Ochrona danych osobowych w sektorze publicznym (Wolters Kluwer Polska SA)

Tytuł Ochrona informacji osobowych w sektorze publicznym Autor Mirosław Gumularz Język polski Wydawnictwo Wolters Kluwer Polska SA ISBN 978-83-8124-999-7 kolekcja Prawo w praktyce Rok wydania 2018 ilość stron 260 Format pdf Spis treści Wykaz skrótów 13
Wstęp 15
Rozdział I. Informacje ogólne 19
1. Czym jest RODO 19
2. Kogo dotyczy RODO 20
3. Wykorzystywanie RODO 21
4. Kategorie obowiązków: wymogi bezpośrednie i metawymogi 23
5. Kary pieniężne i sankcje karne 25
6. Przetwarzanie a publiczny dostęp do dokumentów urzędowych 27
Rozdział II. Pojęcie danych osobowych 30
1. Dane ogólne 30
2. Podziały danych osobowych i ich użyteczne konsekwencje 34
2.1. Dane osobowe wrażliwe (szczególne kategorie danych), dane o karalności oraz informacje osobowe zwykłe 34
2.2. Dane osobowe przekazane, zaobserwowane, pochodne, a także wywnioskowane 36
2.3. Dane uporządkowane i nieuporządkowane 38
2.3.1. Ogólne informacje 38
2.3.2. Uporządkowanie a ustrukturyzowanie 45
2.4. Informacje identyfikowalne, a także nieidentyfikowalne 46
2.4.1. Dwie normy wynikające z art. 11 RODO 46
2.4.2. Art. 11 RODO a definicja danych osobowych 47
2.5. Krótkotrwałe i długookresowe przetwarzanie danych 55
Rozdział III. Główni aktorzy RODO 56
1. Administrator informacji 56
1.1. Dane ogólne 56
1.2. Obowiązek powołania IOD a pojęcie ADO 58
2. Współadministrowanie danymi 63
3. Kolejne podmioty w łańcuchu przetwarzania danych: osoby upoważnione i podmioty przetwarzające 66
3.1. Umocowanie (upoważnienie) personelu administratora danych 67
3.2. Powierzenie 77
3.2.1. Powierzenie danych a udostępnienie danych i współadministrowanie 77
3.2.2. Wiarygodny procesor 84
3.2.3. Podpowierzenie 85
3.2.4. Części powierzenia 86
3.2.4.1. Specyfikacja danych osobowych 86
3.2.4.2. Prawa i obowiązki w ramach powierzenia 88
3.2.5. Forma powierzenia 91
3.2.6. Aktualizacja umów 91
Rozdział IV. Filary RODO. Zasady ogólne 94
1. Wstęp 94
2. Zasady 94
2.1. Zgodność z prawem, rzetelność i przejrzystość 94
2.2. Ograniczenie celu 96
2.3. Minimalizacja danych 98
2.4. Należycieść 99
2.5. Ograniczenie przechowywania 101
2.6. Nierozłączność i poufność 102
3. Rozliczalność 102
3.1. Informacje ogólne 102
3.2. Rozliczalność w aspekcie proceduralnym 103
3.3. Rozliczalność w aspekcie technicznym 105
3.4. Rozliczalność wbudowana w treść przepisów 108
Rozdział V. Podstawy przetwarzania informacji osobowych 111
1. Podstawy (warunki) przetwarzania informacji osobowych zwykłych 111
1.1. Kiedy można przetwarzać informacje osobowe zwykłe 111
1.2. Charakterystyczne podstawy przetwarzania danych osobowych w przypadku organów administracji publicznej 112
1.2.1. Dane ogólne 112
1.2.2. Regulacja podstaw przetwarzania w prawie krajowym 116
1.2.3. Przykłady projektowanych regulacji podstaw prawnych realizujących podstawę kompetencyjną
z art. 6 ust. 3 RODO 118
1.3. Zawarcie i realizacja umowy 119
1.4. Zgoda jako podstawa przetwarzania informacji poprzez podmioty z sektora publicznego 120
1.5. Czy istnieje możliwość powoływania się na uzasadniony interes administratora danych w sektorze publicznym 126
2. Przesłanki przetwarzania informacji osobowych wrażliwych 130
3. Przesłanki przetwarzania informacji osobowych dotyczących wyroków skazujących i naruszeń prawa 132
Rozdział VI. Realizacja praw podmiotów informacji 133
1. Wstęp 133
2. Rozróżnienie praw podmiotów informacji (art. 12–22 RODO) 138
2.1. Prawa niewymagające (co do zasady) do ich realizacji weryfikacji tożsamości (zestandaryzowane) 138
2.1.1. Rozróżnienie art. 13 i 14 RODO 138
2.1.2. Katalogi zestandaryzowanych informacji zawarte w art. 13 i 14 RODO 140
2.1.3. Uwagi ogólne (wspólne dla art. 13–14 RODO) 142
2.1.4. Rekomendacje 145
2.1.5. Standaryzacja (znaki graficzne) 145
2.1.6. Zestandaryzowane obowiązki informacyjne – przepisy szczególne 146
2.2. Prawa wymagające do ich realizacji weryfikacji tożsamości 149
2.2.1. Problem weryfikacji identyfikacji i weryfikacji tożsamości 149
2.2.2. Opis poszczególnych praw 156
3. Treść komunikatu skierowanego do podmiotu informacji 161
4. Usprawnianie realizacji praw podmiotu danych i sposób komunikacji 162
5. Termin realizacji praw podmiotów danych 165
6. Opłaty w ramach realizacji praw podmiotów danych 169
7. Wyjątki i regulacje szczególne względem RODO w ramach realizacji praw podmiotów danych w odniesieniu do sektora publicznego 170
7.1. Wyłączenia ogólne w ustawie z 10.05.2018 r. O ochronie informacji osobowych 171
7.1.1. Wyłączenie ogólne w zakresie zestandaryzowanych obowiązków informacyjnych 171
7.1.2. Wyłączenie ogólne w ustawie z 10.05.2018 r. O ochronie danych osobowych w zakresie prawa dostępu
do informacji 175
7.2. Wyłączenia i modyfikacje wynikające z projektowanych przepisów sektorowych 179
7.3. Wyłączenia albo ograniczenia wynikające z przepisów RODO, które mogą dotyczyć sektora publicznego 180
7.3.1. Prawo do uzyskania charakterystycznych informacji (art. 14 ust. 5 RODO) 180
7.3.2. Prawo do ograniczenia przetwarzania (art. 18 RODO) 181
7.3.3. Prawo do usunięcia danych – prawo do bycia zapomnianym (art. 17 RODO) 181
7.3.4. Przenoszenie danych 182
8. Charakter prawny czynności w ramach realizacji praw podmiotów informacji 182
9. Publicznoprawne konsekwencje naruszenia praw podmiotów danych 184
Rozdział VII. Ocena ryzyka w ramach działalności organów administracji publicznej 185
1. Normatywny kontekst analizy ryzyka w RODO (kiedy ocena ryzyka jest wymagana?) 185
1.1. Ogólny wymóg monitorowania ryzyka dla praw albo wolności (art. 24 ust. 1 RODO) 186
1.2. Ocena ryzyka w fazie projektowania (art. 25 ust. 1 RODO) 186
1.3. Ocena ryzyka pod kątem obowiązku prowadzenia rejestru czynności (art. 30 ust. 5 RODO) 187
1.4. Ocena ryzyka w ramach oceny środków służących bezpieczeństwu (art. 32 ust. 1–2 RODO) 187
1.5. Ocena ryzyka w ramach oceny incydentów bezpieczeństwa informacji osobowych pod kątem obowiązku zgłaszania naruszenia ochrony informacji osobowych organowi nadzorczemu (art. 33 ust. 1 RODO) 188
1.6. Ocena ryzyka w ramach oceny zapotrzebowania zawiadamiania osoby w sytuacji incydentu (art. 34 ust. 1 RODO) 188
1.7. Ocena ryzyka w ramach oceny skutków dla ochrony informacji osobowych (art. 35 ust. 1 RODO) 189
2. Szczególne uregulowania dotyczące organów administracji publicznej 190
3. Ramy analizy ryzyka 192
3.1. Czym jest ryzyko naruszenia praw albo wolności 192
3.2. Przykłady ryzyk 194
3.3. Etapy oceny ryzyka 197
3.4. Zagrożenie a ryzyko 200
3.4.1. Waga zagrożenia a waga ryzyka 204
3.4.2. Prawdopodobieństwo zagrożenia i prawdopodobieństwo ryzyka 205
3.5. Obiektywność oceny 207
3.6. Kryteria postępowania z ryzykiem 208
4. Ocena skutków dla ochrony informacji i uprzednie konsultacje 211
4.1. Ocena skutków – wstęp 211
4.2. Kiedy ocena skutków może być wymagana 212
4.3. Powiązanie oceny ryzyka i oceny skutków 215
4.4. Kiedy należy się konsultować z organem nadzorczym 218
4.5. Części dokumentacyjne oceny skutków 219
4.6. Ocena ryzyka a IOD 219
5. Przykładowy algorytm analizy ryzyka 220
5.1. Ocena ryzyka i ocena skutków w sytuacjach innych niż incydent bezpieczeństwa 220
5.2. Ocena ryzyka w sytuacji incydentu bezpieczeństwa 224
6. Podsumowanie 226
Rozdział VIII. Bezpieczeństwo i incydenty 227
1. Wstęp 227
2. Obowiązek zgłoszenia naruszenia ochrony danych osobowych 230
3. Zawiadamianie osoby, której informacje dotyczą, o naruszeniu ochrony informacji osobowych 233
3.1. Informacje ogólne 233
3.2. Elementy zawiadomienia 233
3.3. Kiedy zawiadomienie nie jest wymagane 234
3.4. Modyfikacje mechanizmu zawiadomienia w prawie krajowym 234
3.5. Opinia Grupy Roboczej Art. 29 235
Rozdział IX. Inspektor ochrony danych (IOD) 236
1. Obowiązek wyznaczenia IOD 236
2. Kwalifikacje zawodowe IOD 241
3. Relacja prawna IOD – administrator danych (procesor) 244
4. Miejsce IOD w strukturze administratora (procesora) 245
5. Zadania i uprawnienia IOD 247
5.1. Zadania obligatoryjne 247
5.2. Zadania fakultatywne 249
5.2.1. Wykluczone zadania fakultatywne 250
5.2.2. Inne zadania fakultatywne 251
5.3. Stanowiska wybranych organów nadzorczych co do zadań IOD 252
5.3.1. GIODO 252
5.3.2. Hiszpański organ nadzorczy 253
5.4. Uprawnienia w środkuorganizacyjne 254
6. Inne zadania IOD w kontekście konfl iktu interesów 255
Bibliografia 257