Publikacja jest kompleksowym opracowaniem praktycznych aspektów
obowiązywania przepisów o ochronie danych osobowych, w tym w
szczególności ogólnego rozporządzenia o ochronie danych.
Struktura książki została podzielona na zagadnienia ogólne,
odpowiadające zasadniczym kwestiom unormowanym w przepisach RODO,
oraz zagadnienia szczegółowe, obejmujące wybrane obszary
działalności administratora, mające swoje specyficzne regulacje
na styku RODO i krajowych aktów prawnych (kodeksu pracy, prawa
telekomunikacyjnego, ustawy o świadczeniu usług drogą
elektroniczną itp.).
Walorem publikacji jest jej praktyczny charakter i odniesienie do
najbardziej aktualnych poglądów, wytycznych i tendencji
orzeczniczych. Książka uwzględnia zarówno bieżące orzecznictwo
sądów administracyjnych i TSUE, jak i aktualną linię orzeczniczą
prezentowaną przez Prezesa UODO. Autorzy podjęli się także
analizy najnowszych wytycznych i opinii europejskich organów
ochrony danych osobowych, takich jak Europejska Rada Ochrony
Danych czy Europejski Inspektor Ochrony Danych.
Książka przeznaczona jest dla praktyków – adwokatów, radców
prawnych i sędziów, jak również inspektorów ochrony danych,
koordynatorów ochrony danych osobowych, osób odpowiedzialnych w
organizacjach za ochronę danych osobowych. Zainteresuje też
pracowników działów HR, m.in. w związku z rekrutacją,
zatrudnieniem, przetwarzaniem danych w ramach pracy zdalnej oraz
badaniem trzeźwości, a także osoby odpowiedzialne w organizacji
lub nadzorujące zagadnienia compliance oraz ochronę danych
osobowych, pracowników działów sprzedaży, marketingu i PR.
Słowo wstępne | str. 17
Wykaz skrótów | str. 19
CZĘŚĆ OGÓLNA
Rozdział I
Regulacje prawne ochrony danych osobowych – Dominik
Lubasz, Adam Szkurłat | str. 25
- Wprowadzenie | str. 25
- Rola rozporządzenia 2016/679 | str. 26
- Cele reformy prawa ochrony danych osobowych | str. 28
- Zakres zastosowania RODO | str. 29
- Relacja RODO do polskich regulacji | str. 30
Rozdział II
Podstawowe pojęcia i role w procesie przetwarzania danych
osobowych – Anna Maciaszczyk | str. 34
- Wprowadzenie | str. 34
- Dane osobowe | str. 34
- Dane szczególnych kategorii | str. 40
- Przetwarzanie | str. 41
- Profilowanie „zwykłe” i profilowanie kwalifikowane | str. 43
- Zgoda | str. 47
- Administrator | str. 48
- Podmiot przetwarzający | str. 50
Rozdział III
Zasady przetwarzania danych osobowych – Anna Maciaszczyk
| str. 52
- Wprowadzenie | str. 52
- Zasada zgodności z prawem i rzetelności | str. 53
- Zasada przejrzystości | str. 56
- Zasada ograniczenia celu | str. 58
- Zasada minimalizacji danych | str. 61
- Zasada prawidłowości | str. 63
- Zasada ograniczenia przechowywania | str. 64
- Zasada integralności i poufności | str. 66
- Zasada rozliczalności | str. 70
Rozdział IV
Podstawy prawne przetwarzania – Witold Chomiczewski,
Dominik Lubasz, Anna Maciaszczyk, Adam Szkurłat | str.
72
- Wprowadzenie | str. 72
- Dane osobowe zwykłe | str. 72
- Dane szczególnych kategorii | str. 74
- Podstawy prawne przetwarzania danych osobowych zwykłych |
str. 77
4.1. Zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO)
| str. 77
4.2. Wykonanie umowy lub podjęcie działań przed jej zawarciem
(art. 6 ust. 1 lit. b RODO) | str. 81
4.3. Wypełnienie obowiązku prawnego ciążącego na administratorze
(art. 6 ust. 1 lit. c RODO) | str. 82
4.4. Ochrona żywotnych interesów osoby, której dane dotyczą, lub
innej osoby fizycznej (art. 6 ust. 1 lit. d RODO) | str.
84
4.5. Zadania realizowane w interesie publicznym lub w ramach
sprawowania władzy publicznej (art. 6 ust. 1 lit. e RODO) |
str. 85
4.6. Prawnie uzasadniony interes realizowany przez administratora
lub stronę trzecią (art. 6 ust. 1 lit. f RODO) | str.
85
Rozdział V
Obowiązki informacyjne i sposób komunikacji – Joanna
Łuczak-Tarka, Adam Szkurłat | str. 89
- Wprowadzenie | str. 89
- Przejrzysta komunikacja | str. 89
- Typy obowiązków informacyjnych i ich zakresy | str. 91
- Sposób i termin realizacji obowiązku informacyjnego | str. 94
- Wyłączenia obowiązku przekazania informacji o przetwarzaniu |
str. 99
Rozdział VI
Prawa podmiotów danych i ich realizacja – Kinga
Majczak-Górecka | str. 101
- Wprowadzenie | str. 101
- Prawo dostępu do danych oraz uzyskania informacji o
przetwarzaniu (art. 15 RODO) | str. 106
- Prawo do sprostowania danych (art. 16 RODO) | str. 111
- Prawo do usunięcia danych (art. 17 RODO) | str. 112
- Prawo do ograniczenia przetwarzania (art. 18 RODO) | str.
119
- Prawo do przenoszenia danych (art. 20 RODO) | str. 122
- Prawo do sprzeciwu (art. 21 RODO) | str. 125
- Prawo do niepodlegania zautomatyzowanym decyzjom (art. 22
RODO) | str. 129
- Prawo do wniesienia skargi do organu nadzorczego | str.
133
- Brak realizacji żądania podmiotu danych | str. 135
- Obowiązek powiadomienia o sprostowaniu, usunięciu lub
ograniczeniu przetwarzania | str. 136
Rozdział VII
Analiza ryzyka jako podstawa do realizacji obowiązków
administratora – Dominik Lubasz | str. 138
- Wprowadzenie | str. 138
- Analiza ryzyka | str. 140
- Mapowanie czynności przetwarzania danych osobowych | str. 146
- Przykłady rejestrów | str. 146
- Obowiązek zapewnienia zgodności | str. 150
- Bezpieczeństwo przetwarzania danych osobowych | str. 153
Rozdział VIII
Praktyczne i narzędziowe aspekty analizy ryzyka –
Wojciech Grenda | str. 158
- Wprowadzenie | str. 158
- Etapy analizy | str. 159
- Mapowanie zagrożeń | str. 161
- Zabezpieczenia | str. 162
- Waga danych | str. 163
- Skutek | str. 163
- Podsumowanie | str. 164
Rozdział IX
Data protection by design i data protection by default –
Adam Szkurłat | str. 167
- Wprowadzenie | str. 167
- Istota data protection by design | str. 167
- Idea data protection by default | str. 170
- Czynniki determinujące skuteczne wdrożenie data protection by
default i data protection by design | str. 171
- Certyfikacja na gruncie art. 25 ust. 3 RODO | str. 176
Rozdział X
Naruszenie ochrony danych osobowych – Witold
Chomiczewski, Kinga Majczak-Górecka, Adam Szkurłat | str.
177
- Wprowadzenie | str. 177
- Ocena naruszenia | str. 181
- Mechanizm Grupy Roboczej Art. 29 | str. 183
- Wzór Bernoulliego | str. 184
- Algorytm ENISA | str. 185
- Zgłoszenie naruszenia organowi nadzorczemu | str. 188
- Elementy zgłoszenia | str. 190
- Zawiadamianie o naruszeniu osoby, której dane dotyczą | str.
191
- Dokumentowanie naruszeń | str. 199
Rozdział XI
Powierzenie przetwarzania danych osobowych – Anna
Maciaszczyk | str. 203
- Wprowadzenie | str. 203
- Prawa i obowiązki administratora i podmiotu przetwarzającego
w ramach powierzenia przetwarzania danych osobowych | str. 206
- Wybór podmiotu przetwarzającego | str. 208
- Umowa powierzenia przetwarzania danych osobowych | str. 211
4.1. Forma umowy | str. 211
4.2. Treść umowy | str. 212
4.3. Standardowe klauzule umowne | str. 215
- Podwykonawcy przetwarzania | str. 216
- Decyzje Prezesa UODO dotyczące procesu powierzenia
przetwarzania danych osobowych | str. 218
Rozdział XII
Współadministrowanie – Adam Szkurłat | str.
220
- Wprowadzenie | str. 220
- Istota współadministrowania | str. 220
- Zakres uzgodnień | str. 223
Rozdział XIII
Obowiązki dokumentacyjne – Adam Szkurłat | str.
225
- Wprowadzenie | str. 225
- Polityki ochrony danych | str. 227
- Rejestry dotyczące przetwarzania | str. 230
- Rejestr czynności przetwarzania | str. 230
- Rejestr kategorii czynności przetwarzania | str. 232
Rozdział XIV
Rejestr czynności przetwarzania – Joanna Łuczak-Tarka
| str. 234
- Wprowadzenie | str. 234
- Zakres podmiotowy obowiązku prowadzenia rejestru | str. 235
- Zakres przedmiotowy rejestru i jego forma | str. 239
- Dostęp do rejestru | str. 243
Rozdział XV
Dopuszczenie do przetwarzania danych osobowych – Dominik
Lubasz, Adam Szkurłat | str. 247
- Wprowadzenie | str. 247
- Polecenie administratora | str. 248
- Indywidualne upoważnienie | str. 251
- Zakres uprawnień i okres ważności | str. 253
- Szkolenia personelu | str. 254
Rozdział XVI
Ocena skutków dla ochrony danych – Dominik Lubasz, Julia
Wawrzyńczak | str. 255
- Wprowadzenie | str. 255
- Konsultacje z inspektorem ochrony danych | str. 257
- Przesłanki obligatoryjnej oceny skutków dla ochrony danych |
str. 257
- Wykaz rodzajów operacji podlegających i niepodlegających DPIA
| str. 261
- Zakres i etapy DPIA | str. 262
- Kodeksy postępowań | str. 267
- Konsultacje – opinia podmiotów danych | str. 267
- Przegląd operacji przetwarzania oraz dokonanej oceny skutków
dla ochrony danych | str. 268
Rozdział XVII
Inspektor ochrony danych – Adam Szkurłat | str.
269
- Wprowadzenie | str. 269
- Obligatoryjne powołanie inspektora ochrony danych | str. 270
- Zawiadomienie organu nadzorczego o powołaniu inspektora
ochrony danych | str. 273
- Status inspektora ochrony danych w organizacji | str. 274
- Kwalifikacje i zasoby inspektora ochrony danych | str. 278
- Zadania inspektora ochrony danych | str. 280
- Konflikt interesów | str. 280
Rozdział XVIII
Transfery danych osobowych – Adam Szkurłat, Paulina
Wirska | str. 283
- Definicja transferu danych osobowych | str. 283
- Regulacje prawne dotyczące zagadnień transferowych | str.
284
- Przekazywanie danych na podstawie decyzji Komisji
Europejskiej w sprawie odpowiedniego poziomu ochrony danych
osobowych | str. 285
- Przekazywanie danych z zastrzeżeniem odpowiednich
zabezpieczeń | str. 286
- Wyjątki w szczególnych sytuacjach | str. 288
- Transfer zwrotny | str. 289
- Dalszy transfer | str. 290
- Transfer danych osobowych do Wielkiej Brytanii | str.
291
- Transfer danych osobowych do Stanów Zjednoczonych | str.
293
- Dostęp do danych spoza Europejskiego Obszaru Gospodarczego |
str. 296
- Stanowiska organów odnoszące się do zagadnień transferowych |
str. 297
Rozdział XIX
Organ nadzorczy – Adam Szkurłat | str.
300
- Wprowadzenie | str. 300
- Procedura powołania organu nadzorczego | str. 302
- Kompetencje i uprawnienia organu nadzorczego | str. 304
ZAGADNIENIA SZCZEGÓŁOWE
Rozdział XX
Przetwarzanie danych osobowych przez pracodawców – Adam
Szkurłat | str. 311
- Wprowadzenie | str. 311
- Przetwarzanie danych osobowych w procesie rekrutacji | str.
312
- Przetwarzanie danych osobowych w związku z zatrudnieniem |
str. 314
- Monitoring | str. 318
Rozdział XXI
Kontrola trzeźwości pracownika a ochrona danych osobowych
– Joanna Łuczak-Tarka | str. 324
- Wprowadzenie | str. 324
- Cel, podstawa prawna i zakres przetwarzanych danych | str.
326
- Retencja danych gromadzonych w wyniku kontroli | str. 329
- Prowadzenie działań kontrolnych wobec osób innych niż
pracownicy i przetwarzanie danych tych osób | str. 330
Rozdział XXII
Praca zdalna z perspektywy ochrony danych osobowych –
Joanna Łuczak-Tarka | str. 332
- Wprowadzenie | str. 332
- Wprowadzenie pracy zdalnej | str. 334
- Procedury ochrony danych osobowych a praca zdalna | str. 337
- Kontrola przestrzegania wymogów w zakresie procedur ochrony
danych osobowych | str. 343
Rozdział XXIII
Przetwarzanie danych osobowych na potrzeby marketingu
bezpośredniego – Adam Szkurłat | str. 347
- Wprowadzenie | str. 347
- Szczególne regulacje prawa polskiego | str. 349
- Regulacja ustawy o świadczeniu usług drogą elektroniczną |
str. 350
- Regulacja Prawa telekomunikacyjnego | str. 351
Rozdział XXIV
Profilowanie i automatyczne podejmowanie decyzji – Witold
Chomiczewski | str. 355
- Wprowadzenie | str. 355
- Istota przepisu art. 22 RODO | str. 356
- Ograniczenia w zakresie zastosowania decyzji opartych
wyłącznie na zautomatyzowanym przetwarzaniu | str. 357
- Dodatkowe środki ochrony | str. 359
- Zautomatyzowane przetwarzanie | str. 359
- Charakter decyzji | str. 360
- Wyjątki od zakazu podejmowania decyzji opartych wyłącznie na
zautomatyzowanym przetwarzaniu | str. 362
Rozdział XXV
RODO a ustawa o świadczeniu usług drogą elektroniczną i
Prawo telekomunikacyjne – Anna Maciaszczyk | str.
364
- Wprowadzenie | str. 364
- Relacje pomiędzy dyrektywą o prywatności i łączności
elektronicznej a RODO | str. 365
- Ustawa o świadczeniu usług drogą elektroniczną | str. 368
- Prawo telekomunikacyjne | str. 370
4.1. Przetwarzanie danych osobowych użytkowników wchodzących w
zakres tajemnicy komunikacyjnej oraz innych danych osobowych
| str. 370
4.2. Marketing bezpośredni i przesyłanie niezamówionej informacji
handlowej | str. 371
4.3. Pliki cookies | str. 374
- Aktualne problemy związane z ochroną prywatności w łączności
elektronicznej | str. 377
- Rozporządzenie ePrivacy | str. 378
Rozdział XXVI
Administracyjne kary pieniężne – Adam Szkurłat |
str. 380
- Wprowadzenie | str. 380
- Administracyjna kara pieniężna | str. 381
- Podstawy decyzji | str. 384
- Wysokość sankcji | str. 387
- Zasady dla sektora publicznego | str. 391
Rozdział XXVII
Odpowiedzialność cywilna za naruszenie przepisów o
ochronie danych osobowych – Aneta Frydrych-Romańska | str.
393
- Wprowadzenie | str. 393
- Roszczenia wynikające z art. 82 RODO | str. 394
- Przesłanki odpowiedzialności | str. 394
- Podmioty odpowiedzialne | str. 396
- Roszczenia z tytułu ochrony dóbr osobistych | str. 397
- Zasady dochodzenia roszczeń w postępowaniu sądowym | str.
400
- Właściwość sądu | str. 400
- Wymiana informacji pomiędzy sądem a organem nadzorczym | str.
401
- Zawieszenie postępowania sądowego | str. 403
- Umorzenie postępowania sądowego | str. 404
Rozdział XXVIII
Odpowiedzialność karna w świetle ustawy o ochronie danych
osobowych – Aneta Frydrych-Romańska | str.
405
- Wprowadzenie | str. 405
- Odpowiedzialność karnoprawna przewidziana w art. 107 u.o.d.o.
| str. 407
2.1. Bezprawne przetwarzanie danych osobowych | str.
407
2.2. Niedopuszczalność przetwarzania danych | str.
408
2.3. Przetwarzanie danych przez podmiot nieuprawniony |
str. 409
2.4. Wymiar odpowiedzialności | str. 409
- Przestępstwo udaremniania lub utrudniania kontroli
przestrzegania przepisów o ochronie danych osobowych | str. 411
- Przestępstwo naruszenia obowiązku dostarczenia organowi
nadzorczemu informacji niezbędnych do ustalenia podstawy wymiaru
administracyjnej kary pieniężnej lub dostarczenia danych
uniemożliwiających ustalenie podstawy jej wymiaru | str. 413
Rozdział XXIX
Warunki i tryb certyfikacji w świetle ustawy o ochronie
danych osobowych – Karolina Przybysz | str.
415
- Wprowadzenie | str. 415
- Pojęcie certyfikacji na gruncie przepisów RODO | str. 416
- Korzyści płynące z poddania się certyfikacji | str. 420
- Podmiot certyfikujący | str. 423
- Warunki i tryb udzielania akredytacji podmiotowi
certyfikującemu w świetle ustawy o ochronie danych osobowych |
str. 426
- Warunki i tryb dokonywania certyfikacji w świetle ustawy o
ochronie danych osobowych | str. 433
Rozdział XXX
Kodeksy postępowań – Karolina Przybysz | str.
442
- Wprowadzenie | str. 442
- Pojęcie kodeksu postępowania na gruncie przepisów RODO | str.
443
- Cel stosowania kodeksów i płynące z tego korzyści | str. 445
- Procedura zatwierdzania kodeksu postępowania i akredytacji na
gruncie RODO | str. 448
4.1. Podmioty uczestniczące w tworzeniu i stosowaniu kodeksów
postępowania | str. 448
4.2. Zakres przedmiotowy kodeksów postępowania | str.
450
4.3. Procedura zatwierdzenia kodeksu postępowania | str.
452
4.4. Monitorowanie zatwierdzonych kodeksów postępowania |
str. 454
- Procedura zatwierdzenia kodeksu postępowania i akredytacji na
gruncie ustawy o ochronie danych osobowych | str. 457
- Kodeksy postępowania w Polsce | str. 461
Rozdział XXXI
Wyjątek dziennikarski – Paulina Wirska | str.
464
- Wprowadzenie | str. 464
- Przetwarzanie danych osobowych przez sztuczną inteligencję
przy współtworzeniu tekstów dziennikarskich | str. 465
- Istota wyjątku dziennikarskiego | str. 467
- Prawa podstawowe w kontekście działalności dziennikarskiej i
medialnej w prawie unijnym | str. 468
- Wybrane orzecznictwo Trybunału Sprawiedliwości oraz
Europejskiego Trybunału Praw Człowieka dotyczące ograniczania
wolności słowa i wolności mediów | str. 470
- Rola kodeksów dziennikarskich oraz samoregulacji mediów jako
narzędzi ochrony praw i wolności | str. 471
- „Prawo do bycia zapomnianym” oraz wpływ technologii na
prywatność i ochronę danych osobowych | str. 472
- Równoważność praw i wolności w kontekście działalności
dziennikarskiej i medialnej: wolność słowa, wolność mediów oraz
prawo do prywatności i ochrony danych osobowych | str. 475
- Wyjątek dziennikarski w kontekście ochrony danych osobowych |
str. 478
- Wyjątek dziennikarski w Polsce | str. 479
- Podsumowanie | str. 488
Bibliografia | str. 491
Spis rysunków, tabel i wykresów | str.
499
Autorzy | str. 501