Publikacja przedstawia analizę zastosowania konstrukcji prawnej
konkretyzacji obowiązków prawnych, opartej na kryterium ryzyka
naruszenia praw lub wolności osób fizycznych.
W opracowaniu zostały omówione m.in.:
- przyczyny stosowania norm prawnych opartych na analizie
ryzyka,
- sposoby konkretyzacji obowiązków prawnych w prawie powszechnie
obowiązującym,
- akt konkretyzacji obowiązku prawnego na podstawie kryterium
ryzyka naruszenia praw lub wolności osób fizycznych i jego
wykonanie,
- pojęcie „ryzyko” oraz regulacja prawna ,,ryzyka naruszenia praw
lub wolności osób fizycznych”,
- metodyka identyfikacji i szacowania ryzyka naruszenia praw lub
wolności osób fizycznych,
- postępowanie z ryzykiem naruszenia praw lub wolności osób
fizycznych,
- kompetencje Prezesa Urzędu Ochrony Danych Osobowych w zakresie
prowadzenia postępowań odnoszących się do ryzyka naruszenia praw
lub wolności osób fizycznych, w tym m.in. zasady postępowania
przed Prezesem Urzędu Ochrony Danych Osobowych,
- rola sądownictwa administracyjnego w kontekście stosowania
modelu regulacji, polegającego na konkretyzacji obowiązków
prawnych przez podmioty zobowiązane, za pomocą kryterium
ryzyka.
Książka będzie przydatna administratorom, inspektorom ochrony
danych, adwokatom i radcom prawnym. Zainteresuje też
przedstawicieli nauki.
Wykaz skrótów | str. 13
Wprowadzenie | str. 21
Rozdział I
Regulowanie obowiązków prawnych w oparciu o kryterium
ryzyka | str. 27
- Sposoby konkretyzacji obowiązków w prawie | str. 27
- Definicja terminu „ryzyko” | str. 30
- Zastosowanie konstrukcji konkretyzacji obowiązków prawnych
w oparciu o kryterium ryzyka w wybranych aktach
prawnych | str. 35
Rozdział II
Metody badawcze konkretyzacji obowiązków prawnych ustalanych
w oparciu o kryterium ryzyka | str. 54
- Wprowadzenie | str. 54
- Metoda badań naukowych | str. 55
- Zastosowanie normatywnej teorii wykładni | str. 56
Rozdział III
Ryzyko naruszenia praw lub wolności osób fizycznych | str.
60
- Regulacja prawna ryzyka w RODO | str. 60
- Akt konkretyzacji obowiązku prawnego na podstawie
kryterium ryzyka naruszenia praw lub wolności osób
fizycznych i jego wykonanie | str. 77
- Ujęcie podmiotowe i przedmiotowe ryzyka naruszenia praw
lub wolności osób fizycznych | str. 83
3.1. Ujęcie podmiotowe | str. 83
3.2. Ujęcie przedmiotowe | str. 86
3.3. Prawa i wolności osób fizycznych, których dotyczy
ryzyko | str. 89
3.3.1. Źródła regulacji praw i wolności osób fizycznych –
uwagi wstępne | str. 89
3.3.2. Prawa i wolności osób fizycznych określone
w RODO | str. 92
3.3.3. Prawa i wolności osób fizycznych określone
w Traktatach | str. 98
3.3.4. Prawa i wolności osób fizycznych określone
w Karcie Praw Podstawowych Unii
Europejskiej | str. 105
3.3.5. Prawa i wolności osób fizycznych określone
w EKPCz | str. 111
3.3.6. Prawa i wolności osób fizycznych określone
w Konstytucji RP | str. 112
3.4. Skutki prawne naruszenia praw lub wolności osób
fizycznych | str. 122
Rozdział IV
Metody identyfikacji i szacowania ryzyka naruszenia praw
lub wolności osób fizycznych | str. 131
- Znaczenie podejścia procesowego dla identyfikacji
i zarządzania ryzykiem naruszenia praw lub wolności
osób fizycznych, których dane osobowe są przetwarzane | str. 131
- Zastosowanie dokumentacji wewnętrznej do identyfikacji
ryzyka | str. 135
2.1. Uwagi ogólne | str. 135
2.2. Modele i mapy procesów | str. 136
2.3. Metodyka analizowania ryzyka | str. 139
2.3.1. Wyjaśnienie pojęć metodologii, metodyki i metody
oceny ryzyka | str. 139
2.3.2. Wymagania RODO dotyczące metodyki analizowania ryzyka |
str. 140
2.4. Przegląd wybranych metodyk wykorzystywanych do analizy
ryzyka związanej z przetwarzaniem danych osobowych | str.
143
2.4.1. Metodyka proponowana przez polskiego regulatora –
GIODO | str. 143
2.4.2. Metodyki opracowane przez regulatora francuskiego –
CNIL | str. 144
2.4.3. Metodyka zaproponowana przez brytyjski organ
nadzorczy – ICO | str. 145
2.4.4. Metodyka zaproponowana w Podręczniku Inspektora
Ochrony Danych | str. 145
2.4.5. Porównanie metodyk | str. 146
- Przegląd wybranych rekomendacji i standardów związanych
z podejściem opartym na ryzyku | str. 149
3.1. Rekomendacje ENISA w sprawie oceny skutków naruszenia
danych osobowych | str. 149
3.2. Norma ISO 31010 – wybrane metody analizowania ryzyka |
str. 150
3.3. Norma ISO 27005. Zarządzanie ryzykiem
w bezpieczeństwie informacji | str. 152
3.4. Norma ISO 29134. Wytyczne dotyczące oceny skutków
dla prywatności | str. 152
- Iteracje, wykorzystanie audytu do zarządzania
przetwarzaniem danych osobowych opartego na ryzyku | str.
153
- Ustanawianie kontekstu i szacowanie ryzyka naruszenia
praw lub wolności osób fizycznych | str. 154
5.1. Uwagi ogólne | str. 154
5.1.1. Analiza prosta w zastosowaniu | str. 154
5.1.2. Analiza obiektywna i pomocna przy wykazywaniu
zgodności | str. 156
5.2. Ustanawianie kontekstu przetwarzania | str. 157
5.2.1. Uwagi wprowadzające | str. 157
5.2.2. Cele analizowania ryzyka | str. 159
5.2.3. Kryteria identyfikacji ryzyka naruszenia praw
lub wolności osób fizycznych, skala ryzyka | str. 161
5.2.4. Cele przetwarzania danych osobowych i czynności
przetwarzania | str. 165
5.2.5. Kategorie danych, osób, których dane dotyczą, ich prawa
i wolności | str. 167
5.3. Szacowanie ryzyka | str. 171
5.3.1. Uwagi ogólne | str. 171
5.3.2. Zagrożenia | str. 173
5.3.3. Prawdopodobieństwo materializacji
zagrożenia | str. 177
5.3.3.1. Przegląd metodyk dotyczących szacowania
prawdopodobieństwa | str. 177
5.3.3.2. Wykorzystanie statystyki do oceny
prawdopodobieństwa naruszenia praw i wolności | str. 180
5.3.3.3. Ocena niezawodności człowieka | str. 192
5.3.3.3.1. Uwagi wprowadzające | str. 192
5.3.3.3.2. Metoda TESEO | str. 195
5.3.3.3.3. Metoda HEART (ang. human error assessment
and reduction technique) | str. 195
5.3.3.4. Sposób obliczania prawdopodobieństwa ..
196
5.3.4. Następstwa materializacji zagrożenia | str. 216
5.3.5. Wstępne wyliczenie ryzyka | str. 221
Rozdział V
Postępowanie z ryzykiem naruszenia praw lub wolności
osób fizycznych | str. 224
- Uwagi ogólne | str. 224
- Analiza i ocena ryzyka | str. 225
2.1. Wprowadzenie | str. 225
2.2. Sposób sprowadzenia wyników do oczekiwanej skali ryzyka
(współczynnik korekcji) | str. 226
2.3. Ewaluacja ryzyka | str. 227
2.4. Zarządzanie niepewnością danych | str. 229
- Modyfikowanie ryzyka do poziomu zwykłego | str. 234
3.1. Uwagi ogólne | str. 234
3.2. Katalog referencyjny środków i katalog zrealizowanych
środków, czyli wyznaczanie poziomu realizacji zabezpieczeń | str.
238
3.3. Ocena poziomu realizacji zabezpieczeń | str. 244
3.4. Ocena adekwatności zastosowanych środków, odniesienie się
do charakteru, zakresu, kontekstu i celów przetwarzania
| str. 245
3.4.1. Uwagi wprowadzające | str. 245
3.4.2. Przykładowe obszary oceny adekwatności zabezpieczeń | str.
247
3.4.2.1. Środki techniczne | str. 247
3.4.2.2. Środki organizacyjne | str. 248
3.4.2.3. Bezpieczeństwo osobowe | str. 250
3.4.2.4. Testowanie, mierzenie i ocenianie skuteczności
środków | str. 251
3.5. Podatność jako parametr odwrotnie proporcjonalny
do poziomu realizacji zabezpieczeń | str. 253
- Określanie ryzyka szczątkowego | str. 258
- Dalsze postępowanie z nieakceptowalnym ryzykiem
czynności przetwarzania | str. 261
5.1. Obniżanie ryzyka na poziomie poszczególnych operacji –
ocena skutków przetwarzania | str. 261
5.2. Unikanie, transferowanie lub dzielenie ryzyka | str.
262
- Rejestrowanie, raportowanie i akceptowanie ryzyka
naruszenia praw lub wolności osób fizycznych | str. 265
Rozdział VI
Nadzór administracyjnoprawny wykonania obowiązków prawnych na
podstawie kryterium ryzyka naruszenia praw lub wolności osób
fizycznych | str. 270
- Wprowadzenie | str. 270
- Zdolność prawna Prezesa UODO | str. 271
- Kompetencja szczególna Prezesa UODO | str. 279
3.1. Uwagi wstępne | str. 279
3.2. Kompetencja szczególna związana z udzielaniem, odmową
i cofaniem certyfikatów | str. 282
3.2.1. Rodzaj kompetencji w ramach postępowania
administracyjnego i poza tym postępowaniem | str. 282
3.2.2. Znaczenie analizy ryzyka w postępowaniu
w sprawie udzielenia certyfikatu, odmowy udzielenia
oraz cofnięcia certyfikatu | str. 293
3.3. Kompetencja szczególna związana z zatwierdzaniem
kodeksu postępowania oraz warunków i trybu akredytacji
podmiotu monitorującego jego przestrzeganie | str. 296
3.3.1. Rodzaj kompetencji w ramach postępowania
administracyjnego i poza tym postępowaniem | str. 296
3.3.2. Znaczenie analizy ryzyka w postępowaniu
w sprawie zatwierdzenia kodeksu postępowania
oraz warunków i trybu akredytacji podmiotu
monitorującego jego przestrzeganie | str. 300
3.4. Kompetencja szczególna związana z prowadzeniem
postępowania w sprawie naruszenia przepisów o ochronie
danych osobowych | str. 301
3.4.1. Rodzaj kompetencji w ramach postępowania
administracyjnego | str. 301
3.4.2. Znaczenie analizy ryzyka w postępowaniu
w sprawie naruszenia przepisów o ochronie danych
osobowych | str. 310
3.5. Kompetencja szczególna związana z nakładaniem
administracyjnych kar pieniężnych | str. 311
3.5.1. Zasady nakładania kar pieniężnych | str. 311
3.5.2. Znaczenie analizy ryzyka w postępowaniu
w sprawie nakładania administracyjnych kar pieniężnych |
str. 320
- Zastosowanie zasad ogólnych postępowania administracyjnego
w postępowaniu przed Prezesem
UODO | str. 320
4.1. Uwagi wstępne | str. 320
4.2. Zastosowanie zasady praworządności działania organu
administracji publicznej i dbałości o praworządne
działanie stron i uczestników postępowania
w postępowaniu przed Prezesem UODO | str. 324
4.3. Zasada prawdy obiektywnej | str. 341
4.4. Zasada pogłębiania zaufania do organu władzy publicznej
| str. 359
4.5. Zasada przekonywania | str. 365
- Rozstrzyganie sprawy indywidualnej w postępowaniu
przed Prezesem UODO | str. 369
- Środki odwoławcze od rozstrzygnięć Prezesa UODO | str.
375
- Prawomocność i egzekwowalność orzeczeń sądów
administracyjnych w sprawach skarg na decyzje
i postanowienia Prezesa UODO | str. 378
Zakończenie | str. 383
Bibliografia | str. 407
Wykaz orzecznictwa | str. 415
Spis tabel | str. 423
Spis schematów | str. 425
Autorzy | str. 427
Zaloguj się
0,00zł
Dodano do koszyka