Tytuł Dokumentacja ochrony danych osobowych ze wzorami Autorzy Paweł Fajgielski, Mariusz Jagielski, Dominik Lubasz, Marlena Sakowska-Baryła, Damian Karwala, Paweł Tobiczyk, Paulina Komorowska, Artur Cieślik, Marta Otto, Katarzyna Palka-Bartoszek, Mariola Więckowska, Magdalena Czaplińska, Wojciech Piszewski, Paulina Komorowska-Mrozik Język polski Wydawnictwo Wolters Kluwer Polska SA ISBN 978-83-8286-707-7 seria Prawo w praktyce Rok wydania 2022 ilość stron 548 Format pdf Spis treści Wykaz skrótów 13
Przedmowa do drugiego wydania 17
Rozdział 1
Dokumentacja ochrony informacji osobowych zgodna z RODO 21
1.1. Wprowadzenie 21
1.2. Podstawy prawne i zasady prowadzenia dokumentacji ochrony
informacji osobowych 22
1.3. Podmioty zobowiązane do opracowania dokumentacji ochrony
danych osobowych 26
1.4. Zakres przedmiotowy dokumentacji ochrony danych osobowych 29
Literatura 33
Rozdział 2
Polityka ochrony informacji osobowych 35
2.1. Wprowadzenie 35
2.2. Struktura polityki 36
2.3. Zakres przedmiotowy polityki 37
2.4. Szczegółowa część polityki – uwagi użyteczne 42
2.4.1. Procedura retencji informacji osobowych 44
2.4.2. Procedura wyboru dostawcy przetwarzającego informacje osobowe... 46
2.4.3. Procedura obsługi żądań podmiotów danych 48
2.5. Realne rozszerzenie treści polityki 49
2.6. Polityka w świetle dotychczasowej dokumentacji 50
2.7. Wzory 52
2.8. Instrukcja korzystania ze wzorów 73
Literatura 77
Rozdział 3
Dokumentacja serwisu internetowego 79
3.1. Wprowadzenie 79
3.2. Zakres obowiązków informacyjnych w serwisie internetowym 81
3.2.1. Obowiązki na gruncie RODO 81
3.2.2. Dopełniające wymogi wynikające z przepisów Prawa telekomunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną 83
3.3. Sposób realizacji obowiązków informacyjnych w serwisie
internetowym 84
3.4. Dokumenty wykorzystywane w serwisie internetowym 86
3.4.1. Klauzule zgód i skrócone klauzule informacyjne 88
3.4.2. Polityka prywatności 89
3.4.3. Polityka cookies 91
3.5. Wzory 93
3.6. Instrukcja korzystania ze wzorów 100
Literatura 105
Rozdział 4
Prawna i etyczna ocena rozwiązań informatycznych z wykorzystaniem sztucznej inteligencji – kwestie dokumentacyjne w kontekście ochrony
danych osobowych 107
4.1. Ochrona danych osobowych i nienaturalna inteligencja 107
4.2. Użytkowanie systemów AI, w tym tworzenie nowych danych
o osobach fizycznych lub podejmowanie decyzji przez system nienaturalnej inteligencji wobec takich osób jako wynik działania systemu 109
4.3. Uwzględnienie uwarunkowań regulacyjnych, a także dokumentów
gremiów europejskich 110
4.4. Zakres wstępnych ustaleń i dokumentowania 111
4.5. Przezroczystość i wyjaśnialność systemów AI 114
4.6. Zagadnienie używania w systemach AI informacji osobowych 117
4.7. Uwzględnianie ochrony informacji w fazie projektowania i domyślna ochrona danych 119
4.8. Prawa osób fizycznych w kontekście przetwarzania informacji
osobowych w systemach AI 121
4.9. Rozliczalność i ryzyko w obszarze użycia AI do przetwarzania informacji osobowych 123
4.10. Analiza modelu biznesowego, w którym będzie stosowany
system AI 129
Literatura 134
Rozdział 5
Ocena (szacowanie) ryzyka 137
5.1. Wprowadzenie 137
5.2. Podstawy zarządzania ryzykiem w bezpieczeństwie informacji 141
5.3. Wybieranie zabezpieczeń – dobre praktyki 176
Literatura 179
Rozdział 6
Ocena skutków dla ochrony informacji osobowych 181
6.1. Wykorzystanie dokumentu 181
6.2. Kontekst historyczny 182
6.3. Kiedy niezbędne jest przeprowadzenie oceny skutków dla ochrony
informacji 182
6.4. Ocena skutków dla ochrony informacji – zasady 190
6.4.1. Znikome oczekiwania DPIA 191
6.4.2. Udział osób trzecich w przeprowadzaniu oceny skutków dla
ochrony informacji 193
6.4.2.1. Eksperci zewnętrzni 193
6.4.2.2. Osoby, których dane dotyczą 194
6.4.2.3. Podmioty przetwarzające działające w imieniu administratora 194
6.5. Ocena skutków dla ochrony informacji – wzór 194
6.6. Konsekwencje DPIA. Obowiązek konsultacji z organem nadzorczym
– Prezesem Urzędu Ochrony danych Osobowych 200
6.6.1. Wniosek o uprzednie konsultacje 200
6.6.2. Przebieg i czas trwania konsultacji 201
6.6.3. Rezultat konsultacji 202
Literatura 202
Rozdział 7
Rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania 205
7.1. Wstęp 205
7.2. Podstawa prowadzenia rejestrów 205
7.2.1. Przepis art. 30 RODO jako formalnoprawne źródło obowiązku prowadzenia rejestrów 205
7.2.2. Wpływ ustawodawstwa krajowego na wymóg prowadzenia
rejestrów wynikający z art. 30 RODO 206
7.2.3. Wyłączenie obowiązku prowadzenia rejestru dla „działalności prasowej”, wypowiedzi w ramach działalności literackiej, wypowiedzi akademickiej 208
7.2.4. Wyłączenie obowiązku prowadzenia rejestrów poprzez
przedsiębiorcę albo podmiot zatrudniający mniej niżeli 250 osób 210
7.3. Prawne znaczenie rejestrów w polityce ochrony danych osobowych administratora danych osobowych lub podmiotu przetwarzającego 213
7.3.1. Prowadzenie rejestru jako realizacja wymogu przetwarzania
danych osobowych zgodnie z RODO 214
7.3.2. Prowadzenie rejestru jako narzędzie wykazania przetwarzania informacji osobowych zgodnie z RODO wobec organu nadzoru 214
7.4. Cel realizacji obowiązku prowadzenia rejestru czynności
przetwarzania i rejestru kategorii czynności przetwarzania 215
7.5. Podmiot zobowiązany do prowadzenia rejestru 219
7.6. Dla kogo przystępne są rejestry? 222
7.7. Skąd czerpać informacje stanowiące treść rejestru? 224
7.8. Obowiązek uaktualniania rejestrów 225
7.9. Rejestr i jego forma 226
7.10. Czynności przetwarzania informacji osobowych 227
7.11. Treść rejestru czynności przetwarzania 229
7.11.1. Obligatoryjna treść rejestru czynności przetwarzania; art. 30
ust. 1 RODO 229
7.11.2. Fakultatywne części treści rejestru czynności
przetwarzania 236
7.12. Kategorie czynności przetwarzań 238
7.13. Części treści rejestru kategorii czynności przetwarzania 239
7.13.1. Obligatoryjne komponenty treści rejestru kategorii czynności przetwarzania 239
7.13.2. Fakultatywne części treści rejestru kategorii czynności przetwarzania 240
7.14. Uwagi dotyczące treści zawartych w przykładowych rejestrach:
czynności przetwarzania i kategorii czynności przetwarzania 240
7.15. Wzory 241
Literatura 261
Rozdział 8
Współadministrowanie danymi osobowymi 263
8.1. Wstęp 263
8.2. Podstawa prawna współadministrowania 264
8.3. Części pokaźne dla rozpoznania, czy występuje
współadministrowanie 265
8.4. Kryteria ustalenia współadministrowania 267
8.4.1. Wspólne albo zbieżne decyzje współadministratorów 268
8.4.2. Wspólne cele współadministratorów 269
8.4.3. Wspólne sposoby przetwarzania danych
przez współadministratorów 270
8.5. Obowiązki formalne współadministratorów 275
8.5.1. Forma porozumienia współadministratorów 275
8.5.2. Treść umowy 276
8.5.2.1. Elementy obligatoryjne 276
8.5.2.2. Części fakultatywne 276
8.5.3. Znaczenie umowy w stosunkach wewnętrznych między współadministratorami 277
8.5.4. Znaczenie umowy wobec osób, których informacje dotyczą 277
8.5.5. Udostępnienie znaczącej treści uzgodnień osobom, których
informacje dotyczą 278
8.5.6. Wyznaczenie punktu kontaktowego 279
8.5.7. Obowiązki współadministratorów wobec PUODO 279
8.6. Współadministrowanie podmiotów publicznych – przykłady 280
8.6.1. Współadministrowanie w Systemie Wspomagania Decyzji Państwowej Straży Pożarnej 280
8.6.2. Współadministrowanie na zapotrzebowania obsługi bonu turystycznego 280
8.6.3. Współadministrowanie Komisji, organów celnych i organów nadzoru 281
Literatura 292
Rozdział 9
Przetwarzanie informacji osobowych w kontekście zatrudnienia 293
9.1. Upoważnienie do przetwarzania informacji osobowych 293
9.1.1. Wprowadzenie 293
9.1.2. Wzory upoważnienia do przetwarzania danych osobowych oraz oświadczenia osoby upoważnionej do przetwarzania
informacji osobowych 297
9.1.3. Użyteczne wskazówki 300
9.2. Ewidencja osób upoważnionych do przetwarzania danych 302
9.2.1. Wprowadzenie 302
9.2.2. Wzór ewidencji osób upoważnionych do przetwarzania informacji osobowych 303
9.2.3. Poręczne wskazówki 304
9.3. Umowa powierzenia przetwarzania danych osobowych 305
9.3.1. Wprowadzenie 305
9.3.2. Wzór ankiety oceny spełnienia wymagań dotyczących ochrony danych osobowych wynikających z RODO, a także wzór umowy powierzenia przetwarzania informacji osobowych 311
9.3.3. Wskazówki poręczne 325
9.4. Klauzula informacyjna dotycząca przetwarzania danych osobowych pracowników 327
9.4.1. Wprowadzenie 327
9.4.2. Wzór klauzuli informacyjnej dotyczącej przetwarzania informacji osobowych 328
9.4.3. Wskazówki poręczne 332
9.5. Monitoring wizyjny 332
9.5.1. Wprowadzenie 332
9.5.2. Wzory danych o monitoringu wizyjnym, a także klauzuli informacyjnej o przetwarzaniu informacji osobowych w ramach monitoringu wizyjnego 337
9.5.3. Poręczne wskazówki 341
9.6. Monitoring poczty elektronicznej i inne formy monitoringu 344
9.6.1. Wprowadzenie 344
9.6.2. Wzory danych o funkcjonowaniu monitoringu poczty elektronicznej i monitoringu GPS 346
9.6.3. Praktyczne wskazówki 351
Literatura 352
Rozdział 10
Dokumentacja naruszeń ochrony informacji osobowych 355
10.1. Wprowadzenie 355
10.2. Naruszenie ochrony informacji – pojęcie, zakres 356
10.3. Obowiązek dokumentowania naruszeń 356
10.4. Rejestr naruszeń – zawartość 359
10.5. Instrukcja wypełnienia rejestru naruszeń ochrony danych
osobowych 362
Literatura 364
Rozdział 11
Dokumentacja monitorowania zgodności z RODO – audyty wewnętrzne
i weryfikacja powierzenia przetwarzania 365
11.1. Wprowadzenie – po co audytować? 365
11.2. Audyt wewnętrzny, sprawdzenie, kontrola 366
11.3. Wobec kogo wykazywać zgodność z RODO 369
11.4. Dokumentacja audytu wewnętrznego 371
11.5. Plan audytów wewnętrznych (sprawdzeń, kontroli) 373
11.6. Audyty pozaplanowe 375
11.7. Sposób i zakres dokumentowania audytu 378
11.8. Audyt stanu wykorzystywania RODO 380
11.9. Audyt podmiotu przetwarzającego 390
11.10. Audyt umów powierzenia przetwarzania danych 393
11.11. Zagadnienia audytowe 397
11.12. Raport (sprawozdanie) z audytu wewnętrznego 406
Literatura 408
Rozdział 12
Klauzule wyrażenia zgód i klauzule informacyjne 411
12.1. Zgoda na przetwarzanie danych osobowych 411
12.1.1. Wprowadzenie 411
12.1.2. Zgoda jako przesłanka legalizacyjna – zagadnienia ogólne 413
12.1.3. Wzory oświadczeń o wyrażeniu zgody 415
12.1.3.1. Wyrażenie zgody w procesie rekrutacyjnym 415
12.1.3.2. Zgoda na działania marketingowe inne aniżeli przesyłanie danych handlowej drogą elektroniczną, a także inne niżeli marketing bezpośredni
na podstawie Prawa telekomunikacyjnego 416
12.1.3.3. Zgoda na otrzymywanie danych handlowej
drogą elektroniczną 417
12.1.4. Szczegółowe wymagania dotyczące zgody 418
12.1.4.1. Dobrowolność zgody 418
12.1.4.2. Konkretność zgody 420
12.1.4.3. Świadomość zgody 421
12.1.4.4. Jednoznaczność zgody 422
12.1.4.5. Wyraźność zgody 424
12.1.4.6. Forma zgody 425
12.1.4.7. Dodatkowe wymagania dotyczące pisemnej zgody 426
12.1.4.8. Wycofanie zgody 426
12.1.4.9. Ciężar dowodu – rozliczalność 427
12.2. Klauzule informacyjne 429
12.2.1. Wprowadzenie 429
12.2.2. Obowiązki informacyjne – zagadnienia ogólne 430
12.2.3. Wzory klauzul informacyjnych 431
12.2.3.1. Klauzula rekrutacyjna 431
12.2.3.2. Klauzula kontrahencka 435
12.2.3.3. Klauzula kliencka 438
12.2.3.4. Klauzula newsletterowa 441
12.2.4. Szczegółowe oczekiwania dotyczące realizacji obowiązków informacyjnych 443
12.2.4.1. Typy obowiązków informacyjnych 443
12.2.4.2. Zakres obowiązków informacyjnych 445
12.2.4.3. Sposób realizacji obowiązków informacyjnych 449
12.2.4.4. Termin realizacji obowiązków informacyjnych 452
12.2.4.5. Aktualizacja danych 453
12.2.4.6. Wyłączenia spod obowiązku realizacji 454
Literatura 458
Rozdział 13
Transfer informacji osobowych do państw trzecich 459
13.1. Wprowadzenie 459
13.2. Podstawy dopuszczalnego transferu danych osobowych, a także
kolejność ich wykorzystywania 460
13.3. Kontekst historyczny, najważniejsze zmiany 464
13.4. Umowy transferowe oparte na klauzulach modelowych 466
13.5. Zgoda na transfer , a także obowiązek informacyjny 468
13.6. Wzory 470
13.7. Instrukcja korzystania ze wzorów 470
Literatura 539
O Autorach 541
Przedmowa do drugiego wydania 17
Rozdział 1
Dokumentacja ochrony informacji osobowych zgodna z RODO 21
1.1. Wprowadzenie 21
1.2. Podstawy prawne i zasady prowadzenia dokumentacji ochrony
informacji osobowych 22
1.3. Podmioty zobowiązane do opracowania dokumentacji ochrony
danych osobowych 26
1.4. Zakres przedmiotowy dokumentacji ochrony danych osobowych 29
Literatura 33
Rozdział 2
Polityka ochrony informacji osobowych 35
2.1. Wprowadzenie 35
2.2. Struktura polityki 36
2.3. Zakres przedmiotowy polityki 37
2.4. Szczegółowa część polityki – uwagi użyteczne 42
2.4.1. Procedura retencji informacji osobowych 44
2.4.2. Procedura wyboru dostawcy przetwarzającego informacje osobowe... 46
2.4.3. Procedura obsługi żądań podmiotów danych 48
2.5. Realne rozszerzenie treści polityki 49
2.6. Polityka w świetle dotychczasowej dokumentacji 50
2.7. Wzory 52
2.8. Instrukcja korzystania ze wzorów 73
Literatura 77
Rozdział 3
Dokumentacja serwisu internetowego 79
3.1. Wprowadzenie 79
3.2. Zakres obowiązków informacyjnych w serwisie internetowym 81
3.2.1. Obowiązki na gruncie RODO 81
3.2.2. Dopełniające wymogi wynikające z przepisów Prawa telekomunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną 83
3.3. Sposób realizacji obowiązków informacyjnych w serwisie
internetowym 84
3.4. Dokumenty wykorzystywane w serwisie internetowym 86
3.4.1. Klauzule zgód i skrócone klauzule informacyjne 88
3.4.2. Polityka prywatności 89
3.4.3. Polityka cookies 91
3.5. Wzory 93
3.6. Instrukcja korzystania ze wzorów 100
Literatura 105
Rozdział 4
Prawna i etyczna ocena rozwiązań informatycznych z wykorzystaniem sztucznej inteligencji – kwestie dokumentacyjne w kontekście ochrony
danych osobowych 107
4.1. Ochrona danych osobowych i nienaturalna inteligencja 107
4.2. Użytkowanie systemów AI, w tym tworzenie nowych danych
o osobach fizycznych lub podejmowanie decyzji przez system nienaturalnej inteligencji wobec takich osób jako wynik działania systemu 109
4.3. Uwzględnienie uwarunkowań regulacyjnych, a także dokumentów
gremiów europejskich 110
4.4. Zakres wstępnych ustaleń i dokumentowania 111
4.5. Przezroczystość i wyjaśnialność systemów AI 114
4.6. Zagadnienie używania w systemach AI informacji osobowych 117
4.7. Uwzględnianie ochrony informacji w fazie projektowania i domyślna ochrona danych 119
4.8. Prawa osób fizycznych w kontekście przetwarzania informacji
osobowych w systemach AI 121
4.9. Rozliczalność i ryzyko w obszarze użycia AI do przetwarzania informacji osobowych 123
4.10. Analiza modelu biznesowego, w którym będzie stosowany
system AI 129
Literatura 134
Rozdział 5
Ocena (szacowanie) ryzyka 137
5.1. Wprowadzenie 137
5.2. Podstawy zarządzania ryzykiem w bezpieczeństwie informacji 141
5.3. Wybieranie zabezpieczeń – dobre praktyki 176
Literatura 179
Rozdział 6
Ocena skutków dla ochrony informacji osobowych 181
6.1. Wykorzystanie dokumentu 181
6.2. Kontekst historyczny 182
6.3. Kiedy niezbędne jest przeprowadzenie oceny skutków dla ochrony
informacji 182
6.4. Ocena skutków dla ochrony informacji – zasady 190
6.4.1. Znikome oczekiwania DPIA 191
6.4.2. Udział osób trzecich w przeprowadzaniu oceny skutków dla
ochrony informacji 193
6.4.2.1. Eksperci zewnętrzni 193
6.4.2.2. Osoby, których dane dotyczą 194
6.4.2.3. Podmioty przetwarzające działające w imieniu administratora 194
6.5. Ocena skutków dla ochrony informacji – wzór 194
6.6. Konsekwencje DPIA. Obowiązek konsultacji z organem nadzorczym
– Prezesem Urzędu Ochrony danych Osobowych 200
6.6.1. Wniosek o uprzednie konsultacje 200
6.6.2. Przebieg i czas trwania konsultacji 201
6.6.3. Rezultat konsultacji 202
Literatura 202
Rozdział 7
Rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania 205
7.1. Wstęp 205
7.2. Podstawa prowadzenia rejestrów 205
7.2.1. Przepis art. 30 RODO jako formalnoprawne źródło obowiązku prowadzenia rejestrów 205
7.2.2. Wpływ ustawodawstwa krajowego na wymóg prowadzenia
rejestrów wynikający z art. 30 RODO 206
7.2.3. Wyłączenie obowiązku prowadzenia rejestru dla „działalności prasowej”, wypowiedzi w ramach działalności literackiej, wypowiedzi akademickiej 208
7.2.4. Wyłączenie obowiązku prowadzenia rejestrów poprzez
przedsiębiorcę albo podmiot zatrudniający mniej niżeli 250 osób 210
7.3. Prawne znaczenie rejestrów w polityce ochrony danych osobowych administratora danych osobowych lub podmiotu przetwarzającego 213
7.3.1. Prowadzenie rejestru jako realizacja wymogu przetwarzania
danych osobowych zgodnie z RODO 214
7.3.2. Prowadzenie rejestru jako narzędzie wykazania przetwarzania informacji osobowych zgodnie z RODO wobec organu nadzoru 214
7.4. Cel realizacji obowiązku prowadzenia rejestru czynności
przetwarzania i rejestru kategorii czynności przetwarzania 215
7.5. Podmiot zobowiązany do prowadzenia rejestru 219
7.6. Dla kogo przystępne są rejestry? 222
7.7. Skąd czerpać informacje stanowiące treść rejestru? 224
7.8. Obowiązek uaktualniania rejestrów 225
7.9. Rejestr i jego forma 226
7.10. Czynności przetwarzania informacji osobowych 227
7.11. Treść rejestru czynności przetwarzania 229
7.11.1. Obligatoryjna treść rejestru czynności przetwarzania; art. 30
ust. 1 RODO 229
7.11.2. Fakultatywne części treści rejestru czynności
przetwarzania 236
7.12. Kategorie czynności przetwarzań 238
7.13. Części treści rejestru kategorii czynności przetwarzania 239
7.13.1. Obligatoryjne komponenty treści rejestru kategorii czynności przetwarzania 239
7.13.2. Fakultatywne części treści rejestru kategorii czynności przetwarzania 240
7.14. Uwagi dotyczące treści zawartych w przykładowych rejestrach:
czynności przetwarzania i kategorii czynności przetwarzania 240
7.15. Wzory 241
Literatura 261
Rozdział 8
Współadministrowanie danymi osobowymi 263
8.1. Wstęp 263
8.2. Podstawa prawna współadministrowania 264
8.3. Części pokaźne dla rozpoznania, czy występuje
współadministrowanie 265
8.4. Kryteria ustalenia współadministrowania 267
8.4.1. Wspólne albo zbieżne decyzje współadministratorów 268
8.4.2. Wspólne cele współadministratorów 269
8.4.3. Wspólne sposoby przetwarzania danych
przez współadministratorów 270
8.5. Obowiązki formalne współadministratorów 275
8.5.1. Forma porozumienia współadministratorów 275
8.5.2. Treść umowy 276
8.5.2.1. Elementy obligatoryjne 276
8.5.2.2. Części fakultatywne 276
8.5.3. Znaczenie umowy w stosunkach wewnętrznych między współadministratorami 277
8.5.4. Znaczenie umowy wobec osób, których informacje dotyczą 277
8.5.5. Udostępnienie znaczącej treści uzgodnień osobom, których
informacje dotyczą 278
8.5.6. Wyznaczenie punktu kontaktowego 279
8.5.7. Obowiązki współadministratorów wobec PUODO 279
8.6. Współadministrowanie podmiotów publicznych – przykłady 280
8.6.1. Współadministrowanie w Systemie Wspomagania Decyzji Państwowej Straży Pożarnej 280
8.6.2. Współadministrowanie na zapotrzebowania obsługi bonu turystycznego 280
8.6.3. Współadministrowanie Komisji, organów celnych i organów nadzoru 281
Literatura 292
Rozdział 9
Przetwarzanie informacji osobowych w kontekście zatrudnienia 293
9.1. Upoważnienie do przetwarzania informacji osobowych 293
9.1.1. Wprowadzenie 293
9.1.2. Wzory upoważnienia do przetwarzania danych osobowych oraz oświadczenia osoby upoważnionej do przetwarzania
informacji osobowych 297
9.1.3. Użyteczne wskazówki 300
9.2. Ewidencja osób upoważnionych do przetwarzania danych 302
9.2.1. Wprowadzenie 302
9.2.2. Wzór ewidencji osób upoważnionych do przetwarzania informacji osobowych 303
9.2.3. Poręczne wskazówki 304
9.3. Umowa powierzenia przetwarzania danych osobowych 305
9.3.1. Wprowadzenie 305
9.3.2. Wzór ankiety oceny spełnienia wymagań dotyczących ochrony danych osobowych wynikających z RODO, a także wzór umowy powierzenia przetwarzania informacji osobowych 311
9.3.3. Wskazówki poręczne 325
9.4. Klauzula informacyjna dotycząca przetwarzania danych osobowych pracowników 327
9.4.1. Wprowadzenie 327
9.4.2. Wzór klauzuli informacyjnej dotyczącej przetwarzania informacji osobowych 328
9.4.3. Wskazówki poręczne 332
9.5. Monitoring wizyjny 332
9.5.1. Wprowadzenie 332
9.5.2. Wzory danych o monitoringu wizyjnym, a także klauzuli informacyjnej o przetwarzaniu informacji osobowych w ramach monitoringu wizyjnego 337
9.5.3. Poręczne wskazówki 341
9.6. Monitoring poczty elektronicznej i inne formy monitoringu 344
9.6.1. Wprowadzenie 344
9.6.2. Wzory danych o funkcjonowaniu monitoringu poczty elektronicznej i monitoringu GPS 346
9.6.3. Praktyczne wskazówki 351
Literatura 352
Rozdział 10
Dokumentacja naruszeń ochrony informacji osobowych 355
10.1. Wprowadzenie 355
10.2. Naruszenie ochrony informacji – pojęcie, zakres 356
10.3. Obowiązek dokumentowania naruszeń 356
10.4. Rejestr naruszeń – zawartość 359
10.5. Instrukcja wypełnienia rejestru naruszeń ochrony danych
osobowych 362
Literatura 364
Rozdział 11
Dokumentacja monitorowania zgodności z RODO – audyty wewnętrzne
i weryfikacja powierzenia przetwarzania 365
11.1. Wprowadzenie – po co audytować? 365
11.2. Audyt wewnętrzny, sprawdzenie, kontrola 366
11.3. Wobec kogo wykazywać zgodność z RODO 369
11.4. Dokumentacja audytu wewnętrznego 371
11.5. Plan audytów wewnętrznych (sprawdzeń, kontroli) 373
11.6. Audyty pozaplanowe 375
11.7. Sposób i zakres dokumentowania audytu 378
11.8. Audyt stanu wykorzystywania RODO 380
11.9. Audyt podmiotu przetwarzającego 390
11.10. Audyt umów powierzenia przetwarzania danych 393
11.11. Zagadnienia audytowe 397
11.12. Raport (sprawozdanie) z audytu wewnętrznego 406
Literatura 408
Rozdział 12
Klauzule wyrażenia zgód i klauzule informacyjne 411
12.1. Zgoda na przetwarzanie danych osobowych 411
12.1.1. Wprowadzenie 411
12.1.2. Zgoda jako przesłanka legalizacyjna – zagadnienia ogólne 413
12.1.3. Wzory oświadczeń o wyrażeniu zgody 415
12.1.3.1. Wyrażenie zgody w procesie rekrutacyjnym 415
12.1.3.2. Zgoda na działania marketingowe inne aniżeli przesyłanie danych handlowej drogą elektroniczną, a także inne niżeli marketing bezpośredni
na podstawie Prawa telekomunikacyjnego 416
12.1.3.3. Zgoda na otrzymywanie danych handlowej
drogą elektroniczną 417
12.1.4. Szczegółowe wymagania dotyczące zgody 418
12.1.4.1. Dobrowolność zgody 418
12.1.4.2. Konkretność zgody 420
12.1.4.3. Świadomość zgody 421
12.1.4.4. Jednoznaczność zgody 422
12.1.4.5. Wyraźność zgody 424
12.1.4.6. Forma zgody 425
12.1.4.7. Dodatkowe wymagania dotyczące pisemnej zgody 426
12.1.4.8. Wycofanie zgody 426
12.1.4.9. Ciężar dowodu – rozliczalność 427
12.2. Klauzule informacyjne 429
12.2.1. Wprowadzenie 429
12.2.2. Obowiązki informacyjne – zagadnienia ogólne 430
12.2.3. Wzory klauzul informacyjnych 431
12.2.3.1. Klauzula rekrutacyjna 431
12.2.3.2. Klauzula kontrahencka 435
12.2.3.3. Klauzula kliencka 438
12.2.3.4. Klauzula newsletterowa 441
12.2.4. Szczegółowe oczekiwania dotyczące realizacji obowiązków informacyjnych 443
12.2.4.1. Typy obowiązków informacyjnych 443
12.2.4.2. Zakres obowiązków informacyjnych 445
12.2.4.3. Sposób realizacji obowiązków informacyjnych 449
12.2.4.4. Termin realizacji obowiązków informacyjnych 452
12.2.4.5. Aktualizacja danych 453
12.2.4.6. Wyłączenia spod obowiązku realizacji 454
Literatura 458
Rozdział 13
Transfer informacji osobowych do państw trzecich 459
13.1. Wprowadzenie 459
13.2. Podstawy dopuszczalnego transferu danych osobowych, a także
kolejność ich wykorzystywania 460
13.3. Kontekst historyczny, najważniejsze zmiany 464
13.4. Umowy transferowe oparte na klauzulach modelowych 466
13.5. Zgoda na transfer , a także obowiązek informacyjny 468
13.6. Wzory 470
13.7. Instrukcja korzystania ze wzorów 470
Literatura 539
O Autorach 541
