Ochrona danych osobowych oraz planowane zmiany w regulacjach

Ochrona danych osobowych oraz planowane zmiany w regulacjach
europejskich i krajowych – 04.04.2014r. (Rzeszów)
1. Zagadnienia ogólne:









2.
Dlaczego ochrona danych osobowych jest ważna? - historia i przyczyny wprowadzenia uregulowań prawnych
związanych z ochroną danych osobowych;
Nurtujące pytania dotyczące zagadnień związanych z danymi osobowymi -w jakich aktach prawnych można
znaleźć na nie odpowiedzi? - źródła prawa;
Czy każdy będzie miał obowiązek mianowania ABI? Jakie będą skutki finansowe nowej regulacji? - Projekt
rozporządzenia PE i Rady w sprawie ochrony danych osobowych – perspektywa zmian w 2014 r.;
Czym są dane osobowe? Czy m.in. adres IP, adres e-mail, numer telefonu są uznawane za dane osobowe? pojęcie danych osobowych;
Czym są zbiory danych? - czy baza danych w systemie informatycznym, informacje przechowywane w segregatorach, teczkach, zbiór kontaktów w telefonie, wizytownik na biurku są zbiorami danych?
Czy i w jakich przypadkach pozyskiwanie danych osobowych może prowadzić do wystąpienia z roszczeniem
o naruszenie dóbr osobistych? – dane osobowe a dobra osobiste;
„Witam, jak zdrowie?” - dane zwykłe, a dane wrażliwe;
Przetwarzanie czyli „co”? Czy ujawnienie informacji o charakterze danych osobowych w rozmowie/ przeczytanie danych/ samo wydrukowanie dokumentów będzie przetwarzaniem? - pojęcie przetwarzania danych osobowych;
Warsztat: uczestnicy rozstrzygają czy w konkretnych przypadkach otrzymane informacje stanowią dane osobowe,
Przetwarzanie danych osobowych w praktyce:








Kiedy w organizacji dochodzi do procesów przetwarzania danych? - charakterystyka ogólna procesów przetwarzania danych osobowych;
Kto pomoże rozwiązać problem dotyczący przetwarzania danych osobowych?
rola i obowiązki ABI w strukturze organizacyjnej Administratora Danych,
rola i obowiązki ASI w strukturze organizacyjnej Administratora Danych,
komunikacja między osobami przetwarzającymi dane osobowe;
Czy wszelkie procesy na danych osobowych prowadzone są zgodnie z prawem? przedstawienie propozycji
rozwiązań zwiększających bezpieczeństwo prawne administratora danych.
Prawne aspekty obrotu bazami danych;
Umowy o świadczenie usług przetwarzania danych osobowych „w chmurze” – wymogi Komisji Europejskiej.
3. Zakres danych które można zbierać od osób fizycznych:







Zasada adekwatności,
Kiedy można zbierać (np. od klienta) tak szczegółowe dane jak np. numer PESEL, numer dowodu osobistego,
itd.
W jakich sytuacjach można zbierać dane wrażliwe od klientów i pracowników;
Jakie warunki należy spełnić aby przetwarzać wizerunek klientów (np. wykorzystywanie wizerunku w celu
prowadzenia kampanii marketingowej);
Dane biometryczne i ich przetwarzanie;
Ochrona danych osobowych a monitoring wizyjny.
Kiedy można przetwarzać dane klientów i pracowników?
4. Legalności przetwarzania danych osobowych:










Omówienie podstaw prawnych umożliwiających przetwarzanie danych osobowych:
zgoda na przetwarzanie danych osobowych
przepis prawa
prawnie usprawiedliwiony cel
realizacja umowy
dobro publiczne
Dopasowanie konkretnych podstaw prawnych do zbierania danych osobowych od: pracowników, klientów,
potencjalnych klientów (działalność marketingowa);
Jak prawidłowo sformułować zgodę na przetwarzanie danych osobowych? Warsztat;
W jakich sytuacjach można przetwarzać dane osobowe klientów bez uzyskania zgody na przetwarzanie danych osobowych;
W jakich sytuacjach dopuszczalne jest kserowanie lub skanowanie dowodów osobistych klientów;
5. Prawa osób których dane są przetwarzane:





Jakie prawa mają osoby których dane są przetwarzane i jakie wynikają z tego obowiązki dla Administratora
Danych?
tu jest błąd! - prawo do uaktualnienia/ sprostowania danych osobowych,
nie zgadzam się! - sprzeciw wobec przetwarzania danych osobowych,
chcę wiedzieć… - obowiązek informacyjny,
Praktyczne sposoby rozwiązywania konfliktów związanych z przetwarzaniem danych osobowych.
6. Rejestrowanie baz danych u GIODO:








Na kim ciąży obowiązek zgłoszenia zbioru do GIODO? rola administratora danych w procesie rejestracji
zbiorów u GIODO;
Na jakiej podstawie rejestrujemy zbiory i kiedy należy zgłosić zbiór danych do rejestracji?- analiza podstawy
prawnej;
Co zrobić gdy nastąpi zmiana danych przetwarzanych w zarejestrowanym zbiorze / zaprzestanie ich przetwarzania? – obowiązek informowania GIODO o zmianach w zbiorze, wniosek o dokonanie zmiany w zbiorze
Których zbiorów nie trzeba rejestrować? ustawowe zwolnienia z obowiązku rejestracji;
Kiedy GIODO odmawia rejestracji zbioru?
Jakie są sankcje za niedopełnienie obowiązku zgłoszenia zbioru do rejestracji? – odpowiedzialność wynikająca z art. 53 UODO;
Czy GIODO wydaje certyfikaty? – zaświadczenie GIODO o zarejestrowaniu zbioru danych.
Warsztat w zakresie wypełniania zgłoszenia rejestracyjnego do GIODO.
7. Zabezpieczenie danych osobowych przetwarzanych w wersji elektronicznej oraz papierowej:




Czy kasa pancerna i sejf są niezbędne? sposoby zgodnego z ustawą zabezpieczenia danych osobowych na
terenie siedziby administratora danych – ogólne zagadnienia;
środki zabezpieczenia danych osobowych przetwarzanych w wersji papierowej,
systemy informatyczne a przetwarzanie danych osobowych,
Czy system informatyczny przetwarzający dane osobowe spełnia wymogi wskazane w przepisach prawa? zabezpieczenie danych osobowych przetwarzanych w wersji elektronicznej m. in.: loginy, hasła, wygaszacze
ekranów oraz pozostałe środki zabezpieczenia danych osobowych przetwarzanych w systemach informatycznych.
8. Odpowiedzialność prawna administratora danych oraz pracowników:








Kto może kontrolować zgodność procesów przetwarzania danych osobowych z przepisami prawa? rola GIODO:
uprawnienia GIODO w razie wykrycia nieprawidłowości w przetwarzaniu danych osobowych,
kontrole GIODO, praktyczne sposoby przygotowania się do kontroli,
interpretacja przepisów prawnych przez GIODO;
Co może grozić podmiotom przetwarzającym dane osobowe w sposób niezgodny z przepisami prawa?
odpowiedzialność cywilnoprawna administratora danych osobowych i pracowników,
odpowiedzialność administracyjna administratora danych osobowych,
odpowiedzialność karna administratora danych osobowych i pracowników.
9. Dokumentacja wymagana przez ustawę o ochronie danych osobowych:








Jaki jest cel wprowadzania kolejnych dokumentów i procedur? – wskazanie na funkcjonalność,
Jakie dokumenty powinny być wdrożone?
polityka bezpieczeństwa,
instrukcja zarządzania systemem informatycznym,
upoważnienia dla pracowników,
umowy powierzenia przetwarzania danych osobowych,
protokoły z niektórych czynności, np. niszczenia nośników danych osobowych,
Poradnik – wskazówki dotyczące opracowywania dokumentacji.
10. Dyskusja.