OCHRONA DANYCH OSOBOWYCH

Nowe zadania ABI i ADO w kontekście zmiany ustawy o ochronie danych osobowych

Sprawdzenia, sprawozdania, audyty wewnętrzne, jawny rejestr

Prognozowane zmiany dotyczące nowych rewolucyjnych zadań ABI-ego (inspektora danych), które będę obowiązywać od 2018 r.

Serdecznie zapraszamy Państwa do udziału w 3-dniowej konferencji poświęconej tematyce Ochronie Danych Osobowych, która została przygotowana w kompleksowy sposób tak, aby zapoznać uczestników z obowiązkami nałożonymi na Administratorów Danych Osobowych i Administratorów Bezpieczeństwa Informacji po nowelizacji ustawy. Osoba pełniąca funkcję ABI musi dysponować adekwatną wiedzą prawną, z zakresu zarządzania oraz teleinformatyki i innych metod przetwarzania informacji oraz związanych z tym zagrożeń.

Podczas konferencji przedstawione zostaną przepisy ustawy o ochronie danych osobowych obowiązujące od 1 stycznia 2015 r. wraz z nowelizacją z dnia 1 kwietnia 2016 r.  Omówione zostaną także prognozowane rewolucyjne zmiany dotyczące nowych zadań ABI (inspektora ds. ochrony danych osobowych), które wejdą w życie w 2018 roku.

Konferencja odbędzie się w Zakopanym w terminie 28-30 września 2016 r., w Hotelu Czarny Potok. To kameralny hotel, który charakteryzuje doskonała lokalizacja – zaledwie 5 minut od Krupówek. Hotel położony jest niedaleko Tatrzańskiego Parku Narodowego i skoczni narciarskiej – Wielkiej Krokwi.

Hotel dysponuje komfortowo wyposażonymi pokojami, z których większość posiada balkon w widokiem na Tatry. Basen połączony ze Spa to miejsce, w którym zregenerują Państwo ciało i poczują się wyjątkowo po intensywnych warsztatach.

Konferencja odbędzie się w profesjonalnie wyposażonej sali konferencyjnej a o Państwa podniebienia zadba szef kuchni, który zaserwuje specjały z kuchni regionalnej i europejskiej.

Konferencja to nie tylko zdobywanie wiedzy i wymiana doświadczeń. W naszej ofercie znajdą Państwo zaproszenie na kolacje z atrakcjami w karczmie regionalnej Czarci Jar. Oprócz degustacji kuchni regionalnej wezmą Państwo udział w humorystycznej zabawie folklorystycznej „Góralskie Śpasy”, którym będą przewodzić prawdziwi góralscy zbójnicy!

Drugi dzień rozpoczniemy od wycieczki w plener i zwiedzaniu mniej znanych ale równie malowniczych zakątków polskiego Spisza. Pierwszy przystanek na trasie znajduje się w Niedzicy położonej nad Jeziorem Czorsztyńskim. Z pewnością niezapomniane wrażenia z tego miejsca pozostawi spacer po koronie zapory wodnej w Czorsztynie. Słynny spływ przełomem Dunajca na drewnianych tratwach wprowadzi Państwa w niezapomniany świat dzikiej pienińskiej przyrody.

W trakcie konferencji zaprezentujemy najciekawsze ”case study” (studium przypadku) oraz zostaną przeprowadzone ćwiczenia oraz warsztaty praktyczne przygotowujące do pełnienia funkcji ABI lub ASI, które pomogą Państwu w codziennej pracy np. jak zarejestrować i zaktualizować zbiór danych osobowych; jak ocenić ile i jakich zbiorów jest w Państwa organizacji. Podamy także przykładowe zapisy umów dotyczące powierzenia przetwarzania danych osobowych osobom trzecim z jednoczesnym wyjaśnieniem ich praktycznego wpływu na stopień bezpieczeństwa tych danych.

W RAMACH KONFERENCJI ZAPEWNIAMY:

> zajęcia prowadzone przez wysoko cenionego eksperta

> bogate materiały szkoleniowe z zestawem konferencyjnym

> imienny certyfikat ukończenia konferencji

> dwa noclegi w pokoju dwuosobowym (jedynka za dopłatą)

> wyżywienie w formie śniadań, obiadów i kolacji

> wieczór taneczny z góralskimi zabawami

> wycieczka w Pieniny oraz spływ Dunajcem

> wstęp do Wellness&SPA (basen, sauna)

> miłą i przyjazną atmosferę

RAMOWY HARMONOGRAM KONFERENCJI:

1 Dzień

godz. 09.00 -> Rejestracja uczestników + zakwaterowanie

godz. 10.00 – 18.00 -> Szkolenie (w trakcie przerwy kawowe + obiad)

godz. 20.00 -> Zabawa integracyjna

2 Dzień

godz. 08.00 – 13.30 -> Wycieczka (Spisz, Pieniny, Spływ Dunajcem)

godz. 14.00 -> Obiad

godz. 15.00 – 19.00 -> Szkolenie

3 Dzień

godz. 10.00 -> Zakończenie konferencji + wykwaterowanie

UCZESTNICY KONFERENCJI OTRZYMAJĄ W FORMIE ELEKTRONICZNEJ:

• wszystkie nowe, niezbędne wzory prawem wymaganej dokumentacji (POLITYKI BEZPIECZEŃSTWA i INSTRUKCJI ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM)
• wzory wypełnionych planów sprawdzeń
• wzory sprawozdań
• raport pokontrolny ABI-ego
• listę kontrolna ABI-ego wraz z praktycznymi wskazówkami dot. sprawdzeń
• wykaz nowych zadań ABI-ego,
• wzór przykładowego wystąpienia GIODO do ABI-ego,
• wewnętrznego rejestru wraz z przykładowym wzorem zbioru
• rejestr incydentów i działań korygujących
• plan szkoleń oraz testy z ochrony danych osobowych
• wzór powołanie ASI
• rejestr nośników komputerowych zawierających dane osobowe
• protokoły zniszczenia uszkodzonych nośników komputerowych
• i wielu innych.

KORZYŚCI WYNIKAJĄCE Z KONFERENCJI:

Uczestnicy poznają:

• planowane zmiany przez Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych).
• przepisy znowelizowanej ustawy o ochronie danych osobowych obowiązujące od 1 stycznia 2015 roku wraz ze zmianami z 1 kwietnia 2016 r. oraz przepisy, które weszły w życie pod koniec maja 2015 r. w sprawie doprecyzowania zadań ABI-ego,
• zasady współpracy GIODO z Państwowa Inspekcją Pracy,
• zakres obowiązków i uprawnień ABI w organizacji
• zasady tworzenia polityki bezpieczeństwa informacji i instrukcji zarządzania systemem informatycznym
• wytyczne odnośnie stosowanych zabezpieczeń oraz ich przykłady

Stawiamy nacisk na dyskusję, a wszelkie Państwa pytania i wątpliwości są mile widziane i dogłębnie wyjaśniane. Zaprezentujemy najciekawsze ”case study” (studium przypadku) oraz przeprowadzimy praktyczne ćwiczenia, które pomogą Państwu w codziennej pracy np. jak zarejestrować i zaktualizować zbiór danych osobowych; jak ocenić ile i jakich zbiorów jest w Państwa organizacji. Podamy także przykładowe zapisy umów dotyczące powierzenia przetwarzania danych osobowych osobom trzecim z jednoczesnym wyjaśnieniem ich praktycznego wpływu na stopień bezpieczeństwa tych danych.

KTO BĘDZIE GŁÓWNYM PRELEGENTEM?

Rafał Andrzejewski – prawnik, audytor, trener i wykładowca na licznych seminariach (w tym w debatach z udziałem GIODO), szkoleniach otwartych i zamkniętych z zakresu ochrony danych osobowych i bezpieczeństwa informacji.

Konsultant wiodących kancelarii prawnych, specjalista z zakresu ochrony danych osobowych świadczący usługi kompleksowej obsługi prawnej podmiotów gospodarczych, jak i jednostek sektora administracji publicznej, trener z wieloletnim doświadczeniem, które przekłada się na umiejętność przystępnego przekazywania i wyjaśniania skomplikowanych zagadnień prawnych. W ramach obsługi prawnej opracowuje oraz wdraża systemy ochrony danych osobowych  w różnych podmiotach. Jest cenionym konsultantem ds. ochrony danych osobowych  w uczelniach, jednostkach administracji placówkach oświatowych i medycznych.

Posiada wieloletnie doświadczenie w zakresie wdrażania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym oraz systemów zarządzania bezpieczeństwem informacji.

Sposób przekazywania wiedzy w czasie szkoleń i jakość praktycznych wskazówek cieszą się bardzo dużym uznaniem.

W PROGRAMIE KONFERENCJI ZOSTANĄ OMÓWIONE PONIŻSZE ZAGADNIENIA:

I. ZMIANY DOTYCZĄCE DANYCH PRZEDSIĘBIORCÓW WPROWADZONE USTAWĄ Z DNIA 2 LIPCA 2004 r. O SWOBODZIE DZIAŁALNOŚCI GOSPODARCZEJ OBOWIĄZUJĄCE OD 19 MAJA 2016
a) CEIDG jako zbiór jawny,
b) Obowiązki ochrony wobec danych przedsiębiorców po 19 maja 2016 r.

II. ZMIANY W ZAKRESIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH OD 1 KWIETNIA 2016 ROKU.
a) „2a. Nie wymaga zawarcia umowy między administratorem a podmiotem, o którym mowa w ust. 1, powierzenie przetwarzania danych, w tym przekazywanie danych, jeżeli ma miejsce między podmiotami, o których mowa w art. 3 ust. 1.”. Co to w praktyce oznacza?
b) 500 plus. Kto jest obowiązany zgłosić zbiór do GIODO?

III. NOWE OBOWIĄZKI ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI:
1. Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla ADO:
a) rodzaje sprawdzeń dokonywanych na potrzeby ADO i/lub GIODO
b) sprawdzenie dla GIODO -przykładowe wystąpienia GIODO – systemu monitoringu (wzór)
c) plan sprawdzeń (przykładowy wzór)
d) program sprawdzenia (przykładowy wzór)
e) uprawnienia ABI w ramach dokonywanego sprawdzenia (przykładowy katalog uprawnień)
f) dokumentowanie czynności dokonywanych w wyniku sprawdzenia (notatka, protokół, kopia obrazu, zapisu),
g) pierwszy plan sprawdzeń – od kiedy?
h) audyty wewnętrzne
i) sprawozdanie-termin, zakres, kto dokonuje, na czym polega (przykładowy wzór sprawozdania ze sprawdzenia)

2. Prowadzenie rejestru zbiorów danych przetwarzanych przez ADO w kontekście wymagań rozporządzenia rejestracyjnego – warsztaty (przykładowy wzór):
a) cel prowadzenia
b) zawartość lokalnego rejestru zbiorów
c) zakres informacji o zbiorze
d) struktura
e) udostępnienie lokalnego rejestru zbiorów
f) odnotowanie historii zmian (przykłady, warsztaty)
g) jak spełnić wymóg jawności rejestru?

3. Nadzorowanie opracowania i aktualizowania dokumentacji bezpieczeństwa przetwarzania danych osobowych (PBI, IZSI, upoważnienia, oświadczenia, ewidencja, rejestry zbiorów danych osobowych) oraz przestrzegania zasad w niej określonych.

4. Zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych:
a) edukowanie osób przetwarzające dane osobowe – np. szkolenia
b) testy sprawdzające wiedzę (wzór)

5. Inne zadania ABI

6. Przykładowy zakres obowiązków ABI (wykaz obowiązków)

IV. NOWY STATUS ABI
1. Kto może powołać ABI?

2. Wymagania ustawowe dla pełnienia funkcji ABI.

3. Wzory zgłoszeń powołania oraz odwołania administratora bezpieczeństwa informacji w kontekście wymagań rozporządzenia zgłoszeniowego.
• uchwały i zarządzenia powołujące ABI,
• outsourcing ABI.

4. Organizacyjna odrębności ABI oraz bezpośrednia podległość ABI względem ADO:
• na czym polega „bezpośrednia podległość” ABI kierownikowi jednostki organizacyjnej?
• na czym polega „organizacyjna odrębność” administratora bezpieczeństwa informacji niezbędna do niezależnego wykonywania przez niego zadań?
• czy niezależność ABI oznacza, iż jego praca nie może być poddawana pod kontrolę audytorów (zarówno wewnętrznych, jak i zewnętrznych) działających u administratora danych?
• czy dopuszczalne jest powołanie na ABI pracownika, który będzie wykonywał obowiązki przewidziane w u.o.d.o. obok pozostałych zadań wynikających z zakresu swoich obowiązków?
• czy osoba może pełnić funkcję ABI w dwóch podmiotach na podstawie różnych umów (np. umowa o pracę, umowa zlecenia)?

5. Zgłoszenie ABI do rejestru

6. Zgłaszanie zmian

7. Odwołanie ABI

V. ABI – POWOŁYWAĆ CZY NIE?
1. Jakie są korzyści wynikające z powołania i zgłoszenia ABI?

2. Alternatywa: powołanie innej funkcji związanej z ochroną danych osobowych np. pełnomocnika lub koordynatora ds. ochrony danych osobowych

VI. NOWE PRAWA I OBOWIĄZKI DLA ADO , KTÓRE NIE POWOŁAŁ W SWOICH STRUKTURACH ABI.

VII. ROLA, ZADANIA i UMOCOWANIE ADMINISTRATORA SYSTEMU INFORMATYCZNEGO (ASI)
1. Czy łączenie funkcji administratora systemu informatycznego i ABI będzie zgodne z przepisami ustawy?
2. Powołanie ASI

VIII. REJESTROWANIE ZBIORÓW DANYCH OSOBOWYCH PO NOWELIZACJI USTAWY (warsztaty – krok po kroku)
1. Kiedy należy zarejestrować zbiór danych osobowych,

2. Zgłoszenie zbioru danych do rejestracji (zgłoszenia tradycyjne, drogą elektroniczną),

3. Powołanie ABI implikujące ograniczenie w zgłaszaniu zbiorów do GIODO,

4. Zadania kierowników jednostek w kontaktach z ABI,

5. Wypełnienie wniosku zgłaszając zbiór do rejestru prowadzonego przez GIODO – ćwiczenie

IX. DODATKOWE ELEMENTY SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM DANYCH OSOBOWYCH DO WYKORZYSTANIA W PLANIE SPRAWDZEŃ ABI-ego:
1. Polityka haseł

2. Polityka czystego biurka

3. Procedura zarządzania kluczami

4. Zasady dostępu do pomieszczeń

5. Komputery przenośne i “praca na odległość”

6. Komputerowe nośniki informacji

7. Kopie bezpieczeństwa

8. Zabezpieczenia przed szkodliwym oprogramowaniem,

9. Zabezpieczenia kryptograficzne,

10. Procedury reagowania na incydenty

X. PRZETWARZANIE DANYCH OSOBOWYCH W KADRACH I KSIĘGOWOŚCI:
1. Kserowanie dowodów osobistych w celu zatrudnienia – czy taka praktyka jest dopuszczalna?

2. Udzielanie informacji drogą telefoniczną na temat pracowników – najnowsze wytyczne GIODO

3. Dane osobowe a ZFŚS. Czy dopuszczalne jest żądanie od pracownika przedłożenia rocznego zeznania podatkowego (PIT) w celu wykazania wysokości dochodu, na potrzeby Zakładowego Funduszu Świadczeń Socjalnych?

4. Jak postępować z CV kandydatów do pracy?

5. Kandydaci do pracy – podstawy przetwarzania, obowiązek informacyjny

6. Czy od kandydata do pracy można żądać referencji z poprzednich miejsc pracy?

7. Monitoring pracownika (case study)

8. Czy imiona i nazwiska pracowników podlegają ochronie ustawowej? Czy można takie dane upublicznić?

9. Kserokopie dokumentów a ochrona danych osobowych

10. Na czym polega prawo do ochrony wizerunku ( zdjęcia) ?

11. Czy na identyfikatorach mogą być umieszczone zdjęcia pracowników?

XI. ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY W SPRAWIE OCHRONY OSÓB FIZYCZNYCH W ZWIĄZKU Z PRZETWARZANIEM DANYCH OSOBOWYCH I SWOBODNYM PRZEPŁYWEM TAKICH DANYCH – OGÓLNE ROZPORZĄDZENIE O OCHRONIE DANYCH).

ZMIANY OD 25 MAJA 2018 r.
1. ABI W ROZPORZĄDZENIU UNIJNYM – Nowe zadania inspektora ochrony danych:
• informowanie pracowników o zasadach przetwarzania danych osobowych
• przeprowadzanie szkoleń personelu uczestniczącego w przetwarzaniu danych osobowych
• prowadzenie konsultacji w sprawach związanych z przetwarzaniem danych osobowych
• monitorowanie przestrzegania przepisów rozporządzenia
• współpraca z organem nadzorczym, a także udzielanie porad na żądanie co do oceny skutków pod kątem ochrony danych osobowych.

2. Niezależność Inspektora

3. Pozycja GIODO w świetle nowego rozporządzenia

4. Prawo do bycia zapomnianym

5. Cechy charakterystyczne zgody

6. Współadministratorzy – kiedy można ich powołać?

7. Zmiany w Rejestrze przetwarzania danych osobowych

8. Ogólne warunki nakładania grzywien administracyjnych – procedura nakładania grzywien administracyjnych, wysokość, podmiot upoważniony do ich nakładania

XII. PRZYKŁADY ORZECZNICTWA I DOBRE PRZYKŁADY

XIII. PRZEPISY SEKTOROWE W PYTANIACH I ODPOWIEDZIACH:
1. Czy rozsyłanie “rozdzielników” do uczestników postępowań administracyjnych nie narusza przepisów ustawy o ochronie danych osobowych?
2. Czy komornik jest uprawniony do tego, aby otrzymać numer rachunku bankowego dłużnika od jego pracodawcy?
3. Czy gońcy, czyli pracownicy urzędu miasta doręczający korespondencję urzędową muszą posiadać, nadane przez administratora, upoważnienie do przetwarzania danych osobowych?
4. Czy urząd stanu cywilnego, powołując się na ochronę danych osobowych, może odmówić mi wydania odpisów z aktów stanu cywilnego dotyczących członków mojej rodziny, jeśli swoją prośbę uzasadniam potrzebą załączenia ich do akt sprawy sądowej?
5. Czy szkoła posiadająca rejestr uczniów realizujących obowiązek szkolny w innych szkołach powinna zgłosić taki zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych?
6. Czy dyrektor przedszkola ma obowiązek zgłaszać Generalnemu Inspektorowi Ochrony Danych Osobowych zbiory danych rodziców przedszkolaków?
7. Czy biblioteki prowadzone przez szkoły podlegają obowiązkowi zgłoszenia zbiorów do rejestracji Generalnego Inspektora Ochrony Danych Osobowych?
8. Czy, ze względu na fakt, że w zbiorze danych pracowników znajdują się, poza danymi osobowymi pracowników, również informacje dotyczące członków ich rodzin (małżonków
i dzieci), pracodawca ma obowiązek zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osób u niego zatrudnionych?
9. Czy obowiązek rejestracji dotyczy administratorów wykorzystujących dane pracowników (obecnych i byłych), a także kandydatów do pracy i innych osób świadczących na rzecz administratora usługi na podstawie umów zlecenia, czy umów o dzieło?
10. Czy gmina powinna zgłosić zbiór danych prowadzony w ramach Elektronicznego Krajowego Systemu Monitoringu Orzekania o Niepełnosprawności?
11. Czy zgodne z ustawą jest wywieszanie w budynku sądu wokand, zawierających dane osobowe osób biorących udział w postępowaniu sądowym?
12. Czy dopuszczalne jest żądanie od pracownika przedłożenia rocznego zeznania podatkowego (PIT) w celu wykazania wysokości dochodu, na potrzeby Zakładowego Funduszu Świadczeń Socjalnych?
13. Czy spółka jest zobowiązana do zarejestrowania księgi udziałów oraz księgi akcyjnej?
14. Czy pracownicy urzędów gmin i starostw powiatowych mogą udzielać instytucjom, firmom i osobom prywatnym takich informacji dotyczących danych osobowych radnych, jak: imię, nazwisko, adres, telefon kontaktowy radnego? Czy urzędnicy mogą pobierać opłaty za udzielanie tych informacji?
15. Czy dostawca usług telekomunikacyjnych oraz bank może kserować dowody osobiste swoich klientów oraz potencjalnych klientów?
16. Czy starosta może odmówić udostępnienia z prowadzonej ewidencji pojazdów numeru rejestracyjnego i numeru VIN pojazdu należącego do konkretnej osoby na potrzeby złożenia wniosku o zabezpieczenie roszczenia w postępowaniu cywilnym?
17. Czy pracownicy urzędów gmin i starostw powiatowych mogą udzielać instytucjom, firmom i osobom prywatnym takich informacji dotyczących danych osobowych radnych, jak: imię, nazwisko, adres, telefon kontaktowy radnego? Czy urzędnicy mogą pobierać opłaty za udzielanie tych informacji?
18. Czy w Biuletynie Informacji Publicznej (BIP) można opublikować oświadczenia majątkowe radnych zawierające adresy ich zamieszkania?
19. Czy wynikający z art. 27 c ustawy o samorządzie województwa obowiązek złożenia oświadczenia majątkowego wraz z kopią zeznania o wysokości osiągniętego dochodu (PIT),
w sytuacji, gdy opodatkowaniu podlegały łącznie dochody obojga małżonków, a powyższy obowiązek spoczywa jedynie na jednym z nich, nie narusza przepisów ustawy o ochronie danych osobowych?
20. Czy jednostka wykonujących zadania pomocy społecznej może udostępnić kuratorowi sądowemu dane osobowe osób korzystających z ich opieki?
21. Czy zbiory danych zawierające podania o pracę powinny zostać zarejestrowane u Generalnego Inspektora Ochrony Danych Osobowych?

XIV. PODSUMOWANIE KONFERENCJI I KONSULTACJE PRAWNE Z TRENEREM.