Dokumentacja ochrony danych osobowych ze wzorami (Wolters Kluwer Polska SA)

Tytuł Dokumentacja ochrony informacji osobowych ze wzorami Autorzy Paweł Fajgielski, Mariusz Jagielski, Dominik Lubasz, Marlena Sakowska-Baryła, Damian Karwala, Paweł Tobiczyk, Paulina Komorowska, Artur Cieślik, Marta Otto, Katarzyna Palka-Bartoszek, Mariola Więckowska, Magdalena Czaplińska, Wojciech Piszewski, Paulina Komorowska-Mrozik Język polski Wydawnictwo Wolters Kluwer Polska SA ISBN 978-83-8286-707-7 seria Prawo w praktyce Rok wydania 2022 liczba stron 548 Format pdf Spis treści Wykaz skrótów 13

Przedmowa do drugiego wydania 17

Rozdział 1

Dokumentacja ochrony informacji osobowych zgodna z RODO 21

1.1. Wprowadzenie 21

1.2. Podstawy prawne i zasady prowadzenia dokumentacji ochrony

danych osobowych 22

1.3. Podmioty zobowiązane do opracowania dokumentacji ochrony

informacji osobowych 26

1.4. Zakres przedmiotowy dokumentacji ochrony danych osobowych 29

Literatura 33

Rozdział 2

Polityka ochrony danych osobowych 35

2.1. Wprowadzenie 35

2.2. Struktura polityki 36

2.3. Zakres przedmiotowy polityki 37

2.4. Szczegółowa część polityki – uwagi ergonomiczne 42

2.4.1. Procedura retencji danych osobowych 44

2.4.2. Procedura wyboru dostawcy przetwarzającego dane osobowe... 46

2.4.3. Procedura obsługi żądań podmiotów danych 48

2.5. Realne rozszerzenie treści polityki 49

2.6. Polityka w świetle dotychczasowej dokumentacji 50

2.7. Wzory 52

2.8. Instrukcja korzystania ze wzorów 73

Literatura 77

Rozdział 3

Dokumentacja serwisu internetowego 79

3.1. Wprowadzenie 79

3.2. Zakres obowiązków informacyjnych w serwisie internetowym 81

3.2.1. Obowiązki na gruncie RODO 81

3.2.2. Uzupełniające kryteria wynikające z przepisów Prawa telekomunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną 83

3.3. Sposób realizacji obowiązków informacyjnych w serwisie

internetowym 84

3.4. Dokumenty wykorzystywane w serwisie internetowym 86

3.4.1. Klauzule zgód i skrócone klauzule informacyjne 88

3.4.2. Polityka prywatności 89

3.4.3. Polityka cookies 91

3.5. Wzory 93

3.6. Instrukcja korzystania ze wzorów 100

Literatura 105

Rozdział 4

Prawna i etyczna ocena rozwiązań informatycznych z wykorzystaniem sztucznej inteligencji – kwestie dokumentacyjne w kontekście ochrony

informacji osobowych 107

4.1. Ochrona informacji osobowych i sztuczna inteligencja 107

4.2. Użytkowanie systemów AI, w tym tworzenie nowych danych

o osobach fizycznych albo podejmowanie decyzji przez system nienaturalnej inteligencji wobec takich osób jako wynik działania systemu 109

4.3. Uwzględnienie uwarunkowań regulacyjnych oraz dokumentów

gremiów europejskich 110

4.4. Zakres wstępnych ustaleń i dokumentowania 111

4.5. Transparentność i wyjaśnialność systemów AI 114

4.6. Zagadnienie wykorzystywania w systemach AI danych osobowych 117

4.7. Uwzględnianie ochrony informacji w fazie projektowania oraz domyślna ochrona informacji 119

4.8. Prawa osób fizycznych w kontekście przetwarzania informacji

osobowych w systemach AI 121

4.9. Rozliczalność i ryzyko w obszarze zastosowania AI do przetwarzania informacji osobowych 123

4.10. Analiza modelu biznesowego, w którym będzie użytkowany

system AI 129

Literatura 134

Rozdział 5

Ocena (szacowanie) ryzyka 137

5.1. Wprowadzenie 137

5.2. Podstawy zarządzania ryzykiem w bezpieczeństwie informacji 141

5.3. Wybieranie zabezpieczeń – prawidłowe praktyki 176

Literatura 179

Rozdział 6

Ocena skutków dla ochrony danych osobowych 181

6.1. Wykorzystanie dokumentu 181

6.2. Kontekst historyczny 182

6.3. Kiedy konieczne jest przeprowadzenie oceny skutków dla ochrony

danych 182

6.4. Ocena skutków dla ochrony informacji – zasady 190

6.4.1. Nieznaczne wymagania DPIA 191

6.4.2. Udział osób trzecich w przeprowadzaniu oceny skutków dla

ochrony danych 193

6.4.2.1. Eksperci zewnętrzni 193

6.4.2.2. Osoby, których informacje dotyczą 194

6.4.2.3. Podmioty przetwarzające działające w imieniu administratora 194

6.5. Ocena skutków dla ochrony danych – wzór 194

6.6. Konsekwencje DPIA. Obowiązek konsultacji z organem nadzorczym

– Prezesem Urzędu Ochrony danych Osobowych 200

6.6.1. Wniosek o uprzednie konsultacje 200

6.6.2. Przebieg i czas trwania konsultacji 201

6.6.3. Rezultat konsultacji 202

Literatura 202

Rozdział 7

Rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania 205

7.1. Wstęp 205

7.2. Podstawa prowadzenia rejestrów 205

7.2.1. Przepis art. 30 RODO jako formalnoprawne źródło obowiązku prowadzenia rejestrów 205

7.2.2. Wpływ ustawodawstwa krajowego na wymóg prowadzenia

rejestrów wynikający z art. 30 RODO 206

7.2.3. Wyłączenie obowiązku prowadzenia rejestru dla „działalności prasowej”, wypowiedzi w ramach działalności literackiej, wypowiedzi akademickiej 208

7.2.4. Wyłączenie obowiązku prowadzenia rejestrów przez

przedsiębiorcę albo podmiot zatrudniający mniej aniżeli 250 osób 210

7.3. Prawne znaczenie rejestrów w polityce ochrony informacji osobowych administratora danych osobowych albo podmiotu przetwarzającego 213

7.3.1. Prowadzenie rejestru jako realizacja wymogu przetwarzania

informacji osobowych zgodnie z RODO 214

7.3.2. Prowadzenie rejestru jako narzędzie wykazania przetwarzania danych osobowych zgodnie z RODO wobec organu nadzoru 214

7.4. Cel realizacji obowiązku prowadzenia rejestru czynności

przetwarzania i rejestru kategorii czynności przetwarzania 215

7.5. Podmiot zobowiązany do prowadzenia rejestru 219

7.6. Dla kogo dostępne są rejestry? 222

7.7. Skąd czerpać informacje stanowiące treść rejestru? 224

7.8. Obowiązek uaktualniania rejestrów 225

7.9. Rejestr i jego forma 226

7.10. Czynności przetwarzania informacji osobowych 227

7.11. Treść rejestru czynności przetwarzania 229

7.11.1. Obligatoryjna treść rejestru czynności przetwarzania; art. 30

ust. 1 RODO 229

7.11.2. Fakultatywne części treści rejestru czynności

przetwarzania 236

7.12. Kategorie czynności przetwarzań 238

7.13. Części treści rejestru kategorii czynności przetwarzania 239

7.13.1. Obligatoryjne elementy treści rejestru kategorii czynności przetwarzania 239

7.13.2. Fakultatywne części treści rejestru kategorii czynności przetwarzania 240

7.14. Uwagi dotyczące treści zawartych w przykładowych rejestrach:

czynności przetwarzania i kategorii czynności przetwarzania 240

7.15. Wzory 241

Literatura 261

Rozdział 8

Współadministrowanie danymi osobowymi 263

8.1. Wstęp 263

8.2. Podstawa prawna współadministrowania 264

8.3. Elementy istotne dla rozpoznania, czy występuje

współadministrowanie 265

8.4. Kryteria ustalenia współadministrowania 267

8.4.1. Wspólne lub zbieżne decyzje współadministratorów 268

8.4.2. Wspólne cele współadministratorów 269

8.4.3. Wspólne sposoby przetwarzania informacji

poprzez współadministratorów 270

8.5. Obowiązki formalne współadministratorów 275

8.5.1. Forma porozumienia współadministratorów 275

8.5.2. Treść umowy 276

8.5.2.1. Elementy obligatoryjne 276

8.5.2.2. Komponenty fakultatywne 276

8.5.3. Znaczenie umowy w stosunkach wewnętrznych pomiędzy współadministratorami 277

8.5.4. Znaczenie umowy wobec osób, których informacje dotyczą 277

8.5.5. Udostępnienie stanowczej treści uzgodnień osobom, których

dane dotyczą 278

8.5.6. Wyznaczenie punktu kontaktowego 279

8.5.7. Obowiązki współadministratorów wobec PUODO 279

8.6. Współadministrowanie podmiotów publicznych – przykłady 280

8.6.1. Współadministrowanie w Systemie Wspomagania Decyzji Państwowej Straży Pożarnej 280

8.6.2. Współadministrowanie na zapotrzebowania obsługi bonu turystycznego 280

8.6.3. Współadministrowanie Komisji, organów celnych i organów nadzoru 281

Literatura 292

Rozdział 9

Przetwarzanie informacji osobowych w kontekście zatrudnienia 293

9.1. Upoważnienie do przetwarzania danych osobowych 293

9.1.1. Wprowadzenie 293

9.1.2. Wzory upoważnienia do przetwarzania danych osobowych, a także oświadczenia osoby upoważnionej do przetwarzania

danych osobowych 297

9.1.3. Ergonomiczne wskazówki 300

9.2. Ewidencja osób upoważnionych do przetwarzania danych 302

9.2.1. Wprowadzenie 302

9.2.2. Wzór ewidencji osób upoważnionych do przetwarzania informacji osobowych 303

9.2.3. Funkcjonalne wskazówki 304

9.3. Umowa powierzenia przetwarzania informacji osobowych 305

9.3.1. Wprowadzenie 305

9.3.2. Wzór ankiety oceny spełnienia wymagań dotyczących ochrony informacji osobowych wynikających z RODO i wzór umowy powierzenia przetwarzania informacji osobowych 311

9.3.3. Wskazówki poręczne 325

9.4. Klauzula informacyjna dotycząca przetwarzania danych osobowych pracowników 327

9.4.1. Wprowadzenie 327

9.4.2. Wzór klauzuli informacyjnej dotyczącej przetwarzania danych osobowych 328

9.4.3. Wskazówki użyteczne 332

9.5. Monitoring wizyjny 332

9.5.1. Wprowadzenie 332

9.5.2. Wzory informacji o monitoringu wizyjnym i klauzuli informacyjnej o przetwarzaniu informacji osobowych w ramach monitoringu wizyjnego 337

9.5.3. Funkcjonalne wskazówki 341

9.6. Monitoring poczty elektronicznej i inne formy monitoringu 344

9.6.1. Wprowadzenie 344

9.6.2. Wzory danych o funkcjonowaniu monitoringu poczty elektronicznej oraz monitoringu GPS 346

9.6.3. Poręczne wskazówki 351

Literatura 352

Rozdział 10

Dokumentacja naruszeń ochrony danych osobowych 355

10.1. Wprowadzenie 355

10.2. Naruszenie ochrony informacji – pojęcie, zakres 356

10.3. Obowiązek dokumentowania naruszeń 356

10.4. Rejestr naruszeń – zawartość 359

10.5. Instrukcja wypełnienia rejestru naruszeń ochrony informacji

osobowych 362

Literatura 364

Rozdział 11

Dokumentacja monitorowania zgodności z RODO – audyty wewnętrzne

i weryfikacja powierzenia przetwarzania 365

11.1. Wprowadzenie – po co audytować? 365

11.2. Audyt wewnętrzny, sprawdzenie, kontrola 366

11.3. Wobec kogo wykazywać zgodność z RODO 369

11.4. Dokumentacja audytu wewnętrznego 371

11.5. Plan audytów wewnętrznych (sprawdzeń, kontroli) 373

11.6. Audyty pozaplanowe 375

11.7. Sposób i zakres dokumentowania audytu 378

11.8. Audyt stanu użytkowania RODO 380

11.9. Audyt podmiotu przetwarzającego 390

11.10. Audyt umów powierzenia przetwarzania danych 393

11.11. Zagadnienia audytowe 397

11.12. Raport (sprawozdanie) z audytu wewnętrznego 406

Literatura 408

Rozdział 12

Klauzule wyrażenia zgód i klauzule informacyjne 411

12.1. Zgoda na przetwarzanie danych osobowych 411

12.1.1. Wprowadzenie 411

12.1.2. Zgoda jako przesłanka legalizacyjna – zagadnienia ogólne 413

12.1.3. Wzory oświadczeń o wyrażeniu zgody 415

12.1.3.1. Wyrażenie zgody w procesie rekrutacyjnym 415

12.1.3.2. Zgoda na działania marketingowe inne niż przesyłanie danych handlowej drogą elektroniczną i inne niżeli marketing bezpośredni

na podstawie Prawa telekomunikacyjnego 416

12.1.3.3. Zgoda na otrzymywanie informacji handlowej

drogą elektroniczną 417

12.1.4. Szczegółowe wymagania dotyczące zgody 418

12.1.4.1. Dobrowolność zgody 418

12.1.4.2. Konkretność zgody 420

12.1.4.3. Świadomość zgody 421

12.1.4.4. Jednoznaczność zgody 422

12.1.4.5. Wyraźność zgody 424

12.1.4.6. Forma zgody 425

12.1.4.7. Dodatkowe wymogi dotyczące pisemnej zgody 426

12.1.4.8. Wycofanie zgody 426

12.1.4.9. Ciężar dowodu – rozliczalność 427

12.2. Klauzule informacyjne 429

12.2.1. Wprowadzenie 429

12.2.2. Obowiązki informacyjne – zagadnienia ogólne 430

12.2.3. Wzory klauzul informacyjnych 431

12.2.3.1. Klauzula rekrutacyjna 431

12.2.3.2. Klauzula kontrahencka 435

12.2.3.3. Klauzula kliencka 438

12.2.3.4. Klauzula newsletterowa 441

12.2.4. Szczegółowe oczekiwania dotyczące realizacji obowiązków informacyjnych 443

12.2.4.1. Typy obowiązków informacyjnych 443

12.2.4.2. Zakres obowiązków informacyjnych 445

12.2.4.3. Sposób realizacji obowiązków informacyjnych 449

12.2.4.4. Termin realizacji obowiązków informacyjnych 452

12.2.4.5. Aktualizacja danych 453

12.2.4.6. Wyłączenia spod obowiązku realizacji 454

Literatura 458

Rozdział 13

Transfer informacji osobowych do państw trzecich 459

13.1. Wprowadzenie 459

13.2. Podstawy dopuszczalnego transferu danych osobowych oraz

kolejność ich używania 460

13.3. Kontekst historyczny, najważniejsze zmiany 464

13.4. Umowy transferowe oparte na klauzulach modelowych 466

13.5. Zgoda na transfer , a także obowiązek informacyjny 468

13.6. Wzory 470

13.7. Instrukcja korzystania ze wzorów 470

Literatura 539

O Autorach 541