Szczegółowy program Forum
Transkrypt
Szczegółowy program Forum
ORGANIZATOR: PARTNER MERYTORYCZNY: I Szczegółowy program Ogólnopolskiego Forum Spółdzielni Mieszkaniowych „Przetwarzanie danych osobowych przez spółdzielnie mieszkaniowe – analiza nieprawidłowości na podstawie wyników kontroli Generalnego Inspektora Ochrony Danych Osobowych i sposoby przeciwdziałania” DZIEŃ 1 10.000 OTWARCIE FORUM 10.00 – 10.30 Spółdzielnia mieszkaniowa jako podmiot objęty ustawą o ochronie danych osobowych Ustawa o spółdzielniach mieszkaniowych, prawo spółdzielcze oraz inne przepisy szczególne, a ustawa o ochronie danych osobowych i wynikające z niej wymogi prawne • określenie pozycji spółdzielni w aspekcie przepisów o ochronie danych osobowych • ryzyko odpowiedzialności spółdzielni, jej zarządu i pracowników z tytułu naruszenia zasad ochrony danych osobowych 10.30 – 11.30 Kontrole GIODO w spółdzielniach mieszkaniowych GIODO jako organ uprawniony do nadzoru i kontroli zgodności funkcjonowania spółdzielni mieszkaniowych z przepisami o ochronie danych osobowych – zadania GIODO Rodzaje kontroli, zakres przedmiotowy kontroli Uprawnienia inspektorów Uprawnienia podmiotu kontrolowanego Obowiązki pracowników spółdzielni w trakcie kontroli GIODO 11.30 – 12.00 Przerwa 12.00 – 12.30 Przebieg kontroli w spółdzielniach mieszkaniowych Informacja o kontroli a prawidłowe przygotowanie spółdzielni do kontroli Zasady postępowania pracowników w czasie spotkań kontrolnych – udzielanie odpowiedzi i wyjaśnień Co bezwzględnie podlega kontroli? Przesłanki do rozszerzenia zakresu kontroli oraz przedłużenia czasu trwania Możliwe konsekwencje prawne i organizacyjne kontroli GIODO Jak właściwie zabezpieczyć spółdzielnię przed negatywnymi skutkami kontroli GIODO? 12.30 – 13.30 Praktyczne aspekty ochrony danych osobowych w spółdzielniach mieszkaniowych Co spółdzielnia musi chronić na gruncie ustawy o ochronie danych osobowych? • dane osobowe zwykłe, wrażliwe oraz tzw. dane służbowe • CASE STUDY: o czy numer lokalu mieszkalnego jest daną osobową? o czy informacje o zużyciu ciepła oraz o zadłużeniu członka spółdzielni są danymi osobowymi? o czy informacje o zużyciu mediów w spółdzielni są danymi osobowymi? Przetwarzanie danych osobowych – CASE STUDY: praktyczna identyfikacja procesów przetwarzania danych osobowych w działalności spółdzielni mieszkaniowej Zbiór danych osobowych – CASE STUDY: praktyczna identyfikacja zbiorów danych osobowych w spółdzielni mieszkaniowej podlegających ustawowej ochronie 13.30 – 14.30 Obiad 14.30 – 16.00 Prawa i obowiązki spółdzielni jako podmiotu przetwarzającego dane osobowe (część 1) Legalność przetwarzania danych jako ustawowy obowiązek każdej spółdzielni • podstawy prawne przetwarzania danych osobowych zwykłych oraz danych osobowych wrażliwych • CASE STUDY: o prawo spółdzielni do posiadania informacji o osobach mieszkających wspólnie z członkiem spółdzielni oraz zakres tych informacji o podstawy prawne przetwarzania danych dłużników i przekazywania ich komornikom oraz firmom windykacyjnym o ochrona i monitorowanie budynków należących do spółdzielni Obowiązki informacyjne spółdzielni wobec osób, których dane wykorzystuje: • wnioski informacyjne oraz tryb i forma ich realizacji • podstawy odmowy udzielenia wnioskowanej informacji 16.00 – 16.15 Przerwa 16.15 – 17.45 Prawa i obowiązki spółdzielni jako podmiotu przetwarzającego dane osobowe (część 2) Obowiązki spółdzielni w zakresie zabezpieczenia danych: • wymogi wynikające z ustawy o ochronie danych osobowych oraz aktów wykonawczych do niej o wymagane zabezpieczenia fizyczne i techniczne o wymagana dokumentacja z zakresu ochrony danych osobowych Polityka bezpieczeństwa danych osobowych – zasady tworzenia i aktualizacji dokumentu Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych – zasady tworzenia i aktualizacji dokumentu o osoba odpowiedzialna w spółdzielni za nadzór nad bezpieczeństwem danych – Administrator Bezpieczeństwa Informacji /ABI/ kto powinien pełnić funkcję ABI w spółdzielni mieszkaniowej? modelowanie stanowiska ABI w strukturze organizacyjnej spółdzielni przykładowy zakres zadań i odpowiedzialności ABI zasady pełnienia funkcji ABI na zasadzie outsourcingu – wady i zalety o wymagane zasady nadawania dostępu do danych osobowych pracownikom spółdzielni • wymogi dotyczące zabezpieczenia danych, wynikające z ustawy o rachunkowości o zasady ochrony danych przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem • wymogi wobec ochrony danych wykorzystywanych w formie elektronicznej 20.00 Uroczysta kolacja DZIEŃ 2 9.00 – 11.00 Prawa i obowiązki spółdzielni jako podmiotu przetwarzającego dane osobowe (część 3) Zabezpieczenia systemów informatycznych, w których są przetwarzane dane osobowe: • zabezpieczenia techniczne • wymogi prawne w zakresie odnotowywania operacji na danych w systemie • wymogi w zakresie zapewnienia ciągłości funkcjonowania systemu oraz bazy danych Obowiązki spółdzielni przy powierzaniu i udostępnianiu danych osobowych • udostępnianie danych osobowych oraz podstawy odmowy udostępnienia • udostępnianie danych a dostęp do informacji publicznej • powierzanie danych osobowych podmiotom współpracującym ze spółdzielnią o przykłady sytuacji, w których spółdzielnia powierza dane osobowe podmiotom zewnętrznym o wymogi prawne związane z powierzeniem danych – przykłady zapisów umownych Obowiązek rejestracji zbiorów danych osobowych • które zbiory danych osobowych spółdzielnia musi zgłosić do rejestracji? • jak prawidłowo wypełnić i złożyć wniosek o zarejestrowanie lub aktualizację zbioru danych osobowych omówienie formularza rejestracyjnego 11.00 – 11.30 Przerwa 11.30 – 12.30 Podsumowanie wyników kontroli ochrony danych osobowych w spółdzielniach mieszkaniowych Ilości składanych skarg do GIODO w zakresie działalności spółdzielni w ostatnich 10 latach Najczęściej stwierdzane naruszenia zasad przetwarzania danych osobowych podczas kontroli oraz zasady zapewniania zgodności w ich obszarach: • przekroczenie zakresu danych pozyskiwanych w deklaracji członkowskiej • przetwarzanie danych osób zameldowanych w lokalach bez wykazania celu przetwarzania • niewypełnianie obowiązku informacyjnego • brak właściwych zabezpieczeń organizacyjnych • niepowołanie Administratora Bezpieczeństwa Informacji • brak dokumentów wymaganych prawnie • niezgodność dokumentacji ze stanem faktycznym • brak upoważnień do przetwarzania danych osobowych i ewidencji upoważnień • brak przeprowadzania odpowiednich szkoleń • brak poinformowania o obowiązku zachowania tajemnicy • brak określenia obszaru przetwarzania danych osobowych • brak nadzoru nad kluczami do pomieszczeń służbowych • brak upoważnienia osób nieuprawnionych do przebywania w obszarze przetwarzania • kierowanie korespondencji do lokatorów bez odpowiedniego zabezpieczenia przed nieuprawnionym dostępem • prowadzenie podręcznych zbiorów danych osobowych w plikach Word, Excel, Open Office z naruszeniem wymogów prawnych • brak umów powierzenia przetwarzania danych innym podmiotom • brak zasad udostępniania danych osobowych • brak zgłoszenia zbiorów danych osobowych do rejestracji • inne nieprawidłowości stwierdzane podczas kontroli 12.30 – 12.45 Przerwa 12.45 – 13.30 Rodzaje i zakresy odpowiedzialności spółdzielni mieszkaniowej, Zarządu oraz pracowników za działania niezgodne z przepisami o ochronie danych osobowych Zasady odpowiedzialności dyscyplinarnej pracowników spółdzielni Odpowiedzialność administracyjna Odpowiedzialność cywilno-prawna Sankcje karne dla Zarządu spółdzielni i pracowników w świetle przepisów ustawy o ochronie danych osobowych i Kodeksu Karnego 13.30 – 14.15 Wykład końcowy Jak w praktyce sprawdzić stopień zgodności funkcjonowania spółdzielni mieszkaniowej z przepisami o ochronie danych osobowych? • samodzielny audyt zgodności: o zasady budowania zespołów audytowych o omówienie przykładowej listy kontrolnej • symulacja kontroli GIODO • profesjonalny audyt zgodności z oceną ryzyka i kategoryzacją nieprawidłowości Zasady identyfikacji krytycznych nieprawidłowości Jak wdrażać zalecenia naprawcze? Zasady monitorowania stanu zgodności – jak określać potrzeby szkoleniowe i częstotliwość oraz zakres okresowych audytów weryfikacyjnych? 14.15 – 15.00 Panel dyskusyjny. Odpowiedzi na pytania uczestników 15.00 ZAKOŃCZENIE FORUM 15.00 – 15.45 Obiad