Nowelizacja ustawy o ochronie danych osobowych, która obowiązuje od 1 stycznia 2015 roku wprowadziła wiele nowych obowiązków i zadań spoczywających bezpośrednio na Administratorach Bezpieczeństwa Informacji. 

Zostali oni zobowiązani m.in. do przeprowadzania okresowych sprawdzeń (audytów) oraz opracowywania Sprawozdań z przeprowadzonych sprawdzeń.

ABI zobowiązani są do przeprowadzania sprawdzeń:

Każde sprawdzenie musi być zakończone opracowaniem Sprawozdania. Za te czynności odpowiada bezpośrednio ABI jako autor dokumentu.

W jaki sposób przeprowadzać poszczególne sprawdzenia? Jak je planować? W jaki sposób opracowywać Sprawozdania z przeprowadzonych sprawdzeń? Na te i wiele innych pytań uzyskacie Państwo odpowiedź podczas ćwiczeń oraz zajęć praktycznych realizowanych w ramach naszych szkoleń.

Podczas Szkolenia weźmiecie Państwo udział w wielu ćwiczeniach oraz otrzymacie wzory dokumentów niezbędnych do prawidłowego wykonywania nowych zadań ABI, w tym m.in:

• wzór planu sprawdzeń  oraz ćwiczenie
• wzór wzorcowego programu konkretnego sprawdzenia oraz  ćwiczenie
• wzór notatki z przeprowadzonych czynności oraz  ćwiczenie
• wzór protokołu z ustnych wyjaśnień oraz  ćwiczenie
• wzór protokołu z oględzin oraz ćwiczenie
• ćwiczenia poprawnej weryfikacji wymogów art. 23-27 ustawy
• ćwiczenia poprawnej weryfikacji wymogów art. 31-35 ustawy
• ćwiczenia poprawnej weryfikacji wymogów art. 36 oraz 37-39 ustawy
• wzór Sprawozdania z przeprowadzonego sprawdzenia  oraz ćwiczenie zgodnego z prawem sporządzania treści Sprawozdania

Główne zalety naszego szkolenia:

• skupienie się na konkretach – przekażemy Ci praktyczną wiedzę umożliwiającą samodzielne pełnie funkcji ABI w ciągu jednego intensywnego dnia szkoleniowego (6h),
• NOWOŚĆ!Rozporządzenie UE o ochronie danych osobowych  – zaprezentujemy Ci najważniejsze zmiany,
• poszkoleniowe wsparcie – możesz liczyć na naszą wiedzę i doświadczenie także po ukończeniu kursu. Dajemy Ci wsparcie bezpłatnych konsultacji do wykorzystania w dowolnej formie (mail, telefon, Skype, mail) w ciągu 6 miesięcy od uczestnictwa w kursie,
• warsztaty – nasz kurs to nie wykład, a interaktywne szkolenie. Podczas kursu kilkukrotnie będziesz mieć okazję samodzielnie zweryfikować zdobytą wiedzę z praktyką np. tworząc Jawny Rejestr Zbiorów, szkic Polityki Bezpieczeństwa, czy planu sprawdzeń,
• praktyczny charakter kursu – nasz trener sprawuje funkcję ABI u klientów z różnych branż. Dlatego podczas szkolenia nie teoretyzujemy – każdy przepis prawa konfrontujemy z praktyką i oferujemy Ci rozwiązania, a nie kolejne wątpliwości,
• certyfikat– po szkoleniu otrzymasz certyfikat potwierdzający uczestnictwo w kursie. Certyfikat jest jedną z podstaw do legitymowania się przez ABI odpowiednią wiedzą z zakresu ochrony danych osobowych, zgodnie z art. 39a znowelizowanej ustawy.,
• wzory dokumentacji – otrzymasz wzory prawem wymaganej dokumentacji. Otrzymasz: Politykę bezpieczeństwa, Instrukcję zarządzania systemami informatycznymi (w dwóch wariantach- w przypadku powoływania ABI oraz w przypadku niepowołania ABI), klauzule informacyjne, umowy powierzenia, upoważnienia, klauzule zgód na przetwarzanie danych osobowych, Jawny Rejestr Zbiorów ABI, szkolenie dla pracowników w formie prezentacji, formularz zgłoszenia oraz odwołania ABI i ASI, wykaz obowiązków ABI, sprawozdanie, plan sprawdzeń.

Kto będzie prowadzącym szkolenie?

RAFAŁ ANDRZEJEWSKI – prawnik, audytor, trener i wykładowca na licznych seminariach ( w tym w debatach z udziałem GIODO), szkoleniach otwartych i zamkniętych z zakresu ochrony danych osobowych i bezpieczeństwa informacji.

Konsultant wiodących kancelarii prawnych, specjalista z zakresu ochrony danych osobowych świadczący usługi kompleksowej obsługi prawnej podmiotów gospodarczych, jak i jednostek sektora administracji publicznej, trener z wieloletnim doświadczeniem, które przekłada się na umiejętność przystępnego przekazywania i wyjaśniania skomplikowanych zagadnień prawnych. W ramach obsługi prawnej opracowuje oraz wdraża systemy ochrony danych osobowych  w różnych podmiotach. Jest cenionym konsultantem ds. ochrony danych osobowych  w uczelniach, jednostkach administracji placówkach oświatowych i medycznych.   Posiada wieloletnie doświadczenie w zakresie wdrażania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym oraz systemów zarządzania bezpieczeństwem informacji.

Sposób przekazywania wiedzy w czasie szkoleń i jakość praktycznych wskazówek cieszą się bardzo dużym uznaniem.

Program szkolenia:

I. ZMIANY W ZAKRESIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH OD 1 KWIETNIA 2016 ROKU

1. „….Nie wymaga zawarcia umowy między administratorem a podmiotem, o którym mowa w ust. 1, powierzenie przetwarzania danych, w tym przekazywanie danych, jeżeli ma miejsce między podmiotami, o których mowa w art. 3 ust. 1.”. Co to w praktyce oznacza?

2. Kto jest obowiązany zgłosić zbiór  500 plus do GIODO?

II. CZĘŚCIOWE WYŁĄCZENIE STOSOWANIA PRZEPISÓW  O OCHRONIE DANYCH OSOBOWYCH W STOSUNKU DO DANYCH OSÓB FIZYCZNYCH PROWADZĄCYCH DZIAŁALNOŚĆ GOSPODARCZĄ (ujawnionych w CEIDG), wprowadzone nowelizacją ustawy o swobodzie działalności gospodarczej.

III. NOWE OBOWIĄZKI ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI:

1. Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla ADO

a) rodzaje sprawdzeń dokonywanych na potrzeby ADO i/lub GIODO,

b) sprawdzenie dla GIODO –przykładowe wystąpienia GIODO – systemu monitoringu (wzór)

c) plan sprawdzeń ( przykładowy wzór)

d) program sprawdzenia ( przykładowy wzór)

e) uprawnienia ABI w ramach dokonywanego sprawdzenia ( przykładowy katalog uprawnień)

f) dokumentowanie czynności dokonywanych w wyniku sprawdzenia (notatka, protokół, kopia obrazu, zapisu),

g) pierwszy plan sprawdzeń – od kiedy?

h) audyty wewnętrzne

i) sprawozdanie-termin, zakres, kto dokonuje, na czym polega ( przykładowy wzór sprawozdania ze sprawdzenia)

2. Prowadzenie rejestru zbiorów danych przetwarzanych przez ADO w kontekście wymagań rozporządzenia rejestracyjnego-warsztaty ( przykładowy wzór)

a) cel prowadzenia

b) zawartość lokalnego rejestru zbiorów

c) zakres informacji o zbiorze

d) struktura

e) odnotowanie historii zmian (przykłady, warsztaty)

f) jak spełnić wymóg jawności rejestru?

3. Nadzorowanie opracowania i aktualizowania dokumentacji bezpieczeństwa przetwarzania danych osobowych (PBI, IZSI, upoważnienia, oświadczenia, ewidencja, rejestry zbiorów danych osobowych) oraz przestrzegania zasad w niej określonych,

4. Zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych   z przepisami o ochronie danych osobowych;

a)edukowanie osób przetwarzające dane osobowe- np.  szkolenia

b) testy sprawdzające wiedzę ( wzór)

5. Przykładowy zakres obowiązków ABI (wykaz obowiązków)

IV. NOWY STATUS ABI

1. Kto może powołać ABI?

2. Wymagania ustawowe dla pełnienia funkcji ABI.

3. Wzory zgłoszeń powołania oraz odwołania administratora bezpieczeństwa informacji w kontekście wymagań rozporządzenia zgłoszeniowego.

• uchwały i zarządzenia powołujące ABI,
• outsourcing ABI.

4. Organizacyjna odrębności ABI oraz bezpośrednia podległość ABI względem ADO

• na czym polega „bezpośrednia podległość” ABI kierownikowi jednostki organizacyjnej?
• na czym polega „organizacyjna odrębność” administratora bezpieczeństwa informacji niezbędna do niezależnego wykonywania przez niego zadań?
• czy niezależność ABI oznacza, iż jego praca nie może być poddawana pod kontrolę audytorów (zarówno wewnętrznych, jak i zewnętrznych) działających u administratora danych?
• czy dopuszczalne jest powołanie na ABI pracownika, który będzie wykonywał obowiązki przewidziane w u.o.d.o. obok pozostałych zadań wynikających z zakresu swoich obowiązków?
• czy osoba może pełnić funkcję ABI w dwóch podmiotach na podstawie różnych umów (np. umowa o pracę, umowa zlecenia)?

5. Zgłoszenie ABI do rejestru

6. Zgłaszanie zmian

7. Odwołanie ABI

V. ABI – POWOŁYWAĆ CZY NIE?

1. Wady i zalety posiadania ABI lub braku ABI

2. Alternatywa: powołanie innej funkcji związanej z ochroną danych osobowych np. pełnomocnika lub koordynatora ds. ochrony danych osobowych

VI. NOWE PRAWA I OBOWIĄZKI DLA ADO , KTÓRE NIE POWOŁAŁ W SWOICH STRUKTURACH ABI.

VII. ROLA, ZADANIA i UMOCOWANIE  ADMINISTRATORA SYSTEMU INFORMATYCZNEGO (ASI)

VIII. REJESTROWANIE ZBIORÓW DANYCH OSOBOWYCH PO NOWELIZACJI USTAWY (WARSZTATY – krok po kroku)

1. Kiedy należy zarejestrować zbiór danych osobowych

2. Zgłoszenie zbioru danych do rejestracji (zgłoszenia tradycyjne, drogą elektroniczną)

3. Powołanie ABI implikujące ograniczenie w zgłaszaniu zbiorów do GIODO

IX. DODATKOWE ELEMENTY SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM DANYCH OSOBOWYCH DO WYKORZYSTANIA  W PLANIE SPRAWDZEŃ ABI-ego

1. Polityka haseł

2. Polityka czystego biurka

3. Procedura zarządzania kluczami

4. Zasady dostępu do pomieszczeń

5. Komputery przenośne i “praca na odległość”

6. Kopie bezpieczeństwa

7. Zabezpieczenia kryptograficzne,

8. Procedury reagowania na incydenty

X. PRZETWARZANIE DANYCH OSOBOWYCH W KADRACH I KSIĘGOWOŚCI:

1. Porozumienie PIP i GIODO w sprawie kontroli.

2. Kserowanie dowodów osobistych w celu zatrudnienia- czy taka praktyka jest dopuszczalna?

3. Udzielanie informacji drogą telefoniczną na temat pracowników- najnowsze wytyczne GIODO

4. Dane osobowe a ZFŚS. Czy dopuszczalne jest żądanie od pracownika przedłożenia rocznego zeznania podatkowego (PIT) w celu wykazania wysokości dochodu, na potrzeby Zakładowego Funduszu Świadczeń Socjalnych?

5. Jak postępować z CV kandydatów do pracy?

6. Kandydaci do pracy – podstawy przetwarzania, obowiązek informacyjny

7. Czy od kandydata do pracy można żądać referencji z poprzednich miejsc pracy?

8. Monitoring pracownika (case study)

9. Czy imiona i nazwiska pracowników podlegają ochronie ustawowej? Czy można takie dane upublicznić?

10. Kserokopie dokumentów a ochrona danych osobowych

11. Na czym polega prawo do ochrony wizerunku ( zdjęcia) ?

12. Czy na identyfikatorach mogą być umieszczone zdjęcia pracowników?

XI. ABI W ROZPORZĄDZENIU UNIJNYM. REWOLUCYJNE ZMIANY! DATA PROTECTION OFICER.

1. Nowe zadania inspektora ochrony danych

• informowanie pracowników o zasadach przetwarzania danych osobowych
• przeprowadzanie szkoleń personelu uczestniczącego w przetwarzaniu danych osobowych
• prowadzenie konsultacji w sprawach związanych z przetwarzaniem danych osobowych
• monitorowanie przestrzegania przepisów rozporządzenia
• współpraca z organem nadzorczym, a także udzielanie porad na żądanie co do oceny skutków pod kątem ochrony danych osobowych.

2. Niezależność Inspektora

3. Pozycja GIODO w świetle nowego rozporządzenia

4. Prawo do bycia zapomnianym

5. Cechy charakterystyczne zgody

6. Współadministratorzy- kiedy można ich powołać?

7. Zmiany w Rejestrze przetwarzania danych osobowych

8. Ogólne warunki nakładania grzywien administracyjnych- procedura nakładania grzywien administracyjnych, wysokość, podmiot upoważniony do ich nakładania

XII. PRZEPISY SEKTOROWE W PYTANIACH I ODPOWIEDZIACH:

1. Czy rozsyłanie “rozdzielników” do uczestników postępowań administracyjnych nie narusza przepisów ustawy o ochronie danych osobowych?

2. Czy komornik jest uprawniony do tego, aby otrzymać numer rachunku bankowego dłużnika od jego pracodawcy?

3. Czy gońcy, czyli pracownicy urzędu miasta doręczający korespondencję urzędową muszą posiadać, nadane przez administratora, upoważnienie do przetwarzania danych osobowych?

4. Czy urząd stanu cywilnego, powołując się na ochronę danych osobowych, może odmówić mi wydania odpisów z aktów stanu cywilnego dotyczących członków mojej rodziny, jeśli swoją prośbę uzasadniam potrzebą załączenia ich do akt sprawy sądowej?

5. Czy szkoła posiadająca rejestr uczniów realizujących obowiązek szkolny w innych szkołach powinna zgłosić taki zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych?

6. Czy dyrektor przedszkola ma obowiązek zgłaszać Generalnemu Inspektorowi Ochrony Danych Osobowych zbiory danych rodziców przedszkolaków?

7. Czy, ze względu na fakt, że w zbiorze danych pracowników znajdują się, poza danymi osobowymi pracowników, również informacje dotyczące członków ich rodzin (małżonków i dzieci), pracodawca ma obowiązek zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osób u niego zatrudnionych?

8. Czy obowiązek rejestracji dotyczy administratorów wykorzystujących dane pracowników (obecnych i byłych), a także kandydatów do pracy i innych osób świadczących na rzecz administratora usługi na podstawie umów zlecenia, czy umów o dzieło?

9. Czy pracownicy urzędów gmin i starostw powiatowych mogą udzielać instytucjom, firmom i osobom prywatnym takich informacji dotyczących danych osobowych radnych, jak: imię, nazwisko, adres, telefon kontaktowy radnego?

10. Czy dostawca usług telekomunikacyjnych oraz bank może kserować dowody osobiste swoich klientów oraz potencjalnych klientów?

11. Czy wynikający z art. 27 c ustawy o samorządzie województwa obowiązek złożenia oświadczenia majątkowego wraz z kopią zeznania o wysokości osiągniętego dochodu (PIT), w sytuacji, gdy opodatkowaniu podlegały łącznie dochody obojga małżonków, a powyższy obowiązek spoczywa jedynie na jednym z nich, nie narusza przepisów ustawy o ochronie danych osobowych?

12. Czy jednostka wykonujących zadania pomocy społecznej może udostępnić kuratorowi sądowemu dane osobowe osób korzystających z ich opieki?

13. Czy zbiory danych zawierające podania o pracę powinny zostać zarejestrowane u Generalnego Inspektora Ochrony Danych Osobowych?

XIII. PANEL DYSKUSYJNY – PYTANIA, PROBLEMY, KONSULTACJE

Uwaga:
Powyższy program stanowi średniozaawansowany poziom wykładu – uczestnicy znają w podstawowym zakresie przepisy prawa oraz instytucje prawne, znają również podstawową praktykę, jednakże mogą mieć wątpliwości i wymagają potwierdzenia swojej wiedzy; nie znają orzecznictwa sądowego w dziedzinie szkolenia.

Uczestnicy szkolenia otrzymają w formie elektronicznej wszystkie nowe, niezbędne wzory prawem wymaganej dokumentacji oraz wzory planu sprawdzeń,  sprawozdań, wewnętrznego rejestru, przykładowe wystąpienia GIODO do ABI-ego i wielu innych.

Metodyka:

Prezentacja multimedialna oraz interaktywny wykład (zachęcamy do zadawania pytań!) wzbogacony o liczne warsztaty praktyczne oraz kazusy, m.in.: – opracowanie Polityki bezpieczeństwa oraz Instrukcji zarządzania systemami informatycznymi – prawidłowe formułowanie klauzuli zgody na przetwarzanie danych osobowych – wspólne wypełnianie wniosku rejestracyjnego do GIODO – praktyczne sposoby postępowania w przypadku zaistnienia konfliktów z klientami/petentami.