OCHRONA DANYCH OSOBOWYCH OCENA RYZYKA I SKUTKÓW METODY I PRAKTYCZNE PRZYKŁADY GUMULARZ M. IZYDORCZYK T. RED. Księgarnia

Ochrona danych osobowych

Ocena ryzyka i skutków

Metody i praktyczne przykłady

Książka omawia wszystkie aspekty oceny ryzyka ujętego w RODO, w tym fazę projektowania, ocenę skutków i przypadek incydentu bezpieczeństwa.

W pierwszej części publikacji przedstawiono mechanizm oceny ryzyka i wątpliwości interpretacyjne, które się z nim łączą. Uwzględniono orzecznictwo oraz wytyczne wyrażone w stanowiskach organów nadzorczych (w tym polskiego organu). Kwestie sporne zostały omówione na przykładach przeprowadzonych analiz ryzyka (np. przez administratorów z sektora publicznego), a także wytycznych opublikowanych m.in. przez organy nadzorcze.

W drugiej części książki za pomocą praktycznych przykładów przedstawiono różne sposoby oceny ryzyka. W każdym z nich autorzy prowadzą czytelnika krok po kroku przez cały proces analizy ryzyka, m.in. za pomocą list kontrolnych.

Autorzy zadbali o to, aby ocena ryzyka mieściła się w kryteriach wynikających z RODO, a jednocześnie była rozliczalna, czyli na przykład, aby można było prześledzić i zrozumieć, dlaczego został zdefiniowany konkretny poziom ryzyka oraz z jakiego powodu przyjęto takie, a nie inne metody jego minimalizacji.

Zamieszczone w publikacji kazusy dotyczą m.in.:

• przechowywania dokumentacji medycznej,
• rezerwacji wizyty lekarskiej za pomocą chatbota,
• procesu rekrutacji,
• pracy zdalnej.

Wykaz skrótów

Część 1. Pojęcie ryzyka naruszenia praw lub wolności

Rozdział 1. Wstęp - pojęcie ryzyka naruszenia praw lub wolności
1. Przypadki oceny ryzyka w RODO - informacje ogólne Przepisy dotyczące oceny ryzyka
A. Ogólny wymóg monitorowania ryzyka dla praw lub wolności (art. 24 ust. 1 RODO)
B. Ocena ryzyka w fazie projektowania (art. 25 ust. 1 i 2 RODO)
C. Ocena ryzyka pod kątem obowiązku prowadzenia rejestru czynności (art. 30 ust. 5 RODO)
D. Ocena ryzyka w ramach oceny środków służących bezpieczeństwu (art. 32 ust. 1 RODO)
E. Ocena ryzyka w ramach oceny incydentów bezpieczeństwa danych osobowych w kontekście obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 ust. 1 RODO)
F. Ocena ryzyka w ramach weryfikacji potrzeby zawiadamiania osoby, której dane są przetwarzane, w związku z incydentem bezpieczeństwa (art. 34 ust. 1 RODO)
G. Ocena ryzyka w ramach oceny skutków dla ochrony danych osobowych (art. 35 ust. 1 RODO)
H. Ocena ryzyka dokonywana w ramach uprzednich konsultacji (art. 36 RODO)
I. Ocena ryzyka dokonywana w kontekście sposobu realizacji zadań IOD (art. 39 ust. 2 RODO)
J. Ocena ryzyka w kontekście transferu danych poza EOG
K. Obowiązek informacyjny dotyczący ryzyka w kontekście transferu danych poza EOG
L. Problem oceny ryzyka dla praw lub wolności w kontekście zadań organu nadzorczego (art. 57 ust. 1 lit. b RODO)
M. Ocena ryzyka a zadania EROD (art. 64 ust. 1 lit. a)
Szczególne przypadki oceny ryzyka
N. Ocena ryzyka w kontekście stosowania RODO
O. Ocena procesora (podmiotu przetwarzającego)
P. Przetwarzanie danych osobowych w celach wskazanych w treści art. 89 ust. 1 RODO
Q. Uzasadniony interes
R. Zmiana celu przetwarzania danych
2. Ramy regulacyjne oceny ryzyka - wstępne wnioski
3. Jak rozumieć samo ryzyko?
4. Problem identyfikacji przyczyn (źródeł) ryzyka
Przyczyny ryzyka potencjalnego
Przyczyny ryzyka zaistniałego
Przyczyny ryzyka brane pod uwagę przez inspektora ochrony danych
5. Jak należy rozumieć prawa lub wolności osób, których dane dotyczą, w kontekście oceny ryzyka?
6. Jaki jest cel i uzasadnienie wprowadzenia regulacji opartej na risk based approach?
7. Czym jest ryzyko naruszenia praw lub wolności osób, których dane dotyczą?
8. Wymogi i "metawymogi"
9. Czy naruszenie wymogu oceny ryzyka stanowi przetwarzanie niezgodne z prawem w rozumieniu RODO?
10. Czy można uzyskać dostęp do dokumentacji oceny ryzyka w ramach dostępu do informacji publicznej?
11. Elementy tła oceny ryzyka Ogólne (wspólne) elementy tła oceny ryzyka
12. Co to jest systematyczny opis operacji przetwarzania danych osobowych?

Rozdział 2. Źródło ryzyka naruszenia praw lub wolności
1. Co może być źródłem ryzyka naruszenia praw lub wolności?
2. Jak identyfikować zagrożenia? Jakie znaczenie ma zidentyfikowanie operacji na danych?
3. Identyfikacja zagrożeń (źródeł ryzyka) metody
4. Przykłady zagrożeń - identyfikacja w ramach naruszeń poszczególnych wymogów
5. Przykłady zagrożeń - identyfikacja dla typowych procesów przetwarzania danych

Rozdział 3. Szacowanie ryzyka naruszenia praw lub wolności
1. Poziom ryzyka naruszenia praw lub wolności jako kombinacja dwóch elementów: prawdopodobieństwa wystąpienia zagrożenia i wagi tego zagrożenia
Źródło czy skutek?
Waga źródła ryzyka czy jego negatywnych skutków?
Jedno zagrożenie - wiele negatywnych skutków. Jaka ocenić parametr wagi ryzyka?
Prawdopodobieństwo wystąpienia zagrożenia czy wystąpienia jego skutków?
Wiele zagrożeń - jedno ryzyko?
Punkt odniesienia szacowania ryzyka. Proces? Operacja? Zagrożenie?
2. Waga ryzyka naruszenia praw lub wolności
3. Prawdopodobieństwo ryzyka
Szacowanie prawdopodobieństwa ryzyka - różne podejścia
Czynniki wystąpienia zagrożenia
Czy można mówić o ryzyku, kiedy jego wystąpienie jest mało prawdopodobne?
Ekspozycja ryzyka a wpływ na prawdopodobieństwo wystąpienia zagrożenia
4. Podejście zagregowane czy cząstkowe - przykłady z metodyk
5. Poziom ryzyka naruszenia praw lub wolności
6. Postępowanie z ryzykiem na określonym poziomie
Obszar niepewności
Możliwe podejścia

Rozdział 4. Wdrożenie środków technicznych lub organizacyjnych (zabezpieczeń)
1. Poziom ryzyka a wdrożenie środków jego redukcji
2. Wątpliwości wynikające z RODO
3. Adekwatna reakcja
4. Stan wiedzy i koszt wdrożenia
5. ENISA - przykład innego podejścia
6. Uwzględnienie obecnych środków i planowanie nowych
7. Środki systemowe i zasada privacy by design

Rozdział 5. Ocena skutków i uprzednie konsultacje
1. Ocena skutków dla ochrony danych i uprzednie konsultacje
2. Kiedy ocena skutków może być wymagana?
3. Wątpliwości
4. Wdrożenie środków mitygujących ryzyko
5. Ocena proporcjonalności i niezbędności
6. Konsultacje IOD
7. Kiedy należy się konsultować z organem nadzorczym?
8. Ustawa o ochronie danych osobowych
9. Realizacja obowiązku i działanie w interesie publicznym

Rozdział 6. Omówienie wpływu wystąpienia zagrożenia na prawa lub wolności osób fizycznych na przykładzie naruszenia zasad ogólnych
1. Jak zmienia się ryzyko w przypadku braku realizacji zasad ogólnych przetwarzania danych osobowych?
2. Które ryzyka w przypadku braku realizacji zasad przetwarzania danych osobowych z art. 5 RODO mogą wpływać bardziej na osoby fizyczne?

Rozdział 7. Wykorzystanie norm ISO przy ocenie ryzyka i doborze środków
1. Możliwość wykorzystania norm ISO
2. Zarządzanie ryzykiem i wdrożenie środków mitygujących ryzyko
3. Bezpieczeństwo i prywatność
4. Bezpieczeństwo i prywatność ISO a NIST

Część 2. Praktyczne przykłady

Praktyczny przykład nr 1. Świadczenie usług drogą elektroniczną, w tym zapłata danymi za usługę

Praktyczny przykład nr 2. Chatbot

Praktyczny przykład nr 3. System do zgłaszania wniosków

Praktyczny przykład nr 4. Wizyty lekarskie

Praktyczny przykład nr 5. Aplikacja mobilna

Praktyczny przykład nr 6. Inteligentne zegarki

Praktyczny przykład nr 7. Aplikacja do monitorowania aktywności

Praktyczny przykład nr 8. System zarządzania wypożyczeniami samochodów

Praktyczny przykład nr 9. Przechowywanie danych w systemach IT

Praktyczny przykład nr 10. Dokumentacja medyczna

Praktyczny przykład nr 11. Zarządzanie flotą

Praktyczny przykład nr 12. Praca zdalna

Praktyczny przykład nr 13. Rekrutacja

Praktyczny przykład nr 14. Metoda analizy ryzyka DAPR - studium przypadku

Bibliografia
O autorach

432 strony, B5, oprawa miękka

Po otrzymaniu zamówienia poinformujemy,
czy wybrany tytuł polskojęzyczny lub anglojęzyczny jest aktualnie na półce księgarni.