Szkolenie RODO

W maju 2018 wchodzi w życie Unijne Rozporządzenie dotyczące danych osobowych RODO czyli Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Ofertujemy szkolenie RODO oraz wdrożenie najważniejszych zasad ISO 27001 z uwzględnieniem wymagań dotyczących danych osobowych. Nasza kompleksowa usługa pozwala spełnić wymagania RODO oraz ogólnie podnieść poziom bezpieczeństwa informacji.


Każdy uczestnik szkolenia uzyska certyfikat imienny ze szkolenia RODO.

Szkolenie RODO podstawowe - program


  1. Rodzaje informacji i miejsca ich przechowywania
  2. Zagrożenia, co chronić
  3. Bezpieczeństwo Informacji
  4. Źródła prawa (prawodawstwo polskie, tajemnica przedsiębiorstwa)
  5. Ochrona danych osobowych (definicje)
  6. ADO, ABI
  7. Zasady przetwarzania danych osobowych
  8. Dane zwykłe, dane wrażliwe, udostępnianie danych
  9. RODO – podstawowe informacje o rozporządzeniu RODO
  10. Definicje (dane, przetwarzanie, profilowanie, prawo do zapomnienia, itd.)
  11. Inspektor Ochrony Danych (wyznaczenie, status, zadania)
  12. Odpowiedzialność przy przetwarzaniu danych (cywilna, karna)
  13. GIODO
  14. Jak chronić dane - środki prewencyjne i zaradcze
  15. Analiza ryzyk
  16. Wdrożenia bezpieczeństwa
  17. Przykłady RODO

Audyt bezpieczeństwa RODO

Ocena RODO zostanie dokonana w dziesięciu obszarach kierując się wymaganiami normy ISO 27001 oraz Ustawy o ochronie danych osobowych.

  • Polityka bezpieczeństwa informacji
  • Organizacja bezpieczeństwa
  • Zarządzanie aktywami
  • Bezpieczeństwo fizyczne i środowiskowe
  • Bezpieczeństwo zasobów ludzkich
  • Bezpieczeństwo IT
  • Kontrola dostępu
  • Zarządzanie incydentami
  • Ciągłość działania
  • Zgodność z prawem

Ponadto skoncentrujemy się na sprawdzeniu w jakim stopniu Organizacja spełnia wymagania regulacji UE czyli RODO , rozporządzenia 2016/679. Wynikiem naszego działania będzie szczegółowy raport z audytu RODO. Raport wskaże obszary zgodności bądź niezgodności z przyjętymi kryteriami oceny oraz informację o głównych ryzykach związanych z bezpieczeństwem informacji. Raport pozwoli na przygotowanie się do potencjalnej kontroli przetwarzania danych osobowych dokonywanej przez uprawnione organy państwowe, w tym GIODO.


Wdrażanie RODO

  • Opracowanie koncepcji zabezpieczeń i planu modernizacji elektronicznych systemów zabezpieczeń
  • Opracowanie koncepcji zabezpieczeń budowlanych i mechanicznych w celu uszczelnienia obszaru realizacji usług
  • Opracowanie polityk bezpieczeństwa
  • Opracowanie systemowych procedur zarządzania bezpieczeństwem informacji, zbiorami, uprawnieniami, danymi osobowymi
  • Opracowanie szablonowych zapisów w umowach dotyczących ochrony danych osobowych oraz bezpieczeństwa informacji
  • Szkolenie dla pracowników z zakresu Ochrony danych osobowych , w tym RODO
  • Opracowanie koncepcji i wdrożenie planu audytów wewnętrznych RODO
  • Przygotowanie do kontroli RODO

Przetwarzanie danych osobowych - informacje ogólne

Co to są dane osobowe?

Dane osobowe - zgodnie z art. 4 ust 1 RODO to:

  • informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą).
  • możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny (pesel), dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Podział Danych Osobowych

Dane szczególnej kategorii (dane wrażliwe):

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne,
  • dane biometryczne,
  • dane o stanie zdrowia,
  • dane o seksualności lub orientacji seksualnej

Dane szczególnie chronione (wrażliwe), możemy przetwarzać tylko na podstawie: wyraźnej zgody, przepisu prawa w wyraźnie określonych dziedzinach życia (prawo pracy, zabezpieczenie społeczne, ochrona i profilaktyka zdrowia, wymiar sprawiedliwości)

Dane dotyczące wyroków skazujących i naruszeń prawa

Przetwarzanie danych – Co To Oznacza?

Przetwarzanie danych osobowych to wykonywanie jakiejkolwiek operacji na danych np.:

  • Wprowadzanie do systemu,
  • Wykorzystywanie do powtarzalnych operacji (np. naliczanie płac, wystawianie dokumentów, wysyłanie e-maili, korespondencji, obsługa klienta, wykonywanie telefonów itp.),
  • Składowanie danych na serwerze, wykonywanie back-up,
  • Obserwacja nagrań z monitoringu,
  • Archiwizacja danych

Role w procesie przetwarzania, czyli kto kim jest?

  • Administrator – podmiot, który określa cele i sposoby przetwarzania (np. spółka obsługująca klientów, zatrudniająca pracowników, prowadząca działania marketingowe wobec potencjalnych klientów, podmiot publiczny – np. gmina, szpital);
  • Podmiot przetwarzający – podmiot wykonujący przetwarzanie w imieniu administratora, np. biuro rachunkowe, podmiot świadczący wsparcie IT;
  • Odbiorca – podmiot, który pozyskuje dane od innego administratora, ale realizuje własny cel, np. bank realizujący przelew, ZUS otrzymujący dane od pracodawcy, przychodnie medycyny pracy wykonujące badania wstępne dla pracowników.
  • Pracownicy lub współpracownicy Administratora są osobami upoważnionymi i wykonując przetwarzanie działają jak administrator.

Zasady przetwarzania danych osobowych

Zasada legalności

Możemy przetwarzać dane osobowy gdy:

  • Osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych w jednym lub większej liczbie celów,
  • Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby której dane dotyczą przed zawarciem umowy np. formularze kontaktowe)
  • Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (pracodawca)
  • Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej (ratowanie zdrowia, życia),
  • Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub, w ramach powierzonej władzy publicznej powierzonej administratorowi (sądy, policja, prokuratura)
  • Istnieje prawnie uzasadniony interes realizowany przez administratora lub stronę trzecią (na tą przesłankę nie mogą powoływać się organy publiczne realizujące swoje zadania)

Zasada celowości

  • Zbieranie i przetwarzanie danych musi odbywać się w wyraźnych i prawnie uzasadnionych celach. Cele te określa Zarząd firmy, pracownicy realizują te cele wykonując swoje obowiązki
  • Pracownik nie może samodzielnie zmieniać celu przetwarzania danych osobowych, do których otrzymuje dostęp
  • Zasada adekwatności i minimalizacji
  • Zbierane i przetwarzane dane mają być adekwatne do osiągnięcia celu, dla którego je zbieramy i przetwarzamy.
  • Nie należy pozyskiwać danych na zapas oraz danych, które nie są potrzebne do tego, aby zrealizować cel

Ograniczenie przechowywania

Jeśli dane nie są już potrzebne do realizacji celu a nie mamy obowiązku przechowywania tych danych - należy rozważyć ich usunięcie. Usunięcie danych musi być poprzedzone konsultacją z przełożonym oraz Inspektorem Ochrony Danych Osobowych oraz zatwierdzone przez Zarząd

Przejrzystość

Administrator powinien w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą informacji o zasadach przetwarzania jej danych. Obowiązek ten jest realizowany poprzez stosowanie tzw. Klauzul informacyjnych.

Informacje zawarte w obowiązkach informacyjnych muszą być podawane najpóźniej w momencie ich zbierania, gdy dane zbieramy bezpośrednio od osób fizycznych.

Elementy klauzuli informacyjnej: 1/ tożsamość administratora i jego dane kontaktowe, 2/ informacje o IOD (jeśli dotyczy) – czy wyznaczony i jego dane kontaktowe, 3/ cele i podstawy prawne przetwarzania, 4/ informacje o odbiorcach danych (tylko kategorie odbiorców ), 5/ zamierzony czas przechowywania – można zastosować kryterium obliczania tego czasu, 6/ Informacje o prawach przysługujących w związku z realizowanym przetwarzaniem (te prawa zależą od podstawy prawnej, jaka jest właściwa w danym przypadku), 7/ informacja o prawie do sprzeciwu – o ile przetwarzanie odbywa się na podstawie uzasadnionego interesu prawnego, 8/ informacje o przekazywaniu danych poza obszar EOG (jeśli następuje takie przekazywanie, należy też podać informacje dot. stopnia ochrony danych w danym kraju), 9/ informacje o tym, czy podanie danych jest wymogiem ustawowym lub umownym albo czy jest dobrowolne i jakie są konsekwencje braku podania danych 10/ informacje o prawie skargi do Prezesa UODO, 11/ Informacje o zautomatyzowanym podejmowaniu decyzji.

Zasada prawidłowości danych

Obowiązkiem Administratora Danych Osobowych jest czuwać nad tym, by przetwarzane dane były prawidłowe a w razie potrzeby uaktualniane. Np. nieprawidłowe jest przekręcanie nazwisk czy nieprawidłowe przypisanie nr PESEL do danej osoby. Należy sprawdzać poprawność danych oraz zachować staranność przy ich wprowadzaniu do systemu

Zasada integralności i poufności

Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym czy niezgodnym z prawem przetwarzaniem danych oraz przed ich przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą środków technicznych lub organizacyjnych.

Zasada integralności i poufności a zasada risk based approach

Brak jest jasnych wytycznych, co do tego, jakie środki techniczne i organizacyjne powinny zostać zastosowane w celu zabezpieczenia danych. W tym zakresie Administrator musi stosować zasadę „risk based approach”, czyli podejście oparte na ryzyku. -Środki techniczne i organizacyjne musza być adekwatne do ryzyk, jakie zostały zidentyfikowane w danej organizacji. Wszystkie procesy, w jakich występuje przetwarzanie danych osobowych powinny przeprowadzić analizę ryzyka dla danych występujących w danym procesie. - Analizie podlega to, czy dane są narażone na utratę dostępności, integralności i poufności. - Na bazie wykonanej analizy należy podjąć decyzje odnośnie środków technicznych i organizacyjnych, jakie należy zastosować, aby dane nie utraciły trzech ww. atrybutów. - Zastosowane w celu zabezpieczenia środki techniczne i organizacyjne powinny podlegać stałemu sprawdzaniu, mierzeniu i ocenianiu ich skuteczności.

Zasada integralności i poufności a obowiązki pracownika

Administrator, na bazie oceny ryzyka dokonuje wyboru środków technicznych i organizacyjnych, które będą stosowane w jego organizacji. Każdy osoba upoważniona do przetwarzania przez Administratora (pracownik, współpracownik) musi bezwzględnie przestrzegać procedur i polityk, jakie obowiązują w przedsiębiorstwie. Przed rozpoczęciem pracy należy zapoznać się z procedurami i politykami określającymi zasady postępowania w związku z przetwarzaniem danych osobowych.

Umowy z podmiotami przetwarzającymi

  • Dokładna analiza relacji biznesowej w celu sprawdzenia czy na pewno mamy do czynienia z powierzeniem do przetwarzania?
  • Sprawdzenie czy wybrany przez nas podmiot przetwarzający daje gwarancję bezpieczeństwa dla danych osobowych, które mu powierzamy?
  • Pisemna forma umowy o powierzenie do przetwarzania (PPDO)
  • Obowiązkowe elementy PPDO:
  • przedmiot i czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj powierzonych danych osobowych,
  • kategorię osób, których dane powierzamy,
  • obowiązki i prawa Administratora
  • Zgłaszanie naruszeń

    Rodo wymaga, aby ADO zgłaszali tzw. incydenty czyli zdarzenia, które mogą doprowadzić do naruszenia praw i wolności osób których dane dotyczą. Jeśli ocena naruszenia wykaże, że wskutek wystąpienia naruszenia nie zachodzi wysokie ryzyko naruszenia praw i wolności osób, których dotknęło naruszenie, ADO może odstąpić od obowiązku zgłoszenia naruszenia do UODO oraz od powiadomienia osób. Jeśli analiza naruszenia wykaże, że istnieje wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą, należy poinformować takie osoby o fakcie naruszenia i przedstawić im sugestie w celu zminimalizowania ewentualnych negatywnych skutków zdarzenia. Takie naruszenie podlega ocenie Administratora a także (co do zasady) należy je zgłosić w ciągu 72 godzin od momentu wystąpienia incydentu, do organu nadzorczego (Urząd Ochrony Danych).


    Kontakt

    ul. Łąkowa 27B, lok. 23
    90-554 Łódź

    538 485 581
    42 639 50 83

    sekretariat@pakulaconsulting.pl

    Formularz kontaktowy


    PakulaConsulting 2023 © All rights reserved
    Realizacja: DamianGuzek.com