Global Information Security sp. z o.o.

Transkrypt

1 Global Information Security sp. z o.o. Holistyczne Zarządzanie Informacją bezpieczeństwo informacji zarządzanie ryzykiem ochrona danych osobowych optymalizacja procesów biznesowych Zapraszamy na warsztaty Akademia ABI: Akademia ABI Praktyczne warsztaty pełnienia funkcji ABI Akademia obejmuje cykl 6 jednodniowych spotkań. Pierwsze spotkanie 22 września 2015 r. w Warszawie Terminy spotkań: 22 i 29 września, 6, 13, 20 i 27 października. Akademia poświęcona jest praktycznemu przygotowania Państwa do pełnienia funkcji ABI. W trakcie Akademii szczególna uwaga zostanie położona na dokonywanie sprawdzeń oraz prowadzenia jawnego rejestru zbiorów danych osobowych. Otrzymają Państwo wzorce dokumentów potrzebnych ABI do wykonywania swoich zadań, w tym wzorce dokumentacji, na których będą Państwo pracować. Przykładowo w takcie warsztatów będą mogli Państwo opracować dokumentację. Dokumentacja opracowana na podstawie wzorów była wielokrotnie weryfikowana przez GIODO i nigdy nie było zastrzeżeń co do prawidłowości jej opracowania. W trakcie Akademii zostaną poruszone również zagadnienia zgodnego z prawem prowadzenia działań marketingowych, oraz konstrukcji zgód koniecznych podczas ich prowadzenia. W trakcie trwania Akademii zaprosimy Państwa na krótką prezentację naszego innowacyjnego systemu HPMS, który wspiera pracę ABI, w tym generuje i pomaga utrzymać aktualność dokumentacji ochrony danych osobowych (Polityka Bezpieczeństwa Danych Osobowych i Instrukcja Zarządzania Systemem Informatycznym) oraz wspiera prowadzenie rejestru zbiorów danych osobowych. Po warsztatach mają Państwo prawo do 2godzin indywidualnych konsultacji. Przed każdym spotkaniem otrzymacie Państwo materiały do samodzielnej pracy oraz informacje jakie dokumenty należy przywieźć ponieważ będą przydatne do ćwiczeń. W trakcie warsztatów będziemy odpowiadać na Państwa pytania. Na warsztaty zapraszamy szczególnie: - Administratorów Bezpieczeństwa Informacji - Osoby przygotowujące się do pełnienia tej funkcji - Właścicieli firm - Prezesów zarządów - Kierowników jednostek organizacyjnych - Osoby z działów prawnych zajmujące się ochroną danych osobowych w swojej firmie/ instytucji Global Information Security sp. z o.o. ul. Królowej Jadwigi 7 lok. 16 Telefon (22) Wołomin Fax (22) NIP Telefon komórkowy gis@globinfosec.pl wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m.st. Warszawy, XIV Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS ; Kapitał zakładowy: PLN

2 Prowadzący mają wieloletnią praktykę w pełnieniu funkcje ABI: - Barbara Pióro, Ekspert ds. przetwarzania danych osobowych, - Marek Pióro CISA, CISM, CGEIT, CRISC, audytor - Luiza Działowska, trener, audytor Zajęcia będą się odbywały w grupach nie przekraczających 15 osób. INFORMACJE ORGANIZACYJNE Ilość godzin dydaktycznych: 48 godzin Zapytania dotyczące zgłoszeń grupowych lub organizacji warsztatów zamkniętych prosimy kierować na adres gis@globinfosec.pl Agenda I zjazd 22 września 2015 r. Czas Tematyka Zagadnienia Przepisy prawa dotyczące przetwarzania i ochrony danych osobowych w przedsiębiorstwie/instytucji 1. cd. Przepisy prawa dotyczące przetwarzania i ochrony danych osobowych w przedsiębiorstwie/instytucji 2. Przesłanki przetwarzania danych osobowych: 1) zgoda, 2) przepis prawa 3) umowa 4) cele publiczne 5) usprawiedliwiony cel Administratora Danych. 3. Jakie są skutki oparcia przetwarzania danych jedynie na przesłance zgody Powierzenie przetwarzania danych osobowych 1. Akty prawne, które trzeba przeczytać przed tą częścią kursu: a) Ustawa o ochronie danych osobowych, b) Artykuł 51 Konstytucji RP c) Ustawa o świadczeniu usług droga elektroniczną d) Kodeks Pracy e) Kodeks cywilny f) Prawo telekomunikacyjne g) Ustawy szczególne (dostosowane do grupy uczestników): 2. Definicje terminów ustawowych i pojęcia, w tym w szczególności: a) dane osobowe, b) dane wrażliwe, c) przetwarzanie danych 1. cd. Definicje terminów ustawowych i pojęcia, w tym w szczególności: a) Administrator Danych Osobowych, b) Administrator Bezpieczeństwa Informacji, kto może być ABI c) Osoba upoważniona do przetwarzania danych osobowych, d) odbiorcy danych, e) obowiązek informacyjny, f) dobra osobiste g) przedsiębiorca h) zgoda 2. Jakie są skutki oparcia przetwarzania danych jedynie na przesłance 1. Konstrukcja umowy powierzenia przetwarzania danych osobowych

3 Weryfikacja zapisów w umowach przywiezionych 1. Możliwość powołania ABI przez ADO 2. Obowiązki Administratora Danych oraz Administratora Bezpieczeństwa Informacji 1. cd. Obowiązki Administratora Danych oraz Administratora Bezpieczeństwa Informacji 2. Cechy danych przetwarzanych zgodnie z prawem. W szczególności poufność, integralność, dostępność, rozliczalność działań użytkowników w systemach informatycznych, ustalony poziom dopuszczalnego ryzyka. 2. Kiedy jest wymagane zawarcie umowy 3. Obowiązki procesora 4. Przykłady powierzenia - Rodzaje umów dodatkowe klauzule: a) Działania marketingowe b) Badania rynku c) Pozyskiwanie leadów d) Budowa systemów, wsparcie IT e) Windykacja f) Prowadzenie księgowości i kadr 5. Zakup bazy danych II zjazd 29 września 2015 r. 1. Możliwość powołania ABI przez ADO a) Czy ABI jest potrzebny? b) Tryb powołania ABIego c) Miejsce ABI w strukturze organizacyjnej d) Kogo powołać na ABI? e) Własny pracownik czy firma zewnętrzna f) Czego wymagać od ABI? g) Samodzielny etat ABI, czy łączenie z innymi funkcjami w firmie? h) Budżet na ochronę danych osobowych, a budżet ABI i) Współpraca ABI z ADO 2. Obowiązki Administratora Danych: a) Pozyskiwanie danych w oparciu o jedną z przesłanek dopuszczalności przetwarzania danych b) Obowiązek informacyjny w przypadku zbierania danych osobowych od osoby, której one dotyczą c) Obowiązek informacyjny w przypadku zbierania danych osobowych nie od osoby, której one dotyczą d) Dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą 3. Definicje terminów ustawowych i pojęcia: a) usuwanie danych 1. cd. Obowiązki Administratora Danych: a) Niedopuszczenie do ostatecznego rozstrzygnięcia indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym wymagania dla systemów informatycznych b) Niedopuszczenie do przetwarzania danych wrażliwych w przypadku braku przynajmniej jednej przesłanki legalizacyjnej (omówione powyżej) c) Udostępnianie posiadanych w zbiorze danych d) Przekazywanie danych e) Umożliwienie każdej osobie do wykorzystania przysługującego jej prawa do kontroli

4 przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych f) Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić odnośnie jej danych osobowych informacji, a zwłaszcza wskazać w formie zrozumiałej odnośnie danych osobowych jej dotyczących g) Uzupełnianie, uaktualnianie, prostowanie, czasowe lub stałe wstrzymanie przetwarzania kwestionowanych danych lub usunięcie ze zbioru h) Informowanie bez zbędnej zwłoki innych administratorów, którym Administrator Danych udostępnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych i) Zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych j) Wymagania stawiane systemom informatycznym k) Prowadzenie dokumentacji (Polityka Bezpieczeństwa Danych Osobowych i Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych) opisującej sposób przetwarzania danych osobowych oraz środków techniczne i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych (omówione później) l) Dopuszczenie do przetwarzania danych wyłącznie osoby posiadające upoważnienie do przetwarzania danych osobowych nadane przez Administratora Danych (omówione powyżej) m) Zapewnienie kontroli nad tym jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane n) Prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych (omówione powyżej) o) Przekazywanie danych osobowych do państwa trzeciego p) Umożliwienie inspektorowi GIODO przeprowadzenia kontroli (omówione później) q) Zgłaszanie zbiorów danych do GIODO lub powołanie ABI i powierzenie mu prowadzenia jawnego rejestru zbiorów danych osobowych. r) Przeprowadzanie nadzoru nad przestrzeganiem zasad ochrony danych osobowych (omówione później) s) Dokonywanie sprawdzeń (omówione później) t) Szkolenia pracowników zapoznawanie osób z przepisami prawa 2. Definicje terminów ustawowych i pojęcia: a) system informatyczny, b) prawo do informacji, c) sprzeciw wobec przetwarzania danych osobowych

5 Obowiązki Administratora Bezpieczeństwa Informacji 2. Wydawanie upoważnień i prowadzenie ewidencji osób upoważnionych Sprawdzenie wykonania zadań, omówienie problemów Polityka 3. poufność, integralność, dostępność, rozliczalność działań użytkowników w systemach informatycznych 1. Obowiązku ABI: a) Nadzór nad przestrzeganiem zasad ochrony danych osobowych oraz nad dokumentacją (szczegółowo omówione dalej) b) Czy tylko nadzór? c) Obowiązki ustawowe, a zadania nałożone przez ADO d) Zaznajamianie pracowników z zasadami przetwarzania danych osobowych (omówione powyżej) e) Prowadzenie jawnego rejestru zbiorów danych osobowych (szczegółowo omówione dalej) f) Sporządzanie planów sprawdzeń g) Przeprowadzanie sprawdzeń (szczegółowo omówione dalej) h) Jak często przeprowadzać sprawdzenia? i) Dokumentowanie sprawdzeń j) Pisanie sprawozdań (szczegółowo omówione dalej) k) Informowanie ADO o naruszeniach przetwarzania danych osobowych (szczegółowo omówione dalej) l) Napominanie i pouczanie pracowników (szczegółowo omówione dalej) 2. Wydawanie upoważnień do przetwarzania danych osobowych a) Kto wydaje upoważnienia b) Wzór upoważnienia 3. prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych a) ewidencja scentralizowana b) ewidencja w architekturze rozproszonej c) wady i zalety III zjazd 6 października 2015 r. 1. Podstawy prawne a) Ustawa o ochronie danych osobowych b) Rozporządzenie (Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych) 2. Polityka Bezpieczeństwa Ochrony Danych Osobowych a) Zakres stosowania

6 cd. Polityka 2. Instrukcja 1. cd. Instrukcja 2. Uchwałą (Zarządzenie) przyjęcia i wdrożenia dokumentacji 3. Aktualizacja dokumentacji (np. po wykonaniu sprawdzenia) b) Sposób przechowywania, udostępniania i modyfikacji c) Obszary, w których są przetwarzane dane osobowe d) Wykaz zbiorów danych osobowych wraz z programami stosowanymi do ich przetwarzania e) Opisy struktury zbiorów danych f) Sposoby przepływu danych pomiędzy poszczególnymi systemami informatycznymi 3. cd. Polityka Bezpieczeństwa Ochrony Danych Osobowych a) Środki ochrony fizycznej danych b) Środki sprzętowe, informatyczne i telekomunikacyjne c) Środki ochrony w ramach oprogramowania urządzeń teletransmisji d) Środki ochrony w ramach oprogramowania systemów e) Środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych f) Środki ochrony w ramach systemu użytkowego g) Środki organizacyjne 4. Instrukcja Zarządzania Systemami Informatycznymi a) Zakres stosowania b) Sposób przechowywania, udostępniania i modyfikacji c) Osoby odpowiedzialne d) Procedury nadawania uprawnień do przetwarzania danych e) Rejestrowanie uprawnień do przetwarzania danych w systemie informatycznym 1. cd. Instrukcja Zarządzania Systemami Informatycznymi a) Stosowane metody i środki uwierzytelniania b) Procedury związane z zarządzaniem i użytkowaniem stosowanych metod i środków uwierzytelnienia c) Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania d) Sposób, miejsce i okres przechowywania elektronicznych nośników informatycznych zawierających dane osobowe e) Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego f) Sposób realizacji wymogów o których mowa w 7 ust. 1 pkt. 4 Rozporządzenia g) Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych h) Zastosowane środki bezpieczeństwa

7 - Sprawdzenie wykonania zadań, omówienie problemów Prezentacja HPMS IV zjazd 13 października 2015 r. HPMS - System Zarządzania Dokumentacją wymaganą przepisami prawa 1) Cele implementacji systemu 2) Wymagania systemu (opis techniczny) 3) Architektura systemu 4) Funkcje i możliwości systemu Wykonywanie sprawdzeń przez ABI 2. Uprawnienia GIODO Prowadzenie jawnego rejestru zbioru danych Sprawdzenie wykonania zadań, omówienie problemów Prowadzenie działań marketingowych Zgody 1. Nadzór i monitorowanie ochrony danych osobowych a) Sprawdzenia planowe b) Sprawdzenia doraźne c) Na zlecenie GIODO d) Działania poza sprawdzeniami 2. Nowe uprawnienia GIODO. 3. Jak wymóc na pracownikach przestrzeganie przepisów? 4. Informowanie ADO o naruszeniach 5. Kiedy przeprowadzać sprawdzenia ad hoc? 6. Dowody zbierane w trakcie sprawdzenia 7. Sprawozdanie ze sprawdzenia. 8. Omówienia procesów biznesowych problemy, zagadnienia na które zwrócić uwagę 9. Prawo do kontroli i wystąpień 1. Prowadzenie jawnego Rejestru zbiorów danych osobowych w formie elektronicznej i / lub papierowej, którą formę wybrać 2. Jakie zbiory nie podlegają ujawnieniu w rejestrze 3. Nowe zwolnienie z rejestracji. 4. Wymagania dla rejestru 5. Zmiany w rejestrze 6. Udostępnianie rejestru 7. Definicje terminów ustawowych i pojęcia: a) zestaw danych, b) zbiór danych V zjazd 20 października 2015 r. 1. Przepisy prawa regulujące prowadzenie działań marketingowych 2. Omówienie pojęć: a) Informacja handlowa b) Automatyczne systemy wywołujące c) Oznaczony odbiorca

8 cd. Prowadzenie działań marketingowych cd. Prowadzenie działań marketingowych Powtórka sprawdzenie wykonania zadań, omówienie problemów HPMS inne moduły Przekazywanie danych do państwa trzeciego. Wiążące reguły korporacyjne Odpowiedzialność cywilna i karna Administratora Danych i Administratora Bezpieczeństwa Informacji oraz pracowników ADO Sprawdzenie wykonania zadań, omówienie problemów d) Uprzednia zgoda 3. Opinie grupy roboczej art Wyroki WSA i NSA 1. Jak poruszać się pomiędzy różnymi przepisami regulującymi kwestie zgód (Prawo Telekomunikacyjne, Ustawa o świadczeniu usług drogą elektroniczną, Ustawa o ochronie danych osobowych) 2. Jak prawidłowo zebrać zgody marketingowe od klientów 3. Jakich zgód potrzebujemy przy wykorzystywaniu poszczególnych kanałów komunikacji (np. telefon, poczta , voic ) 4. Co oznacza uprzednia zgoda 1. Jak zebrać zgody od osób na potrzeby realizowanych celów marketingowych, aby nie ponieść nadmiernych kosztów 2. Jak komunikować się z osobami, które sądzą, że złamaliśmy prawo, tak, aby nie doszło do skargi w GIODO, UOKiK, UKE 3. Co możemy zrobić jeśli do takiej skargi dojdzie 4. Procedura odwołania zgody na marketing 5. Jakie są sankcje za wysyłanie marketingu bez zgody klienta VI zjazd 27 października 2015 r. 1. Zasady przekazywania danych do państwa trzeciego 2. standardowe klauzule umowne 3. Wiążące reguły korporacyjne 4. Definicje terminów ustawowych i pojęcia: a) państwo trzecie 1. Rodzaje odpowiedzialności: a) Administracyjna b) Karna c) Cywilna d) Dyscyplinarna 2. Egzekucja administracyjna: a) grzywna w celu przymuszenia b) wykonanie zastępcze

9 Każdy uczestnik otrzyma materiały szkoleniowe, które obejmują w szczególności: 1. Przykładowy Plan sprawdzeń 2. Wzór notatki służbowej oraz przykładową jej treść 3. Przykładowy Rejestr zbiorów danych osobowych 4. Wzór upoważnienia do przetwarzania danych osobowych 5. Wzór umowy powierzenia przetwarzania danych osobowych 6. Przykładowe prowadzenie ewidencji osób upoważnionych 7. Wzorce polityki bezpieczeństwa danych osobowych i Instrukcji zarządzania systemem informatycznym 8. Decyzję Komisji z dnia 15 czerwca 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, na mocy dyrektywy 95/46/WE (2001/497/WE) oraz 9. Decyzję Komisji z dnia 27 grudnia 2004 r. zmieniająca decyzję 2001/497/WE w zakresie wprowadzenia alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich (2004/915/WE) 10. Decyzję Komisji z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (2010/87/UE) 11. Aktualną treść ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz ze zm.) 12. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. poz. 1934) 13. Rozporządzenie MAiC z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. poz. 745) 14. Rozporządzenie MAiC z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. poz. 719) 15. Informację dotyczącą Systemu HPMS (Holistic Privacy Management System), narzędzie dla Administratora Danych i ABI (Administratora Bezpieczeństwa Informacji)