Ochrona danych osobowych oraz planowane zmiany w regulacjach
Transkrypt
Ochrona danych osobowych oraz planowane zmiany w regulacjach
Ochrona danych osobowych oraz planowane zmiany w regulacjach europejskich i krajowych – 04.04.2014r. (Rzeszów) 1. Zagadnienia ogólne: 2. Dlaczego ochrona danych osobowych jest ważna? - historia i przyczyny wprowadzenia uregulowań prawnych związanych z ochroną danych osobowych; Nurtujące pytania dotyczące zagadnień związanych z danymi osobowymi -w jakich aktach prawnych można znaleźć na nie odpowiedzi? - źródła prawa; Czy każdy będzie miał obowiązek mianowania ABI? Jakie będą skutki finansowe nowej regulacji? - Projekt rozporządzenia PE i Rady w sprawie ochrony danych osobowych – perspektywa zmian w 2014 r.; Czym są dane osobowe? Czy m.in. adres IP, adres e-mail, numer telefonu są uznawane za dane osobowe? pojęcie danych osobowych; Czym są zbiory danych? - czy baza danych w systemie informatycznym, informacje przechowywane w segregatorach, teczkach, zbiór kontaktów w telefonie, wizytownik na biurku są zbiorami danych? Czy i w jakich przypadkach pozyskiwanie danych osobowych może prowadzić do wystąpienia z roszczeniem o naruszenie dóbr osobistych? – dane osobowe a dobra osobiste; „Witam, jak zdrowie?” - dane zwykłe, a dane wrażliwe; Przetwarzanie czyli „co”? Czy ujawnienie informacji o charakterze danych osobowych w rozmowie/ przeczytanie danych/ samo wydrukowanie dokumentów będzie przetwarzaniem? - pojęcie przetwarzania danych osobowych; Warsztat: uczestnicy rozstrzygają czy w konkretnych przypadkach otrzymane informacje stanowią dane osobowe, Przetwarzanie danych osobowych w praktyce: Kiedy w organizacji dochodzi do procesów przetwarzania danych? - charakterystyka ogólna procesów przetwarzania danych osobowych; Kto pomoże rozwiązać problem dotyczący przetwarzania danych osobowych? rola i obowiązki ABI w strukturze organizacyjnej Administratora Danych, rola i obowiązki ASI w strukturze organizacyjnej Administratora Danych, komunikacja między osobami przetwarzającymi dane osobowe; Czy wszelkie procesy na danych osobowych prowadzone są zgodnie z prawem? przedstawienie propozycji rozwiązań zwiększających bezpieczeństwo prawne administratora danych. Prawne aspekty obrotu bazami danych; Umowy o świadczenie usług przetwarzania danych osobowych „w chmurze” – wymogi Komisji Europejskiej. 3. Zakres danych które można zbierać od osób fizycznych: Zasada adekwatności, Kiedy można zbierać (np. od klienta) tak szczegółowe dane jak np. numer PESEL, numer dowodu osobistego, itd. W jakich sytuacjach można zbierać dane wrażliwe od klientów i pracowników; Jakie warunki należy spełnić aby przetwarzać wizerunek klientów (np. wykorzystywanie wizerunku w celu prowadzenia kampanii marketingowej); Dane biometryczne i ich przetwarzanie; Ochrona danych osobowych a monitoring wizyjny. Kiedy można przetwarzać dane klientów i pracowników? 4. Legalności przetwarzania danych osobowych: Omówienie podstaw prawnych umożliwiających przetwarzanie danych osobowych: zgoda na przetwarzanie danych osobowych przepis prawa prawnie usprawiedliwiony cel realizacja umowy dobro publiczne Dopasowanie konkretnych podstaw prawnych do zbierania danych osobowych od: pracowników, klientów, potencjalnych klientów (działalność marketingowa); Jak prawidłowo sformułować zgodę na przetwarzanie danych osobowych? Warsztat; W jakich sytuacjach można przetwarzać dane osobowe klientów bez uzyskania zgody na przetwarzanie danych osobowych; W jakich sytuacjach dopuszczalne jest kserowanie lub skanowanie dowodów osobistych klientów; 5. Prawa osób których dane są przetwarzane: Jakie prawa mają osoby których dane są przetwarzane i jakie wynikają z tego obowiązki dla Administratora Danych? tu jest błąd! - prawo do uaktualnienia/ sprostowania danych osobowych, nie zgadzam się! - sprzeciw wobec przetwarzania danych osobowych, chcę wiedzieć… - obowiązek informacyjny, Praktyczne sposoby rozwiązywania konfliktów związanych z przetwarzaniem danych osobowych. 6. Rejestrowanie baz danych u GIODO: Na kim ciąży obowiązek zgłoszenia zbioru do GIODO? rola administratora danych w procesie rejestracji zbiorów u GIODO; Na jakiej podstawie rejestrujemy zbiory i kiedy należy zgłosić zbiór danych do rejestracji?- analiza podstawy prawnej; Co zrobić gdy nastąpi zmiana danych przetwarzanych w zarejestrowanym zbiorze / zaprzestanie ich przetwarzania? – obowiązek informowania GIODO o zmianach w zbiorze, wniosek o dokonanie zmiany w zbiorze Których zbiorów nie trzeba rejestrować? ustawowe zwolnienia z obowiązku rejestracji; Kiedy GIODO odmawia rejestracji zbioru? Jakie są sankcje za niedopełnienie obowiązku zgłoszenia zbioru do rejestracji? – odpowiedzialność wynikająca z art. 53 UODO; Czy GIODO wydaje certyfikaty? – zaświadczenie GIODO o zarejestrowaniu zbioru danych. Warsztat w zakresie wypełniania zgłoszenia rejestracyjnego do GIODO. 7. Zabezpieczenie danych osobowych przetwarzanych w wersji elektronicznej oraz papierowej: Czy kasa pancerna i sejf są niezbędne? sposoby zgodnego z ustawą zabezpieczenia danych osobowych na terenie siedziby administratora danych – ogólne zagadnienia; środki zabezpieczenia danych osobowych przetwarzanych w wersji papierowej, systemy informatyczne a przetwarzanie danych osobowych, Czy system informatyczny przetwarzający dane osobowe spełnia wymogi wskazane w przepisach prawa? zabezpieczenie danych osobowych przetwarzanych w wersji elektronicznej m. in.: loginy, hasła, wygaszacze ekranów oraz pozostałe środki zabezpieczenia danych osobowych przetwarzanych w systemach informatycznych. 8. Odpowiedzialność prawna administratora danych oraz pracowników: Kto może kontrolować zgodność procesów przetwarzania danych osobowych z przepisami prawa? rola GIODO: uprawnienia GIODO w razie wykrycia nieprawidłowości w przetwarzaniu danych osobowych, kontrole GIODO, praktyczne sposoby przygotowania się do kontroli, interpretacja przepisów prawnych przez GIODO; Co może grozić podmiotom przetwarzającym dane osobowe w sposób niezgodny z przepisami prawa? odpowiedzialność cywilnoprawna administratora danych osobowych i pracowników, odpowiedzialność administracyjna administratora danych osobowych, odpowiedzialność karna administratora danych osobowych i pracowników. 9. Dokumentacja wymagana przez ustawę o ochronie danych osobowych: Jaki jest cel wprowadzania kolejnych dokumentów i procedur? – wskazanie na funkcjonalność, Jakie dokumenty powinny być wdrożone? polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym, upoważnienia dla pracowników, umowy powierzenia przetwarzania danych osobowych, protokoły z niektórych czynności, np. niszczenia nośników danych osobowych, Poradnik – wskazówki dotyczące opracowywania dokumentacji. 10. Dyskusja.