Szczegółowy program Forum

ORGANIZATOR:
PARTNER MERYTORYCZNY:
I Szczegółowy program Ogólnopolskiego Forum
Spółdzielni Mieszkaniowych
„Przetwarzanie danych osobowych przez spółdzielnie mieszkaniowe – analiza
nieprawidłowości na podstawie wyników kontroli Generalnego Inspektora
Ochrony Danych Osobowych i sposoby przeciwdziałania”
DZIEŃ 1
10.000
OTWARCIE FORUM
10.00 – 10.30 Spółdzielnia mieszkaniowa jako podmiot objęty ustawą o ochronie danych osobowych
Ustawa o spółdzielniach mieszkaniowych, prawo spółdzielcze oraz inne przepisy szczególne, a ustawa o ochronie
danych osobowych i wynikające z niej wymogi prawne
• określenie pozycji spółdzielni w aspekcie przepisów o ochronie danych osobowych
• ryzyko odpowiedzialności spółdzielni, jej zarządu i pracowników z tytułu naruszenia zasad ochrony danych
osobowych
10.30 – 11.30 Kontrole GIODO w spółdzielniach mieszkaniowych
GIODO jako organ uprawniony do nadzoru i kontroli zgodności funkcjonowania spółdzielni mieszkaniowych z
przepisami o ochronie danych osobowych – zadania GIODO
Rodzaje kontroli, zakres przedmiotowy kontroli
Uprawnienia inspektorów
Uprawnienia podmiotu kontrolowanego
Obowiązki pracowników spółdzielni w trakcie kontroli GIODO
11.30 – 12.00
Przerwa
12.00 – 12.30 Przebieg kontroli w spółdzielniach mieszkaniowych
Informacja o kontroli a prawidłowe przygotowanie spółdzielni do kontroli
Zasady postępowania pracowników w czasie spotkań kontrolnych – udzielanie odpowiedzi i wyjaśnień
Co bezwzględnie podlega kontroli?
Przesłanki do rozszerzenia zakresu kontroli oraz przedłużenia czasu trwania
Możliwe konsekwencje prawne i organizacyjne kontroli GIODO
Jak właściwie zabezpieczyć spółdzielnię przed negatywnymi skutkami kontroli GIODO?
12.30 – 13.30 Praktyczne aspekty ochrony danych osobowych w spółdzielniach mieszkaniowych
Co spółdzielnia musi chronić na gruncie ustawy o ochronie danych osobowych?
• dane osobowe zwykłe, wrażliwe oraz tzw. dane służbowe
• CASE STUDY:
o czy numer lokalu mieszkalnego jest daną osobową?
o czy informacje o zużyciu ciepła oraz o zadłużeniu członka spółdzielni są danymi osobowymi?
o czy informacje o zużyciu mediów w spółdzielni są danymi osobowymi?
Przetwarzanie danych osobowych – CASE STUDY: praktyczna identyfikacja procesów przetwarzania danych
osobowych w działalności spółdzielni mieszkaniowej
Zbiór danych osobowych – CASE STUDY: praktyczna identyfikacja zbiorów danych osobowych w spółdzielni
mieszkaniowej podlegających ustawowej ochronie
13.30 – 14.30
Obiad
14.30 – 16.00 Prawa i obowiązki spółdzielni jako podmiotu przetwarzającego dane osobowe (część 1)
Legalność przetwarzania danych jako ustawowy obowiązek każdej spółdzielni
• podstawy prawne przetwarzania danych osobowych zwykłych oraz danych osobowych wrażliwych
• CASE STUDY:
o prawo spółdzielni do posiadania informacji o osobach mieszkających wspólnie z członkiem spółdzielni
oraz zakres tych informacji
o podstawy prawne przetwarzania danych dłużników i przekazywania ich komornikom oraz firmom
windykacyjnym
o ochrona i monitorowanie budynków należących do spółdzielni
Obowiązki informacyjne spółdzielni wobec osób, których dane wykorzystuje:
• wnioski informacyjne oraz tryb i forma ich realizacji
• podstawy odmowy udzielenia wnioskowanej informacji
16.00 – 16.15
Przerwa
16.15 – 17.45 Prawa i obowiązki spółdzielni jako podmiotu przetwarzającego dane osobowe (część 2)
Obowiązki spółdzielni w zakresie zabezpieczenia danych:
• wymogi wynikające z ustawy o ochronie danych osobowych oraz aktów wykonawczych do niej
o wymagane zabezpieczenia fizyczne i techniczne
o wymagana dokumentacja z zakresu ochrony danych osobowych
Polityka bezpieczeństwa danych osobowych – zasady tworzenia i aktualizacji dokumentu
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
– zasady tworzenia i aktualizacji dokumentu
o osoba odpowiedzialna w spółdzielni za nadzór nad bezpieczeństwem danych – Administrator
Bezpieczeństwa Informacji /ABI/
kto powinien pełnić funkcję ABI w spółdzielni mieszkaniowej?
modelowanie stanowiska ABI w strukturze organizacyjnej spółdzielni
przykładowy zakres zadań i odpowiedzialności ABI
zasady pełnienia funkcji ABI na zasadzie outsourcingu – wady i zalety
o wymagane zasady nadawania dostępu do danych osobowych pracownikom spółdzielni
• wymogi dotyczące zabezpieczenia danych, wynikające z ustawy o rachunkowości
o zasady ochrony danych przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem,
uszkodzeniem lub zniszczeniem
• wymogi wobec ochrony danych wykorzystywanych w formie elektronicznej
20.00
Uroczysta kolacja
DZIEŃ 2
9.00 – 11.00 Prawa i obowiązki spółdzielni jako podmiotu przetwarzającego dane osobowe (część 3)
Zabezpieczenia systemów informatycznych, w których są przetwarzane dane osobowe:
• zabezpieczenia techniczne
• wymogi prawne w zakresie odnotowywania operacji na danych w systemie
• wymogi w zakresie zapewnienia ciągłości funkcjonowania systemu oraz bazy danych
Obowiązki spółdzielni przy powierzaniu i udostępnianiu danych osobowych
• udostępnianie danych osobowych oraz podstawy odmowy udostępnienia
• udostępnianie danych a dostęp do informacji publicznej
• powierzanie danych osobowych podmiotom współpracującym ze spółdzielnią
o przykłady sytuacji, w których spółdzielnia powierza dane osobowe podmiotom zewnętrznym
o wymogi prawne związane z powierzeniem danych – przykłady zapisów umownych
Obowiązek rejestracji zbiorów danych osobowych
• które zbiory danych osobowych spółdzielnia musi zgłosić do rejestracji?
• jak prawidłowo wypełnić i złożyć wniosek o zarejestrowanie lub aktualizację zbioru danych osobowych omówienie formularza rejestracyjnego
11.00 – 11.30
Przerwa
11.30 – 12.30 Podsumowanie wyników kontroli ochrony danych osobowych w spółdzielniach mieszkaniowych
Ilości składanych skarg do GIODO w zakresie działalności spółdzielni w ostatnich 10 latach
Najczęściej stwierdzane naruszenia zasad przetwarzania danych osobowych podczas kontroli oraz zasady
zapewniania zgodności w ich obszarach:
• przekroczenie zakresu danych pozyskiwanych w deklaracji członkowskiej
• przetwarzanie danych osób zameldowanych w lokalach bez wykazania celu przetwarzania
• niewypełnianie obowiązku informacyjnego
• brak właściwych zabezpieczeń organizacyjnych
• niepowołanie Administratora Bezpieczeństwa Informacji
• brak dokumentów wymaganych prawnie
• niezgodność dokumentacji ze stanem faktycznym
• brak upoważnień do przetwarzania danych osobowych i ewidencji upoważnień
• brak przeprowadzania odpowiednich szkoleń
• brak poinformowania o obowiązku zachowania tajemnicy
• brak określenia obszaru przetwarzania danych osobowych
• brak nadzoru nad kluczami do pomieszczeń służbowych
• brak upoważnienia osób nieuprawnionych do przebywania w obszarze przetwarzania
• kierowanie korespondencji do lokatorów bez odpowiedniego zabezpieczenia przed nieuprawnionym
dostępem
• prowadzenie podręcznych zbiorów danych osobowych w plikach Word, Excel, Open Office z naruszeniem
wymogów prawnych
• brak umów powierzenia przetwarzania danych innym podmiotom
• brak zasad udostępniania danych osobowych
• brak zgłoszenia zbiorów danych osobowych do rejestracji
• inne nieprawidłowości stwierdzane podczas kontroli
12.30 – 12.45
Przerwa
12.45 – 13.30 Rodzaje i zakresy odpowiedzialności spółdzielni mieszkaniowej, Zarządu oraz pracowników za
działania niezgodne z przepisami o ochronie danych osobowych
Zasady odpowiedzialności dyscyplinarnej pracowników spółdzielni
Odpowiedzialność administracyjna
Odpowiedzialność cywilno-prawna
Sankcje karne dla Zarządu spółdzielni i pracowników w świetle przepisów ustawy o ochronie danych osobowych
i Kodeksu Karnego
13.30 – 14.15 Wykład końcowy
Jak w praktyce sprawdzić stopień zgodności funkcjonowania spółdzielni mieszkaniowej z przepisami o ochronie
danych osobowych?
• samodzielny audyt zgodności:
o zasady budowania zespołów audytowych
o omówienie przykładowej listy kontrolnej
• symulacja kontroli GIODO
• profesjonalny audyt zgodności z oceną ryzyka i kategoryzacją nieprawidłowości
Zasady identyfikacji krytycznych nieprawidłowości
Jak wdrażać zalecenia naprawcze?
Zasady monitorowania stanu zgodności – jak określać potrzeby szkoleniowe i częstotliwość oraz zakres
okresowych audytów weryfikacyjnych?
14.15 – 15.00 Panel dyskusyjny. Odpowiedzi na pytania uczestników
15.00
ZAKOŃCZENIE FORUM
15.00 – 15.45
Obiad