WYKONYWANIE ZADAŃ ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI (ABI) WARSZTATY PRAKTYCZNE - SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ) Nowelizacja ustawy o ochronie danych osobowych, która obowiązuje od 1 stycznia 2015 roku wprowadziła wiele nowych obowiązków i zadań spoczywających bezpośrednio na Administratorach Bezpieczeństwa Informacji. Zostali oni zobowiązani m.in. do przeprowadzania okresowych sprawdzeń (audytów) oraz opracowywania Sprawozdań z przeprowadzonych sprawdzeń. ABI zobowiązani są do przeprowadzania sprawdzeń: Każde sprawdzenie musi być zakończone opracowaniem Sprawozdania. Za te czynności odpowiada bezpośrednio ABI. W jaki sposób przeprowadzać poszczególne sprawdzenia? Jak je planować? W jaki sposób opracowywać Sprawozdania z przeprowadzonych sprawdzeń? Na te i wiele innych pytań uzyskacie Państwo odpowiedź podczas ćwiczeń oraz zajęć praktycznych realizowanych w ramach naszych szkoleń. Podczas Szkolenia weźmiecie Państwo udział w wielu ćwiczeniach oraz otrzymacie wzory dokumentów niezbędnych do prawidłowego wykonywania nowych zadań ABI, w tym m.in: wzór planu sprawdzeń oraz ćwiczenie wzór wzorcowego programu konkretnego sprawdzenia oraz ćwiczenie wzór notatki z przeprowadzonych czynności oraz ćwiczenie wzór protokołu z ustnych wyjaśnień oraz ćwiczenie wzór protokołu z oględzin oraz ćwiczenie ćwiczenia poprawnej weryfikacji wymogów art. 23-27 ustawy ćwiczenia poprawnej weryfikacji wymogów art. 31-35 ustawy ćwiczenia poprawnej weryfikacji wymogów art. 36 oraz 37-39 ustawy wzór Sprawozdania z przeprowadzonego sprawdzenia oraz ćwiczenie zgodnego z prawem sporządzania treści Sprawozdania Podczas szkolenia zostaną także przedstawione REWOLUCYJNE ZMIANY DOTYCHĄCE NOWYCH ZADAŃ ABI ( INSPEKTORA DS. OCHRONY DANYCH OSOBOWYCH), które wejdą w życie w 2018roku. Uwaga: Powyższy program stanowi średniozaawansowany poziom wykładu uczestnicy znają w podstawowym zakresie przepisy prawa oraz instytucje prawne, znają również podstawową
praktykę, jednakże mogą mieć wątpliwości i wymagają potwierdzenia swojej wiedzy; nie znają orzecznictwa sądowego w dziedzinie szkolenia. Główne zalety szkolenia: Spotkanie (prowadzone w konwencji warsztatowej tj. z możliwością zadawania pytań w trakcie wykładów), ze względu na wiedzę i wieloletnią praktykę zawodową prowadzącego warsztaty daje gwarancję, iż otrzymają Państwo pełną informację dotyczącą obowiązków, statusu i odpowiedzialności administratora bezpieczeństwa informacji po 1 stycznia 2015 r. Formuła spotkania pozwala na aktywny udział słuchaczy przez co na bieżąco można uzyskać odpowiedź na każde pytanie przy okazji wymieniając swoje spostrzeżenia z innymi uczestnikami warsztatu. Każdy uczestnik otrzyma wzory wymaganych prawem dokumentów: JAWNY REJESTR, PLAN SPRAWDZEŃ, PLAN SPRAWOZDANIA, Polityki bezpieczeństwa, Instrukcji zarządzania systemami informatycznymi) Wzory prawem wymaganej dokumentacji w dwóch wariantach ( w przypadku powołania ABI oraz w przypadku niepowoływania ABI) Poszkoleniowe wsparcie ABI-ego do wykorzystania przez ( mail, skype, tel) Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych), które weszło w życie w maju 2016 roku ( w państwach członkowskich 2018r). Przepisy znowelizowanej ustawy o ochronie danych osobowych obowiązujące od 1 stycznia 2015 roku wraz ze zmianami z 1 kwietnia 2016 r. oraz przepisy, które weszły w życie pod koniec maja 2015 r. w sprawie doprecyzowania zadań ABI Zasady współpracy GIODO z Państwowa Inspekcją Pracy, Zakres obowiązków i uprawnień ABI w organizacji Zasady tworzenia polityki bezpieczeństwa informacji i instrukcji zarządzania systemem informatycznym Wytyczne odnośnie stosowanych zabezpieczeń oraz ich przykłady Uczestnicy warsztatów otrzymają w formie elektronicznej wszystkie nowe, niezbędne wzory prawem wymaganej dokumentacji oraz wzory planu sprawdzeń, sprawozdań, wewnętrznego rejestru, przykładowe wystąpienia GIODO do ABI-ego i wielu innych. Czas trwania szkolenia-1 dzień Program szkolenia I. NOWE OBOWIĄZKI ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI: 1.Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla ADO a) rodzaje sprawdzeń dokonywanych na potrzeby ADO i/lub GIODO,
b) sprawdzenie dla GIODO -przykładowe wystąpienia GIODO systemu monitoringu (wzór) c) plan sprawdzeń ( przykładowy wzór) d) program sprawdzenia ( przykładowy wzór) e) uprawnienia ABI w ramach dokonywanego sprawdzenia ( przykładowy katalog uprawnień) f) dokumentowanie czynności dokonywanych w wyniku sprawdzenia (notatka, protokół, kopia obrazu, zapisu), g) pierwszy plan sprawdzeń od kiedy? h) audyty wewnętrzne i) sprawozdanie-termin, zakres, kto dokonuje, na czym polega ( przykładowy wzór sprawozdania ze sprawdzenia) 2. Prowadzenie rejestru zbiorów danych przetwarzanych przez ADO w kontekście wymagań rozporządzenia rejestracyjnego-warsztaty ( przykładowy wzór) a) cel prowadzenia b) zawartość lokalnego rejestru zbiorów c) zakres informacji o zbiorze d) struktura e) odnotowanie historii zmian (przykłady, warsztaty) f) jak spełnić wymóg jawności rejestru? 3) Nadzorowanie opracowania i aktualizowania dokumentacji bezpieczeństwa przetwarzania danych osobowych (PBI, IZSI, upoważnienia, oświadczenia, ewidencja, rejestry zbiorów danych osobowych) oraz przestrzegania zasad w niej określonych, 4) Zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych; a)edukowanie osób przetwarzające dane osobowe- np. szkolenia b) testy sprawdzające wiedzę ( wzór) 5. Przykładowy zakres obowiązków ABI ( wykaz obowiazków) II. NOWY STATUS ABI 1. Kto może powołać ABI? 2. Wymagania ustawowe dla pełnienia funkcji ABI. 3. Wzory zgłoszeń powołania oraz odwołania administratora bezpieczeństwa informacji w kontekście wymagań rozporządzenia zgłoszeniowego. uchwały i zarządzenia powołujące ABI, outsourcing ABI. 4. Organizacyjna odrębności ABI oraz bezpośrednia podległość ABI względem ADO na czym polega bezpośrednia podległość ABI kierownikowi jednostki
organizacyjnej? na czym polega organizacyjna odrębność administratora bezpieczeństwa informacji niezbędna do niezależnego wykonywania przez niego zadań? czy niezależność ABI oznacza, iż jego praca nie może być poddawana pod kontrolę audytorów (zarówno wewnętrznych, jak i zewnętrznych) działających u administratora danych? czy dopuszczalne jest powołanie na ABI pracownika, który będzie wykonywał obowiązki przewidziane w u.o.d.o. obok pozostałych zadań wynikających z zakresu swoich obowiązków? czy osoba może pełnić funkcję ABI w dwóch podmiotach na podstawie różnych umów (np. umowa o pracę, umowa zlecenia)? 5. Zgłoszenie ABI do rejestru 6. Zgłaszanie zmian 7. Odwołanie ABI III. ABI POWOŁYWAĆ CZY NIE? 1. Jakie są korzyści wynikające z powołania i zgłoszenia ABI? 2. Alternatywa: powołanie innej funkcji związanej z ochroną danych osobowych np. pełnomocnika lub koordynatora ds. ochrony danych osobowych IV. NOWE PRAWA I OBOWIĄZKI DLA ADO, KTÓRE NIE POWOŁAŁ W SWOICH STRUKTURACH ABI V. ROLA, ZADANIA i UMOCOWANIE ADMINISTRATORA SYSTEMU INFORMATYCZNEGO (ASI) 1. Czy łączenie funkcji administratora systemu informatycznego i ABI będzie zgodne z przepisami ustawy? 2. Powołanie ASI VII. REJESTROWANIE ZBIORÓW DANYCH OSOBOWYCH PO NOWELIZACJI USTAWY ( WARSZTATY-krok po kroku) 1. Kiedy należy zarejestrować zbiór danych osobowych, 2. Zgłoszenie zbioru danych do rejestracji (zgłoszenia tradycyjne, drogą elektroniczną), 3. Powołanie ABI implikujące ograniczenie w zgłaszaniu zbiorów do GIODO. VIII. PRZETWARZANIE DANYCH OSOBOWYCH W KADRACH I KSIĘGOWOŚCI: 1. Porozumienie PIP i GIODO w sprawie kontroli. 2. Kserowanie dowodów osobistych w celu zatrudnienia- czy taka praktyka jest 3. dopuszczalna? 4. Udzielanie informacji drogą telefoniczną na temat pracowników- najnowsze
wytyczne GIODO 5. Dane osobowe a ZFŚS. Czy dopuszczalne jest żądanie od pracownika przedłożenia rocznego zeznania podatkowego (PIT) w celu wykazania wysokości dochodu, na potrzeby Zakładowego Funduszu Świadczeń Socjalnych? 6. Jak postępować z CV kandydatów do pracy? 7. Kandydaci do pracy - podstawy przetwarzania, obowiązek informacyjny 8. Czy od kandydata do pracy można żądać referencji z poprzednich miejsc pracy? 9. Monitoring pracownika (case study) 10. Czy imiona i nazwiska pracowników podlegają ochronie ustawowej? Czy można takie dane upublicznić? 11. Kserokopie dokumentów a ochrona danych osobowych 12. Na czym polega prawo do ochrony wizerunku ( zdjęcia)? 13. Czy na identyfikatorach mogą być umieszczone zdjęcia pracowników? IX. REWOLUCJE W OCHRONIE DANYCH OSOBOWYCH W UE CZYLI NA CO SIĘ TRZEBA PRZYGOTOWAĆ? WEDŁUG PROJEKTU ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY W SPRAWIE OCHRONY OSÓB FIZYCZNYCH W ZWIĄZKU Z PRZETWARZANIEM DANYCH OSOBOWYCH I SWOBODNYM PRZEPŁYWEM TAKICH DANYCH (2012/0011 (COD) 1. Status prawny inspektora ochrony danych 2. Fakultatywność oraz obligatoryjność powołania Inspektora (DPO) 3. Powołanie oraz odwołanie DPO 4. Nowe zadania inspektora ochrony danych 5. Profilowanie 6. Współpraca z organem nadzorczym w sprawach ochrony danych osobowych 7. Nowe kategorie danych identyfikatory sieciowe, dane biometryczne w rozporządzeniu unijnym, 8. Nowe zasady realizacji obowiązku informacyjnego 9. Zmiany w obowiązku informacyjnym- porównanie treści obowiązku informacyjnego z ustawy o ochronie danych osobowych oraz w rozporządzeniu 10.Zasada ochrony danych osobowych na etapie projektowania tzw. privacy by design 11.Współ-administratorzy czyli wspólne operacje przetwarzania danych osobowych przez kilku administratorów, 12.Kary finansowe za naruszenie zasad ochrony danych osobowych
X. PANEL DYSKUSYJNY - PYTANIA, PROBLEMY, KONSULTACJE Uczestnicy szkolenia otrzymają w formie elektronicznej wszystkie nowe, niezbędne wzory prawem wymaganej dokumentacji oraz wzory planu sprawdzeń, sprawozdań, wewnętrznego rejestru, przykładowe wystąpienia GIODO do ABI-ego i wielu innych. Szkolenie poprowadzi Rafał Andrzejewski prawnik, audytor, trener i wykładowca na licznych seminariach ( w tym w debatach z udziałem GIODO), szkoleniach otwartych i zamkniętych z zakresu ochrony danych osobowych i bezpieczeństwa informacji. Konsultant wiodących kancelarii prawnych, specjalista z zakresu ochrony danych osobowych świadczący usługi kompleksowej obsługi prawnej podmiotów gospodarczych, jak i jednostek sektora administracji publicznej, trener z wieloletnim doświadczeniem, które przekłada się na umiejętność przystępnego przekazywania i wyjaśniania skomplikowanych zagadnień prawnych. W ramach obsługi prawnej opracowuje oraz wdraża systemy ochrony danych osobowych w różnych podmiotach. Jest cenionym konsultantem ds. ochrony danych osobowych w uczelniach, jednostkach administracji placówkach oświatowych i medycznych. Posiada wieloletnie doświadczenie w zakresie wdrażania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym oraz systemów zarządzania bezpieczeństwem informacji. Sposób przekazywania wiedzy w czasie szkoleń i jakość praktycznych wskazówek cieszą się bardzo dużym uznaniem. Metodologia: Stawiamy nacisk na dyskusję, a wszelkie Państwa pytania i wątpliwości są mile widziane i dogłębnie wyjaśniane. Zaprezentujemy najciekawsze case study (studium przypadku) oraz przeprowadzimy praktyczne ćwiczenia, które pomogą Państwu w codziennej pracy np. jak zarejestrować i zaktualizować zbiór danych osobowych; jak ocenić ile i jakich zbiorów jest w Państwa organizacji. Podamy także przykładowe zapisy umów dotyczące powierzenia przetwarzania danych osobowych osobom trzecim z jednoczesnym wyjaśnieniem ich praktycznego wpływu na stopień bezpieczeństwa tych danych.