Spis treści
Wykaz skrótów
Rozdział 1. Rodo – czym jest i skąd właściwie te mity?
1.1. Wstęp
1.2. Skąd się wzięło rodo? Początki
1.3. Ale właściwie po co „nowe rodo”?
1.4. Ewolucja czy rewolucja?
1.5. Ochrona danych osobowych nie jest bezwzględna
1.6. Rodo – ale czemu tak ogólnie?
1.7. Rozliczalność
1.8. Kodeksy postępowania i mechanizmy certyfikacji – sposób na doprecyzowanie rodo
Rozdział 2. Problem z ustaleniem administratora, w tym w sektorze publicznym
2.1. Wprowadzenie
2.2. Administrator w sektorze prywatnym
2.2.1. Trudności związane z odróżnieniem administratora od podmiotu przetwarzającego
2.2.2. Trudności w zidentyfikowaniu współadministrowania
2.3. Administrator w sektorze publicznym
2.3.1. Kompetencje organu publicznego jako wyznacznik statusu administratora
2.3.2. Wyznaczenie administratora w przepisach prawa
2.4. (Nie)wszechobecne rodo, czyli wyłączenia stosowania przepisów rodo
Rozdział 3. Wszechobecne zgody
3.1. Zgoda w świetle innych podstaw prawnych – kiedy ją wybrać?
3.2. Forma zgody
3.3. Zgoda wymuszona
3.4. Zgoda a sprzedaż danych
3.5. Zgoda a dane wrażliwe
3.6. Dane osobowe na fotografiach – rozpowszechnianie wizerunku a zgoda
3.7. Wycofanie zgody – najczęstsze błędy
3.8. Zgoda a realizacja praw wynikających z rodo
3.9. Dlaczego niepozorna zgoda jest ważna?
Rozdział 4. Umowy powierzenia
4.1. Umowa powierzenia
4.2. Kiedy zawieramy umowę powierzenia
4.3. Kwalifikacja do bycia podmiotem przetwarzającym
4.4. Pomoc podmiotu przetwarzającego
4.5. Kontrola podmiotu przetwarzającego
4.6. Dalsze powierzenie, czyli podpowierzenie
4.7. Odpowiedzialność podmiotu przetwarzającego
4.8. Zakończenie umowy powierzenia
Wzór umowy powierzenia
Wzór procedury weryfikacji podmiotu przetwarzającego
Rozdział 5. Szaleństwo klauzul informacyjnych
5.1. Wprowadzenie
5.2. Zasady informowania
5.3. Siedem grzechów głównych administratora
5.3.1. Wręczanie ogólnych niejasnych klauzul
5.3.2. Brak dobrania odpowiedniej formy przekazu informacji
5.3.3. Wymuszanie podpisywania klauzul
5.3.4. Kilkakrotne przekazywanie klauzul informacyjnych
5.3.5. Spełnianie obowiązku informacyjnego „wstecz”
5.3.6. Brak lub zbyt późne wykonanie obowiązku informacyjnego
5.3.7. Sprowadzenie stosowania rodo do wręczenia klauzul
Rozdział 6. Prawa podmiotów danych
6.1. Realizacja praw osób, których dane dotyczą
6.2. Prawo dostępu do danych osobowych
6.3. Prawo do sprostowania danych
6.4. Prawo do usunięcia danych – tzw. prawo do bycia zapomnianym
6.5. Prawo do ograniczenia przetwarzania
6.6. Prawo do przenoszenia danych
6.7. Prawo sprzeciwu
6.8. Skarga do organu
Przykładowy wniosek o realizację praw
Rozdział 7. Zakres danych osobowych dotyczący pracownika i kandydata do pracy oraz zgoda pracownicza – czy swobodnie można prosić o jej wyrażenie i zbierać dane biometryczne
7.1. Wprowadzenie
7.2. „Wiem, że nic nie wiem”, czyli przetwarzanie danych osobowych na etapie rekrutacji
7.3. Punkty zapalne w procesie rekrutacji z perspektywy rodo
7.4. Przetwarzanie danych osobowych pracownika
7.5. „Wiem, że nic nie wiem”, czyli paradoks przetwarzania danych osobowych przez pracodawcę
Rozdział 8. Antidotum na monitoring – w pracy i nie tylko
8.1. Monitoring – współczesny standard
8.2. Czym właściwie jest monitoring?
8.3. Monitoring – ramy prawne
8.4. Problem służby zdrowia
8.5. Monitoring wizyjny w miejscu pracy – najczęstsze błędy i nadużycia
8.5.1. Monitoring w zatrudnieniu – polska regulacja
8.5.2. Monitoring wizyjny
8.5.3. Ukryte formy monitoringu wizyjnego pracowników
8.6. Monitoring poczty elektronicznej pracowników
8.7. Inne formy monitoringu
8.7.1. Czym właściwie jest „inna forma monitoringu”?
8.7.2. Dane biometryczne pracownika
8.8. Monitorowanie a DPIA
8.9. Monitorowanie a IOD
Rozdział 9. Dokumentacja – czy rodo sprowadza się do tworzenia dokumentów wyłącznie na wypadek kontroli Prezesa UODO
9.1. Rodo a dokumenty
9.2. Zasada rozliczalności
9.3. Procedury realizacji praw
Wzór podstawowej (do rozbudowania i uzupełnienia) polityki bezpieczeństwa
Rozdział 10. Problematyczne zgłaszanie naruszeń ochrony danych i informowanie o nich
10.1. Uwagi wstępne
10.2. Oblicza naruszenia ochrony danych osobowych
10.3. Co się składa na naruszenie ochrony danych?
10.3.1. Naruszenie poufności
10.3.2. Naruszenie dostępności
10.3.3. Naruszenie integralności
10.4. Nieubłagany czas – ile naprawdę mam go od wystąpienia naruszenia
10.5. Naruszenie ochrony danych – jaka jest rola procesora i czy rzeczywiście bezgraniczna?
10.6. Informowanie organu nadzorczego – najczęstsze błędy i najlepsze praktyki
10.7. Zgłaszanie naruszenia ochrony danych to zawsze ocena prawdopodobieństwa
10.8. Czym właściwie są prawa i wolności osób fizycznych, które mogą zostać naruszone?
10.9. Ocena dotkliwości naruszenia – metoda ENISA
10.9.1. Kontekst Przetwarzania Danych
10.9.2. Łatwość Identyfikacji
10.9.3. Okoliczność Naruszenia
10.9.4. Wzór na dotkliwość naruszenia według ENISA
10.10. Co musi zawierać zgłoszenie naruszenia ochrony danych osobowych?
10.11. Formularz zgłoszenia naruszenia ochrony danych UODO
10.11.1.Opis charakteru naruszenia ochrony danych
10.11.2. Kategorie osób, których dotyczy naruszenie
10.11.3. Przybliżona liczba osób, których dotyczy naruszenie
10.11.4. Kategorie oraz przybliżona liczba wpisów danych osobowych
10.11.5. Dane IOD lub dane punktu kontaktowego
10.11.6. Opis możliwych konsekwencji naruszenia ochrony danych osobowych
10.11.7. Opis zastosowanych (lub proponowanych) środków w celu zaradzenia naruszeniu ochrony danych osobowych
10.12. Dokumentowanie naruszeń ochrony danych – czy to często nieprzestrzegany obowiązek?
10.12.1. Okoliczności naruszenia ochrony danych osobowych
10.12.2. Skutki naruszenia
10.12.3. Podjęte działania zaradcze
10.12.4. Dokumentowanie
10.13. Zawiadomienie osób, których dotyczy naruszenie
10.13.1. Kiedy należy zawiadomić podmiot danych o naruszeniu?
10.13.2. Co znajduje się w zawiadomieniu?
10.13.3. Charakter naruszenia
10.13.4. Opis możliwych konsekwencji naruszenia ochrony danych
10.13.5. Środki w celu zaradzenia naruszeniu oraz minimalizacji jego negatywnych skutków
10.13.6. Zawiadomienie osób, których dotyczy naruszenie – zasada przejrzystości
10.13.7. Nie zawsze trzeba zawiadamiać osoby o naruszeniu (nawet jeśli występuje ryzyko)
Rozdział 11. Kontrola Prezesa UODO – nie do końca jasne „opresyjne” rozwiązania
11.1. Kto i co kontroluje
11.2. Wyłączenie kontrolującego
11.3. Dokumenty, na podstawie których prowadzi się kontrolę
11.4. Udział innych osób podczas kontroli
11.5. Co może kontrolujący
11.6. Na kiedy ustalany jest stan faktyczny podczas kontroli
11.7. Protokół kontroli
11.8. Ile trwa kontrola?
11.9. Uprawnienia kontrolowanego
11.10. Pozostałe kwestie
Rozdział 12. Odpowiedzialność w przypadku naruszenia zasad ochrony danych osobowych
12.1. Odpowiedzialność administracyjna za naruszenie zasad ochrony danych osobowych
12.2. Odpowiedzialność karna za naruszenie zasad ochrony danych osobowych
12.3. Odpowiedzialność cywilna za naruszenie zasad ochrony danych osobowych
Bibliografia
Podstawa prawna
Wykaz aktów prawnych
Biogramy autorów