Opis
Poradnik skierowany jest do podmiotów, które przetwarzają dane osobowe zarówno jako administratorzy danych, jak i podmioty przetwarzające (tzw. „procesorzy"). Swoim zakresem obejmuje stosowanie RODO, ustawy o ochronie danych osobowych oraz innych przepisów mających związek z ochroną danych osobowych, takich jak Kodeks pracy, ustawa o świadczeniu usług elektronicznych i wybrane przepisy branżowe, np. prawo bankowe. Materiał został przygotowany z myślą o przedsiębiorcach (chociaż będzie użyteczny dla każdego, kto przetwarza dane osobowe).
Największe atuty publikacji to:
przystępny język – pozwala zrozumieć wymagania RODO i innych przepisów osobom bez prawniczego wykształcenia,
przekrojowość – książka opisuje wszystkie kluczowe wymagania RODO,
autor – doświadczony praktyk, który ma na co dzień styczność z praktycznym stosowaniem RODO,
zastosowanie porównań i metafor – ułatwiają one zrozumienie niektórych wyjątkowo trudnych zagadnień,
przykłady, zdjęcia, tabele i schematy – obrazują poruszane zagadnienia, jak też pokazują absurdy lub nieprawidłowe stosowanie przepisów.
Wyjątkową częścią publikacji jest opis przetwarzania danych osobowych w poszczególnych działach firmy, takich jak np. dział personalny, obsługa klienta, call center, księgowość, sprzedaż itd. Autor pracuje w międzynarodowej grupie kapitałowej i z tego powodu opis stosowania RODO w tego rodzaju grupach stanowi dodatkową wartość. Godny polecenia jest rozdział poświęcony kontroli Prezesa Urzędu Ochrony Danych Osobowych, opisujący, jakie czynniki wpływają na to, że do firmy może przyjść kontrola, co należy robić, aby kontroli uniknąć, a w przypadku jej wystąpienia – co robić, aby przebiegła jak najsprawniej.
W wielu przypadkach, gdy polskie tłumaczenie RODO nie było jasne, angielska wersja została przeanalizowana przez autora, tak aby przedstawione zostało znaczenie zapisów, a nie ich literalna interpretacja. Autor wyłowił wiele nieścisłości, przykładowo wyraz likely tłumaczono czasami jako może, a czasami jako wysokie prawdopodobieństwo, co utrudniać mogło przykładowo zrozumienie istoty oceny skutków dla ochrony danych.
Dzięki lekturze tej książki przedsiębiorca będzie doskonale wiedział, jakie obowiązki na nim ciążą, co ma robić i jak ma robić, aby być w zgodzie z przepisami. Będzie też wiedział, co mu grozi, np. jakie kary są przewidziane za niestosowanie się do wymagań.
Publikacja zawiera:
opis najczęściej spotykanych danych osobowych, zwykłych i wrażliwych, wraz z objaśnieniem i przykładami, kiedy określone informacje stanowią dane osobowe, a kiedy nie,
prawie 70 obrazów ilustrujących praktyczne aspekty stosowania RODO (np. konfiguracja wideo-kamerek, oznaczenia obszarów przetwarzania, dokumenty zniszczone prawidłowo i nieprawidłowo),
przykłady prawidłowych i nieprawidłowych klauzul zgody wraz z ich omówieniem,
przykłady zapisów umowy powierzenia,
opisy rzeczywistych sytuacji zarówno prawidłowych, jak i niezgodnych z RODO,
bardzo dokładne wyjaśnienie aspektów szacowania ryzyka i oceny skutków dla ochrony danych,
omówienie uznanych międzynarodowych standardów (norm) ISO w stosowaniu RODO,
Z niniejszej książki Czytelnik m.in.:
dowie się, jak rozpoznać dane osobowe, w jakich sytuacjach określone informacje są danymi osobowymi, a w jakich nimi nie są, oraz które z nich są najczęściej przetwarzane i w jakich okolicznościach;
dowie się, jak dane osobowe przetwarzane są w typowych działach firmy, takich jak dział personalny, marketing, sprzedaż itp.,
pozna wszystkie najważniejsze terminy z RODO i innych przepisów, w szczególności takie jak pseudonimizacja, anonimizacja, uzasadniony interes administratora, profilowanie, przesłanki legalności itd.,
nauczy się projektować system przetwarzania danych osobowych zgodny z przepisami i spełniający wymagania domyślnej ochrony danych (data protection by default) i z wbudowanymi zasadami ochrony danych na etapie projektowania (data protection by design), zobaczy m.in. przykłady minimalizacji i pseudonimizacji danych,
dowie się, jak prawidłowo zbierać dane, jakie warunki należy spełnić i jakie informacje przekazywać osobom, których dane mają być przetwarzane,
zapozna się z zasadami przetwarzania danych na podstawie zgody, tj. kiedy można dane przetwarzać na takiej podstawie oraz jak formułować prawidłowo zgody,
pozna niezbędne zasady szacowania ryzyka dla praw i wolności osób, dzięki czemu będzie mógł racjonalnie i ekonomicznie dobierać środki techniczne i organizacyjne chroniące dane osobowe,
dowie się, jak praktycznie przeprowadzać ocenę skutków dla ochrony danych, jakie jest jej miejsce w procesie szacowania ryzyka i w jakich sytuacjach tę ocenę należy wykonywać oraz powtarzać,
dowie się, jak układać współpracę z podmiotami zewnętrznymi przetwarzającymi na jego zlecenie dane osobowe, jak formułować odpowiednio umowy, jak wybierać podmioty godne zaufania i jak je kontrolować,
dowie się, jak postępować w przypadku naruszenia ochrony danych, jakie środki stosować, aby jak najszybciej wykrywać naruszenia, jak komunikować się z organem nadzoru, osobami których dane dotyczą oraz jak wyciągać wnioski na przyszłość, aby podobne sytuacje już się nie powtarzały,
dowie się, jak obliczyć czas, kiedy dane osobowe należy usuwać i pozna wymagania oraz sposoby skutecznego usuwania lub anonimizowania danych osobowych,
pozna zasady przekazywania danych do państwa trzeciego,
dowie się, kiedy powinien powołać inspektora ochrony danych, jakie wymagania powinien spełniać kandydat do tej roli, w jaki sposób sprawdzić jego wiedzę i jakie są jego zadania,
dowie się, jak przebiega i czym kończy się kontrola organu nadzorczego, jak się do niej przygotować, aby przejść ją jak najsprawniej,
pozna podstawowe organizacyjne i techniczne zabezpieczenia danych osobowych, np. jakich haseł należy używać, kiedy stosować szyfrowanie dysku, jak szyfrować transmisję danych.