OCHRONA DANYCH OSOBOWYCH W KADRACH I KSIĘGOWOŚCI

OCHRONA DANYCH OSOBOWYCH W KADRACH
I KSIĘGOWOŚCI PO NOWELIZACJI USTAWY z uwzględnieniem
najnowszych zmian wraz z wzorami wymaganej prawem dokumentacją
(Polityka bezpieczeństwa, Instrukcja zarządzania systemem informatycznym
oraz inne wymagane dokumenty,
Państwowa Inspekcja Pracy (PIP) i Biuro Generalnego Inspektora Ochrony Danych
Osobowych (GIODO) zawarły 14 grudnia 2012 r. w Warszawie oficjalne porozumienie
w sprawie zasad ich współdziałania w realizacji ustawowych zadań dla zwiększenia
skuteczności działań na rzecz przestrzegania przepisów o ochronie danych osobowych w
stosunkach pracy. Na mocy porozumienia, PIP zawiadomi GIODO o „stwierdzonych w czasie
kontroli nieprawidłowościach w zakresie zgodności przetwarzania danych z przepisami
o ochronie danych osobowych„.
Większe prawdopodobieństwo kontroli procesów przetwarzania danych osobowych
Podstawową konsekwencją podpisania przedmiotowego porozumienia pomiędzy GIODO i PIP jest
znaczny wzrost ryzyka przeprowadzenia kontroli zgodności przetwarzania danych osobowych z
polskim prawem. O ile GIODO przeprowadza rocznie ok. 200 kontroli. Na terenie całego kraju, to PIP
tylko w roku 2012, w samych Katowicach przeprowadziła prawie 11 000 kontroli! W całej Polsce, w
jednym
tylko
roku
2012
PIP
przeprowadziła
90
000
kontroli
(dane
z
http://www.pip.gov.pl/html/pl/doc/prog_2012_z4.pdf).
GIODO skontroluje przestrzeganie przez pracodawcę prawa pracy
Porozumienie działa w obie strony. Nie tylko PIP będzie przyglądał się bezpieczeństwu
danych osobowych, ale również GIODO przyjrzy się respektowaniu prawa pracy przez
kontrolowaną instytucję. Jak podkreśla Dr Wojciech Rafał Wiewiórowski (GIODO) „Kiedy
sprawdzamy działania podejmowane przez przedsiębiorcę, ale również instytucje publiczne,
możemy dojść do wniosku, że niektóre z nich nie mają wprawdzie charakteru naruszającego
ustawę o ochronie danych osobowych, ale mogą naruszać inne uprawnienia pracowników. W
tej sytuacji powinniśmy informować Państwową Inspekcję Pracy. Chodzi nam także
o koordynację kontroli, tak żeby nie dochodziło do sytuacji, w której ta sama rzecz jest
kontrolowana przez PIP i przez GIODO, raz po razie.”
Szkolenie przeznaczone jest dla pracodawców, pracowników działów kadr (HR) oraz kadry
menadżerskiej, którzy kształtują politykę personalną przedsiębiorstwa, urzędu, lub jakiejkolwiek innej
organizacji. Szczególnie jeśli zajmują się bezpośrednio rekrutacją, szkoleniem, motywowaniem oraz
nawiązywaniem i rozwiązywaniem stosunku pracy.
Uczestnicy szkolenia dowiedzą się przede wszystkim:
•
w jakich przypadkach i w jakiej formie pracodawca może zażądać od pracowników
i kandydatów ubiegających się o pracę tzw. danych wrażliwych – w tym w
szczególności zaświadczenia o niekaralności,
•
jakie skutki niesie za sobą przyzwolenie na korzystanie z Internetu dla celów
prywatnych, a jakie przemilczenie tematu?
•
czy można szukać danych o pracownikach w sieciach społecznościowych, a jeśli tak
to jakich?
•
czy pracownik musi wyrazić pracodawcy zgodę na przetwarzanie danych osobowych?
•
jak prawidłowo skonstruować ogłoszenie o pracę, żeby nie naruszyć przepisów
ustawy o ochronie danych osobowych,
•
jak przekazywać dane osobowe pracowników w ramach grup kapitałowych oraz
w sytuacji korzystania z usługi outsourcingu (np. księgowości),
•
w jakich przypadkach i w jakiej formie pracodawca może zażądać od pracowników
i kandydatów ubiegających się o pracę tzw. danych wrażliwych – w tym w
szczególności zaświadczenia o niekaralności i informacji o nałogach,
•
w jakich przypadkach i w jakiej formie można przeprowadzać testy
psychologiczne dla pracowników i kandydatów ubiegających się o pracę,
•
w jakim zakresie możliwe jest zastosowanie monitoring w miejscu pracy (w tym w
szczególności monitorowanie poczty e-mail, komunikatorów, nagrywanie rozmów
telefonicznych pracowników),
•
czy i w jaki sposób można udostępniać dane osobowe pracowników i kandydatów
ubiegających się o pracę związkom zawodowym oraz radom pracowników.
Główne zalety szkolenia:
•
spotkanie jest prowadzone w konwencji warsztatowej tj. z możliwością zadawania pytań w
trakcie wykładów. Ze względu na wiedzę i wieloletnią praktykę zawodową prowadzącego
warsztaty daje gwarancję, iż otrzymają Państwo pełną informację dotyczącą obowiązków,
statusu i odpowiedzialności administratora bezpieczeństwa informacji po 1 stycznia 2015 r.
Formuła spotkania pozwala na aktywny udział słuchaczy przez co na bieżąco można uzyskać
odpowiedź na każde pytanie przy okazji wymieniając swoje spostrzeżenia z innymi
uczestnikami warsztatu.
•
praktyczny charakter – w celu zapewnienia jak największej skuteczności szkolenia, jest ono
prowadzone w formie warsztatów praktycznych. Podczas szkolenia, uczestnicy będą mieli
okazję w praktyce przećwiczyć np.: wypełnianie wniosków zgłoszeniowych A BI do GIODO,
prowadzenie Jawnego Rejestru Zbiorów przez A BI, przygotowanie procedury szkoleń dla
pracowników, przeprowadzanie sprawdzeń oraz sporządzanie sprawozdań.
•
zbalansowana treść - podczas szkolenia nacisk kładziemy nie tylko na przekazanie
wskazówek dotyczących przetwarzania danych, ale i na odpowiedzialność karną,
dyscyplinarną i cywilną jaka wiąże się z tym procesem.
•
certyfikat – uczestnicy otrzymają certyfikat potwierdzający uczestnictwo w warsztatach.
Certyfikat jest jedną z podstaw do legitymowania się przez A BI odpowiednią wiedzą z
zakresu ochrony danych osobowych, zgodnie z art. 39a znowelizowanej ustawy.
•
każdy uczestnik otrzyma wzory wymaganych prawem dokumentów: Polityki
bezpieczeństwa, Instrukcji zarządzania systemami informatycznymi, upoważnień do
przetwarzania danych, klauzul informacyjnych, umów powierzenia, wniosek zgłoszenia
zbiorów do G IODO ,raport dotyczący naruszenia reguł ochrony danych itp.
PROG RA M SZ KO L ENIA:
1. WPROWADZENIE DO TEMATU I WYJAŚNIENIE
PODSTAWOWYCH POJĘĆ WYSTĘPUJĄCYCH W USTAWIE
•
Zakres stosowania ustawy o ochronie danych osobowych,
•
Podstawowe pojęcia: dane osobowe, zbiór danych osobowych, administrator
danych osobowych, system informatyczny, itd.
•
Administrator danych w strukturze ochrony danych – kto jest właścicielem
danych osobowych? Omówienie różnic pomiędzy administratorem danych
osobowych a ich „procesorem”,
•
Podstawy przetwarzania danych osobowych, z uwzględnieniem danych
wrażliwych,
•
Zasady przetwarzania danych osobowych,
•
Zasady udostępniania danych osobowych,
•
Powierzenie przetwarzania danych osobowych. Jak prawidłowo przygotować
umowę powierzenia i dlaczego jest taka ważna.
2. PRAWO DO PRYWATNOŚCI A ŚLEDZENIE PRACOWNIKA
•
Wgląd do służbowych e-maili pracowników.
•
Ocena pracownika na podstawie jego aktywności w Internecie.
•
Dopuszczalność śledzenia pracowników w sieciach społecznościowych.
•
Śledzenie mobilnych pracowników (GPS, telefony komórkowe).
•
Pracodawca jako dostawca usług telekomunikacyjnych.
•
Omówienie założeń nowej regulacji prawnej dotyczącej monitoringu.
•
Zagrożenia i ryzyka.
3. PRZETWARZANIE DANYCH PRACOWNIKÓW
•
Obowiązki pracodawcy jako administratora danych osobowych pracownika.
•
Czy pracodawca musi dopełnić obowiązku informacyjnego względem pracownika?
Czy zbiory kadrowe należy rejestrować?
•
Jakie dane może posiadać pracodawca? Wykorzystywanie zaawansowanych systemów
do ewidencjonowania pracy, identyfikatory służbowe, książki adresowe ze zdjęciami,
witryny intranetowe.
•
W jakiej formie pracodawca może przetwarzać dane? Czy pracodawca może kserować
dokumenty (dowód osobisty, prawo jazdy, aktu urodzenia dziecka, itd.) pracowników?
•
Ochrona wizerunku pracownika w kontekście ustawy o ochronie danych osobowych.
•
Zdjęcia na identyfikatorach
•
Pracodawca użytkownik – prawa i obowiązki w obszarze ochrony danych osobowych.
•
Wykorzystywanie danych pracowniczych do celów ustalania przestępstw
popełnionych w ramach stosunku pracy
•
Komu i na jakich zasadach wolno udostępnić dane osobowe pracownika?
•
Postępowanie z wnioskami Policji, Prokuratury, urzędów, banków, rodziny
o udostępnienie danych osobowych.
•
Przetwarzanie danych osobowych pracowników i ich rodzin w związku ze
świadczeniami jakie przysługują u Pracodawcy (ZFŚS).
•
•
•
•
Dane osobowe a ZFŚS,czy dopuszczalne jest żądanie od pracownika
przedłożenia rocznego zeznania podatkowego (PIT) w celu wykazania
wysokości dochodu, na potrzeby Zakładowego Funduszu Świadczeń
Socjalnych?
Udzielanie informacji drogą telefoniczną na temat pracowników- najnowsze
wytyczne GIODO,
Przekazywanie danych osobowych do podmiotów zewnętrznych realizujących
świadczenia dodatkowe (prywatna opieka zdrowotna, karty sportowe –
powierzenie czy udostępnienie danych osobowych).
Czy komornik może żądać od pracodawcy nr rachunkowego dłużnika?
4. BEZPIECZEŃSTWO DANYCH OSOBOWYCH KONTROLOWANE
PRZEZ PIP
• Podpisanie przez GIODO porozumienia z Państwową Inspekcją Pracy.
• Nowe uprawnienia PIP w zakresie kontroli zgodności przetwarzania danych
osobowych w kadrach i księgowości z polskim prawem
• Nowe uprawnienia GIODO w zakresie kontroli przestrzeganie przez
pracodawcę prawa pracy
5. ZAKRES ZMIAN W NOWELIZACJI USTAWY O OCHRONIE
•
•
•
•
•
•
•
DANYCH OSOBOWYCH OD 1 STYCZNIA 2015r.
Pozycja prawna Administratora Bezpieczeństwa Informacji w strukturze
organizacyjnej administratora danych obecnie i po 01 stycznia 2015 r.
Aktualne uprawnienia i obowiązki ABI-ego
Nowe dodatkowe uprawnienia i obowiązki ABI-ego
Procedura rejestracji ABI-ego w rejestrze prowadzonym przez GIODO
Zasady przeprowadzania obowiązkowych okresowych audytów ochrony
danych osobowych
Sprawdzenia , Sprawozdania
Nowe zasady rejestracji zbiorów danych osobowych
6. JAK NALEŻY SKUTECZNIE ZABEZPIECZAĆ DANE
OSOBOWE
( W WERSJI PAPIEROWEJ I
ELEKTRONICZNEJ)?
• Środki zabezpieczenia danych osobowych przetwarzanych w wersji papierowej
• Środki zabezpieczeń danych osobowych w formie elektronicznej -czy
system informatyczny przetwarzający dane osobowe spełnia wymogi
wskazane w przepisach prawa? - zabezpieczenie danych osobowych
przetwarzanych w wersji elektronicznej m. in.: loginy, hasła, wygaszacze
ekranów oraz pozostałe środki zabezpieczenia danych osobowych
przetwarzanych w systemach informatycznych
•
Polityka haseł
•
Polityka czystego biurka
•
Procedura zarządzania kluczami
•
Zasady dostępu do pomieszczeń
•
Komputery przenośne i "praca na odległość"
•
Komputerowe nośniki informacji
•
Kopie bezpieczeństwa
•
Zabezpieczenia przed szkodliwym oprogramowaniem,
•
Zabezpieczenia kryptograficzne,
•
Procedury reagowania na incydenty
7.
POLITYKA BEZPIECZEŃSTWA I INSTRUKCJA
ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM – CO
MUSZĄ ZAWIERAĆ ORAZ JAK STWORZYĆ WYMAGANE
PROCEDURY?
•
Omówienie zawartości przykładowej Polityki bezpieczeństwa i Instrukcji
zarządzania, których wzór wraz z załącznikami otrzymają uczestnicy szkolenia
•
Warsztaty z tworzenia wybranych elementów Polityki bezpieczeństwa i
Instrukcji zarządzania
•
Upoważnienia dt. przetwarzania danych osobowych, upoważnienia dla ABI
•
Klauzule poufności
•
Ewidencja osób przetwarzających dane osobowe
•
Wykaz zbiorów danych, opis struktur danych osobowych
•
Umowy powierzenia danych osobowych
8. INDYWIDUALNE KONSULTACJE PRAWNE
Uczestnicy szkolenia otrzymają w formie elektronicznej wszystkie nowe, niezbędne
wzory prawem wymaganej dokumentacji oraz wzory planu sprawdzeń, sprawozdań,
wewnętrznego rejestru, przykładowe wystąpienia GIODO do ABI-ego i wielu innych.
Metodologia:
Stawiamy nacisk na dyskusję, a wszelkie Państwa pytania i wątpliwości są mile widziane i
dogłębnie wyjaśniane. Zaprezentujemy najciekawsze ”case study” (studium przypadku) oraz
przeprowadzimy praktyczne ćwiczenia, które pomogą Państwu w codziennej pracy np. jak
zarejestrować i zaktualizować zbiór danych osobowych; jak ocenić ile i jakich zbiorów jest w
Państwa organizacji. Podamy także przykładowe zapisy umów dotyczące powierzenia
przetwarzania danych osobowych osobom trzecim z jednoczesnym wyjaśnieniem ich
praktycznego wpływu na stopień bezpieczeństwa tych danych.