OCHRONA DANYCH OSOBOWYCH W KADRACH I KSIĘGOWOŚCI
Transkrypt
OCHRONA DANYCH OSOBOWYCH W KADRACH I KSIĘGOWOŚCI
OCHRONA DANYCH OSOBOWYCH W KADRACH I KSIĘGOWOŚCI PO NOWELIZACJI USTAWY z uwzględnieniem najnowszych zmian wraz z wzorami wymaganej prawem dokumentacją (Polityka bezpieczeństwa, Instrukcja zarządzania systemem informatycznym oraz inne wymagane dokumenty, Państwowa Inspekcja Pracy (PIP) i Biuro Generalnego Inspektora Ochrony Danych Osobowych (GIODO) zawarły 14 grudnia 2012 r. w Warszawie oficjalne porozumienie w sprawie zasad ich współdziałania w realizacji ustawowych zadań dla zwiększenia skuteczności działań na rzecz przestrzegania przepisów o ochronie danych osobowych w stosunkach pracy. Na mocy porozumienia, PIP zawiadomi GIODO o „stwierdzonych w czasie kontroli nieprawidłowościach w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych„. Większe prawdopodobieństwo kontroli procesów przetwarzania danych osobowych Podstawową konsekwencją podpisania przedmiotowego porozumienia pomiędzy GIODO i PIP jest znaczny wzrost ryzyka przeprowadzenia kontroli zgodności przetwarzania danych osobowych z polskim prawem. O ile GIODO przeprowadza rocznie ok. 200 kontroli. Na terenie całego kraju, to PIP tylko w roku 2012, w samych Katowicach przeprowadziła prawie 11 000 kontroli! W całej Polsce, w jednym tylko roku 2012 PIP przeprowadziła 90 000 kontroli (dane z http://www.pip.gov.pl/html/pl/doc/prog_2012_z4.pdf). GIODO skontroluje przestrzeganie przez pracodawcę prawa pracy Porozumienie działa w obie strony. Nie tylko PIP będzie przyglądał się bezpieczeństwu danych osobowych, ale również GIODO przyjrzy się respektowaniu prawa pracy przez kontrolowaną instytucję. Jak podkreśla Dr Wojciech Rafał Wiewiórowski (GIODO) „Kiedy sprawdzamy działania podejmowane przez przedsiębiorcę, ale również instytucje publiczne, możemy dojść do wniosku, że niektóre z nich nie mają wprawdzie charakteru naruszającego ustawę o ochronie danych osobowych, ale mogą naruszać inne uprawnienia pracowników. W tej sytuacji powinniśmy informować Państwową Inspekcję Pracy. Chodzi nam także o koordynację kontroli, tak żeby nie dochodziło do sytuacji, w której ta sama rzecz jest kontrolowana przez PIP i przez GIODO, raz po razie.” Szkolenie przeznaczone jest dla pracodawców, pracowników działów kadr (HR) oraz kadry menadżerskiej, którzy kształtują politykę personalną przedsiębiorstwa, urzędu, lub jakiejkolwiek innej organizacji. Szczególnie jeśli zajmują się bezpośrednio rekrutacją, szkoleniem, motywowaniem oraz nawiązywaniem i rozwiązywaniem stosunku pracy. Uczestnicy szkolenia dowiedzą się przede wszystkim: • w jakich przypadkach i w jakiej formie pracodawca może zażądać od pracowników i kandydatów ubiegających się o pracę tzw. danych wrażliwych – w tym w szczególności zaświadczenia o niekaralności, • jakie skutki niesie za sobą przyzwolenie na korzystanie z Internetu dla celów prywatnych, a jakie przemilczenie tematu? • czy można szukać danych o pracownikach w sieciach społecznościowych, a jeśli tak to jakich? • czy pracownik musi wyrazić pracodawcy zgodę na przetwarzanie danych osobowych? • jak prawidłowo skonstruować ogłoszenie o pracę, żeby nie naruszyć przepisów ustawy o ochronie danych osobowych, • jak przekazywać dane osobowe pracowników w ramach grup kapitałowych oraz w sytuacji korzystania z usługi outsourcingu (np. księgowości), • w jakich przypadkach i w jakiej formie pracodawca może zażądać od pracowników i kandydatów ubiegających się o pracę tzw. danych wrażliwych – w tym w szczególności zaświadczenia o niekaralności i informacji o nałogach, • w jakich przypadkach i w jakiej formie można przeprowadzać testy psychologiczne dla pracowników i kandydatów ubiegających się o pracę, • w jakim zakresie możliwe jest zastosowanie monitoring w miejscu pracy (w tym w szczególności monitorowanie poczty e-mail, komunikatorów, nagrywanie rozmów telefonicznych pracowników), • czy i w jaki sposób można udostępniać dane osobowe pracowników i kandydatów ubiegających się o pracę związkom zawodowym oraz radom pracowników. Główne zalety szkolenia: • spotkanie jest prowadzone w konwencji warsztatowej tj. z możliwością zadawania pytań w trakcie wykładów. Ze względu na wiedzę i wieloletnią praktykę zawodową prowadzącego warsztaty daje gwarancję, iż otrzymają Państwo pełną informację dotyczącą obowiązków, statusu i odpowiedzialności administratora bezpieczeństwa informacji po 1 stycznia 2015 r. Formuła spotkania pozwala na aktywny udział słuchaczy przez co na bieżąco można uzyskać odpowiedź na każde pytanie przy okazji wymieniając swoje spostrzeżenia z innymi uczestnikami warsztatu. • praktyczny charakter – w celu zapewnienia jak największej skuteczności szkolenia, jest ono prowadzone w formie warsztatów praktycznych. Podczas szkolenia, uczestnicy będą mieli okazję w praktyce przećwiczyć np.: wypełnianie wniosków zgłoszeniowych A BI do GIODO, prowadzenie Jawnego Rejestru Zbiorów przez A BI, przygotowanie procedury szkoleń dla pracowników, przeprowadzanie sprawdzeń oraz sporządzanie sprawozdań. • zbalansowana treść - podczas szkolenia nacisk kładziemy nie tylko na przekazanie wskazówek dotyczących przetwarzania danych, ale i na odpowiedzialność karną, dyscyplinarną i cywilną jaka wiąże się z tym procesem. • certyfikat – uczestnicy otrzymają certyfikat potwierdzający uczestnictwo w warsztatach. Certyfikat jest jedną z podstaw do legitymowania się przez A BI odpowiednią wiedzą z zakresu ochrony danych osobowych, zgodnie z art. 39a znowelizowanej ustawy. • każdy uczestnik otrzyma wzory wymaganych prawem dokumentów: Polityki bezpieczeństwa, Instrukcji zarządzania systemami informatycznymi, upoważnień do przetwarzania danych, klauzul informacyjnych, umów powierzenia, wniosek zgłoszenia zbiorów do G IODO ,raport dotyczący naruszenia reguł ochrony danych itp. PROG RA M SZ KO L ENIA: 1. WPROWADZENIE DO TEMATU I WYJAŚNIENIE PODSTAWOWYCH POJĘĆ WYSTĘPUJĄCYCH W USTAWIE • Zakres stosowania ustawy o ochronie danych osobowych, • Podstawowe pojęcia: dane osobowe, zbiór danych osobowych, administrator danych osobowych, system informatyczny, itd. • Administrator danych w strukturze ochrony danych – kto jest właścicielem danych osobowych? Omówienie różnic pomiędzy administratorem danych osobowych a ich „procesorem”, • Podstawy przetwarzania danych osobowych, z uwzględnieniem danych wrażliwych, • Zasady przetwarzania danych osobowych, • Zasady udostępniania danych osobowych, • Powierzenie przetwarzania danych osobowych. Jak prawidłowo przygotować umowę powierzenia i dlaczego jest taka ważna. 2. PRAWO DO PRYWATNOŚCI A ŚLEDZENIE PRACOWNIKA • Wgląd do służbowych e-maili pracowników. • Ocena pracownika na podstawie jego aktywności w Internecie. • Dopuszczalność śledzenia pracowników w sieciach społecznościowych. • Śledzenie mobilnych pracowników (GPS, telefony komórkowe). • Pracodawca jako dostawca usług telekomunikacyjnych. • Omówienie założeń nowej regulacji prawnej dotyczącej monitoringu. • Zagrożenia i ryzyka. 3. PRZETWARZANIE DANYCH PRACOWNIKÓW • Obowiązki pracodawcy jako administratora danych osobowych pracownika. • Czy pracodawca musi dopełnić obowiązku informacyjnego względem pracownika? Czy zbiory kadrowe należy rejestrować? • Jakie dane może posiadać pracodawca? Wykorzystywanie zaawansowanych systemów do ewidencjonowania pracy, identyfikatory służbowe, książki adresowe ze zdjęciami, witryny intranetowe. • W jakiej formie pracodawca może przetwarzać dane? Czy pracodawca może kserować dokumenty (dowód osobisty, prawo jazdy, aktu urodzenia dziecka, itd.) pracowników? • Ochrona wizerunku pracownika w kontekście ustawy o ochronie danych osobowych. • Zdjęcia na identyfikatorach • Pracodawca użytkownik – prawa i obowiązki w obszarze ochrony danych osobowych. • Wykorzystywanie danych pracowniczych do celów ustalania przestępstw popełnionych w ramach stosunku pracy • Komu i na jakich zasadach wolno udostępnić dane osobowe pracownika? • Postępowanie z wnioskami Policji, Prokuratury, urzędów, banków, rodziny o udostępnienie danych osobowych. • Przetwarzanie danych osobowych pracowników i ich rodzin w związku ze świadczeniami jakie przysługują u Pracodawcy (ZFŚS). • • • • Dane osobowe a ZFŚS,czy dopuszczalne jest żądanie od pracownika przedłożenia rocznego zeznania podatkowego (PIT) w celu wykazania wysokości dochodu, na potrzeby Zakładowego Funduszu Świadczeń Socjalnych? Udzielanie informacji drogą telefoniczną na temat pracowników- najnowsze wytyczne GIODO, Przekazywanie danych osobowych do podmiotów zewnętrznych realizujących świadczenia dodatkowe (prywatna opieka zdrowotna, karty sportowe – powierzenie czy udostępnienie danych osobowych). Czy komornik może żądać od pracodawcy nr rachunkowego dłużnika? 4. BEZPIECZEŃSTWO DANYCH OSOBOWYCH KONTROLOWANE PRZEZ PIP • Podpisanie przez GIODO porozumienia z Państwową Inspekcją Pracy. • Nowe uprawnienia PIP w zakresie kontroli zgodności przetwarzania danych osobowych w kadrach i księgowości z polskim prawem • Nowe uprawnienia GIODO w zakresie kontroli przestrzeganie przez pracodawcę prawa pracy 5. ZAKRES ZMIAN W NOWELIZACJI USTAWY O OCHRONIE • • • • • • • DANYCH OSOBOWYCH OD 1 STYCZNIA 2015r. Pozycja prawna Administratora Bezpieczeństwa Informacji w strukturze organizacyjnej administratora danych obecnie i po 01 stycznia 2015 r. Aktualne uprawnienia i obowiązki ABI-ego Nowe dodatkowe uprawnienia i obowiązki ABI-ego Procedura rejestracji ABI-ego w rejestrze prowadzonym przez GIODO Zasady przeprowadzania obowiązkowych okresowych audytów ochrony danych osobowych Sprawdzenia , Sprawozdania Nowe zasady rejestracji zbiorów danych osobowych 6. JAK NALEŻY SKUTECZNIE ZABEZPIECZAĆ DANE OSOBOWE ( W WERSJI PAPIEROWEJ I ELEKTRONICZNEJ)? • Środki zabezpieczenia danych osobowych przetwarzanych w wersji papierowej • Środki zabezpieczeń danych osobowych w formie elektronicznej -czy system informatyczny przetwarzający dane osobowe spełnia wymogi wskazane w przepisach prawa? - zabezpieczenie danych osobowych przetwarzanych w wersji elektronicznej m. in.: loginy, hasła, wygaszacze ekranów oraz pozostałe środki zabezpieczenia danych osobowych przetwarzanych w systemach informatycznych • Polityka haseł • Polityka czystego biurka • Procedura zarządzania kluczami • Zasady dostępu do pomieszczeń • Komputery przenośne i "praca na odległość" • Komputerowe nośniki informacji • Kopie bezpieczeństwa • Zabezpieczenia przed szkodliwym oprogramowaniem, • Zabezpieczenia kryptograficzne, • Procedury reagowania na incydenty 7. POLITYKA BEZPIECZEŃSTWA I INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM – CO MUSZĄ ZAWIERAĆ ORAZ JAK STWORZYĆ WYMAGANE PROCEDURY? • Omówienie zawartości przykładowej Polityki bezpieczeństwa i Instrukcji zarządzania, których wzór wraz z załącznikami otrzymają uczestnicy szkolenia • Warsztaty z tworzenia wybranych elementów Polityki bezpieczeństwa i Instrukcji zarządzania • Upoważnienia dt. przetwarzania danych osobowych, upoważnienia dla ABI • Klauzule poufności • Ewidencja osób przetwarzających dane osobowe • Wykaz zbiorów danych, opis struktur danych osobowych • Umowy powierzenia danych osobowych 8. INDYWIDUALNE KONSULTACJE PRAWNE Uczestnicy szkolenia otrzymają w formie elektronicznej wszystkie nowe, niezbędne wzory prawem wymaganej dokumentacji oraz wzory planu sprawdzeń, sprawozdań, wewnętrznego rejestru, przykładowe wystąpienia GIODO do ABI-ego i wielu innych. Metodologia: Stawiamy nacisk na dyskusję, a wszelkie Państwa pytania i wątpliwości są mile widziane i dogłębnie wyjaśniane. Zaprezentujemy najciekawsze ”case study” (studium przypadku) oraz przeprowadzimy praktyczne ćwiczenia, które pomogą Państwu w codziennej pracy np. jak zarejestrować i zaktualizować zbiór danych osobowych; jak ocenić ile i jakich zbiorów jest w Państwa organizacji. Podamy także przykładowe zapisy umów dotyczące powierzenia przetwarzania danych osobowych osobom trzecim z jednoczesnym wyjaśnieniem ich praktycznego wpływu na stopień bezpieczeństwa tych danych.