Publikacja to praktyczny poradnik dla podmiotów prowadzących działalność w zakresie e-commerce zawierający omówienie przepisów ogólnego rozporządzenia o ochronie danych (RODO), które zacznie obowiązywać dnia 25 maja 2018 r.
Autorzy dają szczegółowe wskazówki co do tego na co powinni zwrócić uwagę administratorzy działający w Internecie, jakie są zasady przetwarzania danych, przesłanki uprawniające do przetwarzania, nowe prawa podmiotów danych oraz obowiązki administratorów.
Z publikacji dowiesz się m.in., na czym polega prawo:
do bycia zapomnianym
do sprostowania danych,
do niepodlegania profilowaniu,
do ograniczania przetwarzania danych.
Omówione zostały także zagadnienia podejścia opartego na ryzyku przy kształtowaniu obowiązków administratorów, dokumentacji jaką muszą opracować administratorzy, czy też aspektów związanych z transgranicznym przetwarzaniem danych.
| Rodzaj: |
e-book |
| Format pliku: |
 |
| Autor: |
Arkadiusz Bazylko, Berenika Kaczmarek-Templin, Dominik Lubasz, Joanna Łuczak-Tarka, Kamil Hamelusz, Katarzyna Witkowska-Nowakowska, Marta Kwiatkowska-Cylke, Monika Namysłowska, Monika Susałko, Natalia Zawadzka, Witold Chomiczewski |
| Język publikacji: |
polski |
| Rok wydania: |
2018 |
Wykaz skrótów | str. 15
Słowo wstępne | str. 17
Rozdział 1
Zagadnienia wprowadzające, zakres zastosowania i podstawowe pojęcia | str. 19
1.1. Zagadnienia ogólne | str. 19
1.2. Zakres zastosowania | str. 22
1.2.1. Zakres przedmiotowy | str. 22
1.2.2. Zakres terytorialny | str. 26
1.3. Najważniejsze pojęcia | str. 27
1.3.1. Dane osobowe | str. 28
1.3.1.1. Wszelkiego rodzaju informacje | str. 29
1.3.1.2. Informacje dotyczące osoby fizycznej | str. 31
1.3.1.3. Informacje pozwalające na zidentyfikowanie osoby fizycznej | str. 31
1.3.1.4. Osoba fizyczna | str. 33
1.3.1.5. Dane zwykłe i szczególne kategorie danych | str. 33
1.3.2. Przetwarzanie | str. 34
1.3.3. Profilowanie | str. 35
1.3.4. Administrator | str. 36
1.3.5. Podmiot przetwarzający | str. 37
1.3.6. Odbiorca | str. 38
1.3.7. Osoba, której dane dotyczą (podmiot danych) | str. 38
1.3.8. Przedsiębiorca i grupa przedsiębiorców | str. 40
1.3.9. Usługa społeczeństwa informacyjnego | str. 42
1.3.10. Podejście oparte na ryzyku | str. 46
1.3.11. Naruszenie ochrony danych osobowych | str. 47
1.3.12. Organ nadzorczy | str. 48
1.3.13. Klauzule kompetencyjne dla państw członkowskich | str. 48
Rozdział 2
Zasady przetwarzania danych osobowych | str. 50
2.1. Zagadnienia ogólne | str. 50
2.2. Zasada legalności i rzetelności | str. 51
2.3. Zasada przejrzystości | str. 52
2.4. Zasada ograniczenia celu | str. 56
2.5. Zasada prawidłowości | str. 59
2.6. Zasada minimalizacji danych | str. 60
2.7. Zasada ograniczenia przechowywania | str. 61
2.8. Zasada integralności i poufności | str. 63
2.9. Zasada rozliczalności | str. 64
Rozdział 3
Przesłanki legalizacyjne przetwarzania danych osobowych | str. 67
3.1. Zagadnienia ogólne | str. 67
3.2. Zgoda | str. 71
3.2.1. Dobrowolność zgody | str. 71
3.2.2. Konkretność zgody | str. 73
3.2.3. Świadomość zgody | str. 74
3.2.4. Jednoznaczność zgody | str. 75
3.2.5. Rozliczalność zgody | str. 78
3.2.6. Wyraźność zgody | str. 78
3.2.7. Forma zgody | str. 79
3.2.8. Dodatkowe wymogi dotyczące pisemnej zgody | str. 80
3.2.9. Wycofanie zgody | str. 82
3.2.10. Zgoda dziecka | str. 83
3.2.11. Zgody dotychczasowe | str. 86
3.3. Niezbędność do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy | str. 88
3.3.1. Wykonanie umowy | str. 89
3.3.2. Działania przed zawarciem umowy | str. 91
3.4. Niezbędność do wypełnienia obowiązku prawnego ciążącego na administratorze | str. 92
3.4.1. Obowiązek prawny | str. 93
3.4.2. Niezbędność | str. 94
3.5. Niezbędność do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi | str. 94
3.6. Niezbędność do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej | str. 97
3.7. Niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią | str. 98
3.8. Przetwarzanie szczególnych kategorii danych osobowych | str. 102
3.8.1. Szczególne kategorie danych | str. 102
3.8.2. Szczególne kategorie danych w handlu elektronicznym | str. 104
3.8.3. Przesłanki legalizacyjne szczególnych kategorii danych | str. 107
3.8.4. Przesłanki legalizacyjne szczególnych kategorii danych – wybrane zagadnienia | str. 109
3.8.4.1. Zgoda na przetwarzanie danych osobowych szczególnych kategorii | str. 109
3.8.4.2. Żywotny interes | str. 110
3.8.4.3. Upublicznienie danych | str. 110
3.8.4.4. Interes publiczny | str. 111
3.8.4.5. Przetwarzanie wrażliwych danych osobowych w celach medycznych i związanych z ochroną zdrowia | str. 113
Rozdział 4
Prawa podmiotów danych | str. 115
4.1. Zagadnienia ogólne | str. 115
4.2. Prawa informacyjne | str. 118
4.3. Prawo dostępu do danych | str. 126
4.4. Prawo do usunięcia danych („prawo do bycia zapomnianym”) | str. 130
4.4.1. Zasady korzystania z prawa do usunięcia danych | str. 130
4.4.2. Wyłączenia od prawa do usunięcia danych oraz prawa do bycia zapomnianym | str. 132
4.4.3. Prawo do bycia zapomnianym a wolność wypowiedzi | str. 133
4.5. Prawo do przenoszenia danych | str. 133
4.6. Prawo do niepodlegania profilowaniu | str. 138
4.6.1. Pojęcie profilowania | str. 138
4.6.2. Zautomatyzowane podejmowanie decyzji | str. 139
4.6.3. Warunki dopuszczalności | str. 141
4.6.4. Gwarancje związane z profilowaniem | str. 142
4.7. Ograniczenie przetwarzania | str. 142
4.7.1. Pojęcie | str. 142
4.7.2. Okoliczności, w jakich można żądać ograniczenia przetwarzania | str. 144
4.7.2.1. Zakwestionowanie prawidłowości danych | str. 145
4.7.2.2. Sprzeciw podmiotu danych wobec usunięcia danych mimo niezgodności przetwarzania danych z prawem | str. 145
4.7.2.3. Zbędność danych osobowych do celów przetwarzania przez administratora i jednoczesne występowanie potrzeby dostępu do danych osoby, której one dotyczą, w celu ustalenia, dochodzenia lub obrony roszczeń | str. 146
4.7.2.4. Wniesienie sprzeciwu przez osobę, której dane dotyczą | str. 146
4.7.3. Sposób wykonania obowiązku przez administratora | str. 147
4.7.3.1. Techniczny aspekt ograniczenia przetwarzania | str. 147
4.7.3.2. Formalny aspekt ograniczenia przetwarzania | str. 148
4.7.3.3. Wyjątki | str. 148
4.7.4. Uprawniony do żądania ograniczenia przetwarzania danych osobowych i zakres żądania | str. 149
4.7.5. Okres oznaczenia danych w celu ograniczenia ich przetwarzania | str. 150
4.7.6. Dalsze obowiązki administratora związane z ograniczeniem przetwarzania | str. 152
4.7.7. Odpowiedzialność administratora | str. 153
Rozdział 5
Nowe obowiązki administratorów | str. 154
5.1. Zagadnienia ogólne | str. 154
5.2. Ogólny obowiązek zapewnienia zgodności przetwarzania z rozporządzeniem 2016/679 | str. 158
5.2.1. Ryzyko jako element wyznaczający standard ochrony | str. 159
5.2.2. Zapewnienie zgodności przetwarzania z RODO jako element oceniany przez pryzmat konsekwencji dla podmiotu danych | str. 160
5.3. Ochrona danych w fazie projektowania i domyślna ochrona danych | str. 162
5.3.1. Ochrona danych w fazie projektowania – pojęcie | str. 162
5.3.2. Podstawowe zasady ochrony danych w fazie projektowania | str. 166
5.3.2.1. Podejście proaktywne, a nie reaktywne, zaradcze, a nie naprawcze | str. 166
5.3.2.2. Domyślna ochrona danych | str. 168
5.3.2.3. Prywatność włączona w projekt | str. 170
5.3.2.4. Pełna funkcjonalność rozumiana jako osiąganie sumy dodatniej, a nie sumy zerowej | str. 171
5.3.2.5. Ochrona prywatności od początku do końca cyklu życia informacji | str. 173
5.3.2.6. Transparentność i przejrzystość | str. 174
5.3.2.7. Poszanowanie dla prywatności użytkowników | str. 175
5.3.3. Zasada privacy by design – prywatność wpisana w projekt rozwiązania | str. 176
5.3.4. Realizacja zasady privacy by default | str. 177
5.3.5. Okres stosowania zasady | str. 177
5.3.6. Czynniki wpływające na decyzje administratora w zakresie zastosowania odpowiednich środków ochrony danych osobowych | str. 178
5.3.6.1. Stan wiedzy technicznej | str. 178
5.3.6.2. Koszt wdrożenia | str. 179
5.3.6.3. Charakter, zakres, kontekst i cele przetwarzania | str. 179
5.3.6.4. Ryzyko naruszenia praw i wolności osób fizycznych | str. 180
5.3.7. Odpowiednie środki techniczne i organizacyjne | str. 182
5.3.8. Cele realizowane przez zasadę privacy by default | str. 184
5.3.9. Obowiązek dokumentacyjny | str. 185
5.3.10. Odpowiedzialność administratora (procesora) | str. 185
5.4. Dokumentacja przetwarzania | str. 187
5.4.1. Rejestr czynności przetwarzania | str. 190
5.4.1.1. Zakres danych w rejestrze | str. 190
5.4.1.2. Forma rejestru | str. 192
5.4.1.3. Podmioty zobowiązane do prowadzenia rejestru | str. 192
5.4.1.4. Przykładowy rejestr czynności przetwarzania | str. 193
5.4.2. Rejestr kategorii czynności przetwarzania | str. 195
5.4.3. Polityki ochrony danych | str. 196
5.4.4. Dokumentacja naruszeń ochrony danych i zgłoszenie naruszenia | str. 199
5.4.4.1. Dokumentacja wszelkich naruszeń ochrony danych | str. 199
5.4.4.2. Dokumentacja zgłoszeń naruszeń ochrony danych organowi nadzorczemu | str. 200
5.4.4.3. Dokumentacja zgłoszeń naruszeń ochrony danych podmiotowi danych | str. 201
5.4.5. Dokumentacja oceny skutków dla ochrony danych | str. 202
5.4.6. Dokumentacja uprzednich konsultacji | str. 203
5.4.7. Dokumentacja transferów danych do państw trzecich | str. 203
5.5. Bezpieczeństwo przetwarzania | str. 204
5.5.1. Zasada proporcjonalności | str. 205
5.5.2. Środki techniczne i organizacyjne zapewniające odpowiedni poziom ochrony | str. 206
5.5.3. Obowiązek aktualizacji zabezpieczeń | str. 208
5.5.4. Parametry oceny środków bezpieczeństwa | str. 209
5.5.5. Dokumentacja środków bezpieczeństwa | str. 210
5.6. Ocena skutków dla ochrony danych | str. 211
5.6.1. Przesłanki prowadzenia oceny skutków dla ochrony danych | str. 212
5.6.2. Elementy oceny skutków dla ochrony danych | str. 213
5.6.3. Gromadzenie informacji niezbędnych do dokonania oceny skutków dla ochrony danych | str. 215
5.6.4. Uprzedni charakter oceny | str. 216
5.6.5. Konsultacje z osobami, których dane dotyczą, lub ich przedstawicielami | str. 217
5.7. Uprzednie konsultacje | str. 218
5.7.1. Przesłanki prowadzenia uprzednich konsultacji | str. 218
5.7.2. Rezultat uprzednich konsultacji | str. 218
5.7.3. Zakres informacji przekazywanych w ramach uprzednich konsultacji | str. 220
5.8. Zgłoszenia naruszeń | str. 221
5.8.1. Zgłaszanie naruszenia organowi nadzorczemu | str. 221
5.8.2. Zawiadamianie podmiotów danych o naruszeniach ochrony danych osobowych | str. 223
Rozdział 6
Powierzenie przetwarzania i współadministrowanie | str. 226
6.1. Powierzenie przetwarzania | str. 226
6.1.1. Zagadnienia ogólne | str. 226
6.1.2. Wybór podmiotu przetwarzającego | str. 229
6.1.3. Podstawy powierzenia | str. 231
6.1.4. Forma umowy powierzenia | str. 232
6.1.5. Zakres przedmiotowy umowy powierzenia | str. 233
6.1.6. Obowiązki procesora | str. 235
6.1.7. Łańcuch powierzeń – warunki korzystania z usług podwykonawców | str. 238
6.1.8. Odpowiedzialność podmiotu przetwarzającego za naruszenie ochrony danych | str. 241
6.1.9. Powierzenie danych do państw trzecich | str. 242
6.1.10. Umowy powierzenia zawarte na podstawie przepisów ustawy o ochronie danych osobowych | str. 243
6.2. Współadministrowanie | str. 244
6.2.1. Zagadnienia ogólne | str. 244
6.2.2. Pojęcie współadministratora | str. 244
6.2.3. Uzgodnienia i ich udostępnianie | str. 246
6.2.4. Zapewnienie realizacji praw osób, których dane dotyczą | str. 247
Rozdział 7
Przekazywanie danych do państw trzecich i organizacji międzynarodowych | str. 249
7.1. Zagadnienia ogólne | str. 249
7.2. Podstawy przekazywania | str. 251
7.2.1. Przekazywanie na podstawie decyzji stwierdzającej odpowiedni poziom ochrony | str. 253
7.2.2. Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń | str. 256
7.2.3. Przekazywanie w szczególnych sytuacjach | str. 258
Rozdział 8
Inspektor ochrony danych osobowych | str. 261
8.1. Zagadnienia ogólne | str. 261
8.2. Obowiązek wyznaczenia IOD | str. 262
8.2.1. Podmiot publiczny | str. 263
8.2.2. Podmioty wskazane w art. 37 ust. 1 lit. b, c RODO | str. 264
8.3. Wyznaczenie IOD 2 | str. 66
8.4. Wspólny IOD | str. 267
8.5. Status IOD | str. 268
8.6. Zadania IOD | str. 271
8.6.1. Informowanie oraz doradztwo | str. 271
8.6.2. Nadzór | str. 272
8.6.3. Komunikacja | str. 273
Rozdział 9
Kodeksy postępowania i certyfikacja | str. 275
9.1. Kodeksy postępowania | str. 275
9.1.1. Charakter kodeksów postępowania | str. 276
9.1.2. Zakres przedmiotowy kodeksów postępowania | str. 276
9.1.3. Weryfikacja i zatwierdzanie kodeksów postępowania | str. 278
9.2. Monitorowanie zatwierdzonych kodeksów postępowania | str. 279
9.2.1. Warunki uzyskania akredytacji | str. 280
9.2.2. Uprawnienia podmiotu akredytowanego | str. 281
9.3. Certyfikacja | str. 281
9.3.1. Charakter certyfikacji i korzyści płynące z certyfikacji | str. 282
9.3.2. Proces certyfikacji | str. 283
9.4. Podmioty certyfikujące | str. 284
9.4.1. Zasady udzielania akredytacji dla podmiotów certyfikujących | str. 284
9.4.2. Sposób udzielania akredytacji i czas jej trwania | str. 285
Rozdział 10
Organ nadzorczy i postępowanie kontrolne | str. 287
10.1. Organ nadzorczy | str. 287
10.1.1. Zagadnienia ogólne | str. 287
10.1.2. Właściwość miejscowa organu nadzorczego | str. 288
10.1.3. Kompetencje organu nadzorczego | str. 289
10.1.4. Uprawnienia organu nadzorczego | str. 291
10.2. Postępowanie kontrolne | str. 292
10.2.1. Zagadnienia ogólne | str. 292
10.2.2. Pojęcie kontroli | str. 293
10.2.3. Procedura kontrolna | str. 294
Rozdział 11
Środki ochrony prawnej, odpowiedzialność i sankcje | str. 304
11.1. Uprawnienia organu nadzorczego | str. 304
11.1.1. Uprawnienia naprawcze organu nadzorczego | str. 304
11.1.2. Administracyjne kary pieniężne | str. 305
11.1.2.1. Naruszenia podlegające administracyjnym karom pieniężnym | str. 306
11.1.2.2. Podmioty podlegające administracyjnym karom pieniężnym | str. 308
11.1.2.3. Wysokość i kumulacja sankcji | str. 308
11.1.2.4. Kryteria wymiaru administracyjnych kar pieniężnych | str. 309
11.2. Uprawnienia podmiotu danych | str. 311
11.2.1. Prawo do wniesienia skargi do organu nadzorczego | str. 311
11.2.1.1. Podmioty uprawnione do wniesienia skargi i podstawy do jej wniesienia | str. 311
11.2.1.2. Właściwość miejscowa organu nadzorczego | str. 311
11.2.1.3. Przebieg postępowania | str. 312
11.2.2. Prawo do odszkodowania | str. 313
11.2.2.1. Podmioty zobowiązane do uiszczenia odszkodowania | str. 313
11.2.2.2. Przesłanki odpowiedzialności odszkodowawczej | str. 315
11.2.2.3. Charakter i wymiar odszkodowania | str. 316
11.2.2.4. Właściwość miejscowa sądu | str. 317
11.3. Inne sankcje | str. 317
11.3.1. Sankcje karne | str. 318
11.3.2. Sankcje dyscyplinarne | str. 318
Bibliografia | str. 319
O autorach | str. 331
