Kancelaria Lex Artist Ul. Oświatowa 14/8 01-366 Warszawa Tel. +48 22 253 28 18 e-mail: kancelaria@lex-artist.pl OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI ZAKRES DZIAŁAŃ SZCZEGÓŁOWE DZIAŁANIA W jakich aktach prawnych można znaleźć odpowiedzi na pytania związane z ochroną osobowych? źródła prawa; Nowelizacja przepisów z zakresu ochrony osobowych Nowelizacja Ustawy o ochronie osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne: o przyczyny nowelizacji; o główny kierunek zmian; Perspektywa zmian w prawie ochrony osobowych na gruncie europejskim; o główne cele reformy; o obszar zmian, m.in.: prawo do bycia zapomnianym; Czym są dane osobowe? Czy m.in. adres e-mail, numer telefonu są uznawane za dane osobowe? - pojęcie Różnice między danymi zwykłymi a danymi wrażliwymi; Zagadnienia ogólne Warsztat: uczestnicy rozstrzygają czy w konkretnych przypadkach otrzymane informacje stanowią dane osobowe. Istota zbioru. Czy baza w systemie informatycznym, informacje przechowywane w segregatorach, teczkach są zbiorami? Pojęcie przetwarzania osobowych. Czy ujawnienie Kancelaria Lex Artist Ul. Oświatowa 14/8 01-366 Warszawa tel. +48 22 253 28 18 e-mail: kancelaria@lex-artist.pl http://www.lex-artist.pl REGON: 141235395 NIP:522-267-65-39 BRE Bank S.A. 62 1140 2004 0000 3602 5030 0372
informacji o charakterze osobowych w rozmowie, przeczytanie, samo wydrukowanie dokumentów będzie przetwarzaniem? Warsztat: uczestnicy wskazują czy w konkretnych sytuacjach mamy do czynienia z przetwarzaniem osobowych. Kto pomoże rozwiązać problem dotyczący przetwarzania osobowych? o rola i obowiązki ABI w strukturze organizacyjnej Administratora Danych; o rola i obowiązki ASI w strukturze organizacyjnej Administratora Danych; Podmiotowa struktura ochrony osobowych Komunikacja między osobami przetwarzającymi dane osobowe; Jak zmieniają się rola i obowiązki osób odpowiedzialnych za prawidłowość procesu przetwarzania osobowych w świetle nowelizacji? o ustawowe zadania ABI; o zdefiniowanie pozycji ABI; o rejestr ABI; Warsztat: uczestnicy wskazują czy w danym przypadku doszło do przetwarzania osobowych zgodnie z UODO. Przesłanki legalności przetwarzania Filary bezpiecznego systemu ochrony Kiedy można przetwarzać dane obywateli i pracowników? Omówienie podstaw prawnych umożliwiających przetwarzanie osobowych: 2
osobowych - zgoda na przetwarzanie - przepis prawa; - prawnie usprawiedliwiony cel; - realizacja umowy; - dobro publiczne; Jak prawidłowo sformułować zgodę na przetwarzanie osobowych? W jakich sytuacjach można przetwarzać dane osobowe bez uzyskania zgody na przetwarzanie osobowych? Czy dopuszczalne jest kserowanie lub skanowanie dowodów osobistych obywateli? Warsztat: Jak powinna wyglądać prawidłowa klauzula zgody. Warunki pozyskiwania bezpośrednio (od osób, których dane dotyczą) oraz pośrednio (nie od osób, których dane dotyczą); Okres przechowywania obywateli i pracowników Zakres które można zbierać od osób fizycznych jednostki; Zasada adekwatności; Kiedy można zbierać tak szczegółowe dane jak np. numer PESEL, numer dowodu osobistego, itd. W jakich sytuacjach można zbierać dane wrażliwe; Jakie warunki należy spełnić aby przetwarzać wizerunek zgodnie z prawem (np. zamieszczenie wizerunku 3
pracownika na stronie internetowej); Analiza najnowszych orzeczeń dot. ochrony Jakie prawa mają osoby których dane są przetwarzane i jakie wynikają z tego obowiązki dla Administratora Danych? o Tu jest błąd! - prawo do uaktualnienia/ sprostowania o Nie zgadzam się! - sprzeciw wobec przetwarzania Prawa osób których dane są przetwarzane osobowych kiedy osoba, której dane są przetwarzane może go zastosować, jak zareagować w przypadku jego wniesienia; o Chcę wiedzieć - obowiązek informacyjny o czym i w jakich sytuacjach jednostka ma obowiązek informować osoby, których dane przetwarza; Praktyczne sposoby rozwiązywania konfliktów związanych z przetwarzaniem Zabezpieczenie osobowych przetwarzanych w wersji elektronicznej oraz papierowej Czy kasa pancerna i sejf są niezbędne? Sposoby zgodnego z Ustawą zabezpieczenia osobowych na terenie siedziby Administratora Danych ogólne zagadnienia; o środki zabezpieczenia osobowych przetwarzanych w wersji papierowej; o systemy informatyczne a przetwarzanie 4
Czy system informatyczny przetwarzający dane osobowe spełnia wymogi wskazane w przepisach prawa? zabezpieczenie osobowych przetwarzanych w wersji elektronicznej m. in.: loginy, hasła, wygaszacze ekranów oraz pozostałe środki zabezpieczenia osobowych przetwarzanych w systemach informatycznych; Kto może kontrolować zgodność procesów przetwarzania osobowych z przepisami prawa? Rola GIODO: o kontrole GIODO praktyczne sposoby przygotowania się do kontroli; o uprawnienia GIODO w razie wykrycia nieprawidłowości w przetwarzaniu Generalny Inspektor Ochrony Danych Osobowych o interpretacja przepisów prawnych przez GIODO; Nowelizacja UODO nowe kompetencje GIODO: o prowadzenie rejestru ABI; o zwrócenie się do ABI o przeprowadzenie sprawdzenia zgodności przetwarzania osobowych z przepisami ochrony Obowiązki i uprawnienia podmiotu kontrolowanego; Warsztat: kompetencje GIODO. Dokumentacja z zakresu ochrony Jaki jest cel wprowadzania kolejnych dokumentów i procedur? wskazanie na funkcjonalność; 5
osobowych Jakie dokumenty powinny zostać wdrożone? o polityka bezpieczeństwa; o instrukcja zarządzania systemem informatycznym; o upoważnienia dla pracowników; o umowy powierzenia przetwarzania o protokoły z niektórych czynności, np. niszczenia nośników Rola Administratora Danych w procesie rejestracji zbiorów przez GIODO; Podstawa prawna rejestracji zbiorów i ustawowe zwolnienia z obowiązku rejestracji; Zmiany w przepisach dotyczących obowiązku rejestracyjnego powołanie ABI-ego a obowiązek rejestracyjny; Rejestrowanie baz u GIODO Warsztat: konfrontacja przepisów prawa z praktyką; uczestnicy wskazują, które ze zbiorów podlegają obowiązkowi zgłoszenia do GIODO na podstawie art. 40 UODO, a które są z tego obowiązku zwolnione zgodnie z art. 43 ust. 1 UODO. Kiedy GIODO odmawia rejestracji zbioru? Jakie są sankcje za niedopełnienie obowiązku zgłoszenia zbioru do rejestracji? odpowiedzialność wynikająca z art. 53 UODO; Zaświadczenie GIODO o zarejestrowaniu zbioru ; Warsztat: analiza stanu faktycznego wypełnianie zgłoszenia 6
rejestracyjnego do GIODO. Co może grozić podmiotom przetwarzającym dane osobowe w sposób niezgodny z przepisami prawa? Odpowiedzialność prawna Odpowiedzialność cywilnoprawna i administracyjna Administratora Danych i pracowników; Odpowiedzialność karna Administratora Danych i pracowników; Warsztat: studium przypadku dotyczące odpowiedzialności karnej administratorów osobowych. Podsumowanie szkolenia Dyskusja; Odpowiedzi na dodatkowe pytania uczestników. Czas trwania szkolenia: 6 godziny Miejsce szkolenia: Warszawa lub siedziba Zamawiającego 7