1. Cel i zakres dokumentu, 2. Odpowiedzialność zabezpieczenia danych osobowych przetwarzanych w systemie informatycznym, 3. Ogólne wymagania w zakresie zabezpieczenia systemu informatycznego, 4. Szczegółowe wymagani a w zakresie zabezpieczenia systemu informatycznego; 5. Zarządzanie uprawnieniami do korzystania z systemu informatycznego, 6. Szkolenia w zakresie bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym, 7. Instrukcja zarządzania systemem informatycznym przetwarzającym dane osobowe, 8. Instrukcja postępowania w przypadku naruszenia ochrony danych osobowych, 9. Instrukcja korzystania z komputerów przenośnych przetwarzających dane osobowe, 10. Przetwarzanie danych osobowych przez podmiot zewnętrzny, 11. Kontrola przestrzegania wymagań w zakresie ochrony danych osobowych, 12. Wprowadzenie zmian do istniejących wytycznych i ich publikacja

Zawiera: Wykaz skrótów. Część I: Podziały danych osobowych objętych kontrolą: 1. Dane osobowe wrażliwe (szczególne kategorie danych), dane o karalności oraz dane osobowe zwykłe; 2. Dane osobowe podane, zaobserwowane, pochodne oraz wywnioskowane; 3. Dane uporządkowane oraz nieuporządkowane: 3.1. Ogólne informacje; 3.2. Uporządkowanie a ustrukturyzowanie; 4. Dane identyfikowalne oraz nieidentyfikowalne: 4.1. Dwie normy wynikające z art. 11 RODO; 4.2. Artykuł 11 RODO a definicja danych osobowych; 4.3. Krótkotrwałe i długotrwałe przetwarzanie danych; Część II: Pytania i odpowiedzi: 1. Czym jest RODO?; 2. Jakie sankcje administracyjne i karne mogą grozić za naruszenie RODO?; 3. Jakich kategorii danych dotyczy kontrola/postępowanie?; 4. Kiedy przepisy RODO nie będą miały zastosowania?; 5. Jakie podmioty podlegają kontroli / mogą być adresatem decyzji w ramach postępowania w sprawie naruszenia przepisów o ochronie danych osobowych?; 6. Kiedy prowadzona jest kontrola, a kiedy prowadzi się postępowanie administracyjne w sprawie naruszenia przepisów o ochronie danych?; 7. Czy do kontroli uzupełniającej stosuje się przepisy Kodeksu postępowania administracyjnego (w tym przepisy gwarancyjne)?; 8. Jaka jest relacja pomiędzy przepisami o kontroli w RODO a przepisami prawa przedsiębiorców?; 9. Jak należy rozumieć pojęcie naruszenia przepisów o ochronie danych osobowych?; 10. Jakie są tryby kontroli? Czy kontrole mogą być niezapowiedziane?; 11. Jakie są obowiązki kontrolowanego w trakcie kontroli i co grozi za ich naruszenie?; 12. Czy można kwestionować wszczęcie kontroli lub inne czynności w toku kontroli?; 13. Czy można kwestionować wszczęcie postępowania administracyjnego lub inne czynności w jego toku?; 14. Jaka jest relacja zasady rozliczalności do obowiązku zebrania materiału dowodowego przez organ nadzorczy (art. 77 k.p.a.)?; 15. Jak ustalić moment wszczęcia postępowania administracyjnego?; 16. Jakie dokumenty inicjują kontrolę?; 17. Czy i jak chroniona jest tajemnica przedsiębiorstwa?; 18. Czy i w jakim zakresie Prezes UODO może mieć dostęp do tajemnic prawnie chronionych w toku kontroli i postępowania administracyjnego, na przykładzie poszczególnych tajemnic?; 19. Jakie są konsekwencje naruszenia wymogów co do treści upoważnienia do kontroli?; 20. Czy kontrola może być realizowana wyłącznie w zakresie upoważnienia?; 21. Czy pracownicy kontrolowanego administratora /podmiotu przetwarzającego podlegają kontroli? 22. Czy można odpowiadać dyscyplinarnie za naruszenia przepisów dotyczących ochrony danych osobowych?; 23. Jak długo może być prowadzona kontrola?; 24. Kto prowadzi kontrolę?; 25. Kto może brać udział w kontroli? Czy można prowadzić kontrolę pod nieobecność kontrolowanego?; 26. Czy sektor publiczny objęty jest także kontrolą?; 27. Czy można prowadzić kontrolę u procesora (podmiotu przetwarzającego)?; 28. Jakie uprawnienia ma kontrolujący?; 29. Jaka jest rola osoby, której dane dotyczą, w ramach kontroli i postępowania?; 30. W jaki formalny sposób dochodzi do zakończenia kontroli?; 31. W jaki sposób można kwestionować treść protokołu kontroli?; 32. Czy protokół kontroli i materiał dowodowy kontroli stają się automatycznie częścią materiału dowodowego w postępowaniu administracyjnym?; 33. Czy czynności w toku kontroli są utrwalane jedynie w protokole?; 34. Czy wadliwość czynności w toku kontroli może mieć wpływ na postępowanie administracyjne?; 35. Kto jest stroną w postępowaniu administracyjnym?; 36. Kiedy postępowanie administracyjne może być umorzone?; 37. Jakie są rodzaje rozstrzygnięć co do istoty sprawy w ramach postępowania w przedmiocie naruszenia przepisów o ochronie danych osobowych?; 38. Jakie są skutki doręczenia decyzji Prezesa UODO?; 39. Jaki środek przysługuje w postępowaniu administracyjnym w przypadku niezałatwienia sprawy w terminie?; 40. Czy decyzja Prezesa UODO w postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych jest natychmiastowo wykonalna?; 41. Jak można kwestionować (skarżyć) decyzję Prezesa UODO?; 42. Czy niekorzystny wyrok WSA można zakwestionować?; 43. Czy do postępowania w sprawie naruszenia przepisów o ochronie danych osobowych stosuje się reguły dotyczące milczącego załatwienia sprawy?; 44. Jakie są podstawy wyłączenia kontrolera/ pracownika organu prowadzącego postępowanie administracyjne w sprawie naruszenia przepisów o ochronie danych osobowych?; 45. Jakie są administracyjne kary pieniężne w sektorze prywatnym , a jakie w sektorze publicznym? 46. Jakie są kryteria miarkowania kary w ramach decyzji kończącej postępowanie?; 47. Czy można nałożyć karę pieniężną bez postępowania/ decyzji?; 48. Czy administracyjne kary pieniężne ulegają przedawnieniu?; 49. W jakim terminie należy zapłacić karę?; 50. Czy można starać się o rozłożenie kary na raty, odroczenie terminu płatności lub o ulgę w jej wykonaniu?; 51. Jaka jest wysokość opłaty w przypadku skargi do WSA na decyzję Prezesa UODO?; 52. Relacje pomiędzy kontrolą/postępowaniem w sprawie naruszenia przepisów o ochronie danych osobowych a postępowaniem cywilnym; 53. Jaka jest rola inspektora ochrona danych w toku kontroli i postępowania w sprawie naruszenia przepisów o ochronie danych osobowych?; 54. Jaka jest rola pełnomocników profesjonalnych w toku kontroli i postępowania w sprawie naruszenia przepisów o ochronie danych osobowych?; 55. Jakie przepisy znajdą zastosowanie do kontroli i postępowania administracyjnego wszczętych przed 25.05.2018 r.?; 56. Czy organy nadzorcze z poszczególnych państw członkowskich mogą prowadzić wspólne postępowania?; 57. Czy wiadomo u kogo będzie prowadzona kontrola w 2019 roku?; Część III: Jak przygotować się do kontroli? Rozdział I: Kategorie obowiązków: wymogi bezpośrednie i metawymogi; Rozdział II: Jak zapewnić i udokumentować zgodność; 1. Zapewnienie rozliczalności w ramach przygotowania do kontroli – wprowadzenie; 2. Rozliczalność na gruncie ustawy o ochronie danych osobowych z 1997 r.; 3. Rozliczalność w RODO; 4. Znaczenie rozliczalności w aspekcie kontroli; 5. Zakres rozliczalności; 6. Realizacja rozliczalności; 7. Inne przykłady realizacji rozliczalności; 8. Dokumentowanie w ramach rozliczalności; 9. Dokumentowanie naruszeń ochrony danych osobowych; 10. Obowiązki dokumentacyjne związane z realizacją obowiązków informacyjnych oraz praw podmiotów danych; 11. Obowiązki dokumentacyjne związane z korzystaniem z podmiotu przetwarzającego; 12. Rejestrowanie czynności przetwarzania; 13. Ocena skutków i uprzednie konsultacje; 14. Inne obowiązki dokumentacyjne; 15. Obowiązki dokumentacyjne w RODO a dotychczasowe dokumenty; 16. Rozliczalność w opiniach i wytycznych Europejskiej Rady Ochrony Danych; 17. Podsumowanie; Rozdział III: Ocena ryzyka; 1. Ocena ryzyka w RODO; 1.1. Normatywny kontekst analizy ryzyka w RODO (kiedy ocena ryzyka jest wymagana?); 1.2. Ogólny wymóg monitorowania ryzyka dla praw lub wolności (art. 24 ust. 1 RODO); 1.3. Ocena ryzyka w fazie projektowania (art. 25 ust. 1 RODO); 1.4. Ocena ryzyka pod kątem obowiązku prowadzenia rejestru czynności (art. 30 ust. 5 RODO); 1.5. Ocena ryzyka w ramach oceny środków służących bezpieczeństwu (art. 32 ust. 1–2 RODO); 1.6. Ocena ryzyka w ramach oceny incydentów bezpieczeństwa danych osobowych pod kątem obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 ust. 1 RODO); 1.7. Ocena ryzyka w ramach oceny potrzeby zawiadamiania osoby, której dane dotyczą, w przypadku incydentu (art. 34 ust. 1 RODO); 1.8. Ocena ryzyka w ramach oceny skutków dla ochrony danych osobowych (art. 35 ust. 1 RODO); 1.9. Ocena ryzyka a funkcjonowanie inspektora ochrony danych (art. 39 ust. 2 RODO); 1.10. Założenia wstępne; 2. Ramy analizy ryzyka; 2.1. Ryzyko naruszenia praw lub wolności; 2.2. Przykłady ryzyk; 2.3. Etapy oceny ryzyka; 2.4. Zagrożenie a ryzyko; 2.4.1. Waga zagrożenia a waga ryzyka; 2.4.2. Prawdopodobieństwo zagrożenia i prawdopodobieństwo ryzyka; 2.5. Obiektywność oceny; 2.6. Kryteria postępowania z ryzykiem; 2.7. Rola podmiotu przetwarzającego; 3. Ocena skutków dla ochrony danych i uprzednie konsultacje; 3.1. Ocena skutków – wstęp; 3.2. Kiedy ocena skutków może być wymagana?; 3.3. Powiązanie oceny ryzyka i oceny skutków; 3.4. Kiedy należy się konsultować z organem nadzorczym?; 3.5. Elementy dokumentacyjne oceny skutków; 3.6. Ocena ryzyka a inspektor ochrony danych; 4. Podsumowanie; Część IV: Tabele. Część V: Wzory pism. Bibliografia.

Zawiera: WSTĘP Rozdział 1. PODSTAWOWE ZASADY PRZETWARZANIA DANYCH OSOBOWYCH: 1.1. Dane osobowe - co to takiego?; 1.2. Na jakiej podstawie prawnej przetwarzane są dane osobowe pracowników?; 1.2.1. Dane zwykłe; 1.2.2. Dane szczególnych kategorii; 1.3. Czym jest przetwarzanie danych osobowych?; 1.4. Jakimi zasadami należy się kierować przy przetwarzaniu danych osobowych?; 1.5. Kim są uczestnicy procesu przetwarzania? Administrator i współadministrator danych, podmiot przetwarzający, odbiorcy danych; 1.6. Co to jest obowiązek informacyjny i kiedy należy go spełnić?; 1.7. Jakie kary grożą za nieprzestrzeganie przepisów o ochronie danych osobowych? Rozdział 2. PROCES REKRUTACJI: 2.1. Jak spełnić obowiązek informacyjny w procesie rekrutacji?; 2.2. Rekrutacja z wykorzystaniem portali społecznościowych - na co zwrócić uwagę, jak spełnić obowiązek informacyjny? Listy referencyjne; 2.3. Selekcja CV i listów motywacyjnych - jakie obowiązki należy wykonać, by były one zgodne z RODO? Kto może brać udział w postępowaniu rekrutacyjnym?; 2.4. Wykorzystywanie testów kompetencji, Assessment Center i inne techniki rekrutacji - jak poprawnie wykorzystać te metody?; 2.5. Zaświadczenie o niekaralności. Kiedy pracodawca może o nie prosić?; 2.6. Rekrutacja zewnętrzna - zasady współpracy z firmami zewnętrznymi i agencjami pracy tymczasowej. Jak prawidłowo zatrudnić kandydata z polecenia?; 2.7. Przetwarzanie danych osobowych kandydatów do pracy w grupie kapitałowej. Przykładowe obowiązki informacyjne; 2.8. Rozmowa kwalifikacyjna a poprawność przetwarzania danych osobowych; 2.9. Jak długo można przechowywać aplikacje kandydatów do pracy? Rozdział 3. ZATRUDNIENIE: 3.1. Dokumentacja kadrowo-płacowa zgodna z RODO; 3.2. Przetwarzanie danych szczególnych kategorii. Czy pracodawca ma prawo żądać od pracownika poświadczenia jego obecności w pracy przy użyciu czytnika linii papilarnych?; 3.3. Imię i nazwisko oraz wizerunek pracownika - zasady przetwarzania, w tym udostępniania przez pracodawcę; 3.4. Dokumentacja BHP i medycyna pracy - na co zwrócić uwagę?; 3.5. Monitoring w miejscu pracy, kontrola służbowej poczty elektronicznej; 3.6. ZFŚS - praktyczne omówienie zasady adekwatności i czasowości; 3.7. Zatrudnienie cudzoziemca - zasady ustalania centrum interesów życiowych; 3.8. Przetwarzanie danych osobowych przez firmy zewnętrzne, różnice pomiędzy udostępnieniem a powierzeniem danych osobowych pracowników; 3.9. Kary, nagany i upomnienia a ochrona danych osobowych i prawo do zachowania godności pracownika. Badanie alkomatem oraz podejrzenie o zażyciu substancji psychoaktywnych. Na co zwrócić uwagę, o czym poinformować pracownika?; 3.10. Zajęcia komornicze a zakres przekazanych danych osobowych. Co się zmienia na gruncie RODO, a także opinia byłego GIODO; 3.11. Oceny pracownicze - na co zwrócić uwagę?; 3.12. Inne formy zatrudnienia a zakres i podstawa ich przetwarzania przez podmiot zatrudniający; 3.13. Szacowanie ryzyka danych osobowych i ocena skutków przetwarzania. Zabezpieczenia techniczne i organizacyjne działów personalnych. Na co zwrócić uwagę?; 3.14. Transgraniczne przetwarzanie danych. Rozdział 4. KIEDY NALEŻY WYZNACZYĆ INSPEKTORA OCHRONY DANYCH OSOBOWYCH? JAKIE SĄ JEGO ZADANIA W DZIALE KADROWO-PŁACOWYM? Rozdział 5. WYPOWIEDZENIE I ARCHIWIZOWANIE DOKUMENTÓW PRACOWNICZYCH: 5.1. Zasada poufności a wypowiedzenie umowy o pracę; 5.2. Co zrobić z danymi osobowymi zwolnionego pracownika? Jak zabezpieczyć telefon, pocztę, fotografię, wizytówki?; 5.3. Nowe zasady archiwizacji dokumentów od stycznia 2019 roku. Rozdział 6. PRZETWARZANIE DANYCH DOTYCZĄCYCH PRZYNALEŻNOŚCI ZWIĄZKOWEJ: 6.1. Odprowadzanie składek członkowskich - lista szczególnie chroniona; 6.2. Czy pracodawca jest podmiotem przetwarzającym wobec związku?; 6.3. Czy związek zawodowy powinien uczestniczyć w procesie oceny skutków?; 6.4. Monitoring zakładu pracy a realizacja obowiązku zapewnienia pomieszczenia na działalność związkową; 6.5. Związek zawodowy a ZFŚS; 6.6. IOD w związku zawodowym. Rozdział 7. PRAKTYCZNE DOKUMENTY: 7.1. Opis procesów kadrowo-płacowych w rejestrze czynności przetwarzania - przykładowy rejestr; 7.2. Przykładowy rejestr kategorii czynności przetwarzania danych osobowych, np. w przypadku współpracy z agencją pracy; 7.3. Rejestr incydentów + Wzór zgłoszenia incydentu do Urzędu Ochrony Danych Osobowy; 7.4. Wzór upoważnienia do przetwarzania danych osobowych dla pracowników; 7.5. Wnioski w sprawie realizacji praw pracowników zgodne z RODO. ZAKOŃCZENIE. O AUTORACH. BIBLIOGRAFIA.

1. Ochrona danych osobowych; 2. Ochrona informacji niejawnych; 3. Wyjaśnienia do wzorów; 4. Wzory; 5. Pytania i odpowiedzi dotyczące rejestracji zbioru danych osobowych.