Tytuł Ochrona danych osobowych w sektorze publicznym Autor Mirosław Gumularz Język polski Wydawnictwo Wolters Kluwer Polska SA ISBN 978-83-8124-999-7 seria Prawo w praktyce Rok wydania 2018 ilość stron 260 Format pdf Spis treści Wykaz skrótów 13
Wstęp 15
Rozdział I. Dane ogólne 19
1. Czym jest RODO 19
2. Kogo dotyczy RODO 20
3. Stosowanie RODO 21
4. Kategorie obowiązków: wymagania bezpośrednie i metawymogi 23
5. Kary pieniężne i sankcje karne 25
6. Przetwarzanie a publiczny dostęp do dokumentów urzędowych 27
Rozdział II. Pojęcie danych osobowych 30
1. Informacje ogólne 30
2. Podziały informacji osobowych i ich funkcjonalne konsekwencje 34
2.1. Dane osobowe wrażliwe (szczególne kategorie danych), dane o karalności i informacje osobowe zwykłe 34
2.2. Informacje osobowe podane, zaobserwowane, pochodne i wywnioskowane 36
2.3. Dane uporządkowane oraz nieuporządkowane 38
2.3.1. Ogólne informacje 38
2.3.2. Uporządkowanie a ustrukturyzowanie 45
2.4. Dane identyfikowalne oraz nieidentyfikowalne 46
2.4.1. Dwie normy wynikające z art. 11 RODO 46
2.4.2. Art. 11 RODO a definicja danych osobowych 47
2.5. Krótkotrwałe i długotrwałe przetwarzanie danych 55
Rozdział III. Główni aktorzy RODO 56
1. Administrator informacji 56
1.1. Informacje ogólne 56
1.2. Obowiązek powołania IOD a pojęcie ADO 58
2. Współadministrowanie danymi 63
3. Kolejne podmioty w łańcuchu przetwarzania informacji: osoby upoważnione oraz podmioty przetwarzające 66
3.1. Umocowanie (upoważnienie) personelu administratora informacji 67
3.2. Powierzenie 77
3.2.1. Powierzenie danych a udostępnienie danych i współadministrowanie 77
3.2.2. Wiarygodny procesor 84
3.2.3. Podpowierzenie 85
3.2.4. Komponenty powierzenia 86
3.2.4.1. Specyfikacja informacji osobowych 86
3.2.4.2. Prawa i obowiązki w ramach powierzenia 88
3.2.5. Forma powierzenia 91
3.2.6. Aktualizacja umów 91
Rozdział IV. Filary RODO. Zasady ogólne 94
1. Wstęp 94
2. Zasady 94
2.1. Zgodność z prawem, rzetelność i transparentność 94
2.2. Ograniczenie celu 96
2.3. Minimalizacja danych 98
2.4. Należycieść 99
2.5. Ograniczenie przechowywania 101
2.6. Niepodzielność i prywatność 102
3. Rozliczalność 102
3.1. Dane ogólne 102
3.2. Rozliczalność w aspekcie proceduralnym 103
3.3. Rozliczalność w aspekcie technologicznym 105
3.4. Rozliczalność zaimplementowana w treść przepisów 108
Rozdział V. Podstawy przetwarzania danych osobowych 111
1. Podstawy (warunki) przetwarzania informacji osobowych zwykłych 111
1.1. Kiedy można przetwarzać informacje osobowe zwykłe 111
1.2. Charakterystyczne podstawy przetwarzania danych osobowych w sytuacji organów administracji publicznej 112
1.2.1. Dane ogólne 112
1.2.2. Regulacja podstaw przetwarzania w prawie krajowym 116
1.2.3. Przykłady projektowanych regulacji podstaw prawnych realizujących podstawę kompetencyjną
z art. 6 ust. 3 RODO 118
1.3. Zawarcie i realizacja umowy 119
1.4. Zgoda jako podstawa przetwarzania danych przez podmioty z sektora publicznego 120
1.5. Czy istnieje możliwość powoływania się na uzasadniony interes administratora danych w sektorze publicznym 126
2. Przesłanki przetwarzania danych osobowych wrażliwych 130
3. Przesłanki przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa 132
Rozdział VI. Realizacja praw podmiotów danych 133
1. Wstęp 133
2. Rozróżnienie praw podmiotów danych (art. 12–22 RODO) 138
2.1. Prawa niewymagające (co do zasady) do ich realizacji weryfikacji tożsamości (zestandaryzowane) 138
2.1.1. Rozróżnienie art. 13 i 14 RODO 138
2.1.2. Katalogi zestandaryzowanych danych zawarte w art. 13 i 14 RODO 140
2.1.3. Uwagi ogólne (wspólne dla art. 13–14 RODO) 142
2.1.4. Rekomendacje 145
2.1.5. Standaryzacja (znaki graficzne) 145
2.1.6. Zestandaryzowane obowiązki informacyjne – przepisy szczególne 146
2.2. Prawa wymagające do ich realizacji weryfikacji tożsamości 149
2.2.1. Problem weryfikacji identyfikacji i weryfikacji tożsamości 149
2.2.2. Opis poszczególnych praw 156
3. Treść komunikatu skierowanego do podmiotu danych 161
4. Ułatwianie realizacji praw podmiotu informacji i sposób komunikacji 162
5. Termin realizacji praw podmiotów danych 165
6. Opłaty w ramach realizacji praw podmiotów informacji 169
7. Wyjątki, a także regulacje szczególne względem RODO w ramach realizacji praw podmiotów danych w odniesieniu do sektora publicznego 170
7.1. Wyłączenia ogólne w ustawie z 10.05.2018 r. O ochronie informacji osobowych 171
7.1.1. Wyłączenie ogólne w zakresie zestandaryzowanych obowiązków informacyjnych 171
7.1.2. Wyłączenie ogólne w ustawie z 10.05.2018 r. O ochronie danych osobowych w zakresie prawa dostępu
do informacji 175
7.2. Wyłączenia i modyfikacje wynikające z projektowanych przepisów sektorowych 179
7.3. Wyłączenia lub ograniczenia wynikające z przepisów RODO, które mogą dotyczyć sektora publicznego 180
7.3.1. Prawo do uzyskania typowych danych (art. 14 ust. 5 RODO) 180
7.3.2. Prawo do ograniczenia przetwarzania (art. 18 RODO) 181
7.3.3. Prawo do usunięcia danych – prawo do bycia zapomnianym (art. 17 RODO) 181
7.3.4. Przenoszenie danych 182
8. Charakter prawny czynności w ramach realizacji praw podmiotów informacji 182
9. Publicznoprawne konsekwencje naruszenia praw podmiotów informacji 184
Rozdział VII. Ocena ryzyka w ramach działalności organów administracji publicznej 185
1. Normatywny kontekst analizy ryzyka w RODO (kiedy ocena ryzyka jest wymagana?) 185
1.1. Ogólny wymóg monitorowania ryzyka dla praw albo wolności (art. 24 ust. 1 RODO) 186
1.2. Ocena ryzyka w fazie projektowania (art. 25 ust. 1 RODO) 186
1.3. Ocena ryzyka pod kątem obowiązku prowadzenia rejestru czynności (art. 30 ust. 5 RODO) 187
1.4. Ocena ryzyka w ramach oceny środków służących bezpieczeństwu (art. 32 ust. 1–2 RODO) 187
1.5. Ocena ryzyka w ramach oceny incydentów bezpieczeństwa danych osobowych pod kątem obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 ust. 1 RODO) 188
1.6. Ocena ryzyka w ramach oceny zapotrzebowania zawiadamiania osoby w sytuacji incydentu (art. 34 ust. 1 RODO) 188
1.7. Ocena ryzyka w ramach oceny skutków dla ochrony informacji osobowych (art. 35 ust. 1 RODO) 189
2. Szczególne uregulowania dotyczące organów administracji publicznej 190
3. Ramy analizy ryzyka 192
3.1. Czym jest ryzyko naruszenia praw lub wolności 192
3.2. Przykłady ryzyk 194
3.3. Etapy oceny ryzyka 197
3.4. Zagrożenie a ryzyko 200
3.4.1. Waga zagrożenia a waga ryzyka 204
3.4.2. Prawdopodobieństwo zagrożenia i prawdopodobieństwo ryzyka 205
3.5. Obiektywność oceny 207
3.6. Kryteria nowoczesnania z ryzykiem 208
4. Ocena skutków dla ochrony informacji i uprzednie konsultacje 211
4.1. Ocena skutków – wstęp 211
4.2. Kiedy ocena skutków może być wymagana 212
4.3. Powiązanie oceny ryzyka i oceny skutków 215
4.4. Kiedy należy się konsultować z organem nadzorczym 218
4.5. Elementy dokumentacyjne oceny skutków 219
4.6. Ocena ryzyka a IOD 219
5. Przykładowy algorytm analizy ryzyka 220
5.1. Ocena ryzyka i ocena skutków w sytuacjach innych niż incydent bezpieczeństwa 220
5.2. Ocena ryzyka w sytuacji incydentu bezpieczeństwa 224
6. Podsumowanie 226
Rozdział VIII. Bezpieczeństwo i incydenty 227
1. Wstęp 227
2. Obowiązek zgłoszenia naruszenia ochrony danych osobowych 230
3. Zawiadamianie osoby, której informacje dotyczą, o naruszeniu ochrony informacji osobowych 233
3.1. Informacje ogólne 233
3.2. Elementy zawiadomienia 233
3.3. Kiedy zawiadomienie nie jest wymagane 234
3.4. Modyfikacje mechanizmu zawiadomienia w prawie krajowym 234
3.5. Opinia Grupy Roboczej Art. 29 235
Rozdział IX. Inspektor ochrony informacji (IOD) 236
1. Obowiązek wyznaczenia IOD 236
2. Kwalifikacje zawodowe IOD 241
3. Relacja prawna IOD – administrator informacji (procesor) 244
4. Miejsce IOD w strukturze administratora (procesora) 245
5. Zadania i uprawnienia IOD 247
5.1. Zadania obligatoryjne 247
5.2. Zadania fakultatywne 249
5.2.1. Wykluczone zadania fakultatywne 250
5.2.2. Inne zadania fakultatywne 251
5.3. Stanowiska wybranych organów nadzorczych co do zadań IOD 252
5.3.1. GIODO 252
5.3.2. Hiszpański organ nadzorczy 253
5.4. Uprawnienia wewnątrzorganizacyjne 254
6. Inne zadania IOD w kontekście konfl iktu interesów 255
Bibliografia 257
Wstęp 15
Rozdział I. Dane ogólne 19
1. Czym jest RODO 19
2. Kogo dotyczy RODO 20
3. Stosowanie RODO 21
4. Kategorie obowiązków: wymagania bezpośrednie i metawymogi 23
5. Kary pieniężne i sankcje karne 25
6. Przetwarzanie a publiczny dostęp do dokumentów urzędowych 27
Rozdział II. Pojęcie danych osobowych 30
1. Informacje ogólne 30
2. Podziały informacji osobowych i ich funkcjonalne konsekwencje 34
2.1. Dane osobowe wrażliwe (szczególne kategorie danych), dane o karalności i informacje osobowe zwykłe 34
2.2. Informacje osobowe podane, zaobserwowane, pochodne i wywnioskowane 36
2.3. Dane uporządkowane oraz nieuporządkowane 38
2.3.1. Ogólne informacje 38
2.3.2. Uporządkowanie a ustrukturyzowanie 45
2.4. Dane identyfikowalne oraz nieidentyfikowalne 46
2.4.1. Dwie normy wynikające z art. 11 RODO 46
2.4.2. Art. 11 RODO a definicja danych osobowych 47
2.5. Krótkotrwałe i długotrwałe przetwarzanie danych 55
Rozdział III. Główni aktorzy RODO 56
1. Administrator informacji 56
1.1. Informacje ogólne 56
1.2. Obowiązek powołania IOD a pojęcie ADO 58
2. Współadministrowanie danymi 63
3. Kolejne podmioty w łańcuchu przetwarzania informacji: osoby upoważnione oraz podmioty przetwarzające 66
3.1. Umocowanie (upoważnienie) personelu administratora informacji 67
3.2. Powierzenie 77
3.2.1. Powierzenie danych a udostępnienie danych i współadministrowanie 77
3.2.2. Wiarygodny procesor 84
3.2.3. Podpowierzenie 85
3.2.4. Komponenty powierzenia 86
3.2.4.1. Specyfikacja informacji osobowych 86
3.2.4.2. Prawa i obowiązki w ramach powierzenia 88
3.2.5. Forma powierzenia 91
3.2.6. Aktualizacja umów 91
Rozdział IV. Filary RODO. Zasady ogólne 94
1. Wstęp 94
2. Zasady 94
2.1. Zgodność z prawem, rzetelność i transparentność 94
2.2. Ograniczenie celu 96
2.3. Minimalizacja danych 98
2.4. Należycieść 99
2.5. Ograniczenie przechowywania 101
2.6. Niepodzielność i prywatność 102
3. Rozliczalność 102
3.1. Dane ogólne 102
3.2. Rozliczalność w aspekcie proceduralnym 103
3.3. Rozliczalność w aspekcie technologicznym 105
3.4. Rozliczalność zaimplementowana w treść przepisów 108
Rozdział V. Podstawy przetwarzania danych osobowych 111
1. Podstawy (warunki) przetwarzania informacji osobowych zwykłych 111
1.1. Kiedy można przetwarzać informacje osobowe zwykłe 111
1.2. Charakterystyczne podstawy przetwarzania danych osobowych w sytuacji organów administracji publicznej 112
1.2.1. Dane ogólne 112
1.2.2. Regulacja podstaw przetwarzania w prawie krajowym 116
1.2.3. Przykłady projektowanych regulacji podstaw prawnych realizujących podstawę kompetencyjną
z art. 6 ust. 3 RODO 118
1.3. Zawarcie i realizacja umowy 119
1.4. Zgoda jako podstawa przetwarzania danych przez podmioty z sektora publicznego 120
1.5. Czy istnieje możliwość powoływania się na uzasadniony interes administratora danych w sektorze publicznym 126
2. Przesłanki przetwarzania danych osobowych wrażliwych 130
3. Przesłanki przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa 132
Rozdział VI. Realizacja praw podmiotów danych 133
1. Wstęp 133
2. Rozróżnienie praw podmiotów danych (art. 12–22 RODO) 138
2.1. Prawa niewymagające (co do zasady) do ich realizacji weryfikacji tożsamości (zestandaryzowane) 138
2.1.1. Rozróżnienie art. 13 i 14 RODO 138
2.1.2. Katalogi zestandaryzowanych danych zawarte w art. 13 i 14 RODO 140
2.1.3. Uwagi ogólne (wspólne dla art. 13–14 RODO) 142
2.1.4. Rekomendacje 145
2.1.5. Standaryzacja (znaki graficzne) 145
2.1.6. Zestandaryzowane obowiązki informacyjne – przepisy szczególne 146
2.2. Prawa wymagające do ich realizacji weryfikacji tożsamości 149
2.2.1. Problem weryfikacji identyfikacji i weryfikacji tożsamości 149
2.2.2. Opis poszczególnych praw 156
3. Treść komunikatu skierowanego do podmiotu danych 161
4. Ułatwianie realizacji praw podmiotu informacji i sposób komunikacji 162
5. Termin realizacji praw podmiotów danych 165
6. Opłaty w ramach realizacji praw podmiotów informacji 169
7. Wyjątki, a także regulacje szczególne względem RODO w ramach realizacji praw podmiotów danych w odniesieniu do sektora publicznego 170
7.1. Wyłączenia ogólne w ustawie z 10.05.2018 r. O ochronie informacji osobowych 171
7.1.1. Wyłączenie ogólne w zakresie zestandaryzowanych obowiązków informacyjnych 171
7.1.2. Wyłączenie ogólne w ustawie z 10.05.2018 r. O ochronie danych osobowych w zakresie prawa dostępu
do informacji 175
7.2. Wyłączenia i modyfikacje wynikające z projektowanych przepisów sektorowych 179
7.3. Wyłączenia lub ograniczenia wynikające z przepisów RODO, które mogą dotyczyć sektora publicznego 180
7.3.1. Prawo do uzyskania typowych danych (art. 14 ust. 5 RODO) 180
7.3.2. Prawo do ograniczenia przetwarzania (art. 18 RODO) 181
7.3.3. Prawo do usunięcia danych – prawo do bycia zapomnianym (art. 17 RODO) 181
7.3.4. Przenoszenie danych 182
8. Charakter prawny czynności w ramach realizacji praw podmiotów informacji 182
9. Publicznoprawne konsekwencje naruszenia praw podmiotów informacji 184
Rozdział VII. Ocena ryzyka w ramach działalności organów administracji publicznej 185
1. Normatywny kontekst analizy ryzyka w RODO (kiedy ocena ryzyka jest wymagana?) 185
1.1. Ogólny wymóg monitorowania ryzyka dla praw albo wolności (art. 24 ust. 1 RODO) 186
1.2. Ocena ryzyka w fazie projektowania (art. 25 ust. 1 RODO) 186
1.3. Ocena ryzyka pod kątem obowiązku prowadzenia rejestru czynności (art. 30 ust. 5 RODO) 187
1.4. Ocena ryzyka w ramach oceny środków służących bezpieczeństwu (art. 32 ust. 1–2 RODO) 187
1.5. Ocena ryzyka w ramach oceny incydentów bezpieczeństwa danych osobowych pod kątem obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 ust. 1 RODO) 188
1.6. Ocena ryzyka w ramach oceny zapotrzebowania zawiadamiania osoby w sytuacji incydentu (art. 34 ust. 1 RODO) 188
1.7. Ocena ryzyka w ramach oceny skutków dla ochrony informacji osobowych (art. 35 ust. 1 RODO) 189
2. Szczególne uregulowania dotyczące organów administracji publicznej 190
3. Ramy analizy ryzyka 192
3.1. Czym jest ryzyko naruszenia praw lub wolności 192
3.2. Przykłady ryzyk 194
3.3. Etapy oceny ryzyka 197
3.4. Zagrożenie a ryzyko 200
3.4.1. Waga zagrożenia a waga ryzyka 204
3.4.2. Prawdopodobieństwo zagrożenia i prawdopodobieństwo ryzyka 205
3.5. Obiektywność oceny 207
3.6. Kryteria nowoczesnania z ryzykiem 208
4. Ocena skutków dla ochrony informacji i uprzednie konsultacje 211
4.1. Ocena skutków – wstęp 211
4.2. Kiedy ocena skutków może być wymagana 212
4.3. Powiązanie oceny ryzyka i oceny skutków 215
4.4. Kiedy należy się konsultować z organem nadzorczym 218
4.5. Elementy dokumentacyjne oceny skutków 219
4.6. Ocena ryzyka a IOD 219
5. Przykładowy algorytm analizy ryzyka 220
5.1. Ocena ryzyka i ocena skutków w sytuacjach innych niż incydent bezpieczeństwa 220
5.2. Ocena ryzyka w sytuacji incydentu bezpieczeństwa 224
6. Podsumowanie 226
Rozdział VIII. Bezpieczeństwo i incydenty 227
1. Wstęp 227
2. Obowiązek zgłoszenia naruszenia ochrony danych osobowych 230
3. Zawiadamianie osoby, której informacje dotyczą, o naruszeniu ochrony informacji osobowych 233
3.1. Informacje ogólne 233
3.2. Elementy zawiadomienia 233
3.3. Kiedy zawiadomienie nie jest wymagane 234
3.4. Modyfikacje mechanizmu zawiadomienia w prawie krajowym 234
3.5. Opinia Grupy Roboczej Art. 29 235
Rozdział IX. Inspektor ochrony informacji (IOD) 236
1. Obowiązek wyznaczenia IOD 236
2. Kwalifikacje zawodowe IOD 241
3. Relacja prawna IOD – administrator informacji (procesor) 244
4. Miejsce IOD w strukturze administratora (procesora) 245
5. Zadania i uprawnienia IOD 247
5.1. Zadania obligatoryjne 247
5.2. Zadania fakultatywne 249
5.2.1. Wykluczone zadania fakultatywne 250
5.2.2. Inne zadania fakultatywne 251
5.3. Stanowiska wybranych organów nadzorczych co do zadań IOD 252
5.3.1. GIODO 252
5.3.2. Hiszpański organ nadzorczy 253
5.4. Uprawnienia wewnątrzorganizacyjne 254
6. Inne zadania IOD w kontekście konfl iktu interesów 255
Bibliografia 257
