Opis

Wokół rodo narosło wiele mitów – niektóre bawią, inne prowadzą do absurdalnych sytuacji. Niniejsza publikacja rozwieje wszelkie wątpliwości związane z tym rozporządzeniem. Jest to zbiór blisko stu dobrych i złych praktyk z opisem kontrowersyjnych wyroków oraz kar nałożonych za działalność niezgodną z przepisami.

W książce autorzy przedstawiają główne grzechy administratorów w zakresie realizacji obowiązku informacyjnego – od niejasnych komunikatów, braku odpowiedniej formy przekazu, po powielanie klauzul i wymuszanie ich podpisywania. Sporo miejsca poświęcają także powszechnemu przekonaniu o konieczności gromadzenia zgód (najlepiej wyrażonych na piśmie) oraz najczęstszym błędom towarzyszącym przy ich wycofywaniu.

Dzięki opracowaniu czytelnik dowie się, jak poradzić sobie z nowymi nakazami w codziennym funkcjonowaniu organizacji. Pokona trudności związane ze zidentyfikowaniem administratora, współadministratora i podmiotu przetwarzającego. Wyeliminuje punkty zapalne w procesie rekrutacji oraz uniknie nadużyć związanych z wykorzystaniem monitoringu w miejscu pracy. Zawarte wzory dokumentów, umów i klauzul pomogą m.in. w prawidłowym sformułowaniu przejrzystej polityki bezpieczeństwa i wypracowaniu schematu postępowania w przypadku naruszenia ochrony danych. Dzięki temu administratorzy nauczą się unikać sztucznego tworzenia niepotrzebnej dokumentacji i lepiej przygotują się do ewentualnej kontroli UODO.

Lektura tej książki sprawi, że mit „rodo = zgoda na wszystko” zostanie obalony. Czytelnicy poznają inne podstawy przetwarzania, które nie dość, że chronią od ryzyka, to otwierają nowe możliwości i usprawniają procesy ochrony danych.

Aleksandra Zomerska:

Absolwentka Uniwersytetu Wrocławskiego na Wydziale Prawa, Administracji i Ekonomii, a także szkoły prawa własności intelektualnej prowadzonej przez Centrum Praw Własności Intelektualnej im. H. Grocjusza. Obecnie aplikantka adwokacka w Okręgowej Radzie Adwokackiej we Wrocławiu. Prawniczka z Kancelarii Domański Zakrzewski Palinka. Specjalizuje się w doradztwie prawnym w zakresie ochrony danych osobowych.

Michał Kluska:

Senior Associate, adwokat w Kancelarii Domański Zakrzewski Palinka. Dwanaście lat doświadczenia w obszarze ochrony danych osobowych. Inspektor ochrony danych dla przedsiębiorców w kilku branżach. Wykładowca i prelegent. Autor publikacji prasowych i książkowych.

Robert Brodzik:

Prawnik w Kancelarii Domański Zakrzewski Palinka, specjalizuje się w prawie ochrony danych osobowych oraz prawie korporacyjnym. Posiada duże doświadczenie we wdrażaniu modeli ochrony danych osobowych, również o charakterze międzynarodowym. Autor publikacji książkowych, współautor komentarza do ustawy o ochronie danych osobowych.

Spis treści

Wykaz skrótów

Rozdział 1. Rodo – czym jest i skąd właściwie te mity?
1.1. Wstęp
1.2. Skąd się wzięło rodo? Początki
1.3. Ale właściwie po co „nowe rodo”?
1.4. Ewolucja czy rewolucja?
1.5. Ochrona danych osobowych nie jest bezwzględna
1.6. Rodo – ale czemu tak ogólnie?
1.7. Rozliczalność
1.8. Kodeksy postępowania i mechanizmy certyfikacji – sposób na doprecyzowanie rodo

Rozdział 2. Problem z ustaleniem administratora, w tym w sektorze publicznym
2.1. Wprowadzenie
2.2. Administrator w sektorze prywatnym
2.2.1. Trudności związane z odróżnieniem administratora od podmiotu przetwarzającego
2.2.2. Trudności w zidentyfikowaniu współadministrowania
2.3. Administrator w sektorze publicznym
2.3.1. Kompetencje organu publicznego jako wyznacznik statusu administratora
2.3.2. Wyznaczenie administratora w przepisach prawa
2.4. (Nie)wszechobecne rodo, czyli wyłączenia stosowania przepisów rodo

Rozdział 3. Wszechobecne zgody
3.1. Zgoda w świetle innych podstaw prawnych – kiedy ją wybrać?
3.2. Forma zgody
3.3. Zgoda wymuszona
3.4. Zgoda a sprzedaż danych
3.5. Zgoda a dane wrażliwe
3.6. Dane osobowe na fotografiach – rozpowszechnianie wizerunku a zgoda
3.7. Wycofanie zgody – najczęstsze błędy
3.8. Zgoda a realizacja praw wynikających z rodo
3.9. Dlaczego niepozorna zgoda jest ważna?

Rozdział 4. Umowy powierzenia
4.1. Umowa powierzenia
4.2. Kiedy zawieramy umowę powierzenia
4.3. Kwalifikacja do bycia podmiotem przetwarzającym
4.4. Pomoc podmiotu przetwarzającego
4.5. Kontrola podmiotu przetwarzającego
4.6. Dalsze powierzenie, czyli podpowierzenie
4.7. Odpowiedzialność podmiotu przetwarzającego
4.8. Zakończenie umowy powierzenia
Wzór umowy powierzenia
Wzór procedury weryfikacji podmiotu przetwarzającego

Rozdział 5. Szaleństwo klauzul informacyjnych
5.1. Wprowadzenie
5.2. Zasady informowania
5.3. Siedem grzechów głównych administratora
5.3.1. Wręczanie ogólnych niejasnych klauzul
5.3.2. Brak dobrania odpowiedniej formy przekazu informacji
5.3.3. Wymuszanie podpisywania klauzul
5.3.4. Kilkakrotne przekazywanie klauzul informacyjnych
5.3.5. Spełnianie obowiązku informacyjnego „wstecz”
5.3.6. Brak lub zbyt późne wykonanie obowiązku informacyjnego
5.3.7. Sprowadzenie stosowania rodo do wręczenia klauzul

Rozdział 6. Prawa podmiotów danych
6.1. Realizacja praw osób, których dane dotyczą
6.2. Prawo dostępu do danych osobowych
6.3. Prawo do sprostowania danych
6.4. Prawo do usunięcia danych – tzw. prawo do bycia zapomnianym
6.5. Prawo do ograniczenia przetwarzania
6.6. Prawo do przenoszenia danych
6.7. Prawo sprzeciwu
6.8. Skarga do organu
Przykładowy wniosek o realizację praw

Rozdział 7. Zakres danych osobowych dotyczący pracownika i kandydata do pracy oraz zgoda pracownicza – czy swobodnie można prosić o jej wyrażenie i zbierać dane biometryczne
7.1. Wprowadzenie
7.2. „Wiem, że nic nie wiem”, czyli przetwarzanie danych osobowych na etapie rekrutacji
7.3. Punkty zapalne w procesie rekrutacji z perspektywy rodo
7.4. Przetwarzanie danych osobowych pracownika
7.5. „Wiem, że nic nie wiem”, czyli paradoks przetwarzania danych osobowych przez pracodawcę

Rozdział 8. Antidotum na monitoring – w pracy i nie tylko
8.1. Monitoring – współczesny standard
8.2. Czym właściwie jest monitoring?
8.3. Monitoring – ramy prawne
8.4. Problem służby zdrowia
8.5. Monitoring wizyjny w miejscu pracy – najczęstsze błędy i nadużycia
8.5.1. Monitoring w zatrudnieniu – polska regulacja
8.5.2. Monitoring wizyjny
8.5.3. Ukryte formy monitoringu wizyjnego pracowników
8.6. Monitoring poczty elektronicznej pracowników
8.7. Inne formy monitoringu
8.7.1. Czym właściwie jest „inna forma monitoringu”?
8.7.2. Dane biometryczne pracownika
8.8. Monitorowanie a DPIA
8.9. Monitorowanie a IOD

Rozdział 9. Dokumentacja – czy rodo sprowadza się do tworzenia dokumentów wyłącznie na wypadek kontroli Prezesa UODO
9.1. Rodo a dokumenty
9.2. Zasada rozliczalności
9.3. Procedury realizacji praw
Wzór podstawowej (do rozbudowania i uzupełnienia) polityki bezpieczeństwa

Rozdział 10. Problematyczne zgłaszanie naruszeń ochrony danych i informowanie o nich
10.1. Uwagi wstępne
10.2. Oblicza naruszenia ochrony danych osobowych
10.3. Co się składa na naruszenie ochrony danych?
10.3.1. Naruszenie poufności
10.3.2. Naruszenie dostępności
10.3.3. Naruszenie integralności
10.4. Nieubłagany czas – ile naprawdę mam go od wystąpienia naruszenia
10.5. Naruszenie ochrony danych – jaka jest rola procesora i czy rzeczywiście bezgraniczna?
10.6. Informowanie organu nadzorczego – najczęstsze błędy i najlepsze praktyki
10.7. Zgłaszanie naruszenia ochrony danych to zawsze ocena prawdopodobieństwa
10.8. Czym właściwie są prawa i wolności osób fizycznych, które mogą zostać naruszone?
10.9. Ocena dotkliwości naruszenia – metoda ENISA
10.9.1. Kontekst Przetwarzania Danych
10.9.2. Łatwość Identyfikacji
10.9.3. Okoliczność Naruszenia
10.9.4. Wzór na dotkliwość naruszenia według ENISA
10.10. Co musi zawierać zgłoszenie naruszenia ochrony danych osobowych?
10.11. Formularz zgłoszenia naruszenia ochrony danych UODO
10.11.1.Opis charakteru naruszenia ochrony danych
10.11.2. Kategorie osób, których dotyczy naruszenie
10.11.3. Przybliżona liczba osób, których dotyczy naruszenie
10.11.4. Kategorie oraz przybliżona liczba wpisów danych osobowych
10.11.5. Dane IOD lub dane punktu kontaktowego
10.11.6. Opis możliwych konsekwencji naruszenia ochrony danych osobowych
10.11.7. Opis zastosowanych (lub proponowanych) środków w celu zaradzenia naruszeniu ochrony danych osobowych
10.12. Dokumentowanie naruszeń ochrony danych – czy to często nieprzestrzegany obowiązek?
10.12.1. Okoliczności naruszenia ochrony danych osobowych
10.12.2. Skutki naruszenia
10.12.3. Podjęte działania zaradcze
10.12.4. Dokumentowanie
10.13. Zawiadomienie osób, których dotyczy naruszenie
10.13.1. Kiedy należy zawiadomić podmiot danych o naruszeniu?
10.13.2. Co znajduje się w zawiadomieniu?
10.13.3. Charakter naruszenia
10.13.4. Opis możliwych konsekwencji naruszenia ochrony danych
10.13.5. Środki w celu zaradzenia naruszeniu oraz minimalizacji jego negatywnych skutków
10.13.6. Zawiadomienie osób, których dotyczy naruszenie – zasada przejrzystości
10.13.7. Nie zawsze trzeba zawiadamiać osoby o naruszeniu (nawet jeśli występuje ryzyko)

Rozdział 11. Kontrola Prezesa UODO – nie do końca jasne „opresyjne” rozwiązania
11.1. Kto i co kontroluje
11.2. Wyłączenie kontrolującego
11.3. Dokumenty, na podstawie których prowadzi się kontrolę
11.4. Udział innych osób podczas kontroli
11.5. Co może kontrolujący
11.6. Na kiedy ustalany jest stan faktyczny podczas kontroli
11.7. Protokół kontroli
11.8. Ile trwa kontrola?
11.9. Uprawnienia kontrolowanego
11.10. Pozostałe kwestie

Rozdział 12. Odpowiedzialność w przypadku naruszenia zasad ochrony danych osobowych
12.1. Odpowiedzialność administracyjna za naruszenie zasad ochrony danych osobowych
12.2. Odpowiedzialność karna za naruszenie zasad ochrony danych osobowych
12.3. Odpowiedzialność cywilna za naruszenie zasad ochrony danych osobowych

Bibliografia
Podstawa prawna
Wykaz aktów prawnych
Biogramy autorów