WARSZTATY DLA INSPEKTORÓW OCHRONY DANYCH – czyli jak odnaleźć się w RODO
W dniu 31 lipca 2018 roku upłynął termin zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu inspektora ochrony danych (IOD) przez podmioty, które przed 25 maja 2018 roku nie powołały ABI, a zgodnie z art. 37 ust. 1 RODO miały obowiązek wyznaczenia IOD. Tym samym zakończony został proces powołania inspektorów, którzy mają odgrywać kluczową rolę w zakresie wspierania „kultury ochrony danych” oraz pomagać w implementacji niezbędnych elementów RODO.
Celem szkolenia jest usystematyzowanie wiedzy IOD oraz innych osób zajmujących się w bankach ochroną danych osobowych na temat przepisów dotyczących ochrony danych osobowych, RODO i pozycji prawnej inspektorów po dniu 25 maja 2018 roku oraz poznanie praktycznych rozwiązań dotyczących wykonywania przez IOD obowiązków ustawowych, ze szczególnym uwzględnieniem obowiązków wobec osób, których dane są przetwarzane, wobec administratora danych oraz wobec nadzorcy.
Omówione zostaną również wzory pism kierowanych do osób chronionych, w tym: wzory prawidłowych powiadomień, list obecności, informacji kierowanych do pracowników i informacji o monitoringu oraz pism przeznaczonych dla UODO, np. zawiadomień o naruszaniu, o zmianie IOD, o zmianie danych kontaktowych administratora.
Podczas warsztatów zaprezentowane zostaną porady UODO, Grupy Roboczej Art. 29 oraz zapisy Kodeksu dobrych praktyk w zakresie przetwarzania danych osobowych przez banki i rejestry kredytowe jako praktyczna pomoc przy stosowaniu zasad RODO przez inspektorów.
I. Inspektor Ochrony Danych jako strażnik praw osób, których dane są przetwarzane:
1. Inspektor ochrony danych – charakter prawny instytucji.
2. Zasady wyznaczania IOD:
a) obowiązek wyznaczenia inspektora ochrony danych,
b) kwalifikacje do pełnienia funkcji IOD,
c) etyka zawodowa,
d) zapobieganie konfliktowi interesów,
e) forma zatrudnienia IOD.
3. Status IOD:
a) niezależność IOD a podległość służbowa,
b) uprawnienia wobec administratora,
c) obowiązki wobec administratora,
d) tajemnica zawodowa.
4. Zasady zgłaszania informacji o IOD do UODO:
a) przesłanki zgłoszenia,
b) termin zgłoszenia zmian,
c) forma i treść zgłoszenia zmian,
d) formularze.
5. Gdzie szukać merytorycznego wsparcia w codziennej pracy:
a) Stanowiska UODO,
b) Wytyczne Grupy Roboczej Art. 29 – charakter wiążący,
c) Kodeks dobrych praktyk w zakresie przetwarzania danych osobowych przez
banki i rejestry kredytowe.
II. Zadania IOD w kontekście nowych obowiązków administratora:
1. Rola IOD w zarządzaniu ryzykiem.
2. Zadania wynikające z zasad przetwarzania danych osobowych:
a) zasada zgodności z prawem, rzetelności i przejrzystości.
b) zasada ograniczenia celu przetwarzania.
c) zasada minimalizacji danych.
d) zasada prawidłowości danych.
e) zasada czasowego ograniczenia przechowywania.
f) zasada integralności i poufności.
g) zasada rozliczalności – czyli jak wykazać przestrzeganie zasad ochrony danych osobowych.
3. Zadania wynikające z obowiązków informacyjnych i pozyskiwania zgód:
a) wobec osoby, której dane dotyczą (art. 13 RODO):
– forma informacji,
– treść informacji – język informacji, budowa zdań.
– rola IOD w weryfikacji prawidłowości informacji.
b) wobec osoby, której dane pozyskano od osoby trzeciej (art. 14 RODO):
– forma i treść informacji,
– termin powiadomienia,
– wyłączenia z obowiązku informacyjnego,
– rola IOD w weryfikacji prawidłowości informacji.
c) zgoda jako podstawa przetwarzania danych – warunki pozyskiwania zgody:
– cechy ważnej zgody,
– forma i treść zgody,
– zgoda na przetwarzanie danych wrażliwych,
– rola IOD w weryfikacji prawidłowości pozyskiwania zgód.
4. Zadania wynikające z uprawnień osób, których dane są przetwarzane:
a) prawa do informacji,
b) prawa dostępu do danych lub otrzymania kopii danych;
c) prawa do sprostowania danych;
d) prawa do usunięcia danych;
e) prawa do ograniczenia przetwarzania;
f) prawa do przenoszenia danych;
g) prawa do sprzeciwu.
5. Zadania wynikające z bezpieczeństwa systemów.
III. Wzory dokumentów tworzonych przez administratora i IOD – praktyczne porady.
IV. Obowiązek prowadzenia rejestru przetwarzania danych:
1. Forma rejestru przetwarzania danych.
2. Treść rejestru przetwarzania danych.
3. Uprawnienia UODO w zakresie kontroli rejestru przetwarzania danych – prawa i obowiązki IOD podczas kontroli.
V. Zasady działania IOD w przypadku naruszenia ochrony danych osobowych:
1. Pojęcie naruszenia ochrony danych osobowych.
2. Klasyfikacja naruszeń ochrony danych osobowych.
3. Rejestr naruszeń – zasady prowadzenia.
4. Zasady zgłaszania naruszeń ochrony danych osobowych – tryb zgłaszania naruszeń do UODO:
a) forma zgłoszenia,
b) treść zgłoszenia.
5. Zasady powiadamiania osób, których dane są zagrożone:
a) forma powiadomienia,
b) treść powiadomienia,
c) informacja publiczna.
6. Zasady współpracy z UODO podczas naruszeń.
VI. Zasady odpowiedzialności IOD za wykonywanie ustawowych zadań:
1. Odpowiedzialność IOD na podstawie Kodeksu pracy – ograniczenia i wyjątki.
2. Odpowiedzialność IOD z tytułu umowy zlecenia.
3. Odpowiedzialność IOD w przypadku nałożenia na administratora przez organ nadzoru albo sąd, kary pieniężnej albo odszkodowania (tzw. regres).