Program: I DZIEŃ I. WPROWADZENIE

Transkrypt

1 Program: I DZIEŃ I. WPROWADZENIE 1. Czym są dane osobowe 2. Co to jest zbiór danych osobowych? 3. Różnica między danymi zwykłymi a danymi wrażliwymi, 4. Przesłanki legalności przetwarzania danych osobowych, 5. Podział obowiązków ADO,ABI,ASI. II. USYTUOWANIE ABI W ORGANIZACJI W KONTEKŚCIE NOWYCH UREGULOWAŃ 1. Jak przekonać administratora danych, że ABI to zysk dla firmy? Przed czym uchroni profesjonalny ABI, co oraz ile zyskamy. 2. Kto może pełnić funkcję ABI. Prawnik czy informatyk a może zupełnie kto inny? 3. Czy ASI może być ABI? 4. ABI w hierarchii organizacji. Pierwsze problemy po wejściu w życie zmienionych przepisów. (komu i na jakich zasadach podlegać będzie ABI w ramach organizacji) III. CZY WARTO POWOŁYWAĆ ABI-ego? 1. Wady i zalety posiadania ABI lub braku ABI 2. Alternatywa: powołanie innej funkcji związanej z ochroną danych osobowych np. pełnomocnika lub koordynatora ds. ochrony danych osobowych Warsztaty- jak należy powołać i wskazać zakres obowiązków koordynatora ds. ochrony danych osobowych IV. ABI, ZASTĘPCA ABI A OSOBA NIE WPISANA DO REJESTRU 1. Czy administrator danych, który nie powołał ABI przeprowadza sprawdzenie czy audytuje? Jakie przepisy mają zastosowanie? 2. Jak powołać zastępcę ABI-ego. V. OBOWIĄZKI DLA ADO, KTÓRE NIE POWOŁAŁ ABI-ego VI. POWOŁANIE ABI IMPLIKUJĄCE OGRANICZENIE ZGŁASZANIU ZBIORÓW DO GIODO, W VII. ZADANIA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI 1. Ocena legalności przetwarzania danych osobowych klientów i pracowników. (Kiedy należy pytać o zgodę na przetwarzanie danych osobowych, a kiedy takiej zgody unikać? W jaki sposób ewidencjonować zebrane zgody i sprzeciwy? Jak należy wypełnić obowiązek informacyjny?)

2 Warsztat: opracowanie przykładowego obowiązku informacyjnego. 2. Powierzenie przetwarzania danych osobowych. (Kiedy należy podpisać umowę powierzenia przetwarzania danych osobowych. Udział ABI i jego rola w negocjacjach na co zwracać uwagę. Czy różni się powierzenie od udostępnienia danych osobowych? 3. Przesłanki legalności przetwarzania danych osobowych VIII. ZADANIA ABI-ego NA GRUNCIE ZNOWELIZOWANEJ USTAWY 1. Nadzór nad prawidłowością przetwarzania danych i dokumentacją jak to robić? 2. Zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych szkolenie, czy inne formy? Jeśli tak, to jak i kogo szkolić? Przykładowe testy do szkoleń 3. Prowadzenie rejestru zbiorów danych osobowych. 4. Prowadzenie regularnych audytów wewnętrznych (sprawdzeń). Plan sprawdzeń, jak go przygotować i na co zwrócić uwagę? 5. Raportowanie o nieprawidłowościach do zarządzających organizacją oraz do GIODO (zasady przygotowania sprawozdań) Warsztat: tworzenie wewnętrznego rejestru Warsztat: przygotowywanie wzoru kwartalnego/rocznego planu audytów. Przygotowywanie sprawozdania z przeprowadzanego audytu Warsztat: ustalenie zakresu obowiązków ABI. I X. REALIZACJA OBOWIAZKÓW ABI-ego 1. Sprawdzenia (Audyty) procesorów. Co i jak sprawdzać? 2. Pierwszy plan- od kiedy? 3. Wewnętrzne dokumentowanie przez ABI jego zaleceń wskazywanie ryzyka prawnego, czy decyzja ABI jest ostateczna? 4. Co tak naprawdę ABI wie o organizacji? Czy powinien zostać dopuszczony do wszystkich tajemnic? 5. Zróżnicowanie zadań Administratora Bezpieczeństwa Informacji w zależności od branży. 6. Współpraca z ASI 7. ZMIANY W ZAKRESIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH OD 1 KWIETNIA 2016 ROKU II DZIEŃ I. JAK SKUTECZNIE ZABEZPIECZAĆ DANE OSOBOWE W ZBIORACH NIEINFORMATYCZNYCH? II. WYMAGANIA BEZPIECZEŃSTWA W ZAKRESIE ZABEZPIECZENIA DANYCH OSOBOWYCH W SYSTEMACH INFORMATYCZNYCH I WYTYCZNE DO ICH REALIZACJ

3 III. DODATKOWE ELEMENTY SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM DANYCH OSOBOWYCH DO WYKORZYSTANIA W PLANIE SPRAWDZEŃ ABI-ego 1. Polityka haseł 2. Polityka czystego biurka 3. Procedura zarządzania kluczami 4. Zasady dostępu do pomieszczeń : 5. Komputery przenośne i "praca na odległość" 6. Komputerowe nośniki informacji 7. Kopie bezpieczeństwa 8. Zabezpieczenia przed szkodliwym oprogramowaniem, 9. Zabezpieczenia kryptograficzne, 10. Procedury reagowania na incydenty IV. PRZYKŁADOWA DOKUMENTACJA (UCZESTNICY OTRZYMAJĄ WZORCOWĄ DOKUMENTACJĘ). (JAK JĄ SPORZĄDZIĆ I NA CO ZWRÓCIĆ SZCZEGÓLNĄ UWAGĘ. WYMOGI USTAWY A PRAKTYKA KORPORACYJNA CZY DA SIĘ TO POGODZIĆ?) Warsztat: Obligatoryjne i fakultatywne elementy dokumentacji V. ROLA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI W KONTAKTACH Z GIODO. 1. Jak przygotować się do kontroli GIODO? 2. Jak prowadzić korespondencję z GIODO. Warsztat: symulacja poszczególnych etapów. VI. PODSTAWOWE WYMAGANIA DOTYCZĄCE FUNKCJONALNOŚCI SYSTEMU INFORMATYCZNEGO 1. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym 2. Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej 3. Poziomy bezpieczeństwa VII. PRZETWARZANIE DANYCH PRACOWNIKÓW 1. Obowiązki pracodawcy jako administratora danych osobowych pracownika. 2. Czy pracodawca musi dopełnić obowiązku informacyjnego względem pracownika? Czy zbiory kadrowe należy rejestrować? 3. Jakie dane może posiadać pracodawca? Wykorzystywanie zaawansowanych systemów do ewidencjonowania pracy, identyfikatory służbowe, książki adresowe ze zdjęciami, witryny intranetowe.

4 4. W jakiej formie pracodawca może przetwarzać dane? Czy pracodawca może kserować dokumenty (dowód osobisty, prawo jazdy, aktu urodzenia dziecka, itd.) pracowników? 5. Ochrona wizerunku pracownika w kontekście ustawy o ochronie danych osobowych. 6. Zdjęcia na identyfikatorach 7. Pracodawca użytkownik prawa i obowiązki w obszarze ochrony danych osobowych. 8. Wykorzystywanie danych pracowniczych do celów ustalania przestępstw popełnionych w ramach stosunku pracy 9. Komu i na jakich zasadach wolno udostępnić dane osobowe pracownika? 10. Postępowanie z wnioskami Policji, Prokuratury, urzędów, banków, rodziny o udostępnienie danych osobowych. 11. Przetwarzanie danych osobowych pracowników i ich rodzin w związku ze świadczeniami jakie przysługują u Pracodawcy (ZFŚS). 12. Dane osobowe a ZFŚS,czy dopuszczalne jest żądanie od pracownika przedłożenia rocznego zeznania podatkowego (PIT) w celu wykazania wysokości dochodu, na potrzeby Zakładowego Funduszu Świadczeń Socjalnych? 13. Udzielanie informacji drogą telefoniczną na temat pracowników- najnowsze wytyczne GIODO, 14. Przekazywanie danych osobowych do podmiotów zewnętrznych realizujących świadczenia dodatkowe (prywatna opieka zdrowotna, karty sportowe powierzenie czy udostępnienie danych osobowych). 15. Czy komornik może żądać od pracodawcy nr rachunkowego dłużnika? VIII. OGÓLNE ROZPORZĄDZENIE UNIJNE O OCHRONIE DANYCH OSOBOWYCH 1. Kiedy rozporządzenie stanie się wiążące i jak się do tego przygotować? 2. Bezpośrednie stosowanie ogólnego rozporządzenia do krajowych porządków prawnych, 3. Nowe kategorie danych identyfikatory sieciowe, dane biometryczne w rozporządzeniu unijnym, 4. Nowe mechanizmy certyfikacji, profilowanie, kodeksy postępowań z danymi 5. Nowe przesłanki przetwarzania danych osobowych zwykłych oraz wrażliwych, 6. Nowe zasady realizacji obowiązku informacyjnego 7. Obowiązek informacyjny porównanie treści obowiązku informacyjnego z ustawy o ochronie danych osobowych oraz w rozporządzeniu, 8. Zasada ochrony danych osobowych na etapie projektowania tzw. privacy by design 9. Obowiązek informacyjny porównanie treści obowiązku informacyjnego z ustawy o ochronie danych osobowych oraz w rozporządzeniu Warsztaty- prawidłowa treść obowiązku informacyjnego, 10. Współ-administratorzy czyli wspólne operacje przetwarzania danych osobowych przez kilku administratorów, 11. kary finansowe za naruszenie zasad ochrony danych osobowych IX. DATA PROTECTION OFICER (DPO) CZYLI INSPEKTOR OCHRONY DANYCH OSOBOWYCH PO ZMIANACH

5 1. Status prawny inspektora ochrony danych 1. Fakultatywność oraz obligatoryjność powołania Inspektora (DPO) 2. Powołanie oraz odwołanie inspektora ochrony danych 3. Nowe zadania inspektora ochrony danych 4. Profilowanie 5. Współpraca w sprawach ochrony danych osobowych X. PRZYKŁADY ORZECZNICTWA I DOBRE PRZYKŁADY X I. PRZEPISY SEKTOROWE W PYTANIACH I ODPOWIEDZIACH: 1. Czy rozsyłanie "rozdzielników" do uczestników postępowań administracyjnych nie narusza przepisów ustawy o ochronie danych osobowych? 2. Czy komornik jest uprawniony do tego, aby otrzymać numer rachunku bankowego dłużnika od jego pracodawcy? 3. Czy gońcy, czyli pracownicy urzędu miasta doręczający korespondencję urzędową muszą posiadać, nadane przez administratora, upoważnienie do przetwarzania danych osobowych? 4. Czy urząd stanu cywilnego, powołując się na ochronę danych osobowych, może odmówić mi wydania odpisów z aktów stanu cywilnego dotyczących członków mojej rodziny, jeśli swoją prośbę uzasadniam potrzebą załączenia ich do akt sprawy sądowej? 5. Czy szkoła posiadająca rejestr uczniów realizujących obowiązek szkolny w innych szkołach powinna zgłosić taki zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych?Czy dyrektor przedszkola ma obowiązek zgłaszać Generalnemu Inspektorowi Ochrony Danych Osobowych zbiory danych rodziców przedszkolaków? Czy biblioteki prowadzone przez szkoły podlegają obowiązkowi zgłoszenia zbiorów do rejestracji Generalnego Inspektora Ochrony Danych Osobowych?Czy, ze względu na fakt, że w zbiorze danych pracowników znajdują się, poza danymi osobowymi pracowników, również informacje dotyczące członków ich rodzin (małżonków i dzieci), pracodawca ma obowiązek zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osób u niego zatrudnionych? 6. Czy obowiązek rejestracji dotyczy administratorów wykorzystujących dane pracowników (obecnych i byłych), a także kandydatów do pracy i innych osób świadczących na rzecz administratora usługi na podstawie umów zlecenia, czy umów o dzieło? 7. Czy gmina powinna zgłosić zbiór danych prowadzony w ramach Elektronicznego Krajowego Systemu Monitoringu Orzekania o Niepełnosprawności? 8. Czy zgodne z ustawą jest wywieszanie w budynku sądu wokand, zawierających dane osobowe osób biorących udział w postępowaniu

6 sądowym? 9. Czy dopuszczalne jest żądanie od pracownika przedłożenia rocznego zeznania podatkowego (PIT) w celu wykazania wysokości dochodu, na potrzeby Zakładowego Funduszu Świadczeń Socjalnych? 10. Czy spółka jest zobowiązana do zarejestrowania księgi udziałów oraz księgi akcyjnej? 11. Czy pracownicy urzędów gmin i starostw powiatowych mogą udzielać instytucjom, firmom i osobom prywatnym takich informacji dotyczących danych osobowych radnych, jak: imię, nazwisko, adres, telefon kontaktowy radnego? Czy urzędnicy mogą pobierać opłaty za udzielanie tych informacji? 12. Czy dostawca usług telekomunikacyjnych oraz bank może kserować dowody osobiste swoich klientów oraz potencjalnych klientów? 13. Czy starosta może odmówić udostępnienia z prowadzonej ewidencji pojazdów numeru rejestracyjnego i numeru VIN pojazdu należącego do konkretnej osoby na potrzeby złożenia wniosku o zabezpieczenie roszczenia w postępowaniu cywilnym? 14. Czy pracownicy urzędów gmin i starostw powiatowych mogą udzielać instytucjom, firmom i osobom prywatnym takich informacji dotyczących danych osobowych radnych, jak: imię, nazwisko, adres, telefon kontaktowy radnego? Czy urzędnicy mogą pobierać opłaty za udzielanie tych informacji? 15. Czy w Biuletynie Informacji Publicznej (BIP) można opublikować oświadczenia majątkowe radnych zawierające adresy ich zamieszkania? 16. Czy wynikający z art. 27 c ustawy o samorządzie województwa obowiązek złożenia oświadczenia majątkowego wraz z kopią zeznania o wysokości osiągniętego dochodu (PIT), w sytuacji, gdy opodatkowaniu podlegały łącznie dochody obojga małżonków, a powyższy obowiązek spoczywa jedynie na jednym z nich, nie narusza przepisów ustawy o ochronie danych osobowych? 17. Czy jednostka wykonujących zadania pomocy społecznej może udostępnić kuratorowi sądowemu dane osobowe osób korzystających z ich opieki? 18. Czy zbiory danych zawierające podania o pracę powinny zostać zarejestrowane u Generalnego Inspektora Ochrony Danych Osobowych? XII. REKAPITULACJA I KONSULTACJE PRAWNE Uczestnicy szkolenia otrzymają w formie elektronicznej wszystkie nowe, niezbędne wzory prawem wymaganej dokumentacji oraz wzory planu sprawdzeń, sprawozdań, wewnętrznego rejestru, przykładowe wystąpienia GIODO do ABI-ego i wielu innych.