W jakim zakresie unijne rodo różni się od obowiązującej w Polsce uodo? Jak opracować i wdrożyć system ochrony danych osobowych w kontekście zbliżających się zmian w prawie? Czy przetwarzanie danych można zlecić podmiotom zewnętrznym?

Książka pomoże przygotować się organizacjom do wdrożenia rodo oraz rozwiązać konkretne problemy związane ze stosowaniem prawa ochrony danych osobowych zarówno w okresie przejściowym, jak i po rozpoczęciu obowiązywania nowych przepisów. W publikacji szczegółowo zostały omówione te zmiany, wynikające z rozporządzenia ogólnego, które znacząco wpłyną na dotychczasowy sposób przetwarzania danych osobowych:

• obowiązek prowadzenia rejestru czynności przetwarzania wewnątrz organizacji,
• modyfikacja katalogu danych wrażliwych,
• zmiana statusu ABI,
• dopuszczalność współadministrowania danymi,
• zarządzanie incydentami i raportowanie wycieku danych,
• odpowiedzialność administratora danych i wysokie kary finansowe.

Dzięki książce czytelnik dowie się, w jaki sposób dobierać zabezpieczenia, jakie elementy, zgodnie z rozporządzeniem technicznym, musi zawierać dokumentacja oraz jak te elementy powinny wiązać się z pozostałymi systemami zarządzania bezpieczeństwem informacji w organizacji. Pozna także obowiązki w zakresie ochrony danych w procesach kadrowych i otrzyma wskazówki, jak prowadzić sprawdzenia.

Poradnik ma charakter praktyczny – istotne wnioski autorzy uwypuklają w ramkach „Ważne!”, przedstawiając kluczowe zagadnienia. Udzielają jednocześnie odpowiedzi na pytanie „A co na to rodo?” oraz powołują się na przykłady, które zostały oznaczone hasłem „Z życia wzięte”.

„Przygotowanie organizacji do stosowania rodo
Ochrona danych w okresie przejściowym i po wejściu przepisów w życie”

Autorzy: Magdalena Korga (red.), Katarzyna Matelowska-Tatoj, Jarosław Żabówka

Spis treści

Wykaz skrótów

Wstęp

Rozdział 1

Ochrona danych osobowych – od czego zacząć, jak opracować i utrzymać system oraz na czym polega ochrona danych w praktyce

1.1.          Garść niezbędnych definicji i wyjaśnień

1.1.1.          Dane osobowe i ich przetwarzanie

1.1.2.          Szczególna kategoria danych osobowych – dane wrażliwe

1.1.3.          Administrator danych – podmiot praw i obowiązków

1.1.4.          Przesłanki przetwarzania danych osobowych – wiedza fundamentalna

1.2.          Dlaczego administrator danych oraz podmiot przetwarzający powinni wdrożyć przepisy o ochronie danych osobowych?

1.2.1.          Zapewnienie zgodności działań jednostki z aktualnie obowiązującymi przepisami prawa

1.2.2.          Uniknięcie konsekwencji administracyjnych z tytułu kontroli GIODO oraz odpowiedzialności cywilnej i karnej

1.2.3.          Znaczne ułatwienie w wypełnianiu obowiązków, które przewiduje rodo

1.2.4.          Zdobycie zaufania klientów i partnerów biznesowych oraz ochrona tajemnic zawodowych

1.3.          Przeprowadzenie audytu – inwentaryzacja zasobów danych osobowych i rozpoznanie stanu ich ochrony

1.3.1.          Jak prowadzić audyt?

1.3.2.          Etapy audytu

1.3.3.          System ochrony danych osobowych – uodo oraz inne akty prawne

1.3.4.          Opracowanie lub uaktualnienie dokumentacji opisującej system ochrony danych osobowych

1.3.5.          Elementy dokumentacji dotyczącej ochrony danych osobowych

1.3.6.          Identyfikacja zbiorów danych – zagadnienie istotne i problematyczne

1.4.          Wdrożenie systemu ochrony danych

1.5.          Monitorowanie i doskonalenie systemu ochrony danych osobowych

1.6.          Jak przygotować się do stosowania rodo? Graniczna data 25 maja 2018 r.

Rozdział 2

Ochrona danych osobowych w procesach kadrowych

2.1.          Ochrona danych osobowych w procesie rekrutacji

2.1.1.          Zakres danych osobowych wymagany od kandydatów do pracy – problemy praktyczne

2.1.2.          Obowiązek informacyjny z art. 24 uodo a gromadzenie danych osobowych kandydatów do pracy

2.1.3.          Obieg dokumentów aplikacyjnych kandydatów do pracy a wymogi uodo

2.1.4.          Okres archiwizacji dokumentów składanych przez kandydatów do pracy, czyli zasada ograniczenia czasowego w praktyce

2.2.          Ochrona danych osobowych w procesach związanych z obsługą stosunku pracy

2.2.1.          Przetwarzanie danych pracowników udostępnionych na etapie rekrutacji, czyli zasada celowości w praktyce

2.2.2.          Wybrane przykłady naruszenia zasady adekwatności oraz legalności identyfikowane w dziale personalnym

2.2.3.          Dokumenty pracownicze, które powinny być przetwarzane jedynie do wglądu

2.2.4.          Rozpowszechnianie informacji dotyczących prywatnej sfery życia pracownika a wymogi art. 23 i 26 uodo

2.2.5.          Wybrane przykłady naruszeń uodo związane z przetwarzaniem danych osobowych pracowników – „niespodzianki” dla ABI

2.2.6.          Świadomość pracowników działu personalnego w zakresie ochrony danych osobowych – dlaczego jest tak ważna?

2.2.7.          Dokumentacja osobowa poza działem kadr

2.2.8.          Upoważnienia do przetwarzania danych osobowych

2.2.9.          Przekazywanie danych osobowych pracowników pomiędzy pracodawcą a zakładową organizacją związkową

2.2.10.       Obowiązek informacyjny związany z zatrudnianiem personelu

2.2.11.       Przetwarzanie danych osobowych zleceniobiorców i wykonawców

2.3.          Ochrona danych osobowych pracowników na etapie zakończenia umowy o pracę

2.3.1.          Nieuprawnione udostępnianie danych osobowych pracowników zawartych na formularzu karty obiegowej

2.3.2.          Sposób wręczania pracownikowi wypowiedzenia umowy o pracę a regulacje uodo

2.3.3.          Zdjęcia byłych pracowników przetwarzane w związku z wydawaniem identyfikatorów pracowniczych

Rozdział 3

Elementy systemu ochrony danych osobowych

3.1.          Zabezpieczenie danych

3.1.1.          Osoby dopuszczone do przetwarzania danych

3.1.2.          Zapewnienie rozliczalności

3.1.3.          Obowiązek zabezpieczenia danych

3.1.4.          Rozporządzenie w sprawie KRI

3.1.5.          Zabezpieczenia wymagane przez rozporządzenie techniczne

3.1.6.          Zabezpieczenie danych w rodo

3.2.          Dokumentacja

3.2.1.          Wymagana dokumentacja

3.2.2.          Polityka bezpieczeństwa

3.2.3.          Instrukcja zarządzania

3.2.4.          Dokumentacja według rodo

3.2.5.          Pozostałe elementy dokumentacji (drobna dokumentacja)

3.2.6.          Dokumentacja w podmiotach przetwarzających informacje niejawne

3.3.          Powierzenie przetwarzania danych

3.3.1.          Powierzenie przetwarzania bez zawarcia umowy

3.3.2.          Powierzenie przetwarzania według rodo

3.4.          Zarządzanie incydentami

3.4.1.          Procedura zarządzania incydentami

3.4.2.          Obowiązek notyfikacyjny według rodo

3.4.3.          Zawiadomienie organu nadzorczego

3.4.4.          Zawiadomienie osób fizycznych

3.5.          Zgłoszenie zbioru danych do rejestracji GIODO

Rozdział 4

Nadzorowanie systemu ochrony danych osobowych

4.1.          Administrator bezpieczeństwa informacji

4.2.          Zgłoszenie powołania ABI do rejestracji GIODO

4.3.          Zastępcy ABI

4.4.          Zadania ABI

4.5.          Sprawdzanie zgodności przetwarzania danych

4.6.          Plan sprawdzeń

4.6.1.          Co powinien zawierać plan sprawdzeń?

4.6.2.          Sposób i zakres dokumentowania

4.6.3.          Okres objęty planem

4.7.          Sprawdzenia planowe

4.7.1.          Etapy sprawdzenia

4.7.2.          Sprawdzanie zabezpieczeń systemów informatycznych

4.7.3.          Przygotowanie listy kontrolnej

4.7.4.          Jak prowadzimy wywiady

4.7.5.          Dokumentowanie sprawdzenia

4.8.          Sprawdzenie doraźne

4.9.          Sprawdzenie dla GIODO

4.10.       Sprawozdanie

4.10.1.       Terminy składania sprawozdania

4.10.2.       Wymagane elementy sprawozdania

4.10.3.       Język sprawozdania

4.11.       Nadzorowanie opracowania i aktualizowania dokumentacji

4.12.       Nadzorowanie przestrzegania zasad określonych w dokumentacji

4.13.       Zapewnienie zapoznania

4.14.       Prowadzenie jawnego rejestru zbiorów

4.15.       Jeżeli ABI nie zostanie powołany

Bibliografia

Akty prawne

O autorach