Kancelaria Prawnicza Lex Artist Ul. Oświatowa 14/8 01-366 Warszawa Tel. +48 22 253 28 18 e-mail: kontakt@lex-artist.pl Certyfikowany kurs dla Administratorów Bezpieczeństwa Informacji (ABI) Temat Szczegółowe zagadnienia Dlaczego ochrona jest ważna? - historia i przyczyny wprowadzenia uregulowań prawnych związanych z ochroną ; Nurtujące pytania dotyczące zagadnień związanych z danymi osobowymi -w jakich aktach prawnych można znaleźć na nie odpowiedzi? - źródła prawa; Czym są dane osobowe? Czy m.in. adres IP, adres e-mail, numer telefonu są uznawane za dane osobowe? - pojęcie ; Czym są zbiory? - czy baza w systemie informatycznym, informacje przechowywane w segregatorach, teczkach, zbiór kontaktów w telefonie, Zagadnienia ogólne wizytownik na biurku są zbiorami? Czy i w jakich przypadkach pozyskiwanie może prowadzić do wystąpienia z roszczeniem o naruszenie dóbr osobistych? dane osobowe a dobra osobiste; Witam, jak zdrowie? - dane zwykłe a dane wrażliwe; Przetwarzanie czyli co? Czy ujawnienie informacji o charakterze w rozmowie/ przeczytanie / samo wydrukowanie dokumentów będzie przetwarzaniem? - pojęcie przetwarzania ; Warsztat: uczestnicy rozstrzygają czy w konkretnych przypadkach otrzymane informacje stanowią dane osobowe, czy dokonują procesów przetwarzania, czy znajdują zastosowania przepisy ustawy o ochronie?
Kiedy w organizacji dochodzi do procesów przetwarzania? - charakterystyka ogólna procesów przetwarzania ; Kto pomoże rozwiązać problem dotyczący przetwarzania? o rola i obowiązki ABI w strukturze organizacyjnej Przetwarzanie w praktyce Administratora Danych, o rola i obowiązki ASI w strukturze organizacyjnej Administratora Danych, o komunikacja między osobami przetwarzającymi dane osobowe; Czy wszelkie procesy na prowadzone są zgodnie z prawem? przedstawienie propozycji rozwiązań zwiększających bezpieczeństwo prawne administratora. zasada adekwatności, kiedy można zbierać (np. od klienta) tak szczegółowe Zakres które można zbierać od osób fizycznych dane jak np. numer PESEL, numer dowodu osobistego, itd. w jakich sytuacjach można zbierać dane wrażliwe od klientów i pracowników; jakie warunki należy spełnić aby przetwarzać wizerunek klientów (np. wykorzystywanie wizerunku w celu prowadzenia kampanii marketingowej); Przesłanki legalności przetwarzania kiedy można przetwarzać dane klientów i pracowników? omówienie podstaw prawnych umożliwiających przetwarzanie : - zgoda na przetwarzanie - przepis prawa - prawnie usprawiedliwiony cel - realizacja umowy 2
- dobro publiczne dopasowanie konkretnych podstaw prawnych do zbierania od: pracowników, klientów, potencjalnych klientów (działalność marketingowa); jak prawidłowo sformułować zgodę na przetwarzanie? Warsztat; w jakich sytuacjach można przetwarzać dane osobowe klientów bez uzyskania zgody na przetwarzanie ; w jakich sytuacjach dopuszczalne jest kserowanie lub skanowanie dowodów osobistych klientów; Jakie prawa mają osoby których dane są przetwarzane i jakie wynikają z tego obowiązki dla Administratora Danych? Prawa osób których dane są przetwarzane o Tu jest błąd! - prawo do uaktualnienia/ sprostowania, o Nie zgadzam się! - sprzeciw wobec przetwarzania, o Chcę wiedzieć - obowiązek informacyjny, praktyczne sposoby rozwiązywania konfliktów związanych z przetwarzaniem. Na kim ciąży obowiązek zgłoszenia zbioru do GIODO? rola administratora w procesie rejestracji zbiorów u GIODO; Rejestrowanie baz u GIODO Na jakiej podstawie rejestrujemy zbiory i kiedy należy zgłosić zbiór do rejestracji?- analiza podstawy prawnej; Co zrobić gdy nastąpi zmiana przetwarzanych w zarejestrowanym zbiorze/ zaprzestanie ich 3
przetwarzania? obowiązek informowania GIODO o zmianach w zbiorze, wniosek o dokonanie zmiany w zbiorze Których zbiorów nie trzeba rejestrować? ustawowe zwolnienia z obowiązku rejestracji; Kiedy GIODO odmawia rejestracji zbioru? Jakie są sankcje za niedopełnienie obowiązku zgłoszenia zbioru do rejestracji? odpowiedzialność wynikająca z art. 53 UODO; Czy GIODO wydaje certyfikaty? zaświadczenie GIODO o zarejestrowaniu zbioru. Warsztat w zakresie wypełniania zgłoszenia rejestracyjnego do GIODO. Czy kasa pancerna i sejf są niezbędne? sposoby zgodnego z ustawą zabezpieczenia na terenie Zabezpieczenie przetwarzanych w wersji elektronicznej oraz papierowej Odpowiedzialność prawna administratora oraz siedziby administratora ogólne zagadnienia; o środki zabezpieczenia przetwarzanych w wersji papierowej, o systemy informatyczne a przetwarzanie, Czy system informatyczny przetwarzający dane osobowe spełnia wymogi wskazane w przepisach prawa? - zabezpieczenie przetwarzanych w wersji elektronicznej m. in.: loginy, hasła, wygaszacze ekranów oraz pozostałe środki zabezpieczenia przetwarzanych w systemach informatycznych. Kto może kontrolować zgodność procesów przetwarzania z przepisami prawa? rola GIODO: o uprawnienia GIODO w razie wykrycia nieprawidłowości w przetwarzaniu 4
pracowników, o kontrole GIODO, praktyczne sposoby przygotowania się do kontroli, o interpretacja przepisów prawnych przez GIODO; Co może grozić podmiotom przetwarzającym dane osobowe w sposób niezgodny z przepisami prawa? o odpowiedzialność cywilnoprawna administratora i pracowników, o odpowiedzialność administracyjna administratora, o odpowiedzialność karna administratora i pracowników. Jaki jest cel wprowadzania kolejnych dokumentów i procedur? wskazanie na funkcjonalność, Jakie dokumenty powinny być wdrożone? Dokumentacja wymagana przez ustawę o ochronie o polityka bezpieczeństwa, o instrukcja zarządzania systemem informatycznym, o upoważnienia dla pracowników, o umowy powierzenia przetwarzania, o protokoły z niektórych czynności, np. niszczenia nośników, Poradnik wskazówki dotyczące opracowywania dokumentacji. Konsultacje prawne Dyskusja; Odpowiedzi na dodatkowe pytania uczestników. Czas trwania szkolenia: 8 godzin 5