Spis treści. O autorach... Wykaz skrótów... Wprowadzenie...

Transkrypt

1 O autorach... Wykaz skrótów... Wprowadzenie... XIX XXIII XXIX Część I. Zmiany wynikające z rozporzadzenia Parlamentu Europejskiego i Rady Rozdział I. Informacje wstępne (Dariusz Wociór)... 3 Rozdział II. Zakres podmiotowy i przedmiotowy ogólnego rozporządzenia unijnego (Dariusz Wociór)... 5 Rozdział III. Dane osobowe szczególnej kategorii (Dariusz Wociór) Rozdział IV. Środki ochrony prawnej, odpowiedzialność prawna i sankcje (Dariusz Wociór) Część II. Ochrona danych osobowych zagadnienia ogólne Rozdział I. Zastosowanie przepisów o ochronie danych osobowych w sektorze przedsiębiorców (Piotr Kowalik, Dariusz Wociór) Wstęp Podstawa prawna Dane osobowe Dane osobowe zwykłe i szczególnie chronione (wrażliwe, sensytywne) Dane osobowe pogrupowane według rodzaju informacji Dane osobowe osób prowadzących działalność gospodarczą Ogólne zasady ochrony danych osobowych Przetwarzanie danych osobowych Zbieg ustawy o ochronie danych osobowych z innymi przepisami Podmioty zobowiązane do stosowania ustawy o ochronie danych osobowych Podmioty publiczne Organy państwowe Organy samorządu terytorialnego Państwowe i komunalne jednostki organizacyjne V

2 5.2. Podmioty prywatne Administrator Danych Wyłączenia stosowania ustawy o ochronie danych osobowych Rozdział II. Szczególne przypadki uznania za dane osobowe (Piotr Kowalik, Bogusław Nowakowski) Adres poczty elektronicznej Wątpliwości wokół adresu IP Numer VIN pojazdu Rozdział III. Administrator danych osobowych w sektorze przedsiębiorstw (Piotr Kowalik, Dariusz Wociór) Ustalenie administratora danych Przedsiębiorca jako administrator danych osobowych Osoby fizyczne prowadzące działalność gospodarczą Spółki prawa handlowego Spółdzielnie Wspólnicy spółki cywilnej Rozdział IV. Powierzenie przetwarzania danych osobowych (Jowita Sobczak, Dariusz Wociór) Podmioty powierzające i przetwarzające dane i ich obowiązki Zmiany w zakresie powierzenia danych do przetwarzania obowiązujące od r Umowa o powierzenie do przetwarzania danych osobowych Rozdział V. Zgłaszanie zbiorów danych osobowych do rejestracji do GIODO (Piotr Kowalik, Dariusz Wociór) Zbiór danych osobowych Zgłaszanie zbiorów danych osobowych do GIODO Zwolnienia z obowiązku zgłoszenia zbioru danych do rejestracji Zwolnienia przedmiotowe Zwolnienie podmiotowe Odmowa rejestracji zbioru danych Przykłady zbiorów danych prowadzonych w sektorze przedsiębiorców Rejestr korespondencji Newsletter Zbiór danych klientów przedsiębiorcy Zbiory danych zwolnione z obowiązku zgłaszania do rejestracji do GIODO Zbiory zawierające informacje o osobach fizycznych występujących w obrocie gospodarczym Rozdział VI. Zabezpieczenie danych osobowych (Piotr Kowalik, Bogusław Nowakowski) Środki organizacyjne Środki techniczne VI

3 3. Regulacje europejskie Rozdział VII. Administrator bezpieczeństwa informacji (Piotr Kowalik, Dariusz Wociór) Rola ABI Powołanie i status ABI Wymogi wobec ABI Wymogi prawne Wymogi organizacyjne Forma zatrudnienia administratora bezpieczeństwa informacji Zadania ABI Zapewnianie przestrzegania przepisów o ochronie danych osobowych przez ABI Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych Plan sprawdzeń Czynności sprawdzające Sprawozdanie Nadzorowanie opracowania i aktualizowania dokumentacji Szkolenia Aktywność ABI w kontekście zabezpieczenia danych osobowych Rejestr zbiorów danych przetwarzanych przez administratora danych Wpisanie zbioru danych do rejestru jego aktualizacja i wykreślenie Kodyfikacja europejska Wzory dokumentów Uchwała w sprawie powołania administratora bezpieczeństwa informacji Wyznaczenie ABI (u przedsiębiorców, u których wyznaczenie ABI nie będzie wymagało uchwały organu przedsiębiorcy) Sprawozdanie ze sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ich ochronie Rozdział VIII. Polityka bezpieczeństwa informacji (Anna Jędruszczak, Piotr Kowalik, Dariusz Wociór) Bezpieczeństwo informacji Przesłanki stworzenia polityki bezpieczeństwa informacji Polityka bezpieczeństwa (danych osobowych) Obowiązkowe elementy polityki bezpieczeństwa (danych osobowych) Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi Sposób przepływu danych pomiędzy poszczególnymi systemami VII

4 Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych Środki bezpieczeństwa stosowane w jednostce Środki bezpieczeństwa na poziomie podstawowym Środki bezpieczeństwa na poziomie podwyższonym Środki bezpieczeństwa na poziomie wysokim Wzory dokumentów dotyczących polityki bezpieczeństwa informacji Uchwała w sprawie ochrony danych osobowych Polityka bezpieczeństwa Załączniki do Polityki bezpieczeństwa Wykaz pomieszczeń Zasady ochrony pomieszczeń, w których przetwarzane są dane osobowe Wykaz zasobów danych osobowych i systemów ich przetwarzania Oświadczenie dotyczące wypełnienia obowiązku informacyjnego Informacja o przetwarzaniu danych osobowych w trakcie procesu rekrutacyjnego Wniosek o udostępnienie danych osobowych Upoważnienie do obsługi systemu informatycznego Ewidencja osób upoważnionych do przetwarzania danych osobowych Porozumienie w sprawie wykorzystania oddanego do dyspozycji sprzętu informatycznego, oprogramowania oraz zasobów sieci informatycznej Oświadczenie o zachowaniu w tajemnicy danych osobowych Raport z naruszenia bezpieczeństwa zasad ochrony danych osobowych Rozdział IX. Instrukcja zarządzania systemem informatycznym (Adam Gałach) Elementy instrukcji zarządzania systemem informatycznym Wzory dokumentów Instrukcja zarządzania systemem informatycznym Załączniki do instrukcji zarządzania systemem informatycznym Wniosek o nadanie/cofnięcie uprawnień do przetwarzania danych osobowych Upoważnienie do wykonywania czynności związanych z przetwarzaniem danych osobowych Ewidencja osób upoważnionych do przetwarzania danych osobowych Rozdział X. Uprawnienia informacyjne i kontrolne osoby, której dane dotyczą (Bogusław Nowakowski, Piotr Kowalik, Dariusz Wociór) Obowiązek informacyjny VIII

5 1.1. Pozyskiwanie danych bezpośrednio od osoby, której dane dotyczą Pozyskiwanie danych z innych źródeł niż bezpośrednio od osoby, której dane dotyczą Uprawnienia kontrolne Wniosek osoby, której dane dotyczą Dbałość o prawidłowość danych osobowych Kodyfikacja europejska Rozdział XI. Przetwarzanie danych osobowych pracowników (Kamila Kędzierska, Piotr Kowalik, Dariusz Wociór) Dane, których może żądać pracodawca od pracownika Zakres prowadzenia dokumentacji osobowej pracownika Dokumenty, których pracodawca ma prawo żądać od pracownika Dodatkowe dokumenty Akta osobowe pracownika Listy obecności pracowników Przetwarzanie danych osobowych pracownika po ustaniu stosunku pracy Udostępnienie danych osobowych pracownika do badań profilaktycznych Przetwarzanie danych osobowych w kontekście zatrudnienia rozporządzenie unijne Rozdział XII. Dane osobowe w rekrutacjach (Mirosław Gumularz) Dane, których może żądać pracodawca od osoby ubiegającej się o zatrudnienie Dodatkowe dane Przyszłe rekrutacje Wykorzystanie danych osobowych kandydatów w celach marketingowych Wykorzystanie danych po zakończonej rekrutacji Testy psychologiczne Rejestracja zbiorów danych kandydatów do pracy Modele rekrutacji rekrutacje zewnętrzne Obowiązek informacyjny i rekrutacje ukryte Rozdział XIII. Uprawnienia organu do spraw ochrony danych osobowych (Bogusław Nowakowski, Piotr Kowalik, Dariusz Wociór) Organ ochrony danych osobowych Zadania GIODO Postępowania administracyjne prowadzone przez GIODO Generalny Inspektor Ochrony Danych Osobowych a przepisy karne ustawy Organ nadzorczy w kodyfikacji europejskiej Rozdział XIV. Postępowanie kontrolne GIODO (Bogusław Nowakowski, Piotr Kowalik, Dariusz Wociór) Czynności kontrolne Upoważnienie do kontroli IX

6 3. Miejsce i czas kontroli Ustalenia w trakcie kontroli Protokół z czynności kontrolnych Zakończenie postępowania kontrolnego Uprawnienia GIODO w razie stwierdzenia naruszenia przepisów Wyłączenia uprawnień kontrolnych GIODO Rozdział XV. Przekazywanie danych osobowych do państwa trzeciego (Dariusz Wociór) Wstęp Podstawowe warunki przekazywania danych osobowych do państwa trzeciego Zmiany wynikające z rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych Rozdział XVI. Odpowiedzi na pytania Rodzaje odpowiedzialności za niewłaściwe przetwarzanie danych osobowych Gońcy a upoważnienie do przetwarzania danych osobowych Zakres przedmiotowy kontroli przetwarzania danych przez osobę, której dane dotyczą Przesłanki odmowy udzielenia informacji o danych osobowych osobie, której dane dotyczą Zakres ciążącego na administratorze danych osobowych obowiązku uzupełniania i sprostowania danych osobowych Podległość administratora bezpieczeństwa informacji Administrator systemu informatycznego jako zastępca administratora bezpieczeństwa informacji Dane dłużników a obowiązek zawierania umów o powierzenie przetwarzania danych Część III. Ochrona danych osobowych z uwzględnieniem specyfiki poszczególnych rodzajów podmiotów Rozdział I. Ochrona danych w biurach rachunkowych (Dariusz Wociór) Zabezpieczenie danych osobowych Obowiązki biur rachunkowych Umowa powierzenia zawarta między biurem rachunkowym a klientem Umowa powierzenia między biurem rachunkowym a zewnętrznym podmiotem Obowiązki organizacyjne oraz wymagania przetwarzania danych w systemach informatycznych Ochrona danych osobowych w biurach rachunkowych i kancelariach doradztwa podatkowego Rozdział II. Ochrona danych osobowych w spółdzielniach mieszkaniowych (Dariusz Wociór) Działalność spółdzielni X

7 2. Zbiory danych osobowych Numer lokalu mieszkalnego, zadłużenie lokalu, budynku jako dana osobowa Dokumentacja spółdzielni a ochrona danych osobowych Ochrona danych osobowych a regulacje prawa spółdzielczego Uchwała w sprawie określenia odrębnej własności lokali Powierzenie danych osobowych podmiotom zewnętrznym Odpowiedzialność odszkodowawcza członków zarządu a ochrona danych osobowych Doręczanie korespondencji Udostępnianie danych osobowych przez spółdzielnię Rozdział III. Wspólnoty mieszkaniowe (Dariusz Wociór) Wspólnota mieszkaniowa jako administrator danych osobowych i jej obowiązki w zakresie danych osobowych Forma zarządu a obowiązki w zakresie ochrony danych osobowych Zabezpieczenie danych osobowych Prawo do informacji przysługujące członkom wspólnoty Zbiory we wspólnocie mieszkaniowej Doręczenie korespondencji we wspólnocie mieszkaniowej Zakres przetwarzania danych Akty notarialne właścicieli lokali Zadłużenia czynszowe Rozdział IV. Ochrona danych osobowych w spółkach z ograniczoną odpowiedzialnością i spółkach akcyjnych (Dariusz Wociór) Zagadnienia ogólne Księga udziałów w spółce z ograniczoną odpowiedzialnością Księga akcyjna w spółce akcyjnej Rozdział V. Ochrona danych osobowych w szkołach wyższych (Agnieszka Stępień) Wstęp Uczelnia wyższa jako administrator danych Zbiory danych osobowych Przetwarzanie danych osobowych kandydatów na studia Przetwarzanie danych osobowych studentów Przetwarzanie danych osobowych pracowników uczelni Przekazywanie danych studentów Przetwarzanie danych absolwentów Bezpieczeństwo danych osobowych Rozdział VI. Ochrona danych osobowych w bankach (Aleksandra Piotrowska, Dariusz Wociór) Zagadnienia ogólne Tajemnica bankowa XI

8 3. Powierzenie wykonywania czynności, czyli outsourcing usług bankowych Forma prawna umowy powierzenia Czynności objęte pośrednictwem Udostępnianie danych niestanowiących jednocześnie tajemnicy bankowej Odpowiedzialność przedsiębiorcy, któremu powierzono wykonywanie czynności wobec banku Warunki należytego zabezpieczenia danych powierzanych przez bank Umowy powierzenia danych Zgoda GIODO i KNF na wykonywanie czynności poza terytorium państwa członkowskiego Ochrona danych osobowych a przekazywanie danych instytucjom upoważnionym do gromadzenia, przetwarzania i udostępniania danych stanowiących tajemnicę bankową Działalność marketingowa banków Weryfikacja za pośrednictwem telefonu danych osobowych osób zamierzających wziąć kredyt Przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu Dowód osobisty i weryfikowanie tożsamości klienta Inne działania prowadzone przez bank Dokumenty bankowe w postępowaniu dowodowym Dane wrażliwe a banki Windykacja prowadzona przez banki Odpowiedzialność za naruszenie tajemnicy bankowej Rozdział VII. Ochrona danych osobowych w działalności ubezpieczeniowej (Anna Dmochowska, Dariusz Wociór) Dane przetwarzane przez zakłady ubezpieczeń Podstawy przetwarzania danych osobowych w sektorze ubezpieczeń Obowiązek informacyjny Tajemnica ubezpieczeniowa Przetwarzanie danych przez agentów i brokerów ubezpieczeniowych Rozdział VIII. Ochrona danych osobowych w zakresie usług telekomunikacyjnych i pocztowych (Dariusz Wociór, Konrad Gałaj-Emiliańczyk) Zagadnienia ogólne Zakres tajemnicy telekomunikacyjnej a ochrona danych osobowych Zakres tajemnicy pocztowej a ochrona danych osobowych Podstawy udostępnienia danych osobowych abonenta Bilingi, korespondencja, przesyłki jako środki dowodowe w postępowaniu karnym a ochrona danych osobowych Umieszczanie w treści faktury numeru telefonu a ochrona danych osobowych Obowiązek zachowania tajemnicy telekomunikacyjnej Przetwarzanie danych osobowych objętych tajemnicą telekomunikacyjną XII

9 9. Przekazywanie danych przez przedsiębiorcę telekomunikacyjnego innym podmiotom Informowanie o przetwarzaniu danych przez przedsiębiorcę telekomunikacyjnego Okres przetwarzania danych użytkowników przez przedsiębiorcę telekomunikacyjnego Przetwarzanie danych o lokalizacji przez przedsiębiorcę telekomunikacyjnego Dane w spisie abonentów i biurze numerów a ochrona danych osobowych Uzyskanie dostępu do informacji przechowywanej w telekomunikacyjnym urządzeniu końcowym Naruszenie danych osobowych i ich ochrona Część IV. Ochrona danych osobowych w różnych obszarach działalności przedsiębiorców Rozdział I. Ochrona danych osobowych w obszarze marketingu (Dariusz Wociór, Mirosław Gumularz) Podstawy przetwarzania danych marketingowych Pozyskiwanie nowych klientów Tworzenie własnej bazy marketingowej Nabycie danych marketingowych Akcje marketingowe przeprowadzane przez firmy zewnętrzne Sprzeciw a przetwarzanie danych marketingowych Badania marketingowe a ochrona danych osobowych Marketing elektroniczny i telefoniczny a problem spamu Działania GIODO a spam Środki karne a spam Środki cywilne a spam Rozdział II. Zasady ochrony danych osobowych przetwarzanych w związku ze świadczeniem usług drogą elektroniczną (Mirosław Gumularz) Szczególna regulacja w zakresie świadczenia usług drogą elektroniczną Pojęcie świadczenia usług drogą elektroniczną Przetwarzanie danych osobowych na różnych etapach świadczenia usługi drogą elektroniczną Przetwarzanie danych osobowych na etapie zawierania i wykonywania umowy o świadczenie usług drogą elektroniczną Przetwarzanie danych osobowych po zakończeniu korzystania z usługi świadczonej drogą elektroniczną Kwestie szczegółowe Obowiązki informacyjne Rozdział III. Rachunkowość a ochrona danych osobowych (Dariusz Wociór) Wstęp Przechowywanie dokumentacji Nośniki magnetyczne XIII

10 4. Miejsce i sposób gromadzenia Okres przechowywania Udostępnianie danych Zakończenie działalności a dane osobowe Działalność gospodarcza w zakresie przechowywania dokumentacji osobowej i płacowej pracodawców o czasowym okresie przechowywania Postępowanie z dokumentacją osobową i płacową w przypadku likwidacji lub upadłości pracodawcy Generalny Inspektor Ochrony Danych Osobowych oraz ABI a dostęp do dokumentacji księgowej Rozdział IV. Ochrona danych osobowych w obszarze windykacji (Dariusz Wociór) Wprowadzenie Umowa o powierzenie danych w celu prowadzenia windykacji Korespondencja do dłużników Rozdział V. Ochrona danych osobowych a monitoring (Agnieszka Stępień) Wstęp Uregulowania prawne monitoringu Monitoring a przepisy ustawy o ochronie danych osobowych Monitoring w miejscach publicznych Monitoring w miejscu pracy Monitoring prywatny Udostępnianie nagrań z monitoringu Zabezpieczanie nagrań z monitoringu Zakończenie Część V. Ochrona informacji niejawnych Rozdział I. Ogólne zasady ochrony informacji niejawnych (Anna Jędruszczak) Informacja jako towar strategiczny Zakres obowiązywania ustawy o ochronie informacji niejawnych Sprawowanie nadzoru nad ochroną informacji niejawnych oraz kontrola ochrony informacji niejawnych Postępowania sprawdzające Odpowiedzialność i obowiązki kierownika jednostki w związku z ochroną informacji niejawnych Zadania pełnomocnika ds. ochrony informacji niejawnych Rozdział II. Klasyfikacja informacji niejawnych i ich udostępnienie (Anna Jędruszczak) Charakterystyka klasyfikacji informacji niejawnych Tryb nadawania klauzuli tajności Rękojmia zachowania tajemnicy Bezwzględna ochrona informacji XIV

11 5. Warunki dostępu do informacji niejawnych Warunki dopuszczenia do pracy z dostępem do informacji o klauzuli poufne oraz zastrzeżone Rozdział III. Klauzula tajne lub ściśle tajne jako podstawa do wyłączenia stosowania zamówień publicznych (Mariusz Kuźma) Zamówienia publiczne w zakresie bezpieczeństwa Co oznaczają klauzule tajne i ściśle tajne oraz kiedy się je nadaje? Jak i kiedy można nadać klauzulę tajności? Skutki bezprawnego oznaczenia klauzulą ściśle tajne lub tajne Obowiązki kierownika jednostki Rozdział IV. Postępowanie sprawdzające oraz kontrolne postępowanie sprawdzające (Anna Jędruszczak, Ryszard Marek) Osoby mogące uzyskać dostęp do informacji niejawnych w jednostce organizacyjnej Rodzaje postępowań sprawdzających oraz ich charakter Podmioty przeprowadzające postępowania sprawdzające Charakter postępowania sprawdzającego Cel postępowania sprawdzającego Czynności podejmowane w trakcie postępowania sprawdzającego Ankieta bezpieczeństwa osobowego Czynności podejmowane przy zwykłym postępowaniu sprawdzającym Zakończenie postępowania sprawdzającego Terminy zakończenia postępowania Wydanie poświadczenia bezpieczeństwa Odmowa przyznania dostępu do informacji niejawnych Umorzenie postępowania sprawdzającego Kontrolne postępowanie sprawdzające Prawo wniesienia odwołania Szkolenia Wzory dokumentów Polecenie przeprowadzenia zwykłego postępowania sprawdzającego Wniosek do ABW o przeprowadzenie postępowania wobec pełnomocnika ds. ochrony informacji niejawnych Odwołanie od decyzji odmownej wydanej przez ABW Rozdział V. Uprawnienia Agencji Bezpieczeństwa Wewnętrznego jako instytucji kontrolnej na gruncie ustawy o ochronie informacji niejawnych (Stanisław Hoc) Zagadnienia ogólne Uprawnienia kontrolerów Kontrole stanu zabezpieczenia informacji niejawnych Wymagania wobec funkcjonariusza kontrolującego Wyłączenia kontrolera XV

12 6. Zabezpieczenie dowodów Akta kontroli Protokół Kontrola ABW Rozdział VI. Środki bezpieczeństwa fizycznego (Anna Jędruszczak) Charakterystyka środków bezpieczeństwa fizycznego Bezpieczeństwo przemysłowe Przechowywanie akt postępowań sprawdzających, kontrolnych postępowań sprawdzających i postępowań bezpieczeństwa przemysłowego Rozdział VII. Uzyskanie świadectwa bezpieczeństwa przemysłowego przez przedsiębiorcę (Ryszard Marek) Świadectwo bezpieczeństwa przemysłowego Wyjątki od zasady konieczności uzyskania świadectwa bezpieczeństwa przemysłowego Postępowanie w sprawie uzyskania świadectwa bezpieczeństwa przemysłowego Czynności sprawdzające podejmowane w ramach postępowania Obligatoryjne umorzenie postępowania bezpieczeństwa przemysłowego Zawieszenie postępowania bezpieczeństwa przemysłowego Rodzaje świadectw bezpieczeństwa przemysłowego Sposoby zakończenia postępowania bezpieczeństwa przemysłowego Obligatoryjne przesłanki wydania odmowy świadectwa bezpieczeństwa przemysłowego Fakultatywne przesłanki wydania odmowy świadectwa bezpieczeństwa przemysłowego Cofnięcie świadectwa bezpieczeństwa przemysłowego Wzory dokumentów Wniosek do Agencji Bezpieczeństwa Wewnętrznego o sprawdzenie w kartotekach i ewidencjach niedostępnych Wniosek do Agencji Bezpieczeństwa Wewnętrznego o uzyskanie świadectwa bezpieczeństwa przemysłowego Rozdział VIII. Zastrzeżenie informacji jako tajemnicy przedsiębiorstwa w postępowaniu o udzielenie zamówienia publicznego (Anna Kuszel-Kowalczyk, Andrzela Gawrońska-Baran) Zasada jawności Tajemnica przedsiębiorstwa Warunki uznania informacji za tajemnicę przedsiębiorstwa Charakter techniczny i wartość gospodarcza informacji Ujawnienie do publicznej wiadomości Zakres działań zmierzających do ochrony informacji poufnych Termin na zastrzeżenie informacji jako tajemnicy przedsiębiorstwa i wykazanie zasadności dokonanego zastrzeżenia XVI

13 3. Badanie zasadności zastrzeżenia Obowiązek badania Podstawa badania Brak podstaw do postępowania wyjaśniającego Skutki zastrzeżenia Wyłączenie możliwości zastrzeżenia informacji Przykładowe orzeczenia dotyczące tajemnicy przedsiębiorstwa Zakres informacji stanowiących tajemnicę przedsiębiorstwa Treść odwołania i uzasadnienie wyroku a tajemnica przedsiębiorstwa Termin na wniesienie odwołania odnośnie do zastrzeżenia tajemnicy przedsiębiorstwa Formularz cenowy nie jest tajemnicą przedsiębiorstwa Obowiązek oceny przez zamawiającego zasadności zastrzeżenia tajemnicy przedsiębiorstwa XVII