Ebook RODO w e-commerce Monika Susałko, Witold Chomiczewski, Dominik Lubasz, Monika Namysłowska, Berenika Kaczmarek-Templin, Katarzyna Witkowska-Nowakowska, Natalia Zawadzka, Joanna Łuczak-Tarka, Arkadiusz Bazylko, Kamil Hamelusz, Marta Kwiatkowska-Cylke

Spis treści ebooka RODO w e-commerce

Wykaz skrótów , str. 15

Słowo wstępne , str. 17

Rozdział 1
Zagadnienia wprowadzające, zakres zastosowania i podstawowe pojęcia , str. 19
1.1. Zagadnienia ogólne , str. 19
1.2. Zakres zastosowania , str. 22
1.2.1. Zakres przedmiotowy , str. 22
1.2.2. Zakres terytorialny , str. 26
1.3. Najważniejsze pojęcia , str. 27
1.3.1. Dane osobowe , str. 28
1.3.1.1. Wszelkiego rodzaju informacje , str. 29
1.3.1.2. Informacje dotyczące osoby fizycznej , str. 31
1.3.1.3. Informacje pozwalające na zidentyfikowanie osoby fizycznej , str. 31
1.3.1.4. Osoba fizyczna , str. 33
1.3.1.5. Dane zwykłe i szczególne kategorie danych , str. 33
1.3.2. Przetwarzanie , str. 34
1.3.3. Profilowanie , str. 35
1.3.4. Administrator , str. 36
1.3.5. Podmiot przetwarzający , str. 37
1.3.6. Odbiorca , str. 38
1.3.7. Osoba, której dane dotyczą (podmiot danych) , str. 38
1.3.8. Przedsiębiorca i grupa przedsiębiorców , str. 40
1.3.9. Usługa społeczeństwa informacyjnego , str. 42
1.3.10. Podejście oparte na ryzyku , str. 46
1.3.11. Naruszenie ochrony danych osobowych , str. 47
1.3.12. Organ nadzorczy , str. 48
1.3.13. Klauzule kompetencyjne dla państw członkowskich , str. 48

Rozdział 2
Zasady przetwarzania danych osobowych , str. 50
2.1. Zagadnienia ogólne , str. 50
2.2. Zasada legalności i rzetelności , str. 51
2.3. Zasada przejrzystości , str. 52
2.4. Zasada ograniczenia celu , str. 56
2.5. Zasada prawidłowości , str. 59
2.6. Zasada minimalizacji danych , str. 60
2.7. Zasada ograniczenia przechowywania , str. 61
2.8. Zasada integralności i poufności , str. 63
2.9. Zasada rozliczalności , str. 64

Rozdział 3
Przesłanki legalizacyjne przetwarzania danych osobowych , str. 67
3.1. Zagadnienia ogólne , str. 67
3.2. Zgoda , str. 71
3.2.1. Dobrowolność zgody , str. 71
3.2.2. Konkretność zgody , str. 73
3.2.3. Świadomość zgody , str. 74
3.2.4. Jednoznaczność zgody , str. 75
3.2.5. Rozliczalność zgody , str. 78
3.2.6. Wyraźność zgody , str. 78
3.2.7. Forma zgody , str. 79
3.2.8. Dodatkowe wymogi dotyczące pisemnej zgody , str. 80
3.2.9. Wycofanie zgody , str. 82
3.2.10. Zgoda dziecka , str. 83
3.2.11. Zgody dotychczasowe , str. 86
3.3. Niezbędność do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy , str. 88
3.3.1. Wykonanie umowy , str. 89
3.3.2. Działania przed zawarciem umowy , str. 91
3.4. Niezbędność do wypełnienia obowiązku prawnego ciążącego na administratorze , str. 92
3.4.1. Obowiązek prawny , str. 93
3.4.2. Niezbędność , str. 94
3.5. Niezbędność do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi , str. 94
3.6. Niezbędność do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej , str. 97
3.7. Niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią , str. 98
3.8. Przetwarzanie szczególnych kategorii danych osobowych , str. 102
3.8.1. Szczególne kategorie danych , str. 102
3.8.2. Szczególne kategorie danych w handlu elektronicznym , str. 104
3.8.3. Przesłanki legalizacyjne szczególnych kategorii danych , str. 107
3.8.4. Przesłanki legalizacyjne szczególnych kategorii danych &ndash, wybrane zagadnienia , str. 109
3.8.4.1. Zgoda na przetwarzanie danych osobowych szczególnych kategorii , str. 109
3.8.4.2. Żywotny interes , str. 110
3.8.4.3. Upublicznienie danych , str. 110
3.8.4.4. Interes publiczny , str. 111
3.8.4.5. Przetwarzanie wrażliwych danych osobowych w celach medycznych i związanych z ochroną zdrowia , str. 113

Rozdział 4
Prawa podmiotów danych , str. 115
4.1. Zagadnienia ogólne , str. 115
4.2. Prawa informacyjne , str. 118
4.3. Prawo dostępu do danych , str. 126
4.4. Prawo do usunięcia danych (&bdquo,prawo do bycia zapomnianym&rdquo,) , str. 130
4.4.1. Zasady korzystania z prawa do usunięcia danych , str. 130
4.4.2. Wyłączenia od prawa do usunięcia danych oraz prawa do bycia zapomnianym , str. 132
4.4.3. Prawo do bycia zapomnianym a wolność wypowiedzi , str. 133
4.5. Prawo do przenoszenia danych , str. 133
4.6. Prawo do niepodlegania profilowaniu , str. 138
4.6.1. Pojęcie profilowania , str. 138
4.6.2. Zautomatyzowane podejmowanie decyzji , str. 139
4.6.3. Warunki dopuszczalności , str. 141
4.6.4. Gwarancje związane z profilowaniem , str. 142
4.7. Ograniczenie przetwarzania , str. 142
4.7.1. Pojęcie , str. 142
4.7.2. Okoliczności, w jakich można żądać ograniczenia przetwarzania , str. 144
4.7.2.1. Zakwestionowanie prawidłowości danych , str. 145
4.7.2.2. Sprzeciw podmiotu danych wobec usunięcia danych mimo niezgodności przetwarzania danych z prawem , str. 145
4.7.2.3. Zbędność danych osobowych do celów przetwarzania przez administratora i jednoczesne występowanie potrzeby dostępu do danych osoby, której one dotyczą, w celu ustalenia, dochodzenia lub obrony roszczeń , str. 146
4.7.2.4. Wniesienie sprzeciwu przez osobę, której dane dotyczą , str. 146
4.7.3. Sposób wykonania obowiązku przez administratora , str. 147
4.7.3.1. Techniczny aspekt ograniczenia przetwarzania , str. 147
4.7.3.2. Formalny aspekt ograniczenia przetwarzania , str. 148
4.7.3.3. Wyjątki , str. 148
4.7.4. Uprawniony do żądania ograniczenia przetwarzania danych osobowych i zakres żądania , str. 149
4.7.5. Okres oznaczenia danych w celu ograniczenia ich przetwarzania , str. 150
4.7.6. Dalsze obowiązki administratora związane z ograniczeniem przetwarzania , str. 152
4.7.7. Odpowiedzialność administratora , str. 153

Rozdział 5
Nowe obowiązki administratorów , str. 154
5.1. Zagadnienia ogólne , str. 154
5.2. Ogólny obowiązek zapewnienia zgodności przetwarzania z rozporządzeniem 2016/679 , str. 158
5.2.1. Ryzyko jako element wyznaczający standard ochrony , str. 159
5.2.2. Zapewnienie zgodności przetwarzania z RODO jako element oceniany przez pryzmat konsekwencji dla podmiotu danych , str. 160
5.3. Ochrona danych w fazie projektowania i domyślna ochrona danych , str. 162
5.3.1. Ochrona danych w fazie projektowania &ndash, pojęcie , str. 162
5.3.2. Podstawowe zasady ochrony danych w fazie projektowania , str. 166
5.3.2.1. Podejście proaktywne, a nie reaktywne, zaradcze, a nie naprawcze , str. 166
5.3.2.2. Domyślna ochrona danych , str. 168
5.3.2.3. Prywatność włączona w projekt , str. 170
5.3.2.4. Pełna funkcjonalność rozumiana jako osiąganie sumy dodatniej, a nie sumy zerowej , str. 171
5.3.2.5. Ochrona prywatności od początku do końca cyklu życia informacji , str. 173
5.3.2.6. Transparentność i przejrzystość , str. 174
5.3.2.7. Poszanowanie dla prywatności użytkowników , str. 175
5.3.3. Zasada privacy by design &ndash, prywatność wpisana w projekt rozwiązania , str. 176
5.3.4. Realizacja zasady privacy by default , str. 177
5.3.5. Okres stosowania zasady , str. 177
5.3.6. Czynniki wpływające na decyzje administratora w zakresie zastosowania odpowiednich środków ochrony danych osobowych , str. 178
5.3.6.1. Stan wiedzy technicznej , str. 178
5.3.6.2. Koszt wdrożenia , str. 179
5.3.6.3. Charakter, zakres, kontekst i cele przetwarzania , str. 179
5.3.6.4. Ryzyko naruszenia praw i wolności osób fizycznych , str. 180
5.3.7. Odpowiednie środki techniczne i organizacyjne , str. 182
5.3.8. Cele realizowane przez zasadę privacy by default , str. 184
5.3.9. Obowiązek dokumentacyjny , str. 185
5.3.10. Odpowiedzialność administratora (procesora) , str. 185
5.4. Dokumentacja przetwarzania , str. 187
5.4.1. Rejestr czynności przetwarzania , str. 190
5.4.1.1. Zakres danych w rejestrze , str. 190
5.4.1.2. Forma rejestru , str. 192
5.4.1.3. Podmioty zobowiązane do prowadzenia rejestru , str. 192
5.4.1.4. Przykładowy rejestr czynności przetwarzania , str. 193
5.4.2. Rejestr kategorii czynności przetwarzania , str. 195
5.4.3. Polityki ochrony danych , str. 196
5.4.4. Dokumentacja naruszeń ochrony danych i zgłoszenie naruszenia , str. 199
5.4.4.1. Dokumentacja wszelkich naruszeń ochrony danych , str. 199
5.4.4.2. Dokumentacja zgłoszeń naruszeń ochrony danych organowi nadzorczemu , str. 200
5.4.4.3. Dokumentacja zgłoszeń naruszeń ochrony danych podmiotowi danych , str. 201
5.4.5. Dokumentacja oceny skutków dla ochrony danych , str. 202
5.4.6. Dokumentacja uprzednich konsultacji , str. 203
5.4.7. Dokumentacja transferów danych do państw trzecich , str. 203
5.5. Bezpieczeństwo przetwarzania , str. 204
5.5.1. Zasada proporcjonalności , str. 205
5.5.2. Środki techniczne i organizacyjne zapewniające odpowiedni poziom ochrony , str. 206
5.5.3. Obowiązek aktualizacji zabezpieczeń , str. 208
5.5.4. Parametry oceny środków bezpieczeństwa , str. 209
5.5.5. Dokumentacja środków bezpieczeństwa , str. 210
5.6. Ocena skutków dla ochrony danych , str. 211
5.6.1. Przesłanki prowadzenia oceny skutków dla ochrony danych , str. 212
5.6.2. Elementy oceny skutków dla ochrony danych , str. 213
5.6.3. Gromadzenie informacji niezbędnych do dokonania oceny skutków dla ochrony danych , str. 215
5.6.4. Uprzedni charakter oceny , str. 216
5.6.5. Konsultacje z osobami, których dane dotyczą, lub ich przedstawicielami , str. 217
5.7. Uprzednie konsultacje , str. 218
5.7.1. Przesłanki prowadzenia uprzednich konsultacji , str. 218
5.7.2. Rezultat uprzednich konsultacji , str. 218
5.7.3. Zakres informacji przekazywanych w ramach uprzednich konsultacji , str. 220
5.8. Zgłoszenia naruszeń , str. 221
5.8.1. Zgłaszanie naruszenia organowi nadzorczemu , str. 221
5.8.2. Zawiadamianie podmiotów danych o naruszeniach ochrony danych osobowych , str. 223

Rozdział 6
Powierzenie przetwarzania i współadministrowanie , str. 226
6.1. Powierzenie przetwarzania , str. 226
6.1.1. Zagadnienia ogólne , str. 226
6.1.2. Wybór podmiotu przetwarzającego , str. 229
6.1.3. Podstawy powierzenia , str. 231
6.1.4. Forma umowy powierzenia , str. 232
6.1.5. Zakres przedmiotowy umowy powierzenia , str. 233
6.1.6. Obowiązki procesora , str. 235
6.1.7. Łańcuch powierzeń &ndash, warunki korzystania z usług podwykonawców , str. 238
6.1.8. Odpowiedzialność podmiotu przetwarzającego za naruszenie ochrony danych , str. 241
6.1.9. Powierzenie danych do państw trzecich , str. 242
6.1.10. Umowy powierzenia zawarte na podstawie przepisów ustawy o ochronie danych osobowych , str. 243
6.2. Współadministrowanie , str. 244
6.2.1. Zagadnienia ogólne , str. 244
6.2.2. Pojęcie współadministratora , str. 244
6.2.3. Uzgodnienia i ich udostępnianie , str. 246
6.2.4. Zapewnienie realizacji praw osób, których dane dotyczą , str. 247

Rozdział 7
Przekazywanie danych do państw trzecich i organizacji międzynarodowych , str. 249
7.1. Zagadnienia ogólne , str. 249
7.2. Podstawy przekazywania , str. 251
7.2.1. Przekazywanie na podstawie decyzji stwierdzającej odpowiedni poziom ochrony , str. 253
7.2.2. Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń , str. 256
7.2.3. Przekazywanie w szczególnych sytuacjach , str. 258

Rozdział 8
Inspektor ochrony danych osobowych , str. 261
8.1. Zagadnienia ogólne , str. 261
8.2. Obowiązek wyznaczenia IOD , str. 262
8.2.1. Podmiot publiczny , str. 263
8.2.2. Podmioty wskazane w art. 37 ust. 1 lit. b, c RODO , str. 264
8.3. Wyznaczenie IOD 2 , str. 66
8.4. Wspólny IOD , str. 267
8.5. Status IOD , str. 268
8.6. Zadania IOD , str. 271
8.6.1. Informowanie oraz doradztwo , str. 271
8.6.2. Nadzór , str. 272
8.6.3. Komunikacja , str. 273

Rozdział 9
Kodeksy postępowania i certyfikacja , str. 275
9.1. Kodeksy postępowania , str. 275
9.1.1. Charakter kodeksów postępowania , str. 276
9.1.2. Zakres przedmiotowy kodeksów postępowania , str. 276
9.1.3. Weryfikacja i zatwierdzanie kodeksów postępowania , str. 278
9.2. Monitorowanie zatwierdzonych kodeksów postępowania , str. 279
9.2.1. Warunki uzyskania akredytacji , str. 280
9.2.2. Uprawnienia podmiotu akredytowanego , str. 281
9.3. Certyfikacja , str. 281
9.3.1. Charakter certyfikacji i korzyści płynące z certyfikacji , str. 282
9.3.2. Proces certyfikacji , str. 283
9.4. Podmioty certyfikujące , str. 284
9.4.1. Zasady udzielania akredytacji dla podmiotów certyfikujących , str. 284
9.4.2. Sposób udzielania akredytacji i czas jej trwania , str. 285

Rozdział 10
Organ nadzorczy i postępowanie kontrolne , str. 287
10.1. Organ nadzorczy , str. 287
10.1.1. Zagadnienia ogólne , str. 287
10.1.2. Właściwość miejscowa organu nadzorczego , str. 288
10.1.3. Kompetencje organu nadzorczego , str. 289
10.1.4. Uprawnienia organu nadzorczego , str. 291
10.2. Postępowanie kontrolne , str. 292
10.2.1. Zagadnienia ogólne , str. 292
10.2.2. Pojęcie kontroli , str. 293
10.2.3. Procedura kontrolna , str. 294

Rozdział 11
Środki ochrony prawnej, odpowiedzialność i sankcje , str. 304
11.1. Uprawnienia organu nadzorczego , str. 304
11.1.1. Uprawnienia naprawcze organu nadzorczego , str. 304
11.1.2. Administracyjne kary pieniężne , str. 305
11.1.2.1. Naruszenia podlegające administracyjnym karom pieniężnym , str. 306
11.1.2.2. Podmioty podlegające administracyjnym karom pieniężnym , str. 308
11.1.2.3. Wysokość i kumulacja sankcji , str. 308
11.1.2.4. Kryteria wymiaru administracyjnych kar pieniężnych , str. 309
11.2. Uprawnienia podmiotu danych , str. 311
11.2.1. Prawo do wniesienia skargi do organu nadzorczego , str. 311
11.2.1.1. Podmioty uprawnione do wniesienia skargi i podstawy do jej wniesienia , str. 311
11.2.1.2. Właściwość miejscowa organu nadzorczego , str. 311
11.2.1.3. Przebieg postępowania , str. 312
11.2.2. Prawo do odszkodowania , str. 313
11.2.2.1. Podmioty zobowiązane do uiszczenia odszkodowania , str. 313
11.2.2.2. Przesłanki odpowiedzialności odszkodowawczej , str. 315
11.2.2.3. Charakter i wymiar odszkodowania , str. 316
11.2.2.4. Właściwość miejscowa sądu , str. 317
11.3. Inne sankcje , str. 317
11.3.1. Sankcje karne , str. 318
11.3.2. Sankcje dyscyplinarne , str. 318

Bibliografia , str. 319

O autorach , str. 331

Szczegóły ebooka RODO w e-commerce