Kogo przenoszenie danych dotyczy najbardziej? , str. 276
8.6.1. Bezpieczeństwo , str. 276
8.6.2. Kwestia techniczna , str. 277
9. Prawo do sprzeciwu (art. 21 RODO) &ndash, Maciej Gawroński, Michał Sztąberek , str. 277
9.1. Prawo do sprzeciwu , str. 277
9.2. Sprzeciw ze względu na szczególną sytuację osoby , str. 279
9.2.1. Prawnie uzasadnione interesy , str. 280
9.2.2. Roszczenia i spory , str. 281
9.2.3. Interes publiczny lub władza publiczna , str. 282
9.3. Przetwarzanie danych na potrzeby marketingu bezpośredniego , str. 283
9.3.1. Sprzeciw względem marketingu bezpośredniego a cofnięcie zgody na przetwarzanie , str. 284
9.3.2. Sprzeciw względem marketingu bezpośredniego a zgoda na zdalną komunikację marketingową , str. 284
9.4. Skuteczne wniesienie sprzeciwu na przetwarzanie danych , str. 285
9.5. Jak powinien być składany sprzeciw , str. 286
10. Profilowanie i automatyczne podejmowanie decyzji (art. 22 RODO) &ndash, Michał Kibil , str. 286
10.1. Wstęp , str. 286
10.2. Definicja profilowania z RODO , str. 291
10.2.1. Automatyzacja , str. 292
10.2.2. Dane osobowe , str. 292
10.2.3. Efekt , str. 292
10.2.4. Czynności traktowane jako profilowanie , str. 293
10.3. Obowiązki administratora danych osobowych związane z profilowaniem lub automatycznym podejmowaniem decyzji, lub podejmowaniem decyzji w oparciu o profilowanie , str. 294
10.3.1. Obowiązki ogólne administratora , str. 295
10.3.1.1. Informowanie o decydowaniu automatycznym i w oparciu o profilowanie , str. 295
10.3.1.2. Ile razy informować , str. 296
10.3.1.3. Zmiana celu , str. 296
10.3.1.4. Profilowanie danych ze &bdquo,starej&rdquo, ustawy o ochronie danych osobowych , str. 296
10.3.2. Prawo sprzeciwu , str.296
10.4. Profilowanie a podejmowanie zautomatyzowanych decyzji , str. 297
10.4.1. Środki bezpieczeństwa , str. 299
10.4.2. Kiedy można stosować decyzje zautomatyzowane lub oparte wyłącznie na profilowaniu , str. 300
10.4.2.1. Prawo do ludzkiej interwencji , str. 302
10.4.2.2. Proces reklamacyjny , str. 303
10.4.2.3. Automatyczne uwierzytelnienie , str. 3031
10.4.3. Profilowanie dzieci , str. 304
10.4.4. Zautomatyzowane decyzje dotyczące danych wrażliwych , str. 304
10.4.5. Wnioski , str. 305

Rozdział III
Bezpieczeństwo , str. 306
1. Bezpieczeństwo danych w świetle RODO &ndash, analiza ryzyka i adekwatność środków &ndash, Aleksander P. Czarnowski, Maciej Gawroński , str. 306
1.1. Bezpieczeństwo odpowiednie do ryzyka , str. 306
1.1.1. Ryzyko , str. 307
1.1.2. Ryzyko naruszenia praw lub wolności , str. 308
1.1.3. Analiza ryzyka , str. 309
1.2. Elementy oceny adekwatności środków bezpieczeństwa danych , str. 312
1.2.1. Stan wiedzy technicznej , str. 313
1.2.2. Koszt , str. 313
1.2.3. Cechy samego przetwarzania , str. 314
1.2.4. Ryzyko naruszenia praw lub wolności , str. 314
1.3. Nie trzeba wymyślać procesu samemu? , str. 321
1.4. Środki bezpieczeństwa , str. 323
1.5. Jak z tego wybrnąć na skróty? , str. 325
2. Pseudonimizacja i szyfrowanie &ndash, preferowane środki zabezpieczania danych osobowych &ndash, Aleksander P. Czarnowski, Maciej Gawroński, Paweł Punda , str. 326
2.1. Uwagi wstępne , str. 326
2.2. Szyfrowanie , str. 326
2.3. Pseudonimizacja , str. 329
2.4. Anonimizacja , str. 330
2.5. Pseudonimizacja czy szyfrowanie , str. 330
2.5.1. Bezpieczeństwo , str. 331
2.5.2. Analiza ryzyka , str. 332
2.5.2.1. Ocena skutków dla ochrony danych , str.334
2.5.2.2. Metodyka analizy ryzyka , str. 335
2.6. Privacy by design , str. 337
2.7. Notyfikacja naruszeń ochrony danych , str. 337
2.8. Zastosowania biznesowe pseudonimizacji , str. 338
2.9. Podsumowanie , str. 339
3. Privacy by design, czyli projektowanie prywatności &ndash, Maciej Gawroński, Katarzyna Kunda , str. 339
3.1. Privacy by design , str. 339
3.1.1. Z czego się składa projektowanie prywatności , str. 341
3.1.1.1. Bezpieczeństwo , str. 342
3.1.1.2. Pseudonimizacja , str. 343
3.1.1.3. Minimalizacja , str. 344
3.1.1.4. Prawa jednostki i czasowość , str. 344
3.1.2. Jak wdrożyć privacy by design w organizacji? , str. 345
3.1.2.1. Projektowanie prywatności w konkretnym projekcie , str. 345
3.1.2.2. Zasady projektowania prywatności , str. 345
3.1.2.3. Od kiedy projektować prywatność , str. 346
3.2. Certyfikacja projektowania prywatności i domyślnej prywatności , str. 346
4. Privacy by default, czyli domyślna ochrona danych &ndash, minimalizacja &ndash, Maciej Gawroński, Katarzyna Kunda , str. 347
4.1. Zasada privacy by default , str. 347
4.2. Privacy by default, czyli minimalizacja , str.347
4.3. Atrybuty domyślnej prywatności , str. 348
4.4. Wskazówki praktyczne , str. 349
4.5. Udostępnianie nieokreślonej liczbie osób , str. 350
4.6. Certyfikacja projektowania prywatności i domyślnej prywatności , str. 351
5. Ocena skutków dla ochrony danych krok po kroku &ndash, Katarzyna Kloc , str. 351
5.1. Uwagi wstępne , str. 351
5.2. &bdquo,Kwalifikowana&rdquo, analiza ryzyka i rozliczalność , str. 352
5.3. Podobne procesy, jedna DPIA , str. 354
5.4. Analiza ryzyka do kwadratu , str. 355
5.4.1. Analiza ryzyka , str. 355
5.4.2. Jak w praktyce można przeprowadzić analizę ryzyka pierwszego stopnia i mieć wstępny przegląd operacji wymagających DPIA? , str. 356
5.5. DPIA &ndash, kiedy trzeba? , str. 357
5.5.1. Duża skala , str. 358
5.5.2. Wytyczne Grupy Roboczej Art. 29 , str. 360
5.6. Jak określić, czy w naszej firmie należy przeprowadzić DPIA i w odniesieniu do których procesów? , str. 363
5.6.1. Urzędowy katalog operacji DPIA , str. 364
5.7. Kiedy nie trzeba przeprowadzać DPIA? , str. 372
5.8. DPIA krok po kroku , str. 373
5.8.1. Uwagi ogólne , str. 373
5.8.2. IOD , str. 376
5.8.3. Eksperci , str. 376
5.8.4. Reprezentanci grup docelowych , str. 376
5.8.5. Uprzednie konsultacje z organem nadzorczym , str. 377
5.9. Wytyczne GIODO , str. 378
5.9. Podsumowanie , str. 378

Rozdział IV
Przetwarzający dane , str. 380
1. Powierzenie danych oraz elementy nowej umowy powierzenia danych &ndash, Aleksander P. Czarnowski, Maciej Gawroński, Patrycja Naklicka , str. 380
1.1. Uwagi wstępne , str. 380
1.2. Opis gwarancji zgodności , str. 380
1.3. Pisemna umowa , str. 381
1.4. Zgoda na podpowierzenie danych , str. 381
1.5. Transfer obowiązków na podprzetwarzającego , str. 382
1.6. Zakaz &bdquo,wydmuszki&rdquo, , str. 382
1.7. Przedmiot przetwarzania , str. 383
1.8. Pisemność poleceń ADO , str. 383
1.9. Zobowiązania do poufności , str. 383
1.10. Bezpieczeństwo danych , str. 384
1.11. Obsługa praw jednostki , str. 384
1.12. Wsparcie obowiązków bezpieczeństwa administratora , str. 384
1.13. Notyfi kacja podejrzenia naruszenia ochrony danych , str. 385
1.14. Usuwanie i zwrot danych , str. 385
1.15. Obowiązek rozliczenia się ze zgodności z umową , str. 387
1.16. Podleganie audytom , str. 387
1.17. Odpłatność , str. 388
1.18. Informowanie o legalności poleceń , str. 388
1.19. Procedura rozstrzygania legalności , str. 388
1.20. Zasady odpowiedzialności , str. 389
1.21. Wyznaczanie inspektora ochrony danych , str.390
2. Powierzenie danych oraz elementy nowej umowy powierzenia danych &ndash, Aleksander P. Czarnowski, Maciej Gawroński, Patrycja Naklicka , str. 390
2.1. Umowy powierzenia a umowy SLA , str. 390
2.1.1. Dostępność systemu SLA i czas reakcji , str. 391
2.1.2. SLA w praktyce , str. 391
2.1.3. Standaryzacja umów SLA a zgodność z RODO , str. 391
2.2. Nowe wyzwania dla administratora i procesora , str. 392
2.3. Rekomendacje , str. 393

Rozdział V
Zarządzanie incydentami , str. 394
1. Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu (art. 33 RODO) &ndash, Maciej Gawroński, Zuzanna Piotrowska , str. 394
1.1. Przepis , str. 394
1.2. Co to jest naruszenie ochrony danych osobowych? , str. 395
1.2.1. Naruszenie ochrony danych wg Grupy Roboczej Art. 29 , str. 397
1.2.1.1. Naruszenie poufności , str. 397
1.2.1.2. Naruszenie dostępności , str. 398
1.2.1.3. Naruszenie integralności , str. 398
1.3. Czy każde naruszenie trzeba zgłaszać? , str. 398
1.3.1. Procedura zgłaszania , str. 399
1.3.1.1. Termin dla administratora , str. 399
1.3.1.2. Termin dla przetwarzającego , str. 400
1.3.2. Stwierdzenie naruszenia , str. 400
1.3.3. Zgłoszenie &ndash, treść i forma , str. 402
1.3.4. Powiadamianie z opóźnieniem , str. 403
1.3.5. Obowiązki podmiotu przetwarzającego , str. 404
1.4. Kiedy mimo wystąpienia incydentu naruszenia ochrony danych nie trzeba powiadamiać organu nadzorczego? , str. 404
1.4.1. Kwestie praktyczne , str. 407
1.4.2. Dokumentowanie naruszeń , str. 407
1.4.3. Sankcja administracyjna , str. 409
1.5. Elementy systemu zgłaszania naruszeń , str. 410
2. Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych (art. 34 RODO) &ndash, Katarzyna Kloc, Maciej Gawroński , str. 410
2.1. Wstęp , str. 410
2.2. Wysokie ryzyko naruszenia praw lub wolności , str. 411
2.2.1. Prawa i wolności , str. 411
2.3. Wyjątki od obowiązku zawiadomienia , str. 413
2.3.1. Działania prewencyjne , str. 414
2.3.2. Działania następcze , str. 414
2.4. Zawiadomienie , str. 414
2.4.1. Treść zawiadomienia , str. 414
2.4.2. Forma zawiadomienia , str. 415
2.4.3. Ogłoszenie w miejscu zawiadomienia , str. 416
2.4.4. Termin zawiadomienia , str. 416
2.5. Uzgodnienia z organem nadzorczym , str. 417

Rozdział VI
Inspektor ochrony danych (IOD) , str. 418
1. Inspektor ochrony danych &ndash, wyznaczenie i status &ndash, Michał Kibil, Maciej Gawroński , str. 418
1.1. IOD &ndash, ewolucja czy rewolucja , str. 418
1.2. Kto ma obowiązek wyznaczenia inspektora ochrony danych? , str. 419
1.2.1. Organ lub podmiot publiczny , str. 420
1.2.2. Działalność wymagająca systematycznego i regularnego monitorowania oraz przetwarzanie na dużą skalę , str. 421
1.2.2.1. Główna działalność , str. 421
1.2.2.2. Monitorowanie osób , str. 422
1.3. Działanie w ramach zrzeszeń i grup przedsiębiorców , str. 426
1.4. Kwalifikacje IOD , str. 427
1.5. Zatrudnienie IOD , str. 428
1.6. Status inspektora danych , str. 429
1.6.1. Obowiązki administratora względem IOD , str. 429
1.6.2. Niezależność IOD , str. 431
2. Zadania inspektora ochrony danych osobowych &ndash, Michał Kibil, Maciej Gawroński , str. 432
2.1. Wstęp , str. 432
2.2. Informacje poufne oraz unikanie konfliktu interesów , str. 432
2.3. Zadania inspektora ochrony danych , str. 434

Rozdział VII
Regulator , str. 437
1. Organ nadzorczy &ndash, status, rola i obowiązki &ndash, Katarzyna Kunda, Patrycja Naklicka, Zuzanna Piotrowska , str. 437
1.1. Niezależność , str. 437
1.2. Cechy i gwarancje niezależności , str. 438
1.3. Członkowie organu nadzorczego , str. 439
1.3.1. Wybór , str. 439
1.3.2. Okres kadencji &ndash, konflikt interesów , str. 440
1.4. Rola organu nadzorczego , str. 440
1.4.1. Kompetencje z art. 57 RODO , str. 440
1.5. Bezpłatność , str. 441
2. Uprawnienia organu nadzorczego z zakresu ochrony danych osobowych &ndash, Katarzyna Kunda, Patrycja Naklicka, Zuzanna Piotrowska , str. 442
2.1. Wstęp , str. 442
2.2. Uprawnienia kontrolne , str. 442
2.2.1. Rodzaje i techniki kontroli , str. 442
2.2.2. Przebieg kontroli , str. 443
2.2.3. Zakres kontroli , str. 443
2.2.4. Uprawnienia pokontrolne , str. 445
2.2.5. Obowiązek zachowania tajemnicy , str. 445
2.3. Kary przewidziane przez RODO , str. 445
2.4. Udzielanie zezwoleń i kompetencje doradcze , str. 446
2.5. Obowiązek rozpatrywania skarg przez PUODO , str. 446

Rozdział VIII
Środki ochrony prawnej, odpowiedzialność i sankcje , str. 447
1. Środki ochrony prawnej &ndash, odpowiedzialność cywilnoprawna i administracyjna &ndash, Maciej Gawroński , str. 447
1.1. Wstęp , str. 447
1.2. Skarga do organu nadzorczego , str. 448
1.3. Skarga do sądu (administracyjnego) na organ nadzorczy , str. 449
1.4. Odpowiedzialność cywilnoprawna &ndash, żądanie zaniechania lub zachowania , str. 450
1.4.1. Prawo do sądu , str. 450
1.4.2. Właściwość miejscowa sądu , str. 451
1.4.3. Tryb procesowy , str. 451
1.5. Odpowiedzialność odszkodowawcza , str. 451
1.5.1. Szkoda majątkowa i niemajątkowa , str. 452
1.5.2. Administrator i przetwarzający , str. 452
1.5.3. Uwolnienie się od odpowiedzialności , str. 452
1.5.4. Domniemanie winy , str. 454
1.5.5. Współodpowiedzialność , str. 454
1.5.6. Właściwość sądu , str. 455
1.5.7. Proces cywilny , str. 455
1.6. Reprezentacja podmiotów danych przez wyspecjalizowane podmioty , str. 455
2. Sankcje administracyjne za naruszenie przepisów RODO &ndash, Maciej Gawroński , str. 456
2.1. Wstęp , str. 456
2.2. Komu grożą kary? , str. 456
2.3. Jakie powinny być kary? , str. 456
2.4. Kara większa i kara mniejsza , str. 456
2.5. Księgowość karania , str. 458
2.6. Konfiskata korzyści z &bdquo,rodoprzestępstwa&rdquo, , str. 459
3. Odpowiedzialność podmiotu przetwarzającego &ndash, Maciej Gawroński , str. 460

Rozdział IX
Nowa ustawa o ochronie danych osobowych &ndash, rola i miejsce w porządku prawnym po 25.05.2018 r. &ndash, Katarzyna Kloc , str. 462
1. Wprowadzenie , str. 462
2. Porządek prawny przed 25.05.2018 r. , str. 462
3. Planowane zmiany &ndash, przepisy sektorowe , str. 464
4. Rola nowej ustawy o ochronie danych osobowych , str. 465
5. Niewielki zakres obowiązywania ustawy o ochronie danych osobowych z 1997 r. , str. 466
6. Podsumowanie , str. 467

Rozdział X
Wyjątek dziennikarski (art. 2), cz. 1 &ndash, Maciej Gawroński, Katarzyna Kunda, Katarzyna Kloc , str. 468
1. Wolność wypowiedzi i informacji a RODO , str. 468
1.1. Wyłączenia &ndash, podstawa w RODO , str. 469
1.2. Pogodzenie przepisów regulujących wolność wypowiedzi i informacji z RODO w polskim porządku prawnym , str. 471
2. Wyjątek dziennikarski, działalność artystyczna i literacka a RODO , str. 472
2.1. Wyjątek dziennikarski &ndash, wyłączenia dla dziennikarzy , str. 473
2.2. Waga wyłączenia w przypadku dziennikarzy , str. 474
2.3. Wyłączenia dla pisarzy i artystów &ndash, działalność literacka i artystyczna , str. 475
2.4. Zakres wyłączenia stosowania RODO , str. 476
2.5. Wyłączenia w zakresie podstawowych zasad , str. 477

Rozdział XI
Wyjątek dziennikarski (art. 2), cz. 2 &ndash, Maciej Gawroński, Katarzyna Kunda, Katarzyna Kloc , str. 479
1. Wyłączenia w zakresie obsługi praw jednostki , str. 479
2. Wyłączenia w zakresie obowiązków przy powierzeniu przetwarzania , str. 482
3. Wyłączenia w zakresie rejestru czynności przetwarzania danych , str. 483
4. Przepisy RODO stosowane do dziennikarzy, literatów i artystów , str. 483
4.1. Przetwarzanie danych karnych , str. 484
4.2. Bezpieczeństwo , str. 484
4.3. Inspektor ochrony danych , str. 485
4.4. Współadministrowanie , str. 485
4.5. Transfer danych poza EOG , str. 485
4.6. Odpowiedzialność , str. 486
5. Wypowiedź akademicka , str. 486
5.1. Wyłączenia stosowania przepisów RODO dla wypowiedzi akademickiej , str. 487
5.2. Ograniczenia w zakresie realizacji praw jednostki , str. 487
5.3. Powierzenie przetwarzania danych , str. 488
5.4. Wyłączenie w zakresie obowiązku prowadzenia rejestru czynności przetwarzania danych , str. 488
5.5. Zakres stosowania RODO w przypadku wypowiedzi akademickich , str. 488

Rozdział XII
Prezes Urzędu Ochrony Danych &ndash, polski organ nadzorczy &ndash, Maciej Gawroński, Patrycja Naklicka , str. 490
1. Prezes Urzędu , str. 490
2. GIODO a Prezes Urzędu , str. 491
2.1. Zmiana nazwy organu nadzorczego , str. 491
2.2. Kontynuacja kierownictwa , str. 492
3. Zadania oraz uprawnienia Prezesa Urzędu , str. 493
3.1. Zadania i uprawnienia Prezesa Urzędu określone w RODO , str. 493
3.2. Zadania i uprawnienia Prezesa Urzędu określone w ustawie o ochronie danych osobowych , str. 497
4. Podmioty uprawnione do wystąpienia o uprzednie konsultacje , str. 504
5. Dodatkowe uprawnienia Prezesa Urzędu i kwestia rozstrzygania sporów o właściwość , str. 505
6. Sposób powoływania, odwoływania oraz kadencja Prezesa Urzędu , str. 506
6.1. Powoływanie Prezesa Urzędu , str. 506
6.2. Wymogi względem Prezesa Urzędu , str. 506
6.3. Kadencja , str. 506
6.4. Sposób odwołania Prezesa Urzędu , str. 507
7. Niezależność Prezesa Urzędu , str. 508
8. Niezależność materialna. Zapewnienie zasobów i zaplecza administracyjnego dla Prezesa Urzędu , str. 509
8.1. Budżet , str. 509
8.2. Urząd , str. 509
8.3. Statut Urzędu , str. 511
8.4. Zachowanie poufności , str. 511
8.5. Zastępcy Prezesa Urzędu , str. 512
8.6. Zakaz zajmowania innych stanowisk , str. 512
8.7. Apolityczność , str. 512
9. Immunitet formalny Prezesa Urzędu , str. 513
9.1. Wniosek o pociągnięcie do odpowiedzialności , str. 513
9.2. Wymogi formalne wniosku o pociągnięcie do odpowiedzialności , str. 514
9.3. Procedura rozpatrywania wniosku , str. 514
9.4. Zgoda , str. 515
9.5. Wniosek o wyrażenie zgody na zatrzymanie lub aresztowanie , str. 515
9.6. Wymogi formalne wniosku o zatrzymanie lub aresztowanie , str. 515
9.7. Powiadomienie i ogłoszenie uchwały , str. 516
9.8. Odpowiedzialność karna a odpowiedzialność za wykroczenia , str. 516
10. Rada do Spraw Ochrony Danych Osobowych , str. 516
10.1. Kompetencje Rady , str. 516
10.2. Skład Rady , str. 517
10.3. Członkowie Rady , str. 518
10.4. Zachowanie tajemnicy , str. 518
10.5. Kadencja członka Rady , str. 518
10.6. Funkcjonowanie Rady , str. 519
10.7. Wynagrodzenie za udział w pracach , str. 519

Rozdział XIII
Postępowanie przed Prezesem Urzędu Ochrony Danych &ndash, podstawowe informacje i rodzaje postępowań (akredytacja, certyfikacja, postępowania kontrolne i postępowania w sprawie naruszeń przepisów o ochronie danych) &ndash, Magdalena Wojtas , str. 520
1. Rodzaje postępowań przed Prezesem Urzędu Ochrony Danych Osobowych , str. 520
2. Ogólny opis postępowań przed Prezesem Urzędu , str. 521
2.1. Postępowanie certyfikacyjne , str. 521
2.2. Postępowanie w sprawie zatwierdzenia kodeksu postępowania , str. 522
2.3. Postępowanie w sprawie akredytacji podmiotu monitorującego , str. 523
2.4. Postępowanie kontrolne , str. 524
2.5. Postępowanie w sprawie naruszeń przepisów o ochronie danych , str. 524

Rozdział XIV
Warunki i tryb certyfikacji &ndash, Maciej Gawroński, Paweł Punda , str. 526
1. Mechanizmy certyfikacji , str. 526
2. Podstawy certyfikacji , str. 526
3. Cel certyfikacji , str. 527
3.1. Certyfikacja przez Prezesa Urzędu , str. 529
3.2. Certyfikacja przez podmiot certyfikujący , str. 529
4. Postępowanie w sprawie certyfikacji , str. 530
4.1. Cofnięcie certyfikacji , str. 530
4.2. Okres certyfikacji , str. 531
4.3. Zasięg terytorialny certyfikacji , str. 531
5. Specyfika mikro-, małych i średnich przedsiębiorstw , str. 531

Rozdział XV
Postępowanie w sprawach naruszenia przepisów o ochronie danych &ndash, Maciej Gawroński, Patrycja Naklicka , str. 534
1. Prowadzenie postępowania przez Prezesa Urzędu Ochrony Danych Osobowych (art. 60 u.o.d.o.) , str. 534
1.1. Właściwość Prezesa Urzędu , str. 534
1.2. Naruszenie przepisów , str. 534
1.3. Stosowanie Kodeksu postępowania administracyjnego , str. 535
2. Jednoinstancyjność postępowania (art. 7 u.o.d.o.) , str. 535
2.1. Zaskarżanie postanowień Prezesa Urzędu w postępowaniu w sprawie naruszenia , str. 537
3. Kiedy Prezes Urzędu wszczyna postępowanie? , str. 538
4. Przedstawiciel organizacji jako pełnomocnik strony (art. 61 u.o.d.o.) , str. 539
5. Zawiadomienie strony o niezałatwieniu sprawy w terminie (art. 63 u.o.d.o.) , str. 540
5.1. Termin na załatwienie sprawy , str. 540
5.2. Obowiązki organu po upływie terminu , str. 541
5.3. Dwa czy trzy miesiące na załatwienie sprawy przez Prezesa Urzędu? , str. 541
5.4. Terminy instrukcyjne , str. 542
5.5. Załatwienie sprawy w terminie a liczba skarg , str. 542
6. Uprawnienia Prezesa Urzędu w zakresie prowadzenia postępowania o naruszeniu przepisów , str. 543

Rozdział XVI
Kontrola organu nadzorczego &ndash, Magdalena Wojtas , str. 559
1. Zakres kontroli , str. 559
2. Podmioty kontrolujące , str. 561
2.1. Kontrolujący , str. 561
2.2. Wyłączenie kontrolującego , str. 561
2.3. Specjalista , str. 562
3. Termin przeprowadzenia kontroli , str. 563
3.1. Podstawa wszczęcia kontroli , str.563
3.2. Brak obowiązku wcześniejszego zawiadomienia , str. 563
4. Cel kontroli , str. 564
5. Sposób przeprowadzania kontroli , str. 565
5.1. Upoważnienie , str. 565
5.2. Rodzaje kontroli , str. 567
5.3. Zasady kontroli , str. 567
5.4. Udział Policji w kontroli , str. 568
5.5. Protokół , str. 570
5.6. Czas trwania kontroli , str. 571
6. Podejście do kontroli , str. 572

Rozdział XVII
Wyznaczanie IOD, cz. 1 &ndash, Maciej Gawroński, Adrianna Gnatowska , str. 573
1. Wstęp , str. 573
2. Obowiązek powołania IOD , str. 574
2.1. Uwagi ogólne , str. 574
2.2. Powołanie fakultatywnego IOD , str. 575
2.3. Organy i podmioty publiczne , str. 575
2.4. Główna działalność , str. 576
2.5. Przetwarzanie danych na dużą skalę , str. 576
2.6. Duża skala według estońskiego DPA , str. 576
2.7. Monitoring wizyjny , str. 578
3. Procedura zawiadomienia o wyznaczeniu IOD według ustawy o ochronie danych osobowych , str. 578
3.1. Uwagi ogólne , str. 578
3.2. Zawiadomienie o wyznaczeniu IOD , str. 580
3.3. Zastępca IOD , str. 581
3.4. Zawiadomienie o zmianach , str. 581
3.5. Forma zawiadomienia , str. 582
3.6. Zawiadomienie przez pełnomocnika , str. 582
3.7. IOD dla grupy przedsiębiorstw , str. 583
3.8. Udostępnienie danych IOD , str. 583
4. Charakter przepisów przejściowych , str. 584
4.1. Przepisy przejściowe , str. 584
4.2. ABI jako &bdquo,prowizoryczny&rdquo, IOD , str. 585
4.3. Termin wyznaczenia IOD w sytuacji niepowołania ABI przed 24.05.2018 r. , str. 586
4.4. Wyznaczenie IOD przez podmiot przetwarzający , str. 586

Rozdział XVIII
Wyznaczanie IOD, cz. 2 &ndash, Maciej Gawroński, Adrianna Gnatowska , str. 587
1. Praktyczne aspekty wyznaczania inspektora ochrony danych , str. 587
1.1. Zawiadomienie w formie elektronicznej , str. 587
1.1.1. Kwalifikowany podpis elektroniczny , str. 587
1.1.2. Profil zaufany ePUAP , str. 588
1.1.3. Profil zaufany ePUAP dla organizacji , str. 588
1.1.4. Zawiadomienie przez pełnomocnika , str. 589
1.2. Wyznaczenie IOD dla oddziału , str. 589
1.3. Konflikt interesów , str. 592
1.3.1. Funkcja compliance a stanowisko IOD , str. 592
1.3.2. Prawnik jako IOD , str. 593
1.3.3. Osoba reprezentująca związek zawodowy (&bdquo,ZZ&rdquo,) a IOD , str. 595

Rozdział XIX
Postępowania przed sądem w przypadku naruszenia przepisów o ochronie danych &ndash, Maciej Gawroński, Patrycja Naklicka , str. 598
1. Właściwość sądu okręgowego , str. 598
2. Synchronizacja między Urzędem a sądami , str. 598
3. Wzajemne informowanie , str. 600
4. Sprzeczne z RODO zamrożenie prawa do sądu , str. 600
5. Gravamen , str. 601
6. Związanie sądu decyzją Prezesa , str. 601
7. Udział Prezesa w postępowaniu sądowym , str. 601
8. Rozkład ciężaru dowodu , str. 602
9. Ogólny ciężar udowodnienia okoliczności , str. 602
10. Ciężar udowodnienia zgodności zdarzenia z prawem , str. 603
11. Pojęcie szkody , str. 603
12. Odpowiedzialność solidarna , str. 604
13. Odpowiedzialność podmiotu przetwarzającego , str. 605
14. Odesłanie do przepisów Kodeksu postępowania cywilnego , str. 606

Rozdział XX
Kary pieniężne za naruszenie przepisów o ochronie danych &ndash, Paweł Dmowski, Maciej Gawroński , str. 607
1. Wstęp , str. 607
2. Kto? , str. 607
3. Komu i ile? , str. 608
4. Za co? , str. 609
4.1. Kara mniejsza , str. 609
4.2. Kara większa , str. 610
5. Ustalenie wysokości kary , str. 612
6. Różnica w odpowiedzialności podmiotu przetwarzającego , str. 615
7. Odwołanie od decyzji wymierzającej karę , str. 616
8. Wykonanie kary (egzekucja) , str. 616
9. Odroczenie płatności , str. 617
10. Pozostałe ulgi w przedmiocie wykonania kary , str. 618
11. Podsumowanie , str. 619

Rozdział XXI
Europejska współpraca &ndash, Maciej Gawroński, Patrycja Naklicka , str. 620
1. Wstęp , str. 620
2. Przepisy o wzajemnej współpracy europejskiej , str. 621
3. Cel mechanizmu wzajemnej współpracy , str. 621
3.1. Swoboda przetwarzania danych w całej Unii , str. 621
3.2. Regulacje wzajemnej współpracy , str. 622
4. Wyjątek od stosowania mechanizmu wzajemnej współpracy , str. 622
5. Co to jest wzajemna współpraca? , str. 623
5.1. Zakres wzajemnej współpracy , str. 623
5.2. Formy wzajemnej współpracy , str. 623
6. Przepisy proceduralne w ustawie o ochronie danych osobowych , str. 624

Rozdział XXII
Kodeksy postępowań &ndash, Aleksander P. Czarnowski , str. 626
1. Wprowadzenie , str. 626
2. ISO 9001 a RODO , str. 628
3. Inne ważne normy ISO z perspektywy RODO , str. 629
4. ISO a kodeksy postępowań , str. 629
5. Kodeksy postępowań , str. 630
6. Rola kodeksów w praktyce , str. 631
7. Zakres kodeksu , str. 632

Rozdział XXIII
Odpowiedzialność cywilna za naruszenie przepisów &ndash, Maciej Gawroński, Patrycja Naklicka , str. 633
1. Wstęp , str. 633
2. Tryb dochodzenia roszczeń na gruncie poprzedniej ustawy o ochronie danych osobowych a RODO , str. 634
3. Odesłanie do przepisów Kodeksu cywilnego , str. 635
4. Roszczenia z art. 79 RODO &ndash, żądanie wykonania uprawnień lub zaprzestania naruszeń , str. 635
5. Brak przedawnienia i zakaz zbywania , str. 636
6. Roszczenie o odszkodowanie z art. 82 RODO , str. 637

Rozdział XXIV
Akredytacja podmiotów monitorujących przestrzeganie zatwierdzonych kodeksów postępowań &ndash, Aleksander P. Czarnowski , str. 639
1. Wstęp , str. 639
2. Przebieg procesu akredytacyjnego , str. 640

Rozdział XXV
Monitoring jako jedna z kluczowych zmian wprowadzonych przez ustawę o ochronie danych osobowych. Część 1 &ndash, monitoring pracowniczy &ndash, Maciej Gawroński, Katarzyna Kloc , str. 643
1. Wstęp , str. 643
2. Monitoring pracowników , str. 644
3. Monitoring wizyjny , str. 646
4. Cele , str. 646
5. Przykład naruszenia zasad korzystania z monitoringu wizyjnego , str. 647
6. Rejestracja obrazu , str. 647
7. Monitorowany obszar , str. 648
8. Monitoring wizyjny a RODO , str. 648
9. Podstawa przetwarzania danych z monitoringu , str. 649
10. Prawnie uzasadniony interes jako podstawa stosowania monitoringu wizyjnego przez podmioty publiczne , str. 649
11. Obowiązki pracodawcy związane z monitoringiem , str. 651
12. Monitoring wizyjny a dane szczególnych kategorii , str. 653
13. Monitoring poczty elektronicznej i inne formy monitoringu , str. 654

Rozdział XXVI
Monitoring jako jedna z kluczowych zmian wprowadzonych przez ustawę o ochronie danych osobowych. Część 2 &ndash, monitoring w przypadku jednostek samorządu terytorialnego oraz monitoring w szkołach &ndash, Maciej Gawroński, Katarzyna Kloc , str. 657
1. Monitoring w przypadku jednostek samorządu terytorialnego , str. 657
2. Cele monitoringu , str. 660
3. Monitorowany obszar , str. 661
4. Okres przechowywania danych z nagrań , str. 661
5. Informowanie o monitoringu , str. 662
6. Bezpieczeństwo , str. 662
7. Monitoring w szkołach , str. 662
8. Bezpieczeństwo lub ochrona mienia &ndash, cele monitoringu w oświacie , str. 664
9. Wprowadzenie monitoringu &ndash, konsultacje , str. 665
10. Podstawa prawna przetwarzania danych z monitoringu , str. 666
11. Obszar monitorowany , str. 667
12. Warunki stosowania monitoringu , str. 668
13. Okres przechowania danych z nagrań , str. 669

Rozdział XXVII
Odpowiedzialność karna &ndash, Maciej Gawroński, Katarzyna Kloc , str. 670
1. Przepisy karne w ustawie o ochronie danych osobowych , str. 670
2. Przepisy karne a RODO , str. 671
3. Nowe przepisy karne a ustawa z 1997 r. , str. 672
4. Niedopuszczalne i nieuprawnione przetwarzanie danych , str. 673
5. Przestępstwo niedopuszczalnego przetwarzania danych , str. 674
6. Przestępstwo nieuprawnionego przetwarzania danych , str. 676
7. Udaremnianie lub utrudnianie kontroli , str. 677
8. Odpowiedzialność karna według ustawy o ochronie danych osobowych a inne przestępstwa z Kodeksu karnego , str. 678
9. Odpowiedzialność karna a zasada rozliczalności i rozkład ciężaru dowodu , str. 679
10. Nie ma osób niewinnych, są tylko źle przesłuchane? RODO &ndash, absurd , str. 681

Rozdział XXVIII
Ograniczenie obowiązków RODO dla podmiotów wykonujących zadania publiczne &ndash, Maciej Gawroński , str. 684
1. Wstęp , str. 684
1.1. Zakres ułatwień , str. 684
1.2. Wyłączenia informowania , str. 685
1.3. Wyłączenie wyszukiwania , str. 686
2. Uzasadnienie ułatwień dla administracji , str. 686
3. Analiza przesłanek wyłączenia obowiązku informacyjnego , str. 688
4. Informacja niejawna i bezpieczeństwo narodowe , str. 690

Rozdział XXIX
Akredytacja podmiotu uprawnionego do certyfikacji w zakresie ochrony danych osobowych &ndash, Paweł Punda , str. 691
1. Podstawy akredytacji , str. 691
2. Pojęcie akredytacji , str. 692
3. Podmiot akredytujący , str. 693
4. Kryteria akredytacji , str. 693
4.1. Niezależność i brak konfliktu interesów , str. 694
4.2. Wiedza fachowa , str. 696
4.3. Przestrzeganie kryteriów, procedury, obsługa procesu skarg , str. 697
5. Postępowanie w sprawie akredytacji , str. 697
6. Cofnięcie akredytacji , str. 699

Część B

Wzory dokumentów
Wzór nr 1a. Klauzula zgody na przetwarzanie danych osobowych zwykłych &ndash, Michał Sztąberek , str. 703
Wzór nr 1b. Klauzula zgody na przetwarzanie danych osobowych &bdquo,szczególnych kategorii&rdquo, &ndash, Michał Sztąberek , str. 704
Wzór nr 2. Klauzula informacyjna o prawie do cofnięcia zgody &ndash, Paweł Punda , str. 706
Wzór nr 3. Klauzula informacyjna o przetwarzaniu danych &ndash, Michał Sztąberek , str. 707
Wzór nr 4. Klauzula informacyjna w przypadku współadministrowania danymi &ndash, Michał Kibil , str. 715
Wzór nr 5. Klauzula o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu &ndash, element klauzuli informacyjnej &ndash, Paweł Punda , str. 717
Wzór nr 6. Umowa powierzenia przetwarzania danych osobowych &ndash, Paweł Punda , str. 719
Wzór nr 7. Szczegółowa klauzula zgody na podpowierzenie &ndash, Paweł Punda , str. 730
Wzór nr 8. Sprzeciw administratora danych osobowych wobec podpowierzenia &ndash, Patrycja Naklicka , str. 731
Wzór nr 9. Upoważnienie do przetwarzania danych osobowych &ndash, Katarzyna Kloc , str. 732
Wzór nr 10. Klauzula informacyjna dla osoby, której dane dotyczą, o przekazaniu jej danych do państwa trzeciego &ndash, Maciej Gawroński , str. 734
Wzór nr 11. Polityka ochrony danych osobowych &ndash, Maciej Gawroński , str. 737
Wzór nr 12a. Wytyczne dotyczące klasyfi kacji naruszeń i procedura zgłaszania naruszenia ochrony danych do organu nadzorczego (UODO) (art. 33 ust. 3 RODO) &ndash, Tomasz Soczyński , str. 756
Wzór nr 12b. Analiza wystąpienia ryzyka naruszenia praw lub wolności w związku z incydentem ochrony danych osobowych &ndash, Patrycja Naklicka , str. 768
Wzór nr 13. Wytyczne na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób w zakresie ich informowania o działaniach, jakie powinni wykonać w celu ograniczenia ryzyka &ndash, Tomasz Soczyński , str. 769
Wzór nr 14. Raport z przeprowadzonej ogólnej analizy ryzyka &ndash, Tomasz Soczyński , str. 773
Wzór nr 15a. Formularz z ogólnej analizy ryzyka &ndash, Patrycja Naklicka , str. 777
Wzór nr 15b. Instrukcja przeprowadzania ogólnej analizy ryzyka dla danych osobowych &ndash, Patrycja Naklicka , str. 778
Wzór nr 15c. Uproszczona metodyka analizy ryzyka &ndash, Maciej Gawroński , str. 801
Wzór nr 16. Proces oceny DPIA &ndash, Patrycja Naklicka , str. 811
Wzór nr 17a. Plan Ciągłości Działania (art. 32 ust. 1 lit. b RODO) &ndash, Tomasz Soczyński , str. 812
Wzór nr 17b. Plan Ciągłości Działania &ndash, Aleksander P. Czarnowski , str. 814
Wzór nr 18a. Procedura odtwarzania systemu po awarii oraz testowania (art. 32 ust. 1 lit. c RODO) &ndash, Tomasz Soczyński , str. 824
Wzór nr 18b. Procedura odtwarzania systemu po awarii oraz testowania &ndash, Aleksander P. Czarnowski , str. 828
Wzór nr 19. Umowa o współadministrowanie &ndash, Maciej Gawroński, Adrianna Gnatowska , str. 831

Wzory rejestrów
Wzór Rejestru Czynności Przetwarzania Danych &ndash, Katarzyna Kloc , str. 851
Wzór Rejestru Naruszeń Ochrony Danych Osobowych &ndash, Paweł Punda , str. 854

Szczegóły ebooka Ochrona danych osobowych. Przewodnik po ustawie i RODO ze wzorami

Wydawca:

Wolters Kluwer

Rok wydania:

2018

Typ publikacji:

Ebook

Język:

polski

Format:

pdf

ISBN:

978-83-8160-235-8

ISBN wersji papierowej:

978-83-8160-187-0

Autorzy:

Maciej Gawroński

EAN:

9788381602358

Liczba Stron:

856

Recenzje ebooka Ochrona danych osobowych. Przewodnik po ustawie i RODO ze wzorami