Spis treści. O autorach... Wykaz skrótów...

Transkrypt

1 O autorach... Wykaz skrótów... XXI XXV Część I. Ochrona danych osobowych zagadnienia ogólne z uwzględnieniem rozporządzenia unijnego Rozdział I. Zastosowanie przepisów o ochronie danych osobowych w jednostkach sektora publicznego (Piotr Kowalik, Dariusz Wociór) Wstęp Ustawa o ochronie danych osobowych a rozporządzenie unijne Dane osobowe Zagadnienia ogólne Dane osobowe zwykłe i szczególnie chronione (wrażliwe, sensytywne) Dane osobowe szczególnej kategorii w ogólnym rozporządzeniu unijnym Dane osobowe pogrupowane według rodzaju informacji Ogólne zasady ochrony danych osobowych Przetwarzanie danych osobowych Zbieg ustawy o ochronie danych osobowych z innymi przepisami Podmioty zobowiązane do stosowania ustawy o ochronie danych osobowych Podmioty publiczne Organy państwowe Organy samorządu terytorialnego Państwowe i komunalne jednostki organizacyjne Podmioty prywatne Administrator danych Obowiązki administratora danych Wyłączenia stosowania ustawy o ochronie danych osobowych Kodyfikacje europejskie Zakres podmiotowy i przedmiotowy ogólnego rozporządzenia unijnego Pojęcie osoby, której dane dotyczą w ogólnym rozporządzeniu unijnym V

2 9.3. Warunki przetwarzania szczególnych kategorii danych osobowych w ogólnym rozporządzeniu unijnym Dane biometryczne w ogólnym rozporządzeniu unijnym Współadministratorzy w kodyfikacji europejskiej Przedstawiciele administratorów niemających siedziby w UE w kodyfikacji europejskiej Rozdział II. Szczególne przypadki uznania informacji za dane osobowe (Piotr Kowalik, Bogusław Nowakowski) Wstęp Adres poczty elektronicznej Wątpliwości wokół adresu IP Numer VIN pojazdu Rozdział III. Administratorzy danych osobowych w jednostkach samorządu terytorialnego (Piotr Kowalik, Bogusław Nowakowski) Ustalenie podmiotu uznanego za administratora danych Marszałek województwa administrator danych lekarzy uprawnionych do przeprowadzania badań lekarskich osób ubiegających się o kierowanie pojazdami Starosta jako administrator danych instruktorów nauki jazdy Rozdział IV. Administrator danych osobowych w sektorze publicznym po zmianach wprowadzonych ustawą o pomocy państwa w wychowywaniu dzieci (dr Paweł Litwiński) Ustawowa definicja administratora danych osobowych Definicja pojęcia administratora danych osobowych Administrator danych osobowych a podmiot przetwarzający dane na zlecenie Administrator danych osobowych w sektorze publicznym Wskazanie w przepisach podmiotu pełniącego funkcję ADO w stosunku do konkretnych zbiorów Przetwarzanie danych osobowych w celu wykonywania określonych prawem zadań Zmiany wprowadzone ustawą o pomocy państwa w wychowywaniu dzieci Dwa typy administratorów danych osobowych Pojęcie interesu publicznego Wymiana danych między organami władzy publicznej Rozdział V. Powierzenie przetwarzania danych osobowych (dr Jowita Sobczak, Dariusz Wociór) Wstęp Podmioty powierzające i przetwarzające dane i ich obowiązki Podmiot przetwarzający dane Obowiązki podmiotu, któremu powierzono dane Zleceniobiorca mający siedzibę za granicą VI

3 2.4. Procedura zwrotu danych Powierzenie danych przypadki szczególne Podpowierzenie przetwarzania danych Podmiot przetwarzający i powierzenie danych do przetwarzania w ogólnym rozporządzeniu unijnym Umowa o powierzenie do przetwarzania danych osobowych Rozdział VI. Powierzenie przetwarzania danych osobowych w sektorze publicznym po zmianach wprowadzonych ustawą o pomocy państwa w wychowywaniu dzieci (Paweł Barta) Instytucja powierzenia przetwarzania danych osobowych w sektorze publicznym w dotychczasowych przepisach ustawy o ochronie danych osobowych Zmiany w zakresie powierzenia wprowadzone ustawą o pomocy państwa w wychowywaniu dzieci Wyłączenie z art. 31 ust. 2a ustawy o ochronie danych osobowych w świetle prawa europejskiego Skutki wyłączenia z art. 31 ust. 2a ustawy o ochronie danych osobowych Skutki wyłączenia dla kontroli GIODO Skutki wyłączenia dla zastosowania środków zabezpieczenia danych Inne konsekwencje wprowadzenia wyłączenia Wyłączenie z art. 31 ust. 2a ustawy o ochronie danych osobowych a cel ustawy o pomocy państwa w wychowywaniu dzieci Przekazanie danych a wyłączenie z art. 31 ust. 2a ustawy o ochronie danych osobowych Podpowierzenie a wyłączenie z art. 31 ust. 2a ustawy o ochronie danych osobowych Rozdział VII. Zgłaszanie zbiorów danych osobowych do rejestracji do GIODO (Piotr Kowalik, Dariusz Wociór) Zbiór danych osobowych definicja, zasady tworzenia Zagadnienia ogólne Zbiory danych rozproszone lub podzielone funkcjonalnie Tworzenie zbiorów danych Zbiór danych a system informatyczny służący do przetwarzania danych (baza danych) Zgłaszanie zbiorów danych osobowych do Generalnego Inspektora Ochrony Danych Osobowych Zagadnienia ogólne Prawa i obowiązki administratora Zaświadczenie o zarejestrowaniu zbioru danych Proces rejestracji zbioru danych Zwolnienia z obowiązku zgłoszenia zbioru danych do rejestracji Zwolnienia przedmiotowe Zwolnienie podmiotowe VII

4 Rejestr zbiorów danych osobowych przetwarzanych przez administratora danych Odmowa rejestracji zbioru danych Kodyfikacja europejska Przykłady zbiorów danych prowadzonych w sektorze publicznym Wykazy radnych Rejestr korespondencji Ewidencja czytelników bibliotek Jedna biblioteka dla kilku szkół System biblioteczno-informacyjny uczelni Newsletter Zbiory zawierające informacje o osobach fizycznych występujących w obrocie gospodarczym Zagadnienia ogólne Centralna Ewidencja i Informacja o Działalności Gospodarczej Pozyskanie danych dostępnych w przestrzeni publicznej Rejestry Krajowego Rejestru Sądowego Rejestrowanie kategorii czynności przetwarzania danych osobowych przez administratora na podstawie ogólnego rozporządzenia unijnego Rozdział VIII. Zabezpieczenie danych osobowych (Piotr Kowalik, Bogusław Nowakowski, Dariusz Wociór) Wstęp Środki organizacyjne Wymagania dotyczące środków organizacyjnych Dokumentacja opisująca sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych Upoważnienie do przetwarzania danych Środki techniczne Wymagania dotyczące środków technicznych Poziomy bezpieczeństwa Regulacje europejskie Zgłoszenie naruszenia ochrony danych i ocena skutków na podstawie rozporządzenia unijnego Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych Rozdział IX. Administrator bezpieczeństwa informacji (Piotr Kowalik, Dariusz Wociór) Rola ABI Powołanie i status ABI VIII

5 3. Wymogi wobec ABI Wymogi prawne Wymogi organizacyjne Wymóg bezpośredniej podległości ABI Wymóg zapewnienia odpowiednich środków niezbędnych do niezależnego wykonywania zadań Wymóg odrębności ABI w strukturze organizacyjnej Wymogi dotyczące możliwości łączenia funkcji ABI z realizacją innych obowiązków Łączenie funkcji ABI i ASI Łączenie funkcji ABI w kilku jednostkach sektora publicznego Zgłoszenie ABI do rejestru do GIODO Forma zatrudnienia administratora bezpieczeństwa informacji Administrator bezpieczeństwa informacji zewnętrzny lub w niepełnym wymiarze godzin Zadania ABI Delegowanie uprawnień ABI Zapewnianie przestrzegania przepisów o ochronie danych osobowych przez ABI Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych Plan sprawdzeń Czynności sprawdzające Sprawozdanie Nadzorowanie opracowania i aktualizowania dokumentacji Zapewnienie zapoznania osób upoważnionych z przepisami Aktywność ABI w kontekście zabezpieczenia danych osobowych Rejestr zbiorów danych przetwarzanych przez administratora danych Wpisanie zbioru danych do rejestru, jego aktualizacja i wykreślenie Kodyfikacja europejska Inspektor ochrony danych Zadania inspektora ochrony danych Wzory dokumentów Zarządzenie w sprawie powołania administratora bezpieczeństwa informacji Upoważnienie do przetwarzania danych osobowych Powołanie ABI Sprawozdanie ze sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ich ochronie Rozdział X. Wykonywanie sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (Maciej Byczkowski) IX

6 1. Wymagania ustawowe dotyczące wykonywania sprawdzeń zgodności przetwarzania danych z przepisami Obowiązki administratora danych związane z wykonywaniem sprawdzeń Analiza zagrożeń dla przetwarzania danych Audyt zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych przed r Rodzaje sprawdzeń Tryb i sposób realizacji sprawdzeń Zasady przeprowadzania sprawdzeń, gdy nie został powołany administrator bezpieczeństwa informacji Kontrola przetwarzania danych osobowych w razie zawarcia umowy powierzenia Wykonywanie sprawdzeń planowych przez administratora bezpieczeństwa informacji Etapy wykonywania sprawdzeń planowych Przygotowanie planu sprawdzenia Termin przygotowania planu sprawdzenia Częstotliwość wykonywania sprawdzeń Wyszczególnienie najważniejszych elementów planu sprawdzeń Pierwszy plan sprawdzeń ABI Przeprowadzanie sprawdzenia Wzór formularza wywiadu do sprawdzenia Sporządzanie sprawozdania ze sprawdzenia Wykonywanie sprawdzeń doraźnych przez administratora bezpieczeństwa informacji w razie naruszenia ochrony danych osobowych Wymagania przepisów dotyczące wykonywania sprawdzeń doraźnych przez administratora bezpieczeństwa informacji Postępowanie w razie naruszenia ochrony danych osobowych Instrukcja postępowania w razie naruszenia ochrony danych osobowych Naruszenie szczegółowych zasad przetwarzania danych osobowych Konieczność aktualizacji dokumentacji przetwarzania danych w zakresie wykonywania sprawdzeń doraźnych Wykonywanie sprawdzeń doraźnych w praktyce Prowadzenie przez administratora bezpieczeństwa informacji rejestru incydentów Wykonywanie sprawdzeń zgodności przetwarzania danych osobowych z przepisami w razie niepowołania administratora bezpieczeństwa informacji Konieczność przeprowadzania sprawdzeń przez administratora danych Podział czynności w zakresie sprawdzeń Częstotliwość przeprowadzania sprawdzeń Lista kontrola w zakresie przedmiotu sprawdzenia Etapy planu sprawdzenia X

7 4.6. Dokument podsumowujący wykonane sprawdzenie Wykonywanie sprawdzeń zgodności przetwarzania danych osobowych z przepisami po wejściu w życie przepisów ogólnego rozporządzenia unijnego Zadania inspektora ochrony danych w zakresie monitorowania przestrzegania przepisów o ochronie danych Kodeksy postępowania Przygotowanie do pełnienia nowej funkcji inspektora ochrony danych w zakresie monitorowania ochrony danych Rozdział XI. Polityka bezpieczeństwa informacji (Anna Jędruszczak, Piotr Kowalik, Dariusz Wociór) Bezpieczeństwo informacji Przesłanki stworzenia polityki bezpieczeństwa informacji Zakres informacji zawartych w polityce bezpieczeństwa informacji Podstawowe zasady bezpieczeństwa zawarte w polityce bezpieczeństwa informacji Polityka bezpieczeństwa (danych osobowych) Obowiązkowe elementy polityki bezpieczeństwa informacji (danych osobowych) Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi Sposób przepływu danych między poszczególnymi systemami Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych Środki bezpieczeństwa stosowane w jednostce Środki bezpieczeństwa na poziomie podstawowym Środki bezpieczeństwa na poziomie podwyższonym Środki bezpieczeństwa na poziomie wysokim Ocena skutków pod kątem ochrony danych z użyciem nowych technologii w ogólnym rozporządzeniu unijnym Wzory dokumentów dotyczących polityki bezpieczeństwa informacji Zarządzenie w sprawie ochrony danych osobowych Polityka bezpieczeństwa informacji Załączniki do Polityki Bezpieczeństwa Informacji Wykaz pomieszczeń Zasady ochrony pomieszczeń, w których przetwarzane są dane osobowe Wykaz zasobów danych osobowych i systemów ich przetwarzania XI

8 Oświadczenie dotyczące zgody na przetwarzanie danych osobowych Informacja o przetwarzaniu danych osobowych w trakcie procesu rekrutacyjnego Wniosek o udostępnienie danych osobowych Upoważnienie do obsługi systemu informatycznego Ewidencja osób upoważnionych do przetwarzania danych osobowych Porozumienie w sprawie wykorzystania oddanego do dyspozycji sprzętu informatycznego, oprogramowania oraz zasobów sieci informatycznej Oświadczenie o zachowaniu w tajemnicy danych osobowych Umowa powierzenia przetwarzania danych osobowych Raport z naruszenia bezpieczeństwa zasad ochrony danych osobowych Rozdział XII. Instrukcja zarządzania systemem informatycznym (Adam Gałach) Elementy instrukcji zarządzania systemem informatycznym Wzory dokumentów Instrukcja zarządzania systemem informatycznym Załączniki do instrukcji zarządzania systemem informatycznym Wniosek o nadanie/cofnięcie uprawnień do przetwarzania danych osobowych Upoważnienie do wykonywania czynności związanych z przetwarzaniem danych osobowych Ewidencja osób upoważnionych do przetwarzania danych osobowych Rozdział XIII. Kodeksy postępowania i mechanizmy certyfikacji (Dariusz Wociór) Wstęp Kodeksy postępowania a podmioty publiczne Monitorowanie zatwierdzonych kodeksów postępowania Certyfikacja Zadania podmiotu certyfikującego Rozdział XIV. Uprawnienia informacyjne i kontrolne osoby, której dane dotyczą (Bogusław Nowakowski, Piotr Kowalik, Dariusz Wociór) Obowiązek informacyjny Pozyskiwanie danych bezpośrednio od osoby, której dane dotyczą Pozyskiwanie danych z innych źródeł niż bezpośrednio od osoby, której dane dotyczą Uprawnienia kontrolne Wniosek osoby, której dane dotyczą Dbałość o poprawność danych osobowych Kodyfikacja europejska XII

9 5.1. Prawa osoby, której dane dotyczą, a obowiązki administratora danych Informacje podawane w przypadku zbierania danych Prawo dostępu przysługujące osobie, której dane dotyczą Prawo do poprawienia danych Prawo do bycia zapomnianym Prawo do ograniczenia przetwarzania Obowiązek powiadomienia o sprostowaniu danych, ich usunięciu lub ograniczeniu przetwarzania Prawo do przenoszenia danych Prawo do sprzeciwu Prawo do sprzeciwu a dane osobowe przetwarzane do celów marketingu, historycznych, statystycznych lub naukowych Nowe obowiązki administratora wobec osób, których dotyczą dane, w ogólnym rozporządzeniu unijnym Strategie ochrony danych privacy by design i privacy by default Rozdział XV. Ochrona danych osób pełniących funkcje publiczne (Piotr Kowalik, Bogusław Nowakowski, Barbara Pietrzak) Dane radnego Dane radnego a informacja publiczna Zakres ingerencji w prywatność osób pełniących funkcje publiczne Przypadki ograniczenia prawa do informacji publicznej Oświadczenia majątkowe radnych Dane reprezentantów gminy w radach nadzorczych spółek prawa handlowego Dane osobowe osób wchodzących w skład organów jednostki pomocniczej w gminie Wynagrodzenie dyrektorów samorządowych jednostek organizacyjnych posiadających osobowość prawną Odmowa udostępnienia informacji publicznej Warunki ograniczenia dostępu oraz procedura odwoławcza od odmowy Wzór decyzji o odmowie udostępnienia informacji publicznej ze względu na prywatność osoby fizycznej Objaśnienia do wzoru decyzji o odmowie udostępnienia informacji publicznej ze względu na prywatność osoby fizycznej Elementy decyzji Forma decyzji Wniosek pisemny Etapy postępowania z wnioskiem Zgoda osoby fizycznej na udostępnienie informacji Elementy uzasadnienia decyzji Rozdział XVI. Przetwarzanie danych osobowych pracowników (Kamila Kędzierska, Piotr Kowalik, Dariusz Wociór) Dane, których może żądać pracodawca od pracownika XIII

10 2. Zakres prowadzenia dokumentacji osobowej pracownika Dokumenty, których pracodawca ma prawo żądać od pracownika Dodatkowe dokumenty Akta osobowe pracownika Kwestionariusz osobowy Zakres akt osobowych Listy obecności pracowników Przetwarzanie danych osobowych pracownika po ustaniu stosunku pracy Udostępnienie danych osobowych pracownika do badań profilaktycznych Przetwarzanie danych osobowych w kontekście zatrudnienia rozporządzenie unijne Rozdział XVII. Dane osobowe w rekrutacjach (Mirosław Gumularz) Wstęp Dane, których może żądać pracodawca od osoby ubiegającej się o zatrudnienie Katalog informacji Szerszy zakres danych osobowych jeżeli to wynika z przepisów szczególnych Dane, których pracodawca może żądać już od osoby zatrudnionej Katalog dokumentów, jakich pracodawca może żądać na etapie rekrutacji Zbieranie zgód od kandydatów do pracy Dodatkowe dane Przyszłe rekrutacje Wykorzystanie danych osobowych kandydatów w celach marketingowych Wykorzystanie danych po zakończonej rekrutacji Testy psychologiczne Rejestracja zbiorów danych kandydatów do pracy Modele rekrutacji rekrutacje zewnętrzne Pracodawca zleca zewnętrznemu podmiotowi przeprowadzenie na jego rzecz rekrutacji Pracodawca pozyskuje dane osobowe kandydatów z zewnętrznej bazy kandydatów Obowiązek informacyjny i rekrutacje ukryte Prowadzenie rekrutacji po wejściu w życie ogólnego rozporządzenia unijnego Rozdział XVIII. Uprawnienia organu do spraw ochrony danych osobowych (Bogusław Nowakowski, Piotr Kowalik, Dariusz Wociór) Organ ochrony danych osobowych Wygaśnięcie kadencji GIODO Wymagania wobec osoby pełniącej funkcję GIODO Zadania GIODO Wystąpienia GIODO Postępowania administracyjne prowadzone przez GIODO XIV

11 3.1. Przebieg postępowania Środek zaskarżenia od decyzji GIODO Generalny Inspektor Ochrony Danych Osobowych a przepisy karne ustawy Nielegalne przetwarzanie danych w zbiorze danych Udostępnienie danych osobie nieupoważnionej Nieumyślne naruszenie obowiązku zabezpieczenia danych Niezgłoszenie danych do rejestru Nieinformowanie o przysługujących prawach Udaremnienie wykonania czynności kontrolnej Organ nadzorczy w kodyfikacji europejskiej Koncepcja one stop shop w kodyfikacji europejskiej Rozdział XIX. Postępowanie kontrolne GIODO (Bogusław Nowakowski, Piotr Kowalik, Dariusz Wociór) Czynności kontrolne Upoważnienie do kontroli Miejsce i czas kontroli Ustalenia w trakcie kontroli Protokół z czynności kontrolnych Zakończenie postępowania kontrolnego Wyłączenia uprawnień kontrolnych GIODO Rozdział XX. Środki ochrony prawnej, odpowiedzialność prawna i sankcje w rozporządzeniu unijnym (Dariusz Wociór) Prawo wniesienia skargi do organu nadzorczego Prawo do skutecznego sądowego środka ochrony prawnej przeciwko organowi nadzorczemu Reprezentowanie osób, których dane dotyczą Zawieszenie postępowania Prawo do odszkodowania i odpowiedzialność prawna Kary pieniężne Wysokość kar pieniężnych Dodatkowe kary Rozdział XXI. Odpowiedzi na pytania Rodzaje odpowiedzialności za niewłaściwe przetwarzanie danych osobowych Gońcy a upoważnienie do przetwarzania danych osobowych Zakres przedmiotowy kontroli przetwarzania danych przez osobę, której dane dotyczą Przesłanki odmowy udzielenia informacji o danych osobowych osobie, której dane dotyczą Zakres ciążącego na administratorze danych osobowych obowiązku uzupełniania i sprostowania danych osobowych Podległość administratora bezpieczeństwa informacji XV

12 7. Dane dłużników a obowiązek zawierania umów o powierzenie przetwarzania danych Deklaracje śmieciowe zbiorem danych? Nagrywanie rozmów w urzędzie Łączenie funkcji administratora bezpieczeństwa informacji i administratora systemu informatycznego Zasady przekazywania danych osobowych do państwa trzeciego Usuwanie danych osobowych z dysku twardego Administrator systemu informatycznego zastępcą administratora bezpieczeństwa informacji Usuwanie danych z nośników magnetycznych Część II. Ochrona danych osobowych z uwzględnieniem specyfiki poszczególnych rodzajów podmiotów Rozdział I. Ochrona danych osobowych w jednostkach oświatowych (dr Adam Balicki, Kamila Kędzierska, Bogusław Nowakowski, Piotr Wieczorek) Stosowanie ustawy o ochronie danych osobowych w oświacie Akty prawne uszczegóławiające zapisy ustawy o ochronie danych osobowych Zasady postępowania przy przetwarzaniu danych osobowych Określenie administratora danych osobowych oraz administratora bezpieczeństwa informacji w jednostkach oświatowych Obowiązki dyrektora w związku z ochroną danych osobowych Specyfika danych osobowych jednostek oświatowych Rodzaje dokumentacji, w których przetwarzane są dane osobowe Dane osobowe słuchaczy Dane uczniów, którym udzielana jest pomoc psychologicznopedagogiczna Dane identyfikacyjne i dane dziedzinowe Przekazywanie danych do baz danych systemu informacji oświatowej Przypadki szczególne Rejestr uczniów realizujących obowiązek szkolny w innej szkole Sposób przekazywania danych osobowych podmiotom zewnętrznym Dzienniki i e-dzienniki Zebrania klasowe Publikacja danych Klasówka z imieniem i nazwiskiem ucznia oraz numerem klasy Wycieczka szkolna z udziałem uczniów z innej szkoły Instalacja kamer wizyjnych monitoring Wizerunek dziecka Przekazanie danych osobowych ucznia do sądu rodzinnego Dokumentacja szkolna związana z przetwarzaniem danych osobowych XVI

13 3.12. Kontrole Generalnego Inspektora Danych Osobowych w szkołach i placówkach oświatowych Rozdział II. Ochrona danych osobowych w ramach pomocy społecznej (dr Adam Balicki (6 7), Kamila Kędzierska (1 5)) Dane osobowe w pomocy społecznej Przepisy o ochronie danych osobowych a ustawa o pomocy społecznej Zakres przetwarzania danych w pomocy społecznej Informacje o sytuacji osobistej, rodzinnej, dochodowej i majątkowej Dokumentacja osób przebywających w placówkach zapewniających opiekę Dane szczególnie wrażliwe Ochrona danych a audyt Pozyskanie informacji przez miejski ośrodek pomocy społecznej o pobieranym stypendium Przetwarzanie danych osobowych a wywiad środowiskowy Rozdział III. Ochrona danych osobowych w instytucjach kultury (Kamila Kędzierska) Wstęp Biblioteki Zakres danych możliwych do gromadzenia System MAK+ a ochrona danych osobowych Administrator danych osobowych czytelników oraz pracowników bibliotek Zgoda czytelnika na przetwarzanie danych osobowych Windykacja opłat Systemy rezerwacji i zakupu biletów instytucji kultury a ochrona danych osobowych Ośrodki badań i dokumentacji Część III. Ochrona danych osobowych w różnych obszarach działalności Rozdział I. Rachunkowość a ochrona danych osobowych (Dariusz Wociór) Wstęp Przechowywanie dokumentacji Nośniki magnetyczne Miejsce i sposób gromadzenia Okres przechowywania Okresy przechowywania zawarte w ustawie o rachunkowości Okresy przechowywania zawarte w ustawie Ordynacja podatkowa Okresy przechowywania zawarte w ustawie o systemie ubezpieczeń społecznych Udostępnianie danych Zakończenie działalności a dane osobowe XVII

14 7.1. Działalność gospodarcza w zakresie przechowywania dokumentacji osobowej i płacowej pracodawców o czasowym okresie przechowywania Wpis do rejestru przechowawców akt osobowych i płacowych Warunki wykonywania działalności w zakresie przechowywania dokumentacji osobowej i płacowej pracodawców Postępowanie z dokumentacją osobową i płacową w przypadku likwidacji lub upadłości pracodawcy Przejęcie dokumentacji przez archiwum państwowe Zadania likwidatora lub syndyka w zakresie dokumentacji Zadania archiwum państwowego Procedura nadania decyzji nakazującej złożenie dokumentacji na odpłatne przechowywanie Generalny Inspektor Ochrony Danych Osobowych oraz ABI a dostęp do dokumentacji księgowej Rozdział II. Windykacja należności jednostek samorządu terytorialnego a ochrona danych osobowych i prawa do prywatności dłużników (Mirosław Gumularz, Karol Kozieł) Stosowanie ustawy o ochronie danych osobowych przez jednostki samorządu terytorialnego Podstawa prawna przetwarzania danych osobowych dłużników jednostek samorządu terytorialnego Przetwarzanie danych osobowych dłużników w celach związanych z windykacją Klauzula usprawiedliwionego celu Ujawnianie danych dłużników Rozdział III. Bezpieczeństwo administracji publicznej w cyberprzestrzeni (dr Agnieszka Stępień) Upowszechnienie e-administracji Charakterystyka cyberprzestrzeni Zagrożenia związane z funkcjonowaniem administracji publicznej w cyberprzestrzeni Raporty Najwyższej Izby Kontroli Poprawa bezpieczeństwa administracji publicznej w cyberprzestrzeni Rozdział IV. Bezpieczeństwo danych osobowych w jednostkach publicznych świadczących e-usługi (Maciej Jurczyk) Wstęp Pojęcie e-usługi Ochrona danych w e-usługach Warunki przetwarzania danych osobowych przez e-usługodawcę Obowiązek informacyjny Umowa powierzenia danych podmiotowi trzeciemu Regulamin świadczenia usług drogą elektroniczną XVIII

15 8. Mechanizmy kontroli dostępu do danych Kryptografia danych przesyłanych w sieci publicznej Bezpieczeństwo kanału komunikacyjnego Audyt i testy bezpieczeństwa Rozdział V. Przetwarzanie danych osobowych w chmurze obliczeniowej (dr Jowita Sobczak) Wstęp Umowa o świadczenie usług przetwarzania danych w chmurze obliczeniowej Elementy umowy powierzenia Konieczność określenia celu i zakresy przetwarzania danych w chmurze Zapisy zobowiązujące procesora do prawidłowego przetwarzania powierzonych danych Dodatkowe elementy Podpowierzenie danych osobowych Środki zabezpieczające dane w chmurze Okres przechowywania danych w chmurze Miejsce przetwarzania danych i miejsce prawa właściwego Kodeks postępowania w zakresie ochrony danych dla dostawców usług w chmurze XIX