Dokumentacja ochrony danych osobowych ze wzorami

Paweł Fajgielski, Mariusz Jagielski, Dominik Lubasz, Marlena Sakowska-Baryła, Damian Karwala, Paweł Tobiczyk, Artur Cieślik, Marta Otto, Katarzyna Palka-Bartoszek, Mariola Więckowska, Magdalena Czaplińska, Wojciech Piszewski, Paulina Komorowska-Mrozik

Uzyskaj dostęp

Zakup książkę

ISBN/ISSN:

978-83-8286-707-7

DOI:

Wydawnictwo:

Wolters Kluwer Polska SA

Rok wydania:

2022

Liczba stron:

549

XML:ISBN/ISSN:

ONIX MARC21

Bibliografia:

Fajgielski, Paweł; Jagielski, Mariusz; Lubasz, Dominik; Sakowska-Baryła, Marlena; Karwala, Damian; Tobiczyk, Paweł; Cieślik, Artur; Otto, Marta; Palka-Bartoszek, Katarzyna; Więckowska, Mariola; Czaplińska, Magdalena; Piszewski, Wojciech; Komorowska-Mrozik, Paulina. Dokumentacja ochrony danych osobowych ze wzorami. Red. . : Wolters Kluwer Polska SA, 2022, 549 s. ISBN 978-83-8286-707-7

Bibliografia refWorks:

RT Book, Whole

SR Electronic(1)

A1 Fajgielski, P.

A1 Jagielski, M.

A1 Lubasz, D.

A1 Sakowska-Baryła, M.

A1 Karwala, D.

A1 Tobiczyk, P.

A1 Cieślik, A.

A1 Otto, M.

A1 Palka-Bartoszek, K.

A1 Więckowska, M.

A1 Czaplińska, M.

A1 Piszewski, W.

A1 Komorowska-Mrozik, P.

T1 Dokumentacja ochrony danych osobowych ze wzorami

PB Wolters Kluwer Polska SA

YR 2022

SN 978-83-8286-707-7

Bibliografia BibTex:

@Book{ 270714, author = "Fajgielski, Paweł and Jagielski, Mariusz and Lubasz, Dominik and Sakowska-Baryła, Marlena and Karwala, Damian and Tobiczyk, Paweł and Cieślik, Artur and Otto, Marta and Palka-Bartoszek, Katarzyna and Więckowska, Mariola and Czaplińska, Magdalena and Piszewski, Wojciech and Komorowska-Mrozik, Paulina", editor = "", title = "Dokumentacja ochrony danych osobowych ze wzorami", publisher = "Wolters Kluwer Polska SA", year = "2022", address = "", isbn = "978-83-8286-707-7" }

Bibliografia endNote:

TY - BOOK

AU - Fajgielski, Paweł

AU - Jagielski, Mariusz

AU - Lubasz, Dominik

AU - Sakowska-Baryła, Marlena

AU - Karwala, Damian

AU - Tobiczyk, Paweł

AU - Cieślik, Artur

AU - Otto, Marta

AU - Palka-Bartoszek, Katarzyna

AU - Więckowska, Mariola

AU - Czaplińska, Magdalena

AU - Piszewski, Wojciech

AU - Komorowska-Mrozik, Paulina

ED -

TI - Dokumentacja ochrony danych osobowych ze wzorami

PB - Wolters Kluwer Polska SA

CY -

PY - 2022

SN - 978-83-8286-707-7

ER -

Netografia (standard APA):

Fajgielski, Paweł; Jagielski, Mariusz; Lubasz, Dominik; Sakowska-Baryła, Marlena; Karwala, Damian; Tobiczyk, Paweł; Cieślik, Artur; Otto, Marta; Palka-Bartoszek, Katarzyna; Więckowska, Mariola; Czaplińska, Magdalena; Piszewski, Wojciech; Komorowska-Mrozik, Paulina. Dokumentacja ochrony danych osobowych ze wzorami [baza danych online] : Wolters Kluwer Polska SA, 2022 [dostęp: 04 05 2024]. Dostęp w Ibuk Libra: https://libra.ibuk.pl/reader/dokumentacja-ochrony-danych-osobowych-ze-wzorami-pawel-fajgielski-mariusz-270714.

ochrona danych osobowych, RODO

Prezentowana książka zawiera liczne przykłady, które pomogą czytelnikowi w zrozumieniu wymagań w zakresie dokumentacji ochrony danych osobowych, oraz praktyczne wskazówki ułatwiające ich realizację. W publikacji zamieszczono także wzory oraz instr...

Więcej

ISBN/ISSN:

978-83-8286-707-7

DOI:

Wydawnictwo:

Wolters Kluwer Polska SA

Rok wydania:

2022

Liczba stron:

549

XML:ISBN/ISSN:

ONIX MARC21

Rozdział1
Rozdział2
Rozdział3
Rozdział4
Rozdział5
Rozdział6
Rozdział7
Rozdział8
Rozdział9
Rozdział10
Rozdział11
Rozdział12
Rozdział13
Wykaz skrótów13
Przedmowa do drugiego wydania17
1.1. Wprowadzenie21
Dokumentacja ochrony danych osobowych zgodna z RODO21
1.2. Podstawy prawne i zasady prowadzenia dokumentacji ochrondanych osobowych22
1.3. Podmioty zobowiązane do opracowania dokumentacji ochrondanych osobowych26
1.4. Zakres przedmiotowy dokumentacji ochrony danych osobowych29
7.11.1. Obligatoryjna treść rejestru czynności przetwarzania; art30
Literatura33
2.1. Wprowadzenie35
Polityka ochrony danych osobowych35
2.2. Struktura polityki36
2.3. Zakres przedmiotowy polityki37
2.4. Szczegółowa część polityki – uwagi praktyczne42
2.4.1. Procedura retencji danych osobowych44
2.4.2. Procedura wyboru dostawcy przetwarzającego dane osobowe46
2.4.3. Procedura obsługi żądań podmiotów danych48
2.5. Możliwe rozszerzenie treści polityki49
2.6. Polityka w świetle dotychczasowej dokumentacji50
2.7. Wzory52
2.8. Instrukcja korzystania ze wzorów73
Literatura77
3.1. Wprowadzenie79
Dokumentacja serwisu internetowego79
3.2. Zakres obowiązków informacyjnych w serwisie internetowym81
3.2.1. Obowiązki na gruncie RODO81
3.2.2. Dodatkowe wymogi wynikające z przepisów Prawa telekomunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną83
3.3. Sposób realizacji obowiązków informacyjnych w serwisiinternetowym84
3.4. Dokumenty stosowane w serwisie internetowym86
3.4.1. Klauzule zgód i skrócone klauzule informacyjne88
3.4.2. Polityka prywatności89
3.4.3. Polityka cookies91
3.5. Wzory93
3.6. Instrukcja korzystania ze wzorów100
Literatura105
4.1. Ochrona danych osobowych i sztuczna inteligencja107
Prawna i etyczna ocena rozwiązań informatycznych z zastosowaniem sztucznej inteligencji – kwestie dokumentacyjne w kontekście ochrondanych osobowych107
4.2. Wykorzystywanie systemów AI, w tym tworzenie nowych danyco osobach fizycznych lub podejmowanie decyzji przez system sztucznej inteligencji wobec takich osób jako wynik działania systemu109
4.3. Uwzględnienie uwarunkowań regulacyjnych oraz dokumentógremiów europejskich110
4.4. Zakres wstępnych ustaleń i dokumentowania111
4.5. Przejrzystość i wyjaśnialność systemów AI114
4.6. Zagadnienie wykorzystywania w systemach AI danych osobowych117
4.7. Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych119
4.8. Prawa osób fizycznych w kontekście przetwarzania danycosobowych w systemach AI121
4.9. Rozliczalność i ryzyko w obszarze zastosowania AI do przetwarzania danych osobowych123
4.10. Analiza modelu biznesowego, w którym będzie wykorzystywansystem AI129
Literatura134
5.1. Wprowadzenie137
Ocena (szacowanie) ryzyka137
5.2. Podstawy zarządzania ryzykiem w bezpieczeństwie informacji141
5.3. Wybieranie zabezpieczeń – dobre praktyki176
Literatura179
6.1. Zastosowanie dokumentu181
Ocena skutków dla ochrony danych osobowych181
6.2. Kontekst historyczny182
6.3. Kiedy konieczne jest przeprowadzenie oceny skutków dla ochrondanych182
6.4. Ocena skutków dla ochrony danych – zasady190
6.4.1. Minimalne wymogi DPIA191
6.4.2. Udział osób trzecich w przeprowadzaniu oceny skutków dlochrony danych193
6.4.2.1. Eksperci zewnętrzni193
6.4.2.2. Osoby, których dane dotyczą194
6.4.2.3. Podmioty przetwarzające działające w imieniu administratora194
6.5. Ocena skutków dla ochrony danych – wzór194
– Prezesem Urzędu Ochrony Danych Osobowych200
6.6.1. Wniosek o uprzednie konsultacje200
6.6.2. Przebieg i czas trwania konsultacji201
6.6.3. Rezultat konsultacji202
Literatura202
7.1. Wstęp205
7.2. Podstawa prowadzenia rejestrów205
7.2.1. Przepis art. 30 RODO jako formalnoprawne źródło obowiązku prowadzenia rejestrów205
Rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania205
7.2.2. Wpływ ustawodawstwa krajowego na wymóg prowadzenirejestrów wynikający z art. 30 RODO206
7.2.3. Wyłączenie obowiązku prowadzenia rejestru dla „działalności prasowej”, wypowiedzi w ramach działalności literackiej, wypowiedzi akademickiej208
7.2.4. Wyłączenie obowiązku prowadzenia rejestrów przeprzedsiębiorcę lub podmiot zatrudniający mniej niż 250 osób210
7.3. Prawne znaczenie rejestrów w polityce ochrony danych osobowych administratora danych osobowych lub podmiotu przetwarzającego213
7.3.1. Prowadzenie rejestru jako realizacja wymogu przetwarzanidanych osobowych zgodnie z RODO214
7.3.2. Prowadzenie rejestru jako narzędzie wykazania przetwarzania danych osobowych zgodnie z RODO wobec organu nadzoru214
przetwarzania i rejestru kategorii czynności przetwarzania215
7.5. Podmiot zobowiązany do prowadzenia rejestru219
7.6. Dla kogo dostępne są rejestry?222
7.7. Skąd czerpać informacje stanowiące treść rejestru?224
7.8. Obowiązek uaktualniania rejestrów225
7.9. Rejestr i jego forma226
7.10. Czynności przetwarzania danych osobowych227
7.11. Treść rejestru czynności przetwarzania229
ust. 1 RODO229
przetwarzania236
7.12. Kategorie czynności przetwarzań238
7.13. Elementy treści rejestru kategorii czynności przetwarzania239
7.13.1. Obligatoryjne elementy treści rejestru kategorii czynności przetwarzania239
7.13.2. Fakultatywne elementy treści rejestru kategorii czynności przetwarzania240
7.14. Uwagi dotyczące treści zawartych w przykładowych rejestrachczynności przetwarzania i kategorii czynności przetwarzania240
7.15. Wzory241
Literatura261
8.1. Wstęp263
Współadministrowanie danymi osobowymi263
8.2. Podstawa prawna współadministrowania264
8.3. Elementy istotne dla rozpoznania, czy występujwspóładministrowanie265
8.4. Kryteria ustalenia współadministrowania267
8.4.1. Wspólne lub zbieżne decyzje współadministratorów268
8.4.2. Wspólne cele współadministratorów269
8.4.3. Wspólne sposoby przetwarzania danycprzez współadministratorów270
8.5. Obowiązki formalne współadministratorów275
8.5.1. Forma porozumienia współadministratorów275
8.5.2. Treść umowy276
8.5.2.1. Elementy obligatoryjne276
8.5.2.2. Elementy fakultatywne276
8.5.3. Znaczenie umowy w stosunkach wewnętrznych między współadministratorami277
8.5.4. Znaczenie umowy wobec osób, których dane dotyczą277
8.5.5. Udostępnienie zasadniczej treści uzgodnień osobom, którycdane dotyczą278
8.5.6. Wyznaczenie punktu kontaktowego279
8.5.7. Obowiązki współadministratorów wobec PUODO279
8.6. Współadministrowanie podmiotów publicznych – przykłady280
8.6.1. Współadministrowanie w Systemie Wspomagania Decyzji Państwowej Straży Pożarnej280
8.6.2. Współadministrowanie na potrzeby obsługi bonu turystycznego280
8.6.3. Współadministrowanie Komisji, organów celnych i organów nadzoru281
Literatura292
9.1. Upoważnienie do przetwarzania danych osobowych293
9.1.1. Wprowadzenie293
Przetwarzanie danych osobowych w kontekście zatrudnienia293
9.1.2. Wzory upoważnienia do przetwarzania danych osobowych oraz oświadczenia osoby upoważnionej do przetwarzanidanych osobowych297
9.1.3. Praktyczne wskazówki300
9.2. Ewidencja osób upoważnionych do przetwarzania danych302
9.2.1. Wprowadzenie302
9.2.2. Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych303
9.2.3. Praktyczne wskazówki304
9.3. Umowa powierzenia przetwarzania danych osobowych305
9.3.1. Wprowadzenie305
9.3.2. Wzór ankiety oceny spełnienia wymagań dotyczących ochrony danych osobowych wynikających z RODO oraz wzór umowy powierzenia przetwarzania danych osobowych311
9.3.3. Wskazówki praktyczne325
9.4. Klauzula informacyjna dotycząca przetwarzania danych osobowych pracowników327
9.4.1. Wprowadzenie327
9.4.2. Wzór klauzuli informacyjnej dotyczącej przetwarzania danych osobowych328
9.4.3. Wskazówki praktyczne332
9.5. Monitoring wizyjny332
9.5.1. Wprowadzenie332
9.5.2. Wzory informacji o monitoringu wizyjnym oraz klauzuli informacyjnej o przetwarzaniu danych osobowych w ramach monitoringu wizyjnego337
9.5.3. Praktyczne wskazówki341
9.6. Monitoring poczty elektronicznej i inne formy monitoringu344
9.6.1. Wprowadzenie344
9.6.2. Wzory informacji o funkcjonowaniu monitoringu poczty elektronicznej oraz monitoringu GPS346
9.6.3. Praktyczne wskazówki351
Literatura352
10.1. Wprowadzenie355
Dokumentacja naruszeń ochrony danych osobowych355
10.2. Naruszenie ochrony danych – pojęcie, zakres356
10.3. Obowiązek dokumentowania naruszeń356
10.4. Rejestr naruszeń – zawartość359
10.5. Instrukcja wypełnienia rejestru naruszeń ochrony danycosobowych362
Literatura364
11.1. Wprowadzenie – po co audytować?365
Dokumentacja monitorowania zgodności z RODO – audyty wewnętrzni weryfikacja powierzenia przetwarzania365
11.2. Audyt wewnętrzny, sprawdzenie, kontrola366
11.3. Wobec kogo wykazywać zgodność z RODO369
11.4. Dokumentacja audytu wewnętrznego371
11.5. Plan audytów wewnętrznych (sprawdzeń, kontroli)373
11.6. Audyty pozaplanowe375
11.7. Sposób i zakres dokumentowania audytu378
11.8. Audyt stanu stosowania RODO380
11.9. Audyt podmiotu przetwarzającego390
11.10. Audyt umów powierzenia przetwarzania danych393
11.11. Zagadnienia audytowe397
11.12. Raport (sprawozdanie) z audytu wewnętrznego406
Literatura408
12.1. Zgoda na przetwarzanie danych osobowych411
12.1.1. Wprowadzenie411
Klauzule wyrażenia zgód i klauzule informacyjne411
12.1.2. Zgoda jako przesłanka legalizacyjna – zagadnienia ogólne413
12.1.3. Wzory oświadczeń o wyrażeniu zgody415
12.1.3.1. Wyrażenie zgody w procesie rekrutacyjnym415
na podstawie Prawa telekomunikacyjnego416
12.1.3.3. Zgoda na otrzymywanie informacji handlowedrogą elektroniczną417
12.1.4. Szczegółowe wymogi dotyczące zgody418
12.1.4.1. Dobrowolność zgody418
12.1.4.2. Konkretność zgody420
12.1.4.3. Świadomość zgody421
12.1.4.4. Jednoznaczność zgody422
12.1.4.5. Wyraźność zgody424
12.1.4.6. Forma zgody425
12.1.4.7. Dodatkowe wymogi dotyczące pisemnej zgody426
12.1.4.8. Wycofanie zgody426
12.1.4.9. Ciężar dowodu – rozliczalność427
12.2. Klauzule informacyjne429
12.2.1. Wprowadzenie429
12.2.2. Obowiązki informacyjne – zagadnienia ogólne430
12.2.3. Wzory klauzul informacyjnych431
12.2.3.1. Klauzula rekrutacyjna431
12.2.3.2. Klauzula kontrahencka435
12.2.3.3. Klauzula kliencka438
12.2.3.4. Klauzula newsletterowa441
12.2.4. Szczegółowe wymogi dotyczące realizacji obowiązków informacyjnych443
12.2.4.1. Typy obowiązków informacyjnych443
12.2.4.2. Zakres obowiązków informacyjnych445
12.2.4.3. Sposób realizacji obowiązków informacyjnych449
12.2.4.4. Termin realizacji obowiązków informacyjnych452
12.2.4.5. Aktualizacja informacji453
12.2.4.6. Wyłączenia spod obowiązku realizacji454
Literatura458
13.1. Wprowadzenie459
Transfer danych osobowych do państw trzecich459
13.2. Podstawy dopuszczalnego transferu danych osobowych orakolejność ich stosowania460
13.3. Kontekst historyczny, najważniejsze zmiany464
13.4. Umowy transferowe oparte na klauzulach modelowych466
13.5. Zgoda na transfer danych oraz obowiązek informacyjny468
13.6. Wzory470
13.7. Instrukcja korzystania ze wzorów470
Literatura539
O Autorach541

Rozdział2.Politykaochronydanychosobowych

e)zasadyweryfikacjiprzestrzeganiaprocedury-należyuwzględnićmetodykon-

trolinadprawidłowościąrealizacjiprocesu.

2.4.2.Procedurawyborudostawcyprzetwarzającegodane

osobowe

Artykuł28ust.1RODOprzewiduje,żewsytuacji,gdyprzetwarzaniemabyćdo-

konywanewimieniuadministratora,jestonzobowiązanydokorzystaniawyłącznie

zusługtakichpodmiotówprzetwarzających,którezapewniająwystarczającegwarancje

wdrożeniaodpowiednichśrodkówtechnicznychiorganizacyjnych,byprzetwarzanie

spełniałowymogiRODOichroniłoprawaosób,którychdanedotyczą.Oznaczato,że

tonaadministratorzeciążyobowiązekzbadania,czypodmiotprzetwarzający,któryna

zlecenieadministratorabędzierealizowałczynnościwymagająceprzetwarzaniadanych

osobowych,spełniaokreślonewymogiwtymzakresie.Wynikatozfaktu,żeadministra-

torponosiodpowiedzialnośćzazgodnośćprzetwarzaniadanychosobowychzzasadami

RODO.Odpowiedzialnośćtarozciągasięnietylkonasposóbiśrodkiprzetwarzania

stosowaneprzezniegosamodzielnie,aletakżenasposóbiśrodkiprzetwarzaniasto-

sowaneprzezpodmiotdziałającynajegozlecenie.Decydującsięnausługiinnego

podmiotu,administratorodpowiadazabezpieczeństwoprzetwarzania,któreodbywa

siępozajegoorganizacją.Administratorodpowiadarównieżzanieprzeprowadzenie

weryfikacjipodmiotu,któremuplanujepowierzyćprzetwarzaniedanychosobowych

(dostawcyusług).

Cozatemnależyzweryfikowaćiczymsąwłaściwegwarancje?Popierwsze,weryfikacja

powinnaobejmowaćprzestrzeganieprzezpodmiotprzetwarzającywymogówprawnych

obejmującychm.in.prawidłowysposóbprowadzeniarejestrów(wtymrejestrukategorii

czynnościprzetwarzania),nadawanieupoważnieńdoprzetwarzaniadlawszystkich

pracownikówiwspółpracowników,stosowaniewłaściwychmechanizmówlegalizujących

transferdanychdopaństwtrzecich(jeślitransfermamiejsce),powołanieinspektora

ochronydanychosobowych(oilejesttokonieczne)itd.Podrugie,weryfikacjamoże

objąćpoziomwiedzypostroniepracownikówpodmiotuprzetwarzającego,którzybędą

zaangażowaniwproces,m.in.poprzezzbadanie,czyistniejedokumentacjaochrony

danychosobowych,zktórąpracownicypodmiotuprzetwarzającegomogąsięzapoznać,

czypodmiotprzetwarzającydba,abybudowaćświadomośćpracownikówwzakresie

bezpieczeństwadanych(np.przezszkoleniaonboardingoweiokresowe),czykompeten-

cjeikwalifikacjeIOD(jeżeliistniałwymógjegopowołania)lubosobyodpowiadającej

worganizacjizaobszarochronydanychosobowychsąwystarczająceitd.Potrzecie,

sprawdzeniemożedotyczyćwiarygodnościpodmiotuprzetwarzającego,m.in.poprzez

weryfikację,czyprocesorposiadacertyfikatyzzakresubezpieczeństwainformacji,czy

wdrożyłprawidłowemechanizmyidentyfikacjinaruszeńochronydanychosobowych,

czybyłyprowadzonewobecpodmiotuprzetwarzającegokontroleipostępowaniaprzed

Brak wyników

Dokumentacja ochrony danych osobowych ze wzorami

Treść książki

Znajdź bibliotekę blisko siebie, i uzyskaj dostęp do ebooka w systemie IBUK Libra