Ebook RODO dla małych i średnich przedsiębiorstw Dariusz Szostek, Witold Chomiczewski, Dominik Lubasz, Damian Karwala, Katarzyna Witkowska-Nowakowska, Mirosław Gumularz, Patrycja Kozik, Karolina Alama, Roman Bieda, Marcin Jerzy Maruta, Beata Marek, Mariola Więckowska, Marcin Wielisiej

Spis treści ebooka RODO dla małych i średnich przedsiębiorstw

Wykaz skrótów , str. 13

Słowo wstępne , str. 15

Rozdział 1
Zagadnienia ogólne, definicje oraz zasady przetwarzania danych &ndash, Dominik Lubasz, Katarzyna Witkowska-Nowakowska , str. 17
1.1. Zagadnienia wprowadzające &ndash, Dominik Lubasz , str. 17
1.2. Zakres zastosowania regulacji &ndash, Dominik Lubasz , str. 19
1.3. Defi nicje kluczowych pojęć &ndash, Dominik Lubasz , str. 21
1.3.1. Dane osobowe , str. 21
1.3.2. Przetwarzanie , str. 26
1.3.3. Administrator i podmiot przetwarzający , str. 27
1.4. Zasady przetwarzania &ndash, Katarzyna Witkowska-Nowakowska , str. 28
1.4.1. Zasady: legalności, rzetelności i przejrzystości , str. 29
1.4.2. Zasada ograniczenia celu , str. 30
1.4.3. Zasada minimalizacji danych , str. 31
1.4.4. Zasada prawidłowości , str. 32
1.4.5. Zasada ograniczenia przechowywania , str. 32
1.4.6. Zasada integralności i poufności , str. 34
1.4.7. Zasada rozliczalności , str. 35

Rozdział 2
Zapewnienie legalności przetwarzania &ndash, Witold Chomiczewski, Mirosław Gumularz, Patrycja Kozik , str. 37
2.1. Zagadnienia wprowadzające &ndash, Witold Chomiczewski , str. 37
2.2. Zgoda jako podstawa legalizująca przetwarzanie danych osobowych &ndash, Mirosław Gumularz, Patrycja Kozik , str. 38
2.2.1. Kryteria skuteczności zgody , str. 39
2.2.1.1. Sposób wyrażenia i jednoznaczność zgody , str. 39
2.2.1.2. Sposób wyrażenia zgody a dane wrażliwe , str. 40
2.2.1.3. Forma wyrażenia zgody , str. 41
2.2.1.4. Konkretność zgody , str. 41
2.2.1.5. Dobrowolność zgody , str. 42
2.2.1.6. Świadomość zgody , str. 44
2.2.2. Wymóg zapewnienia rozliczalności w zakresie zgody , str. 45
2.2.3. Wycofanie zgody , str. 45
2.2.4. Zgoda dziecka , str. 45
2.2.5. Zgoda a projektowane przepisy prawa pracy , str. 48
2.2.6. Zgoda a inne podstawy przetwarzania , str. 49
2.2.7. Zgoda na zmianę celu przetwarzania danych , str. 50
2.2.8. Skuteczność zgód a wytyczne Grupy Roboczej Art. 29 , str. 51
2.2.9. Pozyskiwanie zgód &ndash, wytyczne , str. 52
2.3. Niezbędność przetwarzania do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy &ndash, Witold Chomiczewski , str. 53
2.3.1. Wykonanie umowy , str. 53
2.3.2. Działania przed zawarciem umowy , str. 55
2.4. Niezbędność przetwarzania do wypełnienia obowiązku ciążącego na administratorze &ndash, Witold Chomiczewski , str. 56
2.5. Niezbędność przetwarzania do ochrony żywotnych interesów podmiotu danych &ndash, Witold Chomiczewski , str. 57
2.6. Niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym &ndash, Witold Chomiczewski , str. 58
2.7. Niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów &ndash, Witold Chomiczewski , str. 58
2.8. Dopuszczalność przetwarzania szczególnych kategorii danych osobowych &ndash, Dominik Lubasz , str. 61

Rozdział 3
Obowiązki administratorów &ndash, Witold Chomiczewski, Mirosław Gumularz, Patrycja Kozik, Dominik Lubasz, Mariola Więckowska , str. 63
3.1. Obowiązki bazujące na ryzyku &ndash, Mariola Więckowska , str. 63
3.1.1. Uwagi ogólne , str. 63
3.1.1.1. Podejście oparte na ryzyku , str. 65
3.1.1.2. Ochrona danych w fazie projektowania &ndash, privacy by design , str. 66
3.1.2. Ocena skutków dla ochrony danych &ndash, OSOD , str. 67
3.1.2.1. OSOD w przypadku współadministratorów i powierzenia danych podmiotom przetwarzającym , str. 69
3.1.2.2. Kiedy konieczne jest przeprowadzenie OSOD? , str. 70
3.1.3. Etap 1.: Wstępna ocena skutków dla ochrony danych wraz z ogólną analizą ryzyka , str. 72
3.1.3.1. Przykładowy szablon do etapu 1.: Wstępna ocena skutków dla ochrony danych (WOSOD) , str. 73
3.1.3.1.1. Informacje ogólne , str. 73
3.1.3.1.2. Osoba odpowiedzialna za OSOD , str. 73
3.1.3.1.3. Opis zmiany , str. 73
3.1.3.1.4. Charakter danych , str. 74
3.1.3.1.5. Typ, zakres i operacje na danych , str. 75
3.1.3.1.6. Prawa podmiotów danych , str. 76
3.1.3.1.7. Czy zmiana będzie wymagała dostosowania Regulaminu Firmy? Jeśli tak, krótko opisz, jakiej , str. 77
3.1.3.1.8. Kryteria przeprowadzenia OSOD , str. 77
3.1.3.1.9. Decyzja dotycząca ryzyka , str. 78
3.1.3.1.10. Akceptacja osoby odpowiedzialnej za ochronę danych / inspektor ochrony danych , str. 79
3.1.3.2. Podsumowanie , str. 79
3.1.4. Etap 2.: Analiza zmiany i jej wpływu na prywatność , str. 79
3.1.4.1. Identyfikacja zagrożeń i ich potencjalnego wpływu na prywatność , str. 80
3.1.4.2. Przykładowa tabela obszarów analizy wpływu na prywatność , str. 81
3.1.5. Etap 3.: Analiza ryzyka i działań zapobiegawczych , str. 85
3.1.5.1. Szacowanie poziomu ryzyka , str. 87
3.1.5.2. Postępowanie z ryzykiem , str. 89
3.1.5.3. Przykładowa lista kontrolna dla oceny ryzyka i możliwych sposobów jego ograniczenia , str. 91
3.1.6. Etap 4.: Przygotowanie raportu końcowego wraz ze strategią postępowania z ryzykiem , str. 94
3.1.7. Etap 5.: Monitoring wdrożenia , str. 95
3.1.8. Korzyści z OSOD , str. 95
3.1.9. Zakończenie , str. 96
3.2. Uprzednie konsultacje &ndash, Mirosław Gumularz, Patrycja Kozik , str. 97
3.2.1. Uwagi ogólne , str. 97
3.2.2. Typowe sytuacje, które mogą prowadzić do obowiązku dokonania uprzednich konsultacji , str. 98
3.2.3. Istotne kryteria dokonywania uprzednich konsultacji w wytycznych Grupy Roboczej Art. 29 , str. 98
3.2.4. Elementy konsultacji , str. 100
3.2.5. Na kim ciąży obowiązek dokonania uprzednich konsultacji? , str. 100
3.2.6. Działania organu nadzorczego , str. 101
3.2.7. Przepisy szczególne mogące dotyczyć uprzednich konsultacji , str. 102
3.2.8. Sankcje , str. 102
3.3. Notyfikowanie naruszeń ochrony danych osobowych &ndash, Witold Chomiczewski , str. 102
3.3.1. Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu , str. 103
3.3.2. Zawiadamianie podmiotów danych o naruszeniach ochrony danych osobowych , str. 104
3.4. Obowiązki dokumentacyjne &ndash, Dominik Lubasz , str. 106
3.4.1. Rejestr czynności przetwarzania , str. 108
3.4.1.1. Zakres danych w rejestrze czynności , str. 108
3.4.1.2. Zwolnienie z obowiązku prowadzenia rejestrów dla MŚP , str. 113
3.4.2. Rejestr kategorii czynności przetwarzania , str. 113
3.4.3. Polityki ochrony danych , str. 114
3.4.4. Pozostałe obowiązki dokumentacyjne , str. 116

Rozdział 4
Wymogi w zakresie formy w ogólnym rozporządzeniu &ndash, Dariusz Szostek , str. 117
4.1. Zagadnienia wprowadzające , str. 117
4.2. Źródła prawa w odniesieniu do formy , str. 117
4.3. Forma dotycząca zgody , str. 118
4.4. Dowód na fakt uzyskania zgody , str. 121
4.5. Wymogi dotyczące formy dla poszczególnych oświadczeń , str. 123
4.6. Forma umowy o powierzenie , str. 124

Rozdział 5
Inspektor ochrony danych &ndash, Roman Bieda , str. 126
5.1. Zagadnienia wprowadzające , str. 126
5.2. Wyznaczenie inspektora ochrony danych (IOD) , str. 127
5.2.1. Uwagi ogólne , str. 127
5.2.2. Obligatoryjne wyznaczenie IOD , str. 128
5.2.3. Wymagane kwalifikacje zawodowe IOD , str. 134
5.2.4. Podstawy zatrudnienia IOD , str. 137
5.2.5. Notyfikacja oraz publikacja danych IOD , str. 137
5.2.5.1. Publikacja danych kontaktowych IOD , str. 137
5.2.5.2. Przekazanie danych IOD osobom, których dane dotyczą , str. 138
5.2.5.3. Zawiadomienie organu nadzorczego o danych kontaktowych IOD , str. 139
5.2.5.4. Zamieszczenie danych IOD w tzw. rejestrze czynności przetwarzania danych (rejestrze kategorii czynności przetwarzania) , str. 140
5.3. Zadania inspektora ochrony danych , str. 140
5.3.1. Uwagi ogólne , str. 140
5.3.2. Podstawowe (obligatoryjne) zadania IOD , str. 141
5.3.3. Informowanie administratora i podmiotu przetwarzającego o obowiązkach wynikających z przepisów o ochronie danych oraz doradzanie w tym zakresie (art. 39 ust. 1 lit. a RODO) , str. 141
5.3.4. Monitorowanie przestrzegania przepisów o ochronie danych osobowych (art. 39 ust. 1 lit. b RODO) , str. 142
5.3.5. Ocena skutków dla ochrony danych (art. 35, art. 39 ust. 1 lit. c RODO) , str. 143
5.3.6. Współpraca z organem nadzorczym oraz pełnienie funkcji &bdquo,punktu kontaktowego&rdquo, dla organu nadzorczego , str. 144
5.3.7. Pełnienie funkcji &bdquo,punktu kontaktowego&rdquo, dla osób, których dane dotyczą , str. 145
5.3.8. Inne zadania IOD , str. 145
5.4. Status inspektora ochrony danych , str. 146
5.4.1. Uwagi ogólne , str. 146
5.4.2. Zasada niezależności IOD , str. 146
5.4.3. Obowiązek przedsiębiorcy włączania IOD we wszystkie sprawy dotyczące ochrony danych osobowych , str. 147
5.4.4. Obowiązek wspierania IOD przez przedsiębiorcę , str. 148
5.4.5. Obowiązek zachowania poufności przez IOD , str. 149

Rozdział 6
Outsourcing &ndash, powierzenie przetwarzania danych osobowych &ndash, Karolina Alama, Marcin Maruta , str. 150
6.1. Zagadnienia wprowadzające , str. 150
6.2. Powierzenie przetwarzania danych &ndash, podstawowe pojęcia , str. 152
6.3. Powierzenie przetwarzania &ndash, prawa i obowiązki stron , str. 153
6.4. Obowiązki administratora w związku z powierzeniem przetwarzania danych osobowych , str. 154
6.4.1. Uwagi ogólne , str. 154
6.4.2. Wybór podmiotu przetwarzającego spełniającego wymagania rozporządzenia 2016/679 , str. 155
6.4.3. Wydawanie udokumentowanych poleceń , str. 156
6.4.4. Umowa powierzenia przetwarzania danych osobowych , str. 157
6.4.4.1. Forma umowy , str. 157
6.4.4.2. Zakres przedmiotowy umowy powierzenia przetwarzania , str. 159
6.4.4.3. Podpowierzenie przetwarzania danych &ndash, korzystanie z usług podprocesora , str. 159
6.4.4.4. Obowiązek pomocy administratorowi , str. 161
6.4.4.5. Współpraca z administratorem , str. 162
6.4.4.6. Usunięcie lub zwrócenie danych , str. 162
6.4.4.7. Stosunek umowy powierzenia danych do umowy głównej , str. 162
6.5. Międzynarodowy transfer danych osobowych w kontekście powierzenia przetwarzania danych osobowych , str. 163
6.5.1. Uwagi ogólne , str. 163
6.5.2. Podstawy prawne transferu danych poza EOG , str. 163
6.6. Odpowiedzialność podmiotów uczestniczących w powierzeniu przetwarzania danych osobowych , str. 164
6.7. Rynek usług chmurowych a powierzenie przetwarzania danych osobowych , str. 166
6.7.1. Uwagi ogólne , str. 166
6.7.2. Zapewnienie zgodności powierzenia danych przez administratora , str. 166
6.7.3. Prognozy w zakresie przyszłości rynku usług chmurowych , str. 169
6.7.4. Migracja do rozwiązań chmurowych a zgodność z rozporządzeniem 2016/679 , str. 170
6.8. Obowiązki administratora i procesora w zakresie powierzenia przetwarzania danych osobowych &ndash, podsumowanie , str. 170

Rozdział 7
Prawa podmiotów danych &ndash, Beata Marek, Marcin Wielisiej , str. 173
7.1. Prawa informacyjne i dostępowe &ndash, Beata Marek , str. 173
7.1.1. Obowiązki informacyjne, gdy dane pozyskiwane są bezpośrednio od osoby, której dane dotyczą , str. 174
7.1.2. Obowiązki informacyjne, gdy dane pozyskiwane są w sposób inny niż od osoby, której dane dotyczą , str. 177
7.1.3. Dostęp do danych , str. 179
7.2. Prawo do sprostowania danych, usunięcia i zapomnienia &ndash, Beata Marek , str. 180
7.2.1. Sprostowanie danych , str. 180
7.2.2. Usunięcie danych (prawo do bycia zapomnianym) , str. 181
7.3. Prawo do ograniczenia przetwarzania &ndash, Marcin Wielisiej , str. 183
7.3.1. Uwagi ogólne , str. 183
7.3.2. Uprawnieni do korzystania z prawa do ograniczenia przetwarzania danych , str. 184
7.3.3. Zakres stosowania prawa do ograniczenia przetwarzania , str. 184
7.3.4. Kwestionowanie prawidłowości danych , str. 185
7.3.5. Przetwarzanie niezgodne z prawem , str. 186
7.3.6. Dane nie są już niezbędne do realizacji celu przetwarzania , str. 188
7.3.7. Wniesienie sprzeciwu , str. 188
7.3.8. Treść i forma komunikacji z osobą, której dane dotyczą , str. 189
7.3.9. Realizacja ograniczenia przetwarzania , str. 190
7.3.10. Przesłanki uzasadniające przetwarzanie danych mimo wniesionego żądania ograniczenia , str. 191
7.3.11. Sankcje , str. 192
7.4. Prawo do przenoszenia danych &ndash, Marcin Wielisiej , str. 192
7.4.1. Uwagi ogólne , str. 192
7.4.2. Zakres stosowania prawa do przenoszenia danych , str. 193
7.4.3. Zakres danych objętych prawem do przenoszenia , str. 194
7.4.4. Treść i forma komunikacji z osobą, której dane dotyczą , str. 195
7.4.5. Przygotowanie i format danych , str. 196
7.4.6. Realizacja prawa do przeniesienia danych , str. 197
7.4.7. Przekazanie danych osobie, której dane dotyczą , str. 198
7.4.8. Przekazanie danych innemu administratorowi , str. 199
7.4.9. Sankcje , str. 200
7.5. Prawo do sprzeciwu &ndash, Marcin Wielisiej , str. 200
7.5.1. Uwagi ogólne , str. 200
7.5.2. Przesłanki zastosowania prawa do sprzeciwu , str. 201
7.5.3. Forma zgłoszenia sprzeciwu , str. 202
7.5.4. Realizacja sprzeciwu , str. 203
7.5.5. Sankcje , str. 203
7.6. Prawa związane z profilowaniem &ndash, Marcin Wielisiej , str. 204
7.6.1. Uwagi ogólne , str. 204
7.6.2. Zakaz podejmowania automatycznych decyzji , str. 205
7.6.3. Ograniczenia zakazu podejmowania automatycznych decyzji , str. 206
7.6.4. Profilowanie zgodne z rozporządzeniem 2016/679 , str. 207
7.6.5. Sankcje , str. 208

Rozdział 8
Transfery danych do państw trzecich &ndash, Damian Karwala , str. 209
8.1. Zagadnienia wprowadzające , str. 209
8.1.1. Ponadgraniczne transfery danych w praktyce , str. 209
8.1.2. Krytyka dotychczasowej regulacji transferowej i ogólna ocena zmian , str. 210
8.2. Transfery danych na podstawie decyzji Komisji Europejskiej , str. 212
8.3. Transfery danych z wykorzystaniem odpowiednich zabezpieczeń , str. 215
8.4. Umowy transferowe , str. 216
8.5. Transfery danych na podstawie wiążących reguł korporacyjnych , str. 219
8.6. Kodeksy postępowania (dobrych praktyk) oraz mechanizmy certyfikacyjne jako nowe podstawy transferowe , str. 220
8.7. Transfery danych z użyciem odstępstw (wyjątków) , str. 221
8.8. Zgoda osoby zainteresowanej jako podstawa transferu , str. 221
8.9. Prawnie uzasadnione interesy eksportera danych , str. 224
8.10. Operacje dalszych transferów danych , str. 225
8.11. Kolejność stosowania przesłanek transferowych , str. 225

Rozdział 9
Postępowanie kontrolne i sankcje &ndash, Katarzyna Witkowska-Nowakowska , str. 227
9.1. Zagadnienia wprowadzające , str. 227
9.2. Postępowanie kontrolne , str. 228
9.3. Postępowanie w sprawie naruszenia ochrony danych osobowych , str. 230
9.4. Administracyjne kary pieniężne , str. 231
9.4.1. Warunki nakładania administracyjnych kar pieniężnych , str. 231
9.4.2. Wysokość i podstawa do nałożenia kar , str. 232
9.5. Sankcje karne , str. 235
9.6. Uprawnienia podmiotu danych , str. 236

Rozdział 10
Szczególne sytuacje związane z przetwarzaniem &ndash, Mirosław Gumularz, Beata Marek , str. 239
10.1. Przetwarzanie danych osobowych w związku z zatrudnieniem &ndash, Mirosław Gumularz , str. 239
10.2. Przetwarzanie danych w big data &ndash, Beata Marek , str. 242

Bibliografia , str. 247

Szczegóły ebooka RODO dla małych i średnich przedsiębiorstw