Spis treści
Wykaz skrótów
Wstęp
Rozdział 1. Rekrutacja. Relacja między przepisami kodeksu pracy a rodo – uwagi wstępne
1.1. Jakie są możliwe podstawy przetwarzania danych kandydata do pracy?
1.2. Których danych pracodawca może żądać od kandydata podczas rekrutacji?
1.3. Co oznacza prawo żądania od kandydata danych do kontaktu wskazanych przez taką osobę?
1.4. Czy pracodawca zawsze może zapytać kandydata do pracy o wykształcenie, kwalifikacje zawodowe lub przebieg dotychczasowego zatrudnienia?
1.5. Czy pracodawca może przetwarzać dane kandydata, jeśli kandydat w CV nie umieścił klauzuli o zgodzie na przetwarzanie danych albo gdy klauzula odnosi się do nieobowiązującej już ustawy o ochronie danych osobowych z 1997 r.?
1.6. Czy pracodawca może żądać CV ze zdjęciem? Co, jeśli kandydat sam dołączy zdjęcie?
1.7. Jakie są zasady przetwarzania danych dotyczących zdrowia, np. o niepełnosprawności kandydata?
1.8. Czy pracodawca może prowadzić rekrutacje ukryte?
1.9. Czy pracodawca może weryfikować dane o kandydacie na portalach społecznościowych (np. Facebook, LinkedIn) lub kontaktować się z byłym pracodawcą kandydata w celu zweryfikowania referencji i doświadczenia?
1.10. Czy pracodawca może pozyskiwać o kandydacie nowe dane na portalach społecznościowych lub w celu pozyskania nowych informacji kontaktować się z byłym pracodawcą kandydata?
1.11. Czy można wobec kandydatów stosować testy psychometryczne?
1.12. Jakich pytań należy unikać podczas rozmowy kwalifikacyjnej?
1.13. Czy można od kandydata zażądać zaświadczenia lub oświadczenia o niekaralności?
1.14. Czy z rozmowy kwalifikacyjnej można sporządzać notatki? Czy trzeba je udostępniać kandydatowi?
1.15. Czy zgoda na przetwarzanie danych wystarczy, by o kandydacie dowiedzieć się wszystkiego?
1.16. Co zrobić, jeżeli kandydat poda w CV dane, których pracodawca nie może przetwarzać?
1.17. Jak spełnić wobec kandydata obowiązek informacyjny?
1.18. Co zrobić z danymi osobowymi kandydatów po zakończonej rekrutacji? Jak długo po zakończeniu rekrutacji można przechowywać dane kandydata?
Rozdział 2. Zatrudnienie
2.1. Jakie są możliwe podstawy przetwarzania danych pracownika?
2.2. Których danych pracodawca może żądać od pracownika?
2.3. Czy można zażądać od pracownika zaświadczenia o niekaralności?
2.4. Czy pracodawca może żądać potwierdzenia danych odpowiednimi dokumentami?
2.5. Czy pracodawca może kserować i przechowywać w aktach dyplomy i świadectwa pracy pracownika?
2.6. Czy pracodawca może kserować i przechowywać w aktach osobowych dowód osobisty pracownika?
2.7. Czy pracodawca może kserować i przechowywać w aktach osobowych kopię karty pobytu, decyzji legalizującej lub paszportu pracownika będącego cudzoziemcem?
2.8. Jak prawidłowo przetwarzać dane o zdrowiu pracownika? Czy można je udostępniać bezpośredniemu przełożonemu pracownika?
2.9. Jaką rolę pełni pracodawca w przetwarzaniu danych pracowników na potrzeby karnetu sportowego, prywatnej opieki zdrowotnej czy ubezpieczenia prywatnego?
2.10. Czy pracodawca może pobrać od pracownika i przetwarzać odciski palców, odczyt siatkówki, zdjęcie biometryczne?
2.11. Czy można od pracownika wymagać, by poruszał się po zakładzie pracy z identyfikatorem (kartą) opatrzonym jego imieniem i nazwiskiem oraz zdjęciem?
2.12. Czy pracodawca może podać dane pracownika swojemu kontrahentowi? Jak postępować z wizytówkami pracowników?
2.13. Czy dane pracownika można przekazać do zewnętrznego działu kadr i płac?
2.14. Czy pracodawca może przetwarzać dane o rodzinie pracownika dla potrzeb ZFŚS?
2.15. Czy można w zakładzie pracy umieścić ogólnodostępną tablicę, na której zamieszczona jest informacja o obecności pracowników, ich urlopach i zwolnieniach lekarskich?
2.16. Jakie rodzaje monitoringu może zastosować pracodawca względem pracowników?
2.17. Jak legalnie wprowadzić monitoring w zakładzie pracy i na jakich zasadach powinien się on odbywać?
2.18. Czy pracodawca może stosować kamery atrapy?
2.19. Czy pracodawca może stosować doraźną kamerę ukrytą?
2.20. Jak pracodawca powinien się zachować, gdy pracownik lub były pracownik żąda usunięcia jego danych?
2.21. Jak spełnić wobec pracownika obowiązek informacyjny?
2.22. Które dane i dokumenty należy przechowywać po zakończeniu stosunku pracy, a które należy usunąć?
2.23. Jak długo można przechowywać dane pracownika po ustaniu stosunku pracy?
2.24. Czy pracodawca może żądać od pracowników informacji o powiązaniach rodzinnych i osobistych z innymi pracownikami zatrudnionymi u tego samego pracodawcy?
2.25. Czy pracodawca może żądać od pracownika informacji o jego działalności dodatkowej?
2.26. Czy pracodawca ma prawo przeprowadzać badania trzeźwości pracowników?
2.27. Czy można udostępnić dane osobowe pracownika rodzinie tego pracownika?
2.28. Czy trzeba informować mobbera o gromadzonych danych na jego temat w procedurze antymobbingowej?
2.29. Czy pracodawca może dokonywać jawnej oceny swoich pracowników?
2.30. Czy na liście obecności pracownika mogą się znaleźć informacje o zwolnieniu chorobowym pracownika?
2.31. Jak w prawidłowy sposób przetwarzać dane osobowe pracowników, pozyskane w wyniku wzięcia przez nich udziału w konkursie organizowanym przez pracodawcę?
Rozdział 3. Zatrudnienie niepracownicze (umowy cywilnoprawne)
3.1. Jak postępować w przypadku rekrutacji w celu zawarcia umowy cywilnoprawnej z przyszłym współpracownikiem?
3.2. Jakie są podstawy przetwarzania danych osób zatrudnionych na umowach cywilnoprawnych?
3.3. Jak długo przechowujemy dokumenty zawierające dane współpracownika po zakończeniu współpracy?
Rozdział 4. Podmioty spoza EOG
4.1. Jakie państwa obejmuje obecnie strefa wolnego handlu i wspólnego rynku Europejskiego Obszaru Gospodarczego?
4.2. Czy możliwy jest transfer danych osobowych poza Europejski Obszar Gospodarczy?
4.3. Jakie warunki należy spełnić w celu przekazywania danych osobowych podmiotom spoza Europejskiego Obszaru Gospodarczego?
4.4. Czy w przypadku braku decyzji Komisji Europejskiej rodo przewiduje alternatywę dla podstawy przekazywania danych osobowych krajom trzecim?
4.5. Jakie kategorie zabezpieczeń nie wymagają uzyskania zezwolenia ze strony organu nadzorczego?
4.6. Jakie zabezpieczenia wymagają zezwolenia właściwego organu nadzorczego?
4.7. Czy rodo przewiduje wyjątkowe sytuacje, w których mimo braku odpowiedniego poziomu ochrony danych dopuszczalny jest transfer danych poza EOG?
4.8. Czy w związku z przekazywaniem danych osobowych do państw trzecich na administratorze spoczywają inne obowiązki?
Rozdział 5. Prawa osób
5.1. Na czym polega prawo do przejrzystej informacji i komunikacji?
5.2. Jakie obowiązki implikuje pozyskiwanie danych osobowych od osoby, której dane dotyczą?
5.3. Czy pobieranie danych w sposób pośredni determinuje obowiązek informacyjny wobec osoby, której dane dotyczą?
5.4. Czy spełnienie obowiązku informacyjnego przy pozyskiwaniu danych osobowych w sposób inny niż od osoby, której dane dotyczą, jest ograniczone w czasie?
5.5. Czy zmiana celu przetwarzania danych pociąga za sobą obowiązek informacyjny?
5.6. Czy każde pozyskanie danych wymaga spełnienia obowiązku informacyjnego?
5.7. Jakie uprawnienia wynikają z prawa dostępu do danych osobowych, o którym mowa w art. 15 rodo?
5.8. Kto jest uprawniony do wystąpienia z żądaniem realizacji powyższego uprawnienia?
5.9. Czy osobie, której dane są przetwarzane, przysługuje prawo do uzyskania kopii danych?
5.10. Czy w ramach realizacji prawa do uzyskania kopii danych przewidziana jest opłata?
5.11. W jakim terminie należy spełnić powyższy obowiązek?
5.12. Czy rodo przewiduje ograniczenia realizacji prawa do uzyskania kopii danych?
5.13. Prawo do sprostowania danych osobowych – jak je rozumieć?
5.14. W jakim terminie należy spełnić powyższy obowiązek?
5.15. Prawo do usunięcia danych – kiedy można zrealizować żądania?
5.16. Czy w przypadku upublicznienia danych osobowych obowiązek ich usunięcia
nadal istnieje?
5.17. Czy istnieją wyłączenia od obowiązku usunięcia danych osobowych?
5.18. W jakim terminie należy spełnić powyższy obowiązek?
5.19. W jaki sposób realizować uprawnienie osoby, której dane są przetwarzane, do ograniczenia przetwarzania jej danych osobowych?
5.20. Czy rodo przewiduje odstępstwa od zasady ograniczenia przetwarzania danych?
5.21. Czy w związku ze spełnieniem obowiązku sprostowania, usunięcia lub ograniczenia przetwarzania na administratorze ciążą inne obowiązki?
5.22. Jakie uprawnienia przewiduje prawo do przenoszenia danych?
5.23. Czy istnieją wyłączenia od prawa do przenoszenia danych?
5.24. Czy dane osobowe będące w posiadaniu administratora mogą być bezpośrednio
przesłane innemu administratorowi?
5.25. Jaki jest termin na udzielenie odpowiedzi na żądanie przeniesienia?
5.26. Kiedy powstaje prawo do sprzeciwu?
5.27. Jakie prawa przysługują osobie w ramach zautomatyzowanego podejmowania decyzji?
5.28. Czy rodo przewiduje wyłączenia od powyższego uprawnienia?
5.29. W jakich sytuacjach przysługuje prawo do wniesienia skargi do organu nadzorczego?
Rozdział 6. Marketing
6.1. Na jakiej podstawie można przetwarzać dane osobowe w celach marketingowych?
6.2. Jakie zgody są konieczne w przypadku komunikacji marketingowej
przez e-mail lub telefon?
6.3. Czy zgody są konieczne w każdym przypadku komunikacji wysyłanej drogą e-mail/telefon?
Rozdział 7. Procedury
7.1. Czym są procedury w związku z rodo?
7.2. Czy administrator musi przyjąć procedury ułatwiające wykonywanie praw osobie, której dane dotyczą?
7.3. Czego powinny dotyczyć procedury?
7.4. Jakie korzyści płyną z posiadania i stosowania procedur?
Rozdział 8. Analiza ryzyka
8.1. Czym jest analiza ryzyka?
8.2. Co składa się na analizę ryzyka?
8.3. Jakie elementy należy brać pod uwagę podczas analizy ryzyka?
8.4. Czy analizę ryzyka należy przeprowadzić dla każdej operacji przetwarzania?
8.5. Czy dla kilku operacji można przeprowadzić jedną analizę ryzyka?
8.6. Kto ma obowiązek przeprowadzić analizę ryzyka?
8.7. W jakich sytuacjach wymagana jest analiza ryzyka?
8.8. W jaki sposób określić, czy dana czynność wymaga analizy ryzyka?
8.9. Jak przeprowadzić analizę ryzyka w przypadku współadministratorów?
8.10. W jakim momencie należy przeprowadzić analizę ryzyka?
8.11. Czy wyniki analizy ryzyka trzeba gdzieś opublikować?
8.12. Czy analizę ryzyka należy również przeprowadzić dla operacji przetwarzania rozpoczętych przed 25 maja 2018 r.?
8.13. Co jest pomocne przy przeprowadzaniu analizy ryzyka?
8.14. Co powinna zawierać ocena ryzyka?
8.15. Czy gdzieś znajdę podpowiedź, dla jakich czynności przeprowadzić analizę ryzyka?
8.16. Czy dla oceny ryzyka ma znaczenie fakt przestrzegania kodeksu postępowania?
8.17. Czy są jakieś operacje wyłączone spod obowiązku przeprowadzenia analizy ryzyka i w jakich sytuacjach?
8.18. Jaką formę ma mieć analiza ryzyka?
8.19. Czy jest jakieś oprogramowanie pomagające przeprowadzić analizę ryzyka?
8.20. Czy oprogramowanie od CNIL jest po polsku?
8.21. Jakie są sankcje, gdy nie zostanie przeprowadzona ocena ryzyka?
Rozdział 9. Dane szczególnej kategorii
9.1. Czym są dane osobowe szczególnych kategorii?
9.2. Czym są dane biometryczne?
9.3. Czym są dane genetyczne?
9.4. Jakie dane należy uznać za „dane dotyczące zdrowia”?
9.5. W jakich sytuacjach dopuszczalne jest przetwarzanie wrażliwych danych osobowych?
9.6. Czy wolno przetwarzać dane osobowe o karalności?
9.7. Jakie dane o zdrowiu można przetwarzać przy produkcji żywności?
Rozdział 10. Obowiązki informacyjne
10.1. Czym właściwie jest tzw. obowiązek informacyjny?
10.2.Czym różni się obowiązek informacyjny realizowany w sytuacji, gdy pozyskujemy dane nie od osoby, której dane dotyczą?
10.3. Kiedy należy zrealizować obowiązek informacyjny?
10.4. Na kim spoczywa realizacja obowiązku informacyjnego?
10.5. Co należy zawrzeć w obowiązku informacyjnym?
10.6. Jak należy zrealizować obowiązek informacyjny?
10.7. Czy mogę stosować jeden, uniwersalny wzór informacji realizującej obowiązek informacyjny?
10.8. Czy muszę poinformować osobę, której dane dotyczą, o nowych celach przetwarzania?
10.9. W jakich okolicznościach nie trzeba realizować obowiązku informacyjnego?
10.10. Jaka jest odpowiedzialność za niespełnienie obowiązku informacyjnego?
Rozdział 11. Profilowanie i zautomatyzowane podejmowanie decyzji
11.1. Czy profilowanie i zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach to jest to samo?
11.2. Czym jest profilowanie?
11.3. Czym zatem różni się profilowanie od zautomatyzowanego podejmowania decyzji?
11.4. Czy profilowanie wymaga jakichkolwiek dodatkowych zgód?
11.5. Czy treść art. 22 rodo jest czymś nowym w porządku prawnym?
11.6. Czy o zautomatyzowanym przetwarzaniu danych administrator musi informować?
11.7. Czy profilowaniu można się sprzeciwić?
11.8. Jakie warunki muszą być spełnione, aby przetwarzanie traktowane było jako zautomatyzowane podejmowanie decyzji?
11.9. Czy udział człowieka pozbawia proces cech zautomatyzowanego podjęcia decyzji?
11.10. Kto musi udowodnić, że decyzja nie miała znamion zautomatyzowanego podejmowania decyzji?
11.11. Jakie warunki muszą być spełnione, aby zautomatyzowane podejmowanie decyzji było dopuszczalne?
11.12. Jakie prawa przysługują osobie, której dane dotyczą, w związku ze zautomatyzowanym przetwarzaniem jej danych osobowych?
11.13. Czy również w przypadku, gdy podstawą zautomatyzowanego podejmowania decyzji jest przepis prawa państwa członkowskiego lub Unii, osobie przysługują uprawnienia jak wyżej?
11.14. Czy dane osobowe dzieci mogą być przetwarzane w sposób zautomatyzowany?
11.15. Czy wolno poddawać zautomatyzowanemu przetwarzaniu dane osobowe szczególnych kategorii (art. 9 rodo)?
11.16. Jak należy rozumieć sformułowanie „wywołuje skutki prawne”?
Rozdział 12. Privacy by design oraz privacy by default
12.1. Czym jest privacy by design?
12.2. Co powinien brać pod uwagę administrator w kontekście privacy by design?
12.3. Jakie przykładowe środki techniczne i organizacyjne może zastosować administrator?
12.4.Czy z zastosowania privacy by design należy sporządzić jakiś dokument?
12.5. Co to jest privacy by default?
12.6. Czy konieczność przestrzegania privacy by design oraz privacy by default dotyczy podmiotu przetwarzającego?
12.7. W jaki sposób administrator może wykazać stosowanie privacy by design oraz privacy by default?
12.8. Czy wywiązanie się z privacy by design oraz privacy by default można wykazać poprzez stosowanie kodeksu postępowania?
Rozdział 13. Rejestr czynności
13.1. Czym jest rejestr czynności przetwarzania danych?
13.2. Jakie elementy musi zawierać rejestr czynności przetwarzania?
13.3. Czym jest rejestr kategorii czynności przetwarzania danych?
13.4. Jakie elementy musi zawierać rejestr kategorii czynności przetwarzania?
13.5. Kto jest zobowiązany do prowadzenia rejestrów?
13.6. Kiedy nie ma obowiązku prowadzenia rejestrów?
13.7. Czym jest ogólny opis technicznych i organizacyjnych środków bezpieczeństwa?
13.8. Jak należy rozumieć pojęcie „czynności przetwarzania” w kontekście obowiązku prowadzenia rejestru czynności?
13.9. Jak należy rozumieć pojęcie „kategorie czynności przetwarzania” oraz „kategorie przetwarzań” w kontekście obowiązku prowadzenia rejestru kategorii czynności?
13.10. W jakiej formie powinny być prowadzone rejestry?
13.11. Jaki jest cel prowadzenia rejestrów?
Rozdział 14. Wyznaczenie inspektora ochrony danych
14.1. Kim jest inspektor ochrony danych?
14.2. Jakie podmioty są zobowiązane do wyznaczenia inspektora ochrony danych?
14.3. Czy wyznaczenie inspektora ochrony danych przez podmiot przetwarzający zwalnia z tego obowiązku administratora?
14.4. Czy w każdym przypadku przetwarzania danych osobowych wyznaczenie inspektora ochrony danych jest obligatoryjne?
14.5. Jak właściwie interpretować organ lub podmiot publiczny?
14.6. W jaki sposób definiować główną działalność administratora lub podmiotu przetwarzającego w sektorze prywatnym?
14.7. Kiedy przetwarza się dane na dużą skalę?
14.8. Kiedy aktualizuje się przesłanka regularnego i systematycznego monitorowania?
14.9. O jakich danych jest mowa w art. 9 rodo?
14.10. Jakie dane zawiera katalog określony w art. 10 rodo?
14.11. Czy można wyznaczyć inspektora ochrony danych bez spełnienia przesłanek jego obligatoryjnego wyznaczenia z art. 37 rodo?
14.12. Czy istnieje możliwość powierzenia pracownikowi pełnienia funkcji inspektora ochrony danych?
14.13. Czy można wyznaczyć osobę pełniącą funkcję inspektora ochrony danych, która jednocześnie nie będzie inspektorem ochrony danych w rozumieniu rodo?
14.14. Jakie kryteria musi spełniać osoba pełniąca funkcję inspektora ochrony danych?
14.15. Jakie funkcje pełni inspektor ochrony danych?
14.16. Na kim spoczywa obowiązek zawiadomienia Prezesa UODO o wyznaczeniu inspektora ochrony danych?
14.17. W jakiej formie i w jakim terminie należy złożyć zawiadomienie?
14.18. Czy istnieje możliwość zawiadomienia o wyznaczeniu inspektora ochrony danych przez pełnomocnika?
14.19. Jakie informacje powinny być zawarte w zawiadomieniu?
14.20. Czy oprócz konieczności zawiadomienia o wyznaczeniu inspektora ochrony danych na administratorze i podmiocie przetwarzającym ciążą inne obowiązki?
14.21. Czy zmiany danych administratora lub podmiotu przetwarzającego wymagają zgłoszenia?
14.22. Na czym polega współpraca inspektora ochrony danych z Prezesem Urzędu?
14.23. W jaki sposób administrator lub podmiot przetwarzający mogą wspierać inspektora ochrony danych w wykonywaniu przez niego zadań?
14.24. W jaki sposób unikać konfliktów interesów?
14.25. Czy radca prawny może pełnić funkcję inspektora ochrony danych?
14.26. Czy można powołać zastępcę inspektora ochrony danych?
14.27. Czy w ramach grupy przedsiębiorstw może funkcjonować jeden inspektor ochrony danych?
Rozdział 15. Dzieci
15.1. Jak można przetwarzać dane osobowe dzieci?
15.2. Kiedy podstawą prawną przetwarzania danych dziecka będzie umowa?
15.3. Kiedy podstawą prawną przetwarzania danych dziecka będzie obowiązek prawny administratora?
15.4. Jak stosować podstawę „niezbędność danych osobowych dla ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby trzeciej” w przypadku dzieci?
15.5. Niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi – kiedy ma zastosowanie?
15.6. Czy można stosować podstawę w postaci niezbędności przetwarzania danych osobowych do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią w przypadku danych dzieci?
15.7. Jak przetwarzać dane dzieci na podstawie zgody?
15.8. Jakie są wymogi zgody wyrażanej przez dziecko w Internecie?
15.9.Do jakich zatem operacji przetwarzania będzie miał zastosowanie art. 8 rodo?
Rozdział 16. Zasady przetwarzania danych
16.1. Jakie zasady przewiduje rodo?
16.2. Jak należy rozumieć zasadę zgodności z prawem, rzetelności i przejrzystości?
16.3. Jak należy rozumieć zasadę ograniczenia celu?
16.4. Czy można zmienić cel przetwarzania danych osobowych już po zebraniu danych?
16.5. Jak należy rozumieć zasadę minimalizacji danych?
16.6. Jak należy rozumieć zasadę prawidłowości?
16.7. Jak należy rozumieć zasadę ograniczonego przechowywania?
16.8. Czy dane osobowe w myśl zasady ograniczonego przechowywania trzeba usuwać?
16.9. Jak należy rozumieć zasadę integralności i poufności?
16.10. Jak należy rozumieć zasadę rozliczalności?
Rozdział 17. Współadministrowanie danymi
17.1. Czy to współadministrowanie danymi jest nową instytucją prawną?
17.2. Jaka jest różnica między współadministrowaniem danymi a dwoma administratorami danych?
17.3. Jakie warunki muszą być spełnione, aby mówić o współadministrowaniu?
17.4. Czy współadministrowanie jest skutkiem decyzji/wyboru administratorów, czy też wynika to z okoliczności przetwarzania?
17.5. Czy współadministrowanie może być realizowane przez administratora oraz podmiot przetwarzający?
17.6. Jakie obowiązki mają współadministratorzy danych?
17.7. Co powinny jeszcze zawierać uzgodnienia?
17.8. Czy uzgodnienia trzeba gdzieś opublikować?
17.9. Czy uzgodnienia muszą mieć jakąś szczególną formę, np. pisemną?
17.10. Co oznacza „zasadnicza treść” uzgodnień?
17.11. Czy dokonanie przez współadministratorów odpowiednich uzgodnień co do zakresu ich obowiązków wynikających z rodo wpływa na możliwość i sposób wykonywania przez osobę, której prawa dotyczą, przysługujących jej praw wynikających z rodo?
17.12. Czy punkt kontaktowy jest wiążący dla osoby, której dane dotyczą?
Czy musi ona korzystać wyłącznie z niego?
17.13. Jakie sankcje przewiduje rodo w przypadku naruszenia art. 26 rodo?
Rozdział 18. Grupy kapitałowe
18.1. Czy rodo odwołuje się do grup kapitałowych?
18.2. Jak zdefiniowana jest grupa przedsiębiorstw w rodo?
18.3. Czy przekazywanie danych osobowych w grupie przedsiębiorstw zawsze wymaga umowy powierzenia?
18.4. W jaki sposób zorganizować przepływ danych osobowych w międzynarodowych grupach kapitałowych?
18.5. W jaki sposób powinna być wyliczana kara finansowa w przypadku grup kapitałowych?
Rozdział 19. Dokumentacja
19.1. Czy rodo wprowadza katalog dokumentów, które muszą zostać stworzone?
19.2. Jakie akty prawne należy brać pod uwagę w celu zgodnego z prawem gromadzenia i przetwarzania danych osobowych?
19.3. Jakie dokumenty w większości przypadków przygotowuje administrator danych osobowych?
19.4. Czy rodo wymaga, aby organizacja tworzyła jakieś wzory dokumentów?
19.5. Jakie okoliczności powinna wykazywać dokumentacja?
19.6. Czy trzeba dalej utrzymywać dokument polityki bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym?
Rozdział 20. Transfer danych do państw trzecich
20.1. Co to jest państwo trzecie?
20.2. Dlaczego przekazywanie danych osobowych z Polski do państwa trzeciego jest traktowane w sposób szczególny? Czym to się różni od przekazania danych do podmiotu „po drugiej stronie ulicy”?
20.3. Czy rzeczywiście żadne państwo trzecie na świecie nie zapewnia ochrony danych osobowych na poziomie równym z tym, jaki gwarantuje prawodawstwo polskie i unijne?
20.4. Dlaczego kłopoczemy się w Polsce tym, jaki los spotyka dane osobowe w państwie trzecim?
20.5. Z jakiej perspektywy należy oceniać stopień ochrony danych osobowych w państwie trzecim?
20.6. W jakiej sytuacji dopuszczalne jest przekazywanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej?
20.7. Czy zatem istnieją państwa trzecie, wobec których Komisja Europejska stwierdziła należyty (zgodny z unijnym) poziom ochrony danych osobowych?
20.8. Czy Stany Zjednoczone znajdują się na „białej liście” Komisji Europejskiej?
20.9. Czy przedsiębiorca (bądź jakakolwiek inna jednostka organizacyjna w Polsce) może – na własne ryzyko – dokonywać samodzielnie oceny stopnia ochrony danych osobowych w państwie trzecim ze skutkiem takim, jak Komisja Europejska?
20.10. Co, jeśli Komisja Europejska się pomyliła w swej ocenie i błędnie uznała, że państwo trzecie zapewnia należyty stopień ochrony danych osobowych, w wyniku czego polski przedsiębiorca przekazał dane do takiego państwa trzeciego?
20.11. Czy decyzja Komisji Europejskiej wydana jest „raz na zawsze”, czy też konieczne jest dokonywanie ponownej weryfikacji stanowisk Komisji Europejskiej odnoszących się do poziomu ochrony danych w państwie trzecim?
20.12. Czym jest przekazywanie danych osobowych do państwa trzeciego?
20.13. Co z danymi osobowymi, które przepływają przez terytorium państwa trzeciego (tranzyt)?
20.14. Czym jest transgraniczne przetwarzanie danych?
20.15. Co, gdy dane państwo trzecie (terytorium, sektor bądź sektory czy też organizacja międzynarodowa) nie uzyskało pozytywnej decyzji Komisji Europejskiej?
20.16. Jakie rozwiązania z tych opisanych w omawianym art. 46 rodo są w praktyce najczęściej stosowane w obrocie gospodarczym, w sytuacji gdy odbiorca danych mieści się w państwie trzecim nieuznanym przez Komisję Europejską za państwo spełniające odpowiedni poziom ochrony danych osobowych?
20.17. Czy dotychczas opracowane przez Komisję Europejską standardowe klauzule umowne zachowują moc?
20.18. Czy przedsiębiorcy mogą wprowadzać zmiany i dokonywać modyfikacji standardowych klauzul umownych, czy raczej jest to niemożliwe z uwagi na ich oficjalny charakter i moc urzędową?
20.19. Czy standardowe klauzule ochrony danych mogą być włączone do umowy o współpracy?
20.20. Czy wiążące reguły korporacyjne stanowią przydatne narzędzie legalizujące transfery danych osobowych do państw trzecich?
20.21. Co należy zrobić w sytuacji braku możliwości zastosowania w konkretnym przypadku oficjalnie przyjętych (bądź zatwierdzonych) przez Komisję Europejską standardowych klauzul ochrony? Czy istnieją inne możliwości zapewnienia zgodności przekazywania danych osobowych do państwa trzeciego z polskim prawem?
20.22. Czy klauzule umowne ochrony danych mogą być włączone do umowy o współpracy?
20.23. Jaka może być rola i praktyczna doniosłość kodeksów postępowania i mechanizmów certyfikacji?
20.24. Czy wiążące reguły korporacyjne można zacząć stosować przed ich zatwierdzeniem przez organ nadzorczy?
20.25. Jaki organ nadzorczy jest organem właściwym w sytuacji, gdy grupa spółek ma kilka spółek z siedzibą w Unii Europejskiej?
20.26. Czym jest grupa przedsiębiorców w rozumieniu rodo?
20.27. Jakie podmioty wchodzą w skład grupy przedsiębiorstw?
20.28. Co rozumie się przez pojęcie grupy przedsiębiorstw?
20.29. Czy wiodący organ nadzorczy samodzielnie podejmuje decyzje, czy też współdziała z organami nadzorczymi w pozostałych krajach członkowskich, gdzie grupy spółek mają swoje placówki?
20.30. Czy wyrok sądu lub decyzja organu państwa trzeciego mogą automatycznie obligować podmiot polski (zwłaszcza polskiego przedsiębiorcę) do przekazania danych osobowych do państwa trzeciego?
20.31. Czy poza ściśle formalnymi metodami, omówionymi wyżej, możliwe są inne rozwiązania umożliwiające przekazanie danych osobowych do państwa trzeciego?
20.32. Czy dane kontaktowe przedstawicieli (reprezentantów) stron w umowach mogą być przekazywane do państwa trzeciego?
20.33. Czy można przekazywać dane, jeżeli staramy się dochodzić roszczeń od osoby przebywającej za granicą? W takiej sytuacji uzyskanie zgody nie jest przecież możliwe
20.34. Jak należy postąpić, gdy przekazanie danych jest niezbędne do ochrony żywotnych interesów osób, które jednak nie są władne (fizycznie lub prawnie) udzielić zgody na przekazanie danych do państwa trzeciego?
20.35. Czy w wyjątkowych sytuacjach – jeśli żadna z wyżej omówionych i wskazanych w przepisach rodo przesłanek nie znajduje zastosowania – nadal możliwe jest przekazanie danych osobowych do państwa trzeciego? Czy istnieje jakieś ostateczne „koło ratunkowe” pozwalające na przekazanie danych do państwa trzeciego?
20.36. Jaki interes publiczny uzasadnia przekazanie danych do państwa trzeciego?
20.37. Czy administrator zobowiązany jest dokumentować ocenę, stopień bezpieczeństwa i zabezpieczeń w razie przekazywania danych osobowych z uwagi na ważne prawnie uzasadnione interesy?
Rozdział 21. Kontrola
21.1. Kto kontroluje przestrzeganie przepisów o ochronie danych osobowych?
21.2. Przestrzeganie jakich przepisów kontroluje Prezes UODO?
21.3. Czy istnieje jakiś plan kontroli przeprowadzanej przez Prezesa UODO?
21.4. Kto przeprowadza kontrolę?
21.5. Czy kontrolujący jest zobowiązany do zachowania tajemnicy?
21.6. W jakich przypadkach kontrolujący podlega wyłączeniu?
21.7. Kto rozstrzyga o wyłączeniu kontrolującego?
21.8. Kto może wystąpić z wnioskiem o wyłączenie kontrolującego?
21.9. Kiedy taki wniosek można zgłosić?
21.10. Czy kontrolujący musi mieć upoważnienie?
21.11. Co zawiera imienne upoważnienie do przeprowadzenia kontroli?
21.12. Kto jeszcze może brać udział w kontroli?
21.13. Czy takiego „specjalistę” można wyłączyć z kontroli?
21.14. Czy administrator lub podmiot przetwarzający mają być obecni podczas kontroli?
21.15. Jakie prawa ma kontrolujący?
21.16. Co trzeba zapewnić kontrolującym?
21.17. Kto potwierdza za zgodność z oryginałem kopie dokumentów lub wydruków?
21.18. Czy przebieg kontroli może być nagrywany?
21.19. Czy kontrolujący może zażądać tłumaczenia dokumentu na język polski?
21.20. Czy podczas kontroli można zastrzec tajemnicę przedsiębiorstwa?
21.21. Czy podczas kontroli mogą być obecne inne organy?
21.22. Czy podczas kontroli kontrolujący może przesłuchiwać pracowników?
21.23. Na podstawie czego ustalany jest stan faktyczny podczas kontroli?
21.24. Czy przebieg kontroli jest rejestrowany?
21.25. Co zawiera protokół z kontroli?
21.26. Kto podpisuje protokół?
21.27. Czy do protokołu można złożyć zastrzeżenia? Jeśli tak, to w jakim terminie?
21.28. Czy kontrolowany może nie podpisać protokołu?
21.29. W jakiej formie sporządza się protokół?
21.30. Jak długo może być prowadzona kontrola Prezesa UODO?
Rozdział 22. Notyfikacja naruszeń bezpieczeństwa
22.1. Czym jest naruszenie ochrony danych osobowych?
22.2. Czy przypadek każdego naruszenia ochrony danych osobowych należy zgłosić do Prezesa UODO?
22.3. Jak zawiadomić o naruszeniu ochrony danych Prezesa UODO i co musi zawierać zgłoszenie naruszenia?
22.4. Jakie są terminy na zgłoszenie?
22.5. Kiedy administrator musi powiadomić osobę, której dane dotyczą, o naruszeniu ochrony danych?
22.6. Jak zawiadomić osobę, której dane dotyczą, o naruszeniu ochrony jej danych osobowych?
Rozdział 23. Bezpieczeństwo
23.1. Jak bardzo rozbudowane są regulacje dotyczące bezpieczeństwa w rodo?
23.2. Kto ma spełnić obowiązki z art. 32 rodo?
23.3. Czy rodo daje jakieś wskazówki co do oczekiwanego poziomu zabezpieczeń i środków?
23.4. Jak należy rozumieć pseudonimizację?
23.5. Czy rodo lub przepisy prawa określają np. sposoby lub standardy szyfrowania danych?
23.6. Jakie ryzyka powinien przewidzieć administrator albo podmiot przetwarzający dane?
23.7. Czy zgodność z art. 32 rodo można wykazywać przez kodeksy postępowania lub certyfikaty?
23.8. Jakie sankcje grożą podmiotowi w przypadku naruszenia zasad bezpieczeństwa danych osobowych?
Rozdział 24. Kodeksy postępowania i certyfikaty
24.1. Czym jest certyfikat w świetle ochrony danych osobowych?
24.2. Kto ustala kryteria certyfikacji, które podmiot musi spełnić, aby posiadać certyfikat?
24.3. Kto może dokonywać certyfikacji i jakie powinien spełnić kryteria w tym celu?
24.4. Jak wygląda tryb dokonywania certyfikacji?
24.5. Czy można się odwołać od odmowy dokonania certyfikacji?
24.6. Czym są czynności sprawdzające?
24.7. Do czego jest uprawniona osoba przeprowadzająca czynności sprawdzające w związku z certyfikacją?
24.8. Jakie korzyści daje certyfikacja na gruncie rodo?
24.9. Czym jest kodeks postępowania?
24.10. Do czego odnoszą się kodeksy postępowania?
24.11. Jak dokonać zatwierdzenia kodeksu postępowania?
24.12. Czy konsultacje w sprawie zatwierdzenia kodeksów postępowania są obligatoryjne?
24.13. Jakie są cele kodeksów postępowania?
24.14. Czy przestrzeganie kodeksu postępowania jest monitorowane?
24.15. Kim jest podmiot akredytowany?
24.16. Jakie korzyści dają kodeksy postępowania?
Rozdział 25. Umowy powierzenia
25.1. Czym jest umowa powierzenia?
25.2. Jakie elementy musi zawierać umowa powierzenia?
25.3. Czy umowa powierzenia może być zawarta wyłącznie pisemnie, czy można ją zawrzeć również elektronicznie?
25.4. Kiedy należy zawrzeć umowę powierzenia?
25.5. Co w przypadku, gdy podmiot przetwarzający (procesor) nieprawidłowo określi cele lub sposoby przetwarzania?
25.6. Kto może (a kto nie może) być procesorem?
25.7. Czy podmiot przetwarzający (procesor) musi pomagać administratorowi w wywiązywaniu się z obowiązków wynikających z rodo, a jeśli tak, to w jakim zakresie?
25.8. Czym jest prawo kontroli?
25.9. Czy można dowolnie kształtować treść umowy powierzenia?
25.10. Czym jest tzw. podpowierzenie, czyli dalsze powierzenie przetwarzania?
25.11. Jak wygląda odpowiedzialność subprocesora za ochronę danych?
25.12. Czym są standardowe klauzule umowne?
25.13. Jaka odpowiedzialność wynika z naruszenia umowy powierzenia przetwarzania przez procesora?
Rozdział 26. Sankcje
26.1. Na czym polega odpowiedzialność odszkodowawcza administratora wobec osób, których dane dotyczą?
26.2. Na czym polega odpowiedzialność karna przewidziana w polskiej ustawie o ochronie danych osobowych?
Bibliografia
Wykaz aktów prawnych
Biogramy autorów