Szanowni Państwo,
Kongres ma pozwolić jego uczestnikom zweryfikować, czy w sposób prawidłowy i kompletny dostosowali swoją jednostkę organizacyjną do RODO, a siebie do pełnienia funkcji inspektora ochrony danych.
Przygotowania w tym zakresie wchodzą w finalną fazę. Wiele organizacji podjęło działania i wdrożyło lub wdraża obecnie rozwiązania formalne, organizacyjne i techniczne w celu zapewnienia przetwarzania danych zgodnie z RODO. Jest jednak wiele znaków zapytania i niepewności czy przyjęte rozwiązania są poprawne i kompletne oraz czy skutecznie będą dostosowywały do RODO. W wielu kwestiach brak jest jednoznacznych wskazówek, a przedstawiane wytyczne czy zalecenia, w tym Grupy Roboczej Artykułu 29 nie są do końca precyzyjne. Dlatego tak ważna na tym etapie jest właściwa weryfikacja czy podejmowane działania są kompletne i adekwatne w odniesieniu do realizacji procesów przetwarzania danych osobowych przez administratorów danych i podmioty przetwarzające.
ABI, którzy będą pełnić funkcję inspektora ochrony danych przygotowują się do realizacji nowych zadań związanych m.in. z oceną skutków dla ochrony danych (DPIA), w tym szacowaniem ryzyka praw i wolności osób. Niezbędna w tym zakresie jest weryfikacja planowanego zakresu zadań, umocowania i uprawnień takiej osoby, jak również ustaleń w kwestii Zespołu inspektora, który będzie go wspomagać w realizacji jego zadań - szczególnie w dużych organizacjach, w tym w grupach kapitałowych.
Podczas Kongresu krok po kroku przeprowadzimy szczegółowo sprawdzian gotowości do wypełniania obowiązków RODO oraz do pełnienia funkcji inspektora ochrony danych. Nie zabraknie też okazji do kuluarowych dyskusji z ekspertami oraz ABI z różnych organizacji.
Kongres ABI to najważniejsze doroczne spotkanie środowiska Administratorów Bezpieczeństwa Informacji w Polsce, organizowane od 1999 r., na którym omawiane i dyskutowane są najważniejsze bieżące i praktyczne problemy realizacji zadań i obowiązków ochrony danych osobowych w podmiotach ze sfery publicznej i prywatnej, w tym wchodzących w skład międzynarodowych grup kapitałowych.
AGENDA TEMATYCZNA
1. Panel dyskusyjny: „Sprawdzian gotowości do wykonywania obowiązków RODO”.
• Ustalanie właściwych podstaw prawnych przetwarzania danych osobowych:
o ograniczenie powoływania się na szczególny przepis prawa – wymogi wobec takiego przepisu;
o wykorzystanie klauzuli „prawnie uzasadnionego interesu” i jej relacja do „prawnie usprawiedliwionego celu”, zastosowanie w jednostce organizacyjnej pomocniczego opracowania „testu równowagi”;
o podstawa przetwarzania danych dla organów i podmiotów publicznych.
• Realizacja wymogów w zakresie odbierania zgody na przetwarzanie danych:
o różnica w stosunku do obecnej zgody na przetwarzanie;
o rodzaje zgody: „wyraźna zgoda” i zgoda konkludentna, sytuacje pozyskiwania oraz wymogi, ograniczenie dla zgody konkludentnej;
o możliwe sposoby pozyskiwania i wykazywania zgody;
o łączenie różnych celów przetwarzania w jednym oświadczeniu.
• Realizacja wymogów dotyczących współadministrowania danymi:
o sytuacje wspólnego (przez więcej co najmniej dwóch ADO) ustalania celów i sposobów przetwarzania danych;
o treść uzgodnień co do zakresu odpowiedzialności administratorów dotyczącej wypełniania obowiązków wynikających z RODO (przykłady).
• Realizacja wymogów przy powierzeniu przetwarzania danych:
o wybór właściwego procesora – przygotowanie procedury;
o nowa treść umów powierzenia przetwarzania danych osobowych i ich relacja do obecnych umów powierzenia;
o wymogi podpowierzenia przetwarzania danych.
• Realizacja obowiązku informacyjnego wobec osoby, której dane dotyczą:
o sposób realizacji oraz treść klauzul informacyjnych.
• Realizacja praw osoby, której dane dotyczą:
o procedura realizacji żądań osób, których dane dotyczą;
o prawo do kopii danych;
o prawo do przenoszalności danych;
o prawo do ograniczenia przetwarzania.
• Realizacja wymogów dotyczące profilowania danych i automatycznych decyzji opartych na profilowaniu
• Realizacja wymogów dotyczących zabezpieczania danych:
o metody i sposoby postępowania przy szacowaniu ryzyka naruszenia praw i wolności osób, których dane dotyczą – Privacy Impact Assessment (PIA);
o przeprowadzanie oceny skutków dla ochrony danych – data protection impact assessment (DPIA);
o dobór środków technicznych i organizacyjnych zapewniających realizację przetwarzania danych zgodnie z RODO oraz zabezpieczenia danych;
o zapewnianie ochrony danych w fazie projektowania;
o postępowanie w przypadku naruszenia ochrony danych.
2. Panel dyskusyjny: „Przygotowanie nowej dokumentacji przetwarzania i ochrony danych”.
• Polityki ochrony danych:
o zakres polityki ochrony danych;
o zapewnienie zasady rozliczalności poprzez dodatkową dokumentację;
o wykorzystanie dotychczasowej dokumentacji przetwarzania danych osobowych.
• Rejestry czynności przetwarzania danych osobowych:
o prowadzenie rejestrów czynności przetwarzania danych przez ADO oraz podmiot przetwarzający wynikający z RODO;
o rozpoznawanie i ewidencjonowanie czynności przetwarzania danych;
o forma i sposób prowadzenia rejestrów czynności przetwarzania danych – przykłady.
• Upoważnienia do przetwarzania danych osobowych:
o zapewnianie aby każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora.
o nadawanie upoważnień oraz prowadzenie stosownych ewidencji.
• Rejestr naruszeń ochrony danych osobowych:
o dokumentowanie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
3. Panel dyskusyjny „Sprawdzian gotowości do pełnienia funkcji inspektora ochrony danych”.
• Wyznaczenie inspektora i jego zespołu:
o kto i w jakich sytuacjach musi wyznaczyć inspektora?
o ustanowienie zespołu inspektora i podział obowiązków w zespole;
o wyznaczanie jednego inspektora w grupach kapitałowych oraz dla kilku organów lub podmiotów publicznych – podstawa formalna wyznaczenia oraz podstawa świadczenia funkcji inspektora dla każdego z podmiotu.
• Określenie statusu inspektora i rola regulaminu inspektora w tym zakresie:
o niezależność i zakaz karania inspektora;
o wsparcie inspektora przez ADO;
o konflikty interesów oraz określenie w regulaminie sposobów unikania konfliktów.
• Tajemnica inspektora – do czego ma być zobowiązany inspektor w tym zakresie: zakres informacji objętych tajemnicą, wyjątki od tajemnicy, potwierdzanie przez inspektora obowiązku.
• Zakres obowiązków inspektora:
o zadania główne wynikające z art. 39 RODO;
o możliwości wykonywania innych zadań.
• Procedury związane z funkcjonowaniem inspektora, w szczególności:
o informowanie i monitorowanie;
o kontaktowanie się z osobą, której dane dotyczą;
o kontaktowanie się z organem nadzorczym;
o udział we wszystkich sprawach dotyczących przetwarzania i ochrony danych;
o udział w zawiadomieniach o naruszeniach ochrony danych osobowych;
o udział w ocenie skutków dla ochrony danych oraz uprzednich konsultacjach.
• Inspektor jako punkt kontaktowy dla podmiotów danych - udział inspektora w realizacji praw osób, których dane dotyczą:
o rodzaje uprawnień;
o procedura rozpatrywania żądań podmiotów danych i możliwe role w niej inspektora
o zakres obowiązków inspektora;
o współpraca z innymi komórkami organizacyjnymi ADO lub przetwarzającego.
• Podejście inspektora do wykonywania obowiązków z uwzględnianiem ryzyka związanego z operacjami przetwarzania danych.
• Znaczenie regulaminu inspektora i jego treść.
|
RODO, GDPR
