|
OCHRONA DANYCH OSOBOWYCH W UNII EUROPEJSKIEJ PO REFORMIE KOMENTARZ DO ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY UE 2016/679
KRZYSZTOFEK M. wydawnictwo: C.H. BECK , rok wydania 2016, wydanie Icena netto: 178.20 Twoja cena 169,29 zł + 5% vat - dodaj do koszyka Ochrona danych osobowych w Unii Europejskiej po reformie
Komentarz do rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679
Stan prawny: październik 2016 r.
Jedyny praktyczny komentarz do unijnego rozporządzenia o
ochronie danych osobowych, zawierający obszerne orzecznictwo, przykłady i najlepsze
praktyki.
Jakie zmiany przynosi unijne rozporządzenie o ochronie ochrony danych osobowych? Jaki
będzie wpływ tej największej od 21 lat reformy? Ta książka to pierwszy i jedyny,
szczegółowy komentarz do przepisów, które wejdą w życie w Polsce i Unii Europejskiej
już w maju 2018 r. Cały 2017 r. to okres wzmożonych przygotowań firm i instytucji do
wdrożenia tych przepisów.
Przedmiotem książki jest kompleksowy komentarz do wszystkich zasad przetwarzania
danych osobowych oraz do obowiązków administratorów danych i uprawnień podmiotów
danych (art. 1–50 RODO). To rdzeń systemu ochrony danych osobowych.
Pozostałe tematy: kompetencje i organizacja organów nadzorczych i Europejskiej Rady
Ochrony Danych (art. 51–76 RODO), środki ochrony prawnej, odpowiedzialność i sankcje
(art. 77–84 RODO) oraz szczególne sytuacje związane z przetwarzaniem (art. 85–91
RODO) zostały omówione w poszczególnych rozdziałach książki w odpowiadających im
kontekstach (np. kompetencje organu nadzorczego – m.in. w rozdziałach dotyczących
zatwierdzania BCR, zgody organu nadzorczego na transfer danych do państwa trzeciego oraz
certyfikacji, sankcje – w rozdziałach dotyczących podsumowania zmian, które wprowadza
RODO, kluczowych definicji oraz obowiązku informacyjnego wobec podmiotu danych,
szczególne sytuacje związane z przetwarzaniem – w rozdziale dotyczącym nadrzędnych
zasad przetwarzania danych).
Grupa Robocza Art. 29 zapowiedziała na 2018 r. opracowanie wytycznych, narzędzi i
procedur, które skonkretyzują stosowanie GDPR, m.in. w zakresie funkcjonowania
Europejskiej Rady Ochrony Danych i zwiększonej roli organów nadzorczych oraz „one stop
shop” i mechanizmu spójności. Do czasu ustalenia przez organy nadzorcze zasad
współpracy dla spójnego stosowania RODO, rozpoczęcia działalności przez Europejską
Radę Ochrony Danych i sformułowania przez nią wytycznych i najlepszych praktyk, a
także ukształtowania się praktyki nakładania dotkliwych administracyjnych kar
pieniężnych, które przynosi RODO, a więc w trwającym do 25.5.2018 r. okresie
dostosowawczym, poddawanie przepisów od art. 51 RODO odrębnemu komentarzowi byłoby
przedwczesne.
Najważniejsze atuty komentarza to:
Książka jest pierwszym i jedynym na rynku komentarzem do zasad przetwarzania
danych osobowych oraz do obowiązków administratorów danych i uprawnień podmiotów
danych, które wprowadziła reforma.
Komentarz prezentuje analizę i praktyczne podejście do nowych rozwiązań i
obowiązków, które przynosi reforma, takich jak m.in. zgłoszenie naruszenia ochrony
danych osobowych GIODO i klientowi, powołanie inspektora ochrony danych, ochrona danych w
fazie projektowania i domyślna ochrona danych, „prawo do bycia zapomnianym” i prawo
do przenoszenia danych, rozszerzenie klauzul informacyjnych i modyfikacja klauzul zgody,
ograniczenia profilowania.
Obejmuje wytyczne organów ochrony danych, przykłady naruszeń i najlepsze praktyki
wskazujące pożądane podejście administratorów danych oraz ilustrujące i
ułatwiające zrozumienie, wdrożenie i stosowanie nowych obowiązków i uprawnień.
Zawiera omówienie orzecznictwa Trybunału Sprawiedliwości UE i Europejskiego Trybunału
Praw Człowieka oraz sądów polskich przedstawiające ramy stosowania przepisów o
ochronie danych.
Autor jest praktykiem, który zarządzał ochroną danych osobowych w Polsce i
zagranicą jako inspektor ochrony danych koordynujący ją w kilku państwach
członkowskich, zdobył również wieloletnie doświadczenie w prowadzeniu szkoleń,
audytów i doradztwa w dziedzinie ochrony danych osobowych. Przykłady i najlepsze
praktyki przedstawione w książce są poparte zawodowym doświadczeniem autora we
wdrażaniu wymaganych rozwiązań oraz w relacjach z regulatorami.
Ochrona danych osobowych w Polsce i Unii Europejskiej jest w książce przedstawiona w
nowym, zreformowanym stanie prawnym, wraz z odniesieniami i porównaniami do stanu
dotychczasowego.
Dzięki tej publikacji Czytelnik dowie się m.in.:
Jakie są konsekwencje ujednolicenia przepisów o ochronie danych osobowych w skali
UE, jaki jest bezpośredni wpływ reformy na prawo polskie i obowiązki polskich firm i
instytucji
Jakie zmiany przynosi pierwsza od 21 lat gruntowna reforma ochrony danych osobowych
Jakie obowiązki, np. zgłoszenia naruszenia ochrony danych osobowych GIODO i
klientowi, powołania inspektora ochrony danych, udokumentowanej analizy ryzyka, rejestru
czynności przetwarzania danych osobowych, nakłada reforma na firmy i instytucje, oraz
jak je spełnić uwzględniając wytyczne regulatorów i najlepsze praktyki przedstawione
w książce
Jak wdrożyć zasadę ochrony danych w fazie projektowania i domyślnej ochrony
danych
Jak zapewnić nowe lub rozszerzone prawa osób, których dane dotyczą, takie jak
„prawo do bycia zapomnianym” i prawo do przenoszenia danych
Jak wywiązać się z obowiązku zwiększenia zakresu informacji przekazywanych
osobie, której dotyczą dane, w klauzulach informacyjnych w formularzach lub w Internecie
Jakie są zwiększone wymagania wobec zgody na przetwarzanie danych
Jaki jest wpływ ograniczenia profilowania i prawa do sprzeciwu wobec profilowania
na marketing oraz ocenę ryzyka
Jakie są konsekwencje zmian i rozszerzenia kluczowych definicji, np. czym różni
się anonimizacja od pseudonimizacji
Jakie są warunki stosowania danych biometrycznych np. do kontroli dostępu do
systemu lub pomieszczeń albo kontroli czasu pracy
Jak zapewnić zgodność z kluczowymi zasadami przetwarzania danych osobowych
takimi, jak zasada adekwatności danych do celu przetwarzania czy zakaz przechowywania
danych po osiągnięciu celu przetwarzania
Jakie są warunki stosowania kamer w miejscach publicznych oraz monitoringu
pracowników np. e-maili
Jak wykazać prawidłową podstawę prawną przetwarzania danych osobowych,
uniknąć ryzyka prawnego dokonując wyboru między podstawami takimi, jak zgoda osoby,
której dotyczą i uzasadniony interes
Jakie są zasady przetwarzania danych osobowych pracowników
Jakim zmianom uległ zakres danych wrażliwych i jakie są konsekwencje tych zmian
Jak zapewnić, również uwzględniając warunki techniczne, prawo dostępu do
danych, prawo do ograniczenia przetwarzania i do korekty danych
Jakie są wymogi wobec środków zapewniających bezpieczeństwo danych w
kontekście warunków technicznych i zasady risk-based approach
Jakie korzyści wynikają z wdrożenia branżowego kodeksu podstępowania lub
uzyskania certyfikatu potwierdzającego zgodność operacji przetwarzania z nowymi
przepisami
Jakie są warunki stosowania outsourcingu powodującego powierzenie przetwarzania
danych
Jakie są wzajemne relacje między administratorem, processorem,
współadministratorami danych, jakie są nowe wymagania wobec processora
Jakie są konsekwencje w postępowaniu administracyjnym zmian takich, jak „one
stop shop” lub prawo kierowania skarg na firmy z innych państw do organu ochrony danych
w państwie zamieszkania klienta
Jak zapewnić zgodność z zasadami transferów danych do państw trzecich np. w
ramach stosowania wspólnych aplikacji lub outsourcingu usług, jak wdrożyć podstawy
transferów takie, jak standardowe klauzule umowne i wiążące reguły korporacyjne
Jakie ryzyka dla zgodności z przepisami o ochronie danych wynikają z rozwoju
technologii przetwarzania, np. e-commerce, geolokalizacji, aplikacji mobilnych
Jakie ramy stosowania przepisów o ochronie danych wyznacza orzecznictwo polskie
oraz Europejskiego Trybunał Praw Człowieka i Trybunału Sprawiedliwości Unii
Europejskiej
Jakie zagrożenie wynika z wprowadzenia dotkliwych kar pieniężnych nakładanych na
firmy i instytucje
Wykaz skrótów
Wykaz literatury
Wprowadzenie
Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z
27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy
95/46/WE
Rozdział 1. Przedmiot i cele oraz podsumowanie zmian, które wprowadza RODO.
Tło ochrony danych osobowych w Unii Europejskiej. Komentarz do art. 1 RODO Art. 1.
[Przedmiot i cele]
I. Przedmiot i cele RODO. Konsekwencje ujednolicenia przepisów o ochronie danych
osobowych w skali Unii Europejskiej i bezpośredni wpływ reformy w Polsce
II. Podsumowanie zmian, które wprowadza RODO - największa od 21 lat reforma ochrony
danych osobowych
III. Tło ochrony danych osobowych w Unii Europejskiej
Rozdział 2. Definicje prawa do prywatności. Zakres prawa do prywatności w
prawie Unii Europejskiej i w orzecznictwie europejskim
I. Definicje prawa do prywatności. Ochrona danych osobowych jako aspekt tego prawa
II. Podstawy prawne prawa do prywatności i ochrony danych osobowych w UE
III. Zakres prawa do prywatności i ochrony danych osobowych w orzecznictwie europejskim
IV. Znaczenie ochrony danych osobowych dla prawa do prywatności
Rozdział 3. Zakres ochrony danych osobowych oraz kluczowe definicje. Komentarz do
art. 2-4 RODO
Art. 2. [Materialny zakres stosowania]
I. Zakres podmiotowy ochrony danych osobowych
II. Zakres przedmiotowy ochrony danych osobowych - wpływ formy przetwarzania i
przetwarzania w zbiorach
III. Przetwarzanie danych do celów osobistych lub domowych jako wyjątek od zakresu
przedmiotowego
Art. 3. [Terytorialny zakres stosowania]
Art. 4. [Definicje]
I. Uwagi wstępne
II. Definicja danych osobowych - ewolucja kategorii danych chronionych wraz z rozwojem
technologii
III. Anonimizacja i pseudonimizacja - różnice
IV. Zbiór danych
V. Przetwarzanie danych
Rozdział 4. Kluczowe zasady przetwarzania danych osobowych. Komentarz do art. 5
RODO
Art. 5. [Zasady dotyczące przetwarzania danych osobowych]
I. Uwagi ogólne - nadrzędność zasad przetwarzania danych osobowych
II. Zasada legalności, rzetelności i przejrzystości przetwarzania (lawfulness fairness
and transparency)
III. Zasada celowości (określenia i ograniczenia celu) (purpose limitation). Związanie
celem przetwarzania m.in. w marketingu i monitoringu pracowników
IV. Zasada adekwatności (proporcjonalności) danych (data minimisation). Niezbędność
jako warunek przetwarzania. Adekwatność danych m.in. w stosunkach pracy i monitoringu
V. Zasada prawidłowości danych (ścisłości) (accuracy). Ścisłość i aktualność
danych
VI. Zasada ograniczenia czasowego (storage limitation). Analiza okresów retencji danych
Rozdział 5. Podstawy prawne przetwarzania danych osobowych. Komentarz do art. 6-8
RODO
Art. 6. [Zgodność przetwarzania z prawem]
Art. 7. [Warunki wyrażenia zgody]
Art. 8. [Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa
informacyjnego]
I. Uwagi ogólne. Różnica między podstawami przetwarzania danych zwykłych i
wrażliwych
II. Przetwarzanie danych na podstawie zgody osoby, której dotyczą
III. Warunki ważności zgody
IV. Forma zgody
V. Wycofanie zgody
VI. Zgoda dziecka na świadczenie usług społeczeństwa informacyjnego
VII. Przetwarzanie danych w celu zawarcia lub wykonania umowy
VIII. Przetwarzanie danych w celu spełnienia obowiązku prawnego
IX. Przetwarzanie danych w celu ochrony żywotnych interesów
X. Przetwarzanie danych w interesie publicznym
XI. Przetwarzanie danych osobowych w ramach prawnie uzasadnionych interesów dministratora
danych. Marketing i marketing elektroniczny oraz cookies
Rozdział 6. Dane wrażliwe. Komentarz do art. 9-10 RODO
Art 9 [Przetwarzanie szczególnych kategorii danych osobowych]
Art 10. [Przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń
prawa]
I. Dane wrażliwe. Zakres i podstawy przetwarzania
II. Dane osobowe dotyczące wyroków skazujących i naruszeń prawa
Rozdział 7. Obowiązek zapewnienia informacji dotyczących przetwarzania danych.
Komentarz do art. 11-14 RODO
Art. 11. [Przetwarzanie niewymagające identyfikacji]
Art. 12. [Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw
przez osobę, której dane dotyczą]
Art. 13. [Informacje podawane w przypadku zbierania danych od osoby, której dane
dotyczą]
Art. 14. [Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny
niż od osoby, której dane dotyczą]
I. Rozszerzenie klauzul informacyjnych
II. Wpływ informacji o przetwarzaniu na zgodność przetwarzania z prawem
III. Zakres klauzul informacyjnych
IV. Powstanie obowiązku informacyjnego
V. Wyłączenia od obowiązku informacyjnego
Rozdział 8. Prawo dostępu do danych, poprawiania danych oraz sprzeciwu wobec ich
przetwarzania. Komentarz do art. 15-23 RODO
Art. 15. [Prawo dostępu przysługujące osobie, której dane dotyczą]
Art. 16. [Prawo do sprostowania danych] v.
Art. 17. [Prawo do usunięcia danych ("prawo do bycia zapomnianym")]
Art. 18. [Prawo do ograniczenia przetwarzania]
Art. 19. [Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o
ograniczeniu przetwarzania]
Art. 20. [Prawo do przenoszenia danych]
Art. 21. [Prawo do sprzeciwu]
Art. 22. [Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym
profilowanie]
Art. 23. [Ograniczenia]
I. Podstawy prawne i zakresy praw podmiotów danych (SAR - Subject Access Requests)
II. Prawo dostępu do danych (uzyskania na wniosek informacji o przetwarzaniu danych)
III. Prawo do korekty danych
IV. Prawo sprzeciwu wobec przetwarzania danych w szerokim znaczeniu
A. Prawo do usunięcia danych ("prawo do bycia zapomnianym")
B. Poinformowanie kolejnych administratorów o żądaniu usunięcia danych
C. Wyjątki od obowiązku usunięcia danych
V. "Prawo do bycia zapomnianym" w Internecie. Wyrok Trybunału Sprawiedliwości
UE z 13.5.2014 r. w sprawie C-131/12
VI. Zapewnienie rzeczywistej skuteczności "prawu do bycia zapomnianym"
VII. Prawo do ograniczenia przetwarzania
VIII. Prawo do przenoszenia danych
IX. Prawo do sprzeciwu wobec przetwarzania danych ze względu na szczególną sytuację
podmiotu danych oraz wobec marketingu bezpośredniego i profilowania
X. Profilowanie w celu marketingu i ocena ryzyka oraz inne zautomatyzowane decyzje
XI. Ograniczenie uprawnień podmiotów danych ze względu na interes publiczny
Rozdział 9. Administrator i processor. Ochrona danych w fazie projektowania i
domyślna ochrona danych. Bezpieczeństwo danych. Zgłaszanie naruszeń. Inspektor ochrony
danych. Kodeksy postępowania i certyfikacja. Komentarz
do art. 24-43 RODO
Art. 24. [Obowiązki administratora]
Art. 25. [Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona
danych]
Art. 26. [Współadministratorzy]
Art. 27. [Przedstawiciele administratorów lub podmiotów przetwarzających niemąjących
jednostki organizacyjnej w Unii]
Art. 28. [Podmiot przetwarzający]
Art. 29. [Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego]
Art. 30. [Rejestrowanie czynności przetwarzania]
Art. 31. [Współpraca z organem nadzorczym]
Art. 32. [Bezpieczeństwo przetwarzania]
Art. 33. Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu]
Art. 34. [Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych
osobowych]
Art. 35. [Ocena skutków dla ochrony danych]
Art. 36. [Uprzednie konsultacje]
Art. 37. [Wyznaczenie inspektora ochrony danych]
Art. 38. [Status inspektora ochrony danych]
Art. 39. [Zadania inspektora ochrony danych]
Art. 40. [Kodeksy postępowania]
Art. 41. [Monitorowanie zatwierdzonych kodeksów postępowania]
Art. 42. [Certyfikacja]
Art. 43. [Podmiot certyfikujący]
I. Uwagi ogólne
II. Administrator. Kryteria uznania za administratora i relacje z innymi uczestnikami
procesu przetwarzania
III. Współadministratorzy
IV. Podmiot przetwarzający {processor). Warunki wyboru processora i powierzenie
przetwarzania
V. Ochrona danych w fazie projektowania i domyślna ochrona danych. Metody wdrożenia
VI. Adekwatność środków bezpieczeństwa danych w kontekście risk-based approach oraz
technologii
VII. Rejestr czynności przetwarzania danych osobowych i privacy impact assessment
VIII. Upoważnienie do przetwarzania danych
IX. Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu i podmiotowi
danych
X. Inspektor ochrony danych
XI. Korzyści wynikające z wdrożenia branżowego kodeksu postępowania lub uzyskania
certyfikatu
XII. Branżowe kodeksy postępowania
XIII. Certyfikacja
Rozdział 10. Transfery danych osobowych poza UE i EOG. Komentarz do art. 44-50
RODO
Art. 44. [Ogólna zasada przekazywania]
I. Definicja państw trzecich
II. Definicja przekazywania danych osobowych
III. Definicja odbiorcy danych
IV. Wyłączenie stosowania przepisów UE do zwrotu danych ich administratorowi w
państwie trzecim
V. Umieszczenie danych osobowych na stronie internetowej jako wyjątek od przekazywania
danych do państw trzecich
Art. 45. [Przekazywanie na podstawie decyzji stwierdzającej odpowiedni stopień ochrony]
I. Odpowiedni stopień ochrony jako warunek transferu danych osobowych z UE
A. Definicja odpowiedniego stopnia ochrony danych osobowych
B. Kryteria oceny stopnia ochrony danych w państwie trzecim
II. Przekazywanie danych osobowych z UE do USA
A. Decyzje Komisji w sprawie adekwatności ochrony jako podstawy prawne transferów danych
z UE do USA
B. Wyrok TSUE z 6.10.2015 r. w sprawie Maximilian Schrems v. Data Protection Commissioner
(C-362/14) unieważniający SafeHarbor. Pozostałe zastrzeżenia do Safe Harbor
C. Zmiana podstawy prawnej transferów danych z UE do USA - unieważnienie EU-US Safe
Harbor, przyjęcie EU-US Privacy Shield
D. Umowa między UE a USA o przekazywaniu danych z komunikatów finansowych w systemie
SWIFT
E. Amerykańska ustawa o ujawnianiu informacji o rachunkach zagranicznych do celów
podatkowych (FATCA)
F. Dane o pasażerach samolotów {Passenger Name Record data -PNR)
Art. 46. [Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń]
I. Wyjątki od zakazu transferu danych do państw trzecich niezapewniających
odpowiedniego stopnia ochrony
II. Charakterystyka standardowych klauzul ochrony danych (standardowych klauzul umownych,
Standard Contractual Clauses - SCCs)
III. Zezwolenie organu nadzorczego na transfer danych do państw trzecich
niezapewniających adekwatnej ochrony (art. 46 ust. 3 RODO)
Art. 47. [Wiążące reguły korporacyjne]
I. Charakterystyka BCR
II. Zapewnienie skuteczności BCR
III. Procedura zatwierdzania BCR przez organy ochrony danych
Art. 48. [Przekazywanie lub ujawnianie niedozwolone na mocy prawa Unii]
Art. 49. [Wyjątki w szczególnych sytuacjach]
I. Odstępstwa od zakazu transferu danych do państw trzecich niezapewniających
adekwatnej ochrony
II. Zgoda podmiotu danych
III. Realizacja umowy lub działania poprzedzające zawarcie umowy
IV. Ważne względy interesu publicznego
V. Ustalenie, dochodzenie lub ochrona roszczeń
VI. Ochrona żywotnych interesów w przypadku niezdolności do wyrażenia zgody
VII. Rejestry publiczne
Art. 50. [Międzynarodowa współpraca na rzecz ochrony danych osobowych]
Rozdział 11. Zakończenie. Prywatność w epoce Internetu, technologie a
zagrożenia prywatności
I. Wyzwania dla ochrony prywatności wynikające z technologii
II. Ingerencja w prywatność jako cena za bezpieczeństwo i dostęp do usług
III. Konkluzja
310 stron, Format: 16.0x24.0cm,
oprawa miękka
Po otrzymaniu zamówienia poinformujemy, czy wybrany tytuł polskojęzyczny lub
anglojęzyczny jest aktualnie na półce księgarni.
|