Publikacja to przeznaczone dla na małych i średnich przedsiębiorców praktyczne omówienie nowych przepisów dotyczących ochrony danych osobowych wprowadzanych przez rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. (RODO).
Autorzy szczegółowo opisują, jak przedsiębiorcy powinni przygotować się do stosowania RODO. Praktyczne wskazówki ułatwią proces wdrożenia nowych regulacji. W stosunku do dotychczasowych przepisów istotnie zmieniają się obowiązki administratorów danych i sposób ich wykonywania.
Z książki czytelnik dowie się m.in.:
jakie są nowe prawa podmiotów danych, w tym prawa informacyjne, prawo do zapomnienia, do przenoszenia danych czy też prawo do ograniczenia przetwarzania, co oznaczają i jak je realizować,
jakie są nowe obowiązki nałożone na administratorów i jak się przygotować do ich wykonywania,
jakie sankcje, nie tylko finansowe, będą groziły za naruszenie nowych przepisów.
Autorzy omówili ponadto projekt nowej polskiej ustawy o ochronie danych osobowych w zakresie wyłączenia niektórych obowiązków dla małych i średnich przedsiębiorstw, które ma ułatwić stosowanie przez nich nowej regulacji.
Wykaz skrótów | str. 13 Słowo wstępne | str. 15 Rozdział 1 Zagadnienia ogólne, definicje oraz zasady przetwarzania danych – Dominik Lubasz, Katarzyna Witkowska-Nowakowska | str. 17 1.1. Zagadnienia wprowadzające – Dominik Lubasz | str. 17 1.2. Zakres zastosowania regulacji – Dominik Lubasz | str. 19 1.3. Defi nicje kluczowych pojęć – Dominik Lubasz | str. 21 1.3.1. Dane osobowe | str. 21 1.3.2. Przetwarzanie | str. 26 1.3.3. Administrator i podmiot przetwarzający | str. 27 1.4. Zasady przetwarzania – Katarzyna Witkowska-Nowakowska | str. 28 1.4.1. Zasady: legalności, rzetelności i przejrzystości | str. 29 1.4.2. Zasada ograniczenia celu | str. 30 1.4.3. Zasada minimalizacji danych | str. 31 1.4.4. Zasada prawidłowości | str. 32 1.4.5. Zasada ograniczenia przechowywania | str. 32 1.4.6. Zasada integralności i poufności | str. 34 1.4.7. Zasada rozliczalności | str. 35 Rozdział 2 Zapewnienie legalności przetwarzania – Witold Chomiczewski, Mirosław Gumularz, Patrycja Kozik | str. 37 2.1. Zagadnienia wprowadzające – Witold Chomiczewski | str. 37 2.2. Zgoda jako podstawa legalizująca przetwarzanie danych osobowych – Mirosław Gumularz, Patrycja Kozik | str. 38 2.2.1. Kryteria skuteczności zgody | str. 39 2.2.1.1. Sposób wyrażenia i jednoznaczność zgody | str. 39 2.2.1.2. Sposób wyrażenia zgody a dane wrażliwe | str. 40 2.2.1.3. Forma wyrażenia zgody | str. 41 2.2.1.4. Konkretność zgody | str. 41 2.2.1.5. Dobrowolność zgody | str. 42 2.2.1.6. Świadomość zgody | str. 44 2.2.2. Wymóg zapewnienia rozliczalności w zakresie zgody | str. 45 2.2.3. Wycofanie zgody | str. 45 2.2.4. Zgoda dziecka | str. 45 2.2.5. Zgoda a projektowane przepisy prawa pracy | str. 48 2.2.6. Zgoda a inne podstawy przetwarzania | str. 49 2.2.7. Zgoda na zmianę celu przetwarzania danych | str. 50 2.2.8. Skuteczność zgód a wytyczne Grupy Roboczej Art. 29 | str. 51 2.2.9. Pozyskiwanie zgód – wytyczne | str. 52 2.3. Niezbędność przetwarzania do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy – Witold Chomiczewski | str. 53 2.3.1. Wykonanie umowy | str. 53 2.3.2. Działania przed zawarciem umowy | str. 55 2.4. Niezbędność przetwarzania do wypełnienia obowiązku ciążącego na administratorze – Witold Chomiczewski | str. 56 2.5. Niezbędność przetwarzania do ochrony żywotnych interesów podmiotu danych – Witold Chomiczewski | str. 57 2.6. Niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym – Witold Chomiczewski | str. 58 2.7. Niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów – Witold Chomiczewski | str. 58 2.8. Dopuszczalność przetwarzania szczególnych kategorii danych osobowych – Dominik Lubasz | str. 61 Rozdział 3 Obowiązki administratorów – Witold Chomiczewski, Mirosław Gumularz, Patrycja Kozik, Dominik Lubasz, Mariola Więckowska | str. 63 3.1. Obowiązki bazujące na ryzyku – Mariola Więckowska | str. 63 3.1.1. Uwagi ogólne | str. 63 3.1.1.1. Podejście oparte na ryzyku | str. 65 3.1.1.2. Ochrona danych w fazie projektowania – privacy by design | str. 66 3.1.2. Ocena skutków dla ochrony danych – OSOD | str. 67 3.1.2.1. OSOD w przypadku współadministratorów i powierzenia danych podmiotom przetwarzającym | str. 69 3.1.2.2. Kiedy konieczne jest przeprowadzenie OSOD? | str. 70 3.1.3. Etap 1.: Wstępna ocena skutków dla ochrony danych wraz z ogólną analizą ryzyka | str. 72 3.1.3.1. Przykładowy szablon do etapu 1.: Wstępna ocena skutków dla ochrony danych (WOSOD) | str. 73 3.1.3.1.1. Informacje ogólne | str. 73 3.1.3.1.2. Osoba odpowiedzialna za OSOD | str. 73 3.1.3.1.3. Opis zmiany | str. 73 3.1.3.1.4. Charakter danych | str. 74 3.1.3.1.5. Typ, zakres i operacje na danych | str. 75 3.1.3.1.6. Prawa podmiotów danych | str. 76 3.1.3.1.7. Czy zmiana będzie wymagała dostosowania Regulaminu Firmy? Jeśli tak, krótko opisz, jakiej | str. 77 3.1.3.1.8. Kryteria przeprowadzenia OSOD | str. 77 3.1.3.1.9. Decyzja dotycząca ryzyka | str. 78 3.1.3.1.10. Akceptacja osoby odpowiedzialnej za ochronę danych / inspektor ochrony danych | str. 79 3.1.3.2. Podsumowanie | str. 79 3.1.4. Etap 2.: Analiza zmiany i jej wpływu na prywatność | str. 79 3.1.4.1. Identyfikacja zagrożeń i ich potencjalnego wpływu na prywatność | str. 80 3.1.4.2. Przykładowa tabela obszarów analizy wpływu na prywatność | str. 81 3.1.5. Etap 3.: Analiza ryzyka i działań zapobiegawczych | str. 85 3.1.5.1. Szacowanie poziomu ryzyka | str. 87 3.1.5.2. Postępowanie z ryzykiem | str. 89 3.1.5.3. Przykładowa lista kontrolna dla oceny ryzyka i możliwych sposobów jego ograniczenia | str. 91 3.1.6. Etap 4.: Przygotowanie raportu końcowego wraz ze strategią postępowania z ryzykiem | str. 94 3.1.7. Etap 5.: Monitoring wdrożenia | str. 95 3.1.8. Korzyści z OSOD | str. 95 3.1.9. Zakończenie | str. 96 3.2. Uprzednie konsultacje – Mirosław Gumularz, Patrycja Kozik | str. 97 3.2.1. Uwagi ogólne | str. 97 3.2.2. Typowe sytuacje, które mogą prowadzić do obowiązku dokonania uprzednich konsultacji | str. 98 3.2.3. Istotne kryteria dokonywania uprzednich konsultacji w wytycznych Grupy Roboczej Art. 29 | str. 98 3.2.4. Elementy konsultacji | str. 100 3.2.5. Na kim ciąży obowiązek dokonania uprzednich konsultacji? | str. 100 3.2.6. Działania organu nadzorczego | str. 101 3.2.7. Przepisy szczególne mogące dotyczyć uprzednich konsultacji | str. 102 3.2.8. Sankcje | str. 102 3.3. Notyfikowanie naruszeń ochrony danych osobowych – Witold Chomiczewski | str. 102 3.3.1. Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu | str. 103 3.3.2. Zawiadamianie podmiotów danych o naruszeniach ochrony danych osobowych | str. 104 3.4. Obowiązki dokumentacyjne – Dominik Lubasz | str. 106 3.4.1. Rejestr czynności przetwarzania | str. 108 3.4.1.1. Zakres danych w rejestrze czynności | str. 108 3.4.1.2. Zwolnienie z obowiązku prowadzenia rejestrów dla MŚP | str. 113 3.4.2. Rejestr kategorii czynności przetwarzania | str. 113 3.4.3. Polityki ochrony danych | str. 114 3.4.4. Pozostałe obowiązki dokumentacyjne | str. 116 Rozdział 4 Wymogi w zakresie formy w ogólnym rozporządzeniu – Dariusz Szostek | str. 117 4.1. Zagadnienia wprowadzające | str. 117 4.2. Źródła prawa w odniesieniu do formy | str. 117 4.3. Forma dotycząca zgody | str. 118 4.4. Dowód na fakt uzyskania zgody | str. 121 4.5. Wymogi dotyczące formy dla poszczególnych oświadczeń | str. 123 4.6. Forma umowy o powierzenie | str. 124 Rozdział 5 Inspektor ochrony danych – Roman Bieda | str. 126 5.1. Zagadnienia wprowadzające | str. 126 5.2. Wyznaczenie inspektora ochrony danych (IOD) | str. 127 5.2.1. Uwagi ogólne | str. 127 5.2.2. Obligatoryjne wyznaczenie IOD | str. 128 5.2.3. Wymagane kwalifikacje zawodowe IOD | str. 134 5.2.4. Podstawy zatrudnienia IOD | str. 137 5.2.5. Notyfikacja oraz publikacja danych IOD | str. 137 5.2.5.1. Publikacja danych kontaktowych IOD | str. 137 5.2.5.2. Przekazanie danych IOD osobom, których dane dotyczą | str. 138 5.2.5.3. Zawiadomienie organu nadzorczego o danych kontaktowych IOD | str. 139 5.2.5.4. Zamieszczenie danych IOD w tzw. rejestrze czynności przetwarzania danych (rejestrze kategorii czynności przetwarzania) | str. 140 5.3. Zadania inspektora ochrony danych | str. 140 5.3.1. Uwagi ogólne | str. 140 5.3.2. Podstawowe (obligatoryjne) zadania IOD | str. 141 5.3.3. Informowanie administratora i podmiotu przetwarzającego o obowiązkach wynikających z przepisów o ochronie danych oraz doradzanie w tym zakresie (art. 39 ust. 1 lit. a RODO) | str. 141 5.3.4. Monitorowanie przestrzegania przepisów o ochronie danych osobowych (art. 39 ust. 1 lit. b RODO) | str. 142 5.3.5. Ocena skutków dla ochrony danych (art. 35, art. 39 ust. 1 lit. c RODO) | str. 143 5.3.6. Współpraca z organem nadzorczym oraz pełnienie funkcji „punktu kontaktowego” dla organu nadzorczego | str. 144 5.3.7. Pełnienie funkcji „punktu kontaktowego” dla osób, których dane dotyczą | str. 145 5.3.8. Inne zadania IOD | str. 145 5.4. Status inspektora ochrony danych | str. 146 5.4.1. Uwagi ogólne | str. 146 5.4.2. Zasada niezależności IOD | str. 146 5.4.3. Obowiązek przedsiębiorcy włączania IOD we wszystkie sprawy dotyczące ochrony danych osobowych | str. 147 5.4.4. Obowiązek wspierania IOD przez przedsiębiorcę | str. 148 5.4.5. Obowiązek zachowania poufności przez IOD | str. 149 Rozdział 6 Outsourcing – powierzenie przetwarzania danych osobowych – Karolina Alama, Marcin Maruta | str. 150 6.1. Zagadnienia wprowadzające | str. 150 6.2. Powierzenie przetwarzania danych – podstawowe pojęcia | str. 152 6.3. Powierzenie przetwarzania – prawa i obowiązki stron | str. 153 6.4. Obowiązki administratora w związku z powierzeniem przetwarzania danych osobowych | str. 154 6.4.1. Uwagi ogólne | str. 154 6.4.2. Wybór podmiotu przetwarzającego spełniającego wymagania rozporządzenia 2016/679 | str. 155 6.4.3. Wydawanie udokumentowanych poleceń | str. 156 6.4.4. Umowa powierzenia przetwarzania danych osobowych | str. 157 6.4.4.1. Forma umowy | str. 157 6.4.4.2. Zakres przedmiotowy umowy powierzenia przetwarzania | str. 159 6.4.4.3. Podpowierzenie przetwarzania danych – korzystanie z usług podprocesora | str. 159 6.4.4.4. Obowiązek pomocy administratorowi | str. 161 6.4.4.5. Współpraca z administratorem | str. 162 6.4.4.6. Usunięcie lub zwrócenie danych | str. 162 6.4.4.7. Stosunek umowy powierzenia danych do umowy głównej | str. 162 6.5. Międzynarodowy transfer danych osobowych w kontekście powierzenia przetwarzania danych osobowych | str. 163 6.5.1. Uwagi ogólne | str. 163 6.5.2. Podstawy prawne transferu danych poza EOG | str. 163 6.6. Odpowiedzialność podmiotów uczestniczących w powierzeniu przetwarzania danych osobowych | str. 164 6.7. Rynek usług chmurowych a powierzenie przetwarzania danych osobowych | str. 166 6.7.1. Uwagi ogólne | str. 166 6.7.2. Zapewnienie zgodności powierzenia danych przez administratora | str. 166 6.7.3. Prognozy w zakresie przyszłości rynku usług chmurowych | str. 169 6.7.4. Migracja do rozwiązań chmurowych a zgodność z rozporządzeniem 2016/679 | str. 170 6.8. Obowiązki administratora i procesora w zakresie powierzenia przetwarzania danych osobowych – podsumowanie | str. 170 Rozdział 7 Prawa podmiotów danych – Beata Marek, Marcin Wielisiej | str. 173 7.1. Prawa informacyjne i dostępowe – Beata Marek | str. 173 7.1.1. Obowiązki informacyjne, gdy dane pozyskiwane są bezpośrednio od osoby, której dane dotyczą | str. 174 7.1.2. Obowiązki informacyjne, gdy dane pozyskiwane są w sposób inny niż od osoby, której dane dotyczą | str. 177 7.1.3. Dostęp do danych | str. 179 7.2. Prawo do sprostowania danych, usunięcia i zapomnienia – Beata Marek | str. 180 7.2.1. Sprostowanie danych | str. 180 7.2.2. Usunięcie danych (prawo do bycia zapomnianym) | str. 181 7.3. Prawo do ograniczenia przetwarzania – Marcin Wielisiej | str. 183 7.3.1. Uwagi ogólne | str. 183 7.3.2. Uprawnieni do korzystania z prawa do ograniczenia przetwarzania danych | str. 184 7.3.3. Zakres stosowania prawa do ograniczenia przetwarzania | str. 184 7.3.4. Kwestionowanie prawidłowości danych | str. 185 7.3.5. Przetwarzanie niezgodne z prawem | str. 186 7.3.6. Dane nie są już niezbędne do realizacji celu przetwarzania | str. 188 7.3.7. Wniesienie sprzeciwu | str. 188 7.3.8. Treść i forma komunikacji z osobą, której dane dotyczą | str. 189 7.3.9. Realizacja ograniczenia przetwarzania | str. 190 7.3.10. Przesłanki uzasadniające przetwarzanie danych mimo wniesionego żądania ograniczenia | str. 191 7.3.11. Sankcje | str. 192 7.4. Prawo do przenoszenia danych – Marcin Wielisiej | str. 192 7.4.1. Uwagi ogólne | str. 192 7.4.2. Zakres stosowania prawa do przenoszenia danych | str. 193 7.4.3. Zakres danych objętych prawem do przenoszenia | str. 194 7.4.4. Treść i forma komunikacji z osobą, której dane dotyczą | str. 195 7.4.5. Przygotowanie i format danych | str. 196 7.4.6. Realizacja prawa do przeniesienia danych | str. 197 7.4.7. Przekazanie danych osobie, której dane dotyczą | str. 198 7.4.8. Przekazanie danych innemu administratorowi | str. 199 7.4.9. Sankcje | str. 200 7.5. Prawo do sprzeciwu – Marcin Wielisiej | str. 200 7.5.1. Uwagi ogólne | str. 200 7.5.2. Przesłanki zastosowania prawa do sprzeciwu | str. 201 7.5.3. Forma zgłoszenia sprzeciwu | str. 202 7.5.4. Realizacja sprzeciwu | str. 203 7.5.5. Sankcje | str. 203 7.6. Prawa związane z profilowaniem – Marcin Wielisiej | str. 204 7.6.1. Uwagi ogólne | str. 204 7.6.2. Zakaz podejmowania automatycznych decyzji | str. 205 7.6.3. Ograniczenia zakazu podejmowania automatycznych decyzji | str. 206 7.6.4. Profilowanie zgodne z rozporządzeniem 2016/679 | str. 207 7.6.5. Sankcje | str. 208 Rozdział 8 Transfery danych do państw trzecich – Damian Karwala | str. 209 8.1. Zagadnienia wprowadzające | str. 209 8.1.1. Ponadgraniczne transfery danych w praktyce | str. 209 8.1.2. Krytyka dotychczasowej regulacji transferowej i ogólna ocena zmian | str. 210 8.2. Transfery danych na podstawie decyzji Komisji Europejskiej | str. 212 8.3. Transfery danych z wykorzystaniem odpowiednich zabezpieczeń | str. 215 8.4. Umowy transferowe | str. 216 8.5. Transfery danych na podstawie wiążących reguł korporacyjnych | str. 219 8.6. Kodeksy postępowania (dobrych praktyk) oraz mechanizmy certyfikacyjne jako nowe podstawy transferowe | str. 220 8.7. Transfery danych z użyciem odstępstw (wyjątków) | str. 221 8.8. Zgoda osoby zainteresowanej jako podstawa transferu | str. 221 8.9. Prawnie uzasadnione interesy eksportera danych | str. 224 8.10. Operacje dalszych transferów danych | str. 225 8.11. Kolejność stosowania przesłanek transferowych | str. 225 Rozdział 9 Postępowanie kontrolne i sankcje – Katarzyna Witkowska-Nowakowska | str. 227 9.1. Zagadnienia wprowadzające | str. 227 9.2. Postępowanie kontrolne | str. 228 9.3. Postępowanie w sprawie naruszenia ochrony danych osobowych | str. 230 9.4. Administracyjne kary pieniężne | str. 231 9.4.1. Warunki nakładania administracyjnych kar pieniężnych | str. 231 9.4.2. Wysokość i podstawa do nałożenia kar | str. 232 9.5. Sankcje karne | str. 235 9.6. Uprawnienia podmiotu danych | str. 236 Rozdział 10 Szczególne sytuacje związane z przetwarzaniem – Mirosław Gumularz, Beata Marek | str. 239 10.1. Przetwarzanie danych osobowych w związku z zatrudnieniem – Mirosław Gumularz | str. 239 10.2. Przetwarzanie danych w big data – Beata Marek | str. 242 Bibliografia | str. 247