Ochrona danych osobowych w sektorze publicznym (Wolters Kluwer Polska SA)

Tytuł Ochrona danych osobowych w sektorze publicznym Autor Mirosław Gumularz Język polski Wydawnictwo Wolters Kluwer Polska SA ISBN 978-83-8124-999-7 linia Prawo w praktyce Rok wydania 2018 liczba stron 260 Format pdf Spis treści Wykaz skrótów 13
Wstęp 15
Rozdział I. Informacje ogólne 19
1. Czym jest RODO 19
2. Kogo dotyczy RODO 20
3. Stosowanie RODO 21
4. Kategorie obowiązków: wymagania bezpośrednie i metawymogi 23
5. Kary pieniężne i sankcje karne 25
6. Przetwarzanie a publiczny dostęp do dokumentów urzędowych 27
Rozdział II. Pojęcie informacji osobowych 30
1. Dane ogólne 30
2. Podziały danych osobowych i ich poręczne konsekwencje 34
2.1. Dane osobowe wrażliwe (szczególne kategorie danych), dane o karalności, a także informacje osobowe zwykłe 34
2.2. Informacje osobowe podane, zaobserwowane, pochodne oraz wywnioskowane 36
2.3. Dane uporządkowane oraz nieuporządkowane 38
2.3.1. Ogólne informacje 38
2.3.2. Uporządkowanie a ustrukturyzowanie 45
2.4. Informacje identyfikowalne, a także nieidentyfikowalne 46
2.4.1. Dwie normy wynikające z art. 11 RODO 46
2.4.2. Art. 11 RODO a definicja informacji osobowych 47
2.5. Krótkotrwałe i długofalowe przetwarzanie danych 55
Rozdział III. Główni aktorzy RODO 56
1. Administrator danych 56
1.1. Informacje ogólne 56
1.2. Obowiązek powołania IOD a pojęcie ADO 58
2. Współadministrowanie danymi 63
3. Kolejne podmioty w łańcuchu przetwarzania informacji: osoby upoważnione oraz podmioty przetwarzające 66
3.1. Umocowanie (upoważnienie) personelu administratora informacji 67
3.2. Powierzenie 77
3.2.1. Powierzenie informacji a udostępnienie danych i współadministrowanie 77
3.2.2. Wiarygodny procesor 84
3.2.3. Podpowierzenie 85
3.2.4. Elementy powierzenia 86
3.2.4.1. Specyfikacja danych osobowych 86
3.2.4.2. Prawa i obowiązki w ramach powierzenia 88
3.2.5. Forma powierzenia 91
3.2.6. Aktualizacja umów 91
Rozdział IV. Filary RODO. Zasady ogólne 94
1. Wstęp 94
2. Zasady 94
2.1. Zgodność z prawem, rzetelność i transparentność 94
2.2. Ograniczenie celu 96
2.3. Minimalizacja informacji 98
2.4. Poprawnieść 99
2.5. Ograniczenie przechowywania 101
2.6. Integralność i prywatność 102
3. Rozliczalność 102
3.1. Informacje ogólne 102
3.2. Rozliczalność w aspekcie proceduralnym 103
3.3. Rozliczalność w aspekcie technicznym 105
3.4. Rozliczalność wbudowana w treść przepisów 108
Rozdział V. Podstawy przetwarzania danych osobowych 111
1. Podstawy (warunki) przetwarzania danych osobowych zwykłych 111
1.1. Kiedy można przetwarzać informacje osobowe zwykłe 111
1.2. Charakterystyczne podstawy przetwarzania informacji osobowych w przypadku organów administracji publicznej 112
1.2.1. Dane ogólne 112
1.2.2. Regulacja podstaw przetwarzania w prawie krajowym 116
1.2.3. Przykłady projektowanych regulacji podstaw prawnych realizujących podstawę kompetencyjną
z art. 6 ust. 3 RODO 118
1.3. Zawarcie i realizacja umowy 119
1.4. Zgoda jako podstawa przetwarzania informacji poprzez podmioty z sektora publicznego 120
1.5. Czy istnieje możliwość powoływania się na uzasadniony interes administratora danych w sektorze publicznym 126
2. Przesłanki przetwarzania danych osobowych wrażliwych 130
3. Przesłanki przetwarzania informacji osobowych dotyczących wyroków skazujących i naruszeń prawa 132
Rozdział VI. Realizacja praw podmiotów informacji 133
1. Wstęp 133
2. Rozróżnienie praw podmiotów danych (art. 12–22 RODO) 138
2.1. Prawa niewymagające (co do zasady) do ich realizacji weryfikacji tożsamości (zestandaryzowane) 138
2.1.1. Rozróżnienie art. 13, a także 14 RODO 138
2.1.2. Katalogi zestandaryzowanych danych zawarte w art. 13 i 14 RODO 140
2.1.3. Uwagi ogólne (wspólne dla art. 13–14 RODO) 142
2.1.4. Rekomendacje 145
2.1.5. Standaryzacja (znaki graficzne) 145
2.1.6. Zestandaryzowane obowiązki informacyjne – przepisy szczególne 146
2.2. Prawa wymagające do ich realizacji weryfikacji tożsamości 149
2.2.1. Problem weryfikacji identyfikacji i weryfikacji tożsamości 149
2.2.2. Opis poszczególnych praw 156
3. Treść komunikatu skierowanego do podmiotu danych 161
4. Ułatwianie realizacji praw podmiotu danych i sposób komunikacji 162
5. Termin realizacji praw podmiotów informacji 165
6. Opłaty w ramach realizacji praw podmiotów informacji 169
7. Wyjątki oraz regulacje szczególne względem RODO w ramach realizacji praw podmiotów informacji w odniesieniu do sektora publicznego 170
7.1. Wyłączenia ogólne w ustawie z 10.05.2018 r. O ochronie danych osobowych 171
7.1.1. Wyłączenie ogólne w zakresie zestandaryzowanych obowiązków informacyjnych 171
7.1.2. Wyłączenie ogólne w ustawie z 10.05.2018 r. O ochronie danych osobowych w zakresie prawa dostępu
do informacji 175
7.2. Wyłączenia i modyfikacje wynikające z projektowanych przepisów sektorowych 179
7.3. Wyłączenia albo ograniczenia wynikające z przepisów RODO, które mogą dotyczyć sektora publicznego 180
7.3.1. Prawo do uzyskania charakterystycznych danych (art. 14 ust. 5 RODO) 180
7.3.2. Prawo do ograniczenia przetwarzania (art. 18 RODO) 181
7.3.3. Prawo do usunięcia danych – prawo do bycia zapomnianym (art. 17 RODO) 181
7.3.4. Przenoszenie danych 182
8. Charakter prawny czynności w ramach realizacji praw podmiotów informacji 182
9. Publicznoprawne konsekwencje naruszenia praw podmiotów informacji 184
Rozdział VII. Ocena ryzyka w ramach działalności organów administracji publicznej 185
1. Normatywny kontekst analizy ryzyka w RODO (kiedy ocena ryzyka jest wymagana?) 185
1.1. Ogólny wymóg monitorowania ryzyka dla praw lub wolności (art. 24 ust. 1 RODO) 186
1.2. Ocena ryzyka w fazie projektowania (art. 25 ust. 1 RODO) 186
1.3. Ocena ryzyka pod kątem obowiązku prowadzenia rejestru czynności (art. 30 ust. 5 RODO) 187
1.4. Ocena ryzyka w ramach oceny środków służących bezpieczeństwu (art. 32 ust. 1–2 RODO) 187
1.5. Ocena ryzyka w ramach oceny incydentów bezpieczeństwa informacji osobowych pod kątem obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 ust. 1 RODO) 188
1.6. Ocena ryzyka w ramach oceny zapotrzebowania zawiadamiania osoby w sytuacji incydentu (art. 34 ust. 1 RODO) 188
1.7. Ocena ryzyka w ramach oceny skutków dla ochrony informacji osobowych (art. 35 ust. 1 RODO) 189
2. Szczególne uregulowania dotyczące organów administracji publicznej 190
3. Ramy analizy ryzyka 192
3.1. Czym jest ryzyko naruszenia praw lub wolności 192
3.2. Przykłady ryzyk 194
3.3. Etapy oceny ryzyka 197
3.4. Zagrożenie a ryzyko 200
3.4.1. Waga zagrożenia a waga ryzyka 204
3.4.2. Prawdopodobieństwo zagrożenia i prawdopodobieństwo ryzyka 205
3.5. Obiektywność oceny 207
3.6. Kryteria nowoczesnania z ryzykiem 208
4. Ocena skutków dla ochrony informacji i uprzednie konsultacje 211
4.1. Ocena skutków – wstęp 211
4.2. Kiedy ocena skutków może być wymagana 212
4.3. Powiązanie oceny ryzyka i oceny skutków 215
4.4. Kiedy należy się konsultować z organem nadzorczym 218
4.5. Elementy dokumentacyjne oceny skutków 219
4.6. Ocena ryzyka a IOD 219
5. Przykładowy algorytm analizy ryzyka 220
5.1. Ocena ryzyka i ocena skutków w sytuacjach innych niż incydent bezpieczeństwa 220
5.2. Ocena ryzyka w sytuacji incydentu bezpieczeństwa 224
6. Podsumowanie 226
Rozdział VIII. Bezpieczeństwo i incydenty 227
1. Wstęp 227
2. Obowiązek zgłoszenia naruszenia ochrony danych osobowych 230
3. Zawiadamianie osoby, której informacje dotyczą, o naruszeniu ochrony informacji osobowych 233
3.1. Informacje ogólne 233
3.2. Części zawiadomienia 233
3.3. Kiedy zawiadomienie nie jest wymagane 234
3.4. Modyfikacje mechanizmu zawiadomienia w prawie krajowym 234
3.5. Opinia Grupy Roboczej Art. 29 235
Rozdział IX. Inspektor ochrony danych (IOD) 236
1. Obowiązek wyznaczenia IOD 236
2. Kwalifikacje zawodowe IOD 241
3. Relacja prawna IOD – administrator danych (procesor) 244
4. Miejsce IOD w strukturze administratora (procesora) 245
5. Zadania i uprawnienia IOD 247
5.1. Zadania obligatoryjne 247
5.2. Zadania fakultatywne 249
5.2.1. Wykluczone zadania fakultatywne 250
5.2.2. Inne zadania fakultatywne 251
5.3. Stanowiska wybranych organów nadzorczych co do zadań IOD 252
5.3.1. GIODO 252
5.3.2. Hiszpański organ nadzorczy 253
5.4. Uprawnienia we wnętrzuorganizacyjne 254
6. Inne zadania IOD w kontekście konfl iktu interesów 255
Bibliografia 257