NOWE OBOWIĄZKI

ADMINISTRATORA  DANYCH OSOBOWYCH

w kontekście największej od 21 lat reformy przepisów, dotyczących

ochrony danych osobowych – rozporządzenia (UE) 2016/679 

POZNAŃ, 25. KWIETNIA 2017 ROKU

Szanowni Państwo,

W imieniu firmy KONTRAKT Doradztwo – Konsultacje mam przyjemność zaprosić do udziału w specjalistycznym szkoleniu, podczas którego zostaną szczegółowo omówione praktyczne aspekty uregulowań, dotyczących obowiązków administratora danych osobowych, które – w związku z automatyczną implementacją do polskiego systemu prawnego kompleksowo zmienionych przepisów Unii Europejskiej / rozporządzenie (UE) 2016/679 / w sposób rewolucyjny wpłyną na całokształt problematyki związanej z ochroną danych osobowych.          

Dlaczego warto wziąć udział w szkoleniu :

• podczas zajęć zostaną przedstawione obowiązki administratora danych i obowiązki inspektora ochrony danych (przed reformą – ABI). Atutem szkolenia jest to, że obejmie omówienie najnowszej reformy ochrony danych osobowych, która weszła w życie w maju 2016 roku, a w pełni będzie podlegała stosowaniu od maja 2018 roku, po upływie okresu dostosowawczego; to pierwsza gruntowna reforma tej dziedziny od wejścia ustawy w życie   w 1998 roku;  jej zakres znacznie przewyższa zmiany, które weszły w życie w 2015 roku; po okresie przejściowym reforma wejdzie w życie w Polsce automatycznie.
• wejście w życie nowych obowiązków już teraz wymaga analiz, jak wpłynie na dokumentację  i procedury, klauzule, czy systemy informatyczne administratora;
• skala przetwarzania danych wzrosła; obejmuje zarówno dane klientów, jak i pracowników, a cele przetwarzania są zróżnicowane, wynikają nie tylko z podstawowej działalności instytucji, ale też z czynności wspierających,
• nowym przepisom podlegają wszyscy administratorzy danych i podmioty wykonujące czynności w ich imieniu, niezależnie od sektora; rozporządzenie wprowadza sankcje finansowe do 20 mln euro lub 4% całkowitego rocznego światowego obrotu,
• zapoznanie pracowników z przepisami o ochronie danych osobowych jest wymagane przez 36a ust. 1 ustawy; nie wystarczy odebrać od pracowników oświadczenia o zapoznaniu się z przepisami, obowiązkiem administratora jest rzeczywiste zapewnienie, że pracownicy uzyskają wymaganą wiedzę. Można to osiągnąć dzięki szkoleniom, a wykazać listą uczestników,
• przygotowanie instytucji do zmian, których skala jest tak duża, jest czasochłonne; minęła już znaczna część okresu dostosowawczego,
• trener prowadził takie analizy już na etapie prac legislacyjnych i wdrażał niezbędne rozwiązania, przeprowadził również audyty zgodności z rozporządzaniem, a ponadto jest autorem pierwszej na rynku polskim oraz pierwszej na światowym rynku anglojęzycznym książek na temat rozporządzenia (UE) 2016/679.

• szkolenie prowadzi : dr hab. MARIUSZ KRZYSZTOFEK

(doktorat i habilitacja na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego na temat ochrony danych osobowych ) 

specjalizuje się w dziedzinie ochrony danych osobowych od 1998 roku

legitymuje się wyjątkowo bogatym  doświadczeniem  w wykonywaniu funkcji administratora bezpieczeństwa informacji  / w tym w zakresie m.in. w zakresie informatycznych i technicznych aspektów przetwarzania i zabezpieczania zbiorów danych / oraz w przeprowadzeniu audytów oraz doradztwie z zakresu ochrony danych osobowych dla różnych podmiotów ( publicznych i prywatnych );

przeprowadził szkolenia na temat ochrony danych osobowych dla kilku tysięcy osób, reprezentujących instytucje publiczne i prywatne,

uhonorowany przez Warszawski Instytut Bankowości – za prowadzenie zajęć na temat ochrony danych osobowych – tytułem oraz dyplomem „ Wzorowy Trener WIB ” / za lata 2011, 2012, 213, 2014 / oraz tytułem i dyplomem „ Trener XX – lecia WIB ”

członek Rady Programowej kwartalnika „Informacja w Administracji Publicznej” (C.H.Beck)

ekspert zaproszony do współpracy przy analizie zakresu wdrożenia rozporządzenia 2016/679 przez Ministerstwo Cyfryzacji, grudzień 2016 roku

autor publikacji książkowych na temat ochrony danych osobowych:

1. pierwszej i jedynej na polskim rynku monografii – komentarza do rozporządzenia UE 2016/679 :

Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, Warszawa 2016 (C.H.Beck),

2. pierwszej i jedynej na rynku światowym (angielskojęzycznym) monografii będącej kompleksowym komentarzem rozporządzenia 2016/679:

Post-Reform Personal Data Protection in the European Union. General Data Protection Regulation (EU) 2016/679, The Netherlands (Kluwer  Law International B.V.) 2016

3. „Tajemnice zawodowe i ochrona danych osobowych w instytucjach finansowych” – Wydawnictwo Wolters Kluwer SA 2015;
4. „Ochrona danych osobowych w Unii Europejskiej” – Wydawnictwo Wolters Kluwer Polska 2014;

5. „Tajemnica bankowa i ochrona danych osobowych w praktyce bankowej” – Wydawnictwo LexisNexis 2010;

Książki trenera znajdują się na publicznej liście prowadzonej przez Generalnego Inspektora Ochrony Danych Osobowych pod adresem :  www.giodo.gov.pl/487/id_art/6278/j/pl/.

Doświadczenia praktyczne Wykładowcy w zarządzaniu ochroną danych osobowych jako eksperta oraz Administratora Bezpieczeństwa Informacji :

EY lipiec 2016 – obecnie	Ekspert – Business Advisory
Euroclear   2012 – grudzień 2015	Euroclear Bank SA/NV Oddział Branch w Polsce Head of Compliance & Regulatory Administrator Bezpieczeństwa Informacji
	Euroclear Group Data Protection Coordination Officer (funkcja wykonywana z Brukseli) zarządzanie ochroną danych osobowych w skali Grupy
BNP Paribas Bank Polska   2007-2012	Departament Monitoringu Zgodności (Compliance) Compliance officer Administrator Bezpieczeństwa Informacji
Bank BPH   2004-2007	Departament Compliance, Główny Specjalista Zastępca Głównego Administratora Bezpieczeństwa Informacji
Bank BPS   1998-2004	Naczelnik Wydziału Organizacji i Spraw Statutowych Administrator Bezpieczeństwo Informacji przedstawiciel banku w Komitecie ds. Bezpieczeństwa Banków przy Związku Banków Polskich

• szkolenie trwa 8 godzin lekcyjnych , które w całości są przeznaczone na przekazanie pogłębionej wiedzy na temat nowych obowiązków administratora danych osobowych,

• uczestnicy szkolenia otrzymują materiały dotyczące problematyki szkolenia w postaci papierowej i na płycie CD , notes, długopis oraz zaświadczenie o udziale w szkoleniu,

• szkolenie odbędzie się w POZNANIU, w dniu 25. kwietnia 2017 roku, w godzinach 10.00 – 16.00  – w centrum Poznania, w doskonale wyposażonej i klimatyzowanej sali konferencyjnej w biurowcu OMEGA – 11. PIĘTRO, ul. Dąbrowskiego 79 A  ( telefon : 698 952 833 ); szczegółowe informacje na temat miejsca szkolenia znajdą Państwo na stronie www.saleomega.pl,

• w czasie przerw, dla uczestników przewidziano kawę, herbatę, zimne napoje, drobny poczęstunek oraz obiad, 

• koszt uczestniczenia jednej osoby wynosi 350 PLN + 23 proc. VAT

• uwaga :

– w przypadku złożenia oświadczenia o finansowaniu udziału w szkoleniu  w całości ze środków publicznych, koszt szkolenia nie jest opodatkowany stawką 23. proc. VAT,

• warunkiem uczestniczenia w szkoleniu jest

1. w terminie do 18. kwietnia 2017 roku przesłanie formularza zgłoszenia udziału w szkoleniu na adres : KONTRAKT Doradztwo – Konsultacje, 31 – 153 Kraków, ul. Szlak 65 lub faksem na numer : 12 / 633 23 43 lub e-mailem na konto : kontrakt@kontrakt-firma.pl oraz

2. wniesienie opłaty – wyłącznie po szkoleniu – w terminie do 7 dni od otrzymania  faktury – na konto  :   KONTRAKT Doradztwo – Konsultacje ; Bank PKO  S.A.,  Oddział w Krakowie, NRB 86 1240 4650 1111 0000 5155 9937.

Faktury zostaną wystawione po zakończeniu szkolenia i przesłane pocztą poleconą na adres wskazany przez podmioty zgłaszające osoby do udziału w szkoleniu.

W razie jakichkolwiek pytań lub wątpliwości, uprzejmie proszę o kontakt.

Z wyrazami szacunku , 

Bolesław Budzicz

Pełnomocnik

502 / 174601, 12 / 633 23 43 

PROGRAM SZKOLENIA :

NOWE OBOWIĄZKI

ADMINISTRATORA  DANYCH OSOBOWYCH

w kontekście największej od 21 lat reformy przepisów, dotyczących

ochrony danych osobowych – rozporządzenia (UE) 2016/679 

POZNAŃ, 25. KWIETNIA 2017 ROKU

1. Tło i przyczyny reformy, wejście w życie w Polsce

2. Charakterystyka ochrony danych osobowych po reformie. Rozszerzenie definicji danych osobowych.

Podstawowe pojęcia:

• dane osobowe (czy np. adres e-mail i numer telefonu są danymi osobowymi?), dane wrażliwe, dane biometryczne, (np. odciski palców jako alternatywa dla PIN lub do ewidencji czasu pracy), dane geolokalizacyjne i IP (użytkownika aplikacji)
• przetwarzanie danych, usuwanie danych, pseudonimizacja
• administrator danych, processor, współadministrator, odbiorca danych (jakie są relacje, obowiązki i wzajemna odpowiedzialność?)

3. Klauzule zgody i klauzule informacyjne.

1. nowe wymagania wobec klauzul zgody, w tym marketingowych, błędy popełniane przy ich konstruowaniu
2. czy dopuszczalne jest telefonowanie do klienta z dodatkową ofertą? czy dopuszczalne jest telefonowanie / wysłanie e-maila marketingowego (np. pozyskanego z ogłoszeń w Internecie) do potencjalnego klienta? czy przy okazji marketingu produktów instytucji finansowej dopuszczalne jest przestawienie oferty podmiotu innego niż ta instytucja?
3. nowy zakres klauzul informacyjnych i skutki ich rozszerzenia (np. dane kontaktowe inspektora ochrony danych, podstawa prawna przetwarzania danych, pouczenie o profilowaniu, informacja o retencji)
4. nowe warunki dopuszczalności profilowania klientów w celach marketingowych
5. problemy dotyczące przetwarzania danych wrażliwych np. w procesach windykacyjnych, zmiana definicji danych wrażliwych
6. dopuszczalność odbierania od kandydatów do pracy i pracowników informacji lub zaświadczeń dotyczących ewentualnej karalności
7. zasady monitoringu pracowników (np. e-maili, historii przeglądania stron w Internecie)
8. przechowywanie danych osobowych po wygaśnięciu umowy z klientem

4. Uprawnienia klientów wobec administratora danych.

1. prawo żądania informacji m.in. o treści przetwarzanych danych dotyczących klienta, o ich źródle, o odbiorcach danych
2. prawo żądania odnotowania sprzeciwu wobec marketingu, prawo do sprzeciwu wobec profilowania
3. prawo żądania poprawienia błędnych danych (np. sposób postępowania, gdy żądanie zmiany adresu do korespondencji składa nie klient, lecz właściciel mieszkania)
4. nowe prawo do przenoszenia danych
5. nowe „prawo do bycia zapomnianym”
6. nowe prawo do ograniczenia przetwarzania

5. Kolejna zmiana zasad powoływania inspektora ochrony danych (dawniej – administratora bezpieczeństwa informacji).

1. czy powołanie inspektora ochrony danych nadal jest fakultatywne? czy obecny ABI stanie się automatycznie inspektorem ochrony danych?
2. nowe obowiązki inspektora
3. status i pozycja w inspektora strukturze; możliwość powołania inspektora dla kilku administratorów

6. Przykładowe nowe obowiązki organizacyjne i techniczne.

1. analiza ryzyka przed przetwarzaniem danych (privacy risk assessment)
2. uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych (privacy by default)
3. rejestr czynności przetwarzania
4. korzyści wynikające z certyfikacji
5. zdefiniowanie „przetwarzania danych na dużą skalę”

6.1. Środki techniczne i organizacyjne zabezpieczające zbiór danych. Dokumentacja.

1. zasadnicza zmiana podejścia – zasada risk-based approach i zasada rozliczalności
2. dokumentacja przetwarzania danych i środków bezpieczeństwa danych – wykorzystanie obecnej polityki bezpieczeństwa i rejestru zbiorów do przyszłych celów
3. obowiązek nadania upoważnień do przetwarzania danych osobowych, oznaczenie zakresów upoważnień, forma upoważnień; ewidencja osób upoważnionych do przetwarzania danych i forma jej prowadzenia
4. środki bezpieczeństwa, takie jak polityka „czystego biurka”, nadzór nad dostępem do pomieszczeń, zamykanie dokumentów w odpowiednich szafach, niszczarki wydruków, odpowiednie ustawienie monitorów w sposób wykluczający wgląd osób trzecich, dyskrecja w przekazywaniu informacji chronionych w rozmowie z klientem lub współpracownikiem w obecności osób trzecich, sposoby zabezpieczania dostępu do komputera, wymogi dotyczące haseł do systemu informatycznego
5. sposób spełnienia obowiązku zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych

6.2. Obowiązkowy okresowy audyt systemu ochrony danych.

1. rodzaje sprawdzeń
2. plan audytu
3. częstotliwość
4. zakres weryfikacji
5. raport dla Zarządu

7. Zgłoszenie naruszenia ochrony danych osobowych.

1. nowy obowiązek – zgłoszenie naruszenia ochrony danych osobowych GIODO
2. nowy obowiązek – zgłoszenie naruszenia ochrony danych osobowych podmiotowi danych
3. procedura, która zapewni, że w ramach struktury administratora danych incydenty będą zgłaszane inspektorowi ochrony danych lub innej wyznaczonej osobie

8. Nowa forma sankcji – grzywny pieniężne nakładane na administratorów danych.