Przygotowanie organizacji do stosowania rodo. Ochrona danych w okresie przejściowym i po wejściu przepisów w życie
Nakładem wydawnictwa Presscom ukazała się jedna z pierwszych pozycji poruszających tematykę przygotowania organizacji do stosowania Rozporządzenia ogólnego (RODO). Autorzy omawiają zarówno aktualne obowiązki wynikające z ustawy o ochronie danych osobowych jaki i odpowiadające im obowiązki wynikające z RODO.
Książka jest unikatową pozycją, przygotowaną przez praktyków prowadzących audyty i przygotowujących dokumentację systemu ochrony danych osobowych. Każda organizacja jest inna i w każdej spotkamy się z nieco innymi problemami. Jednak w większości organizacji musimy uregulować ochronę danych osobowych w działach personalnych. I to właśnie na przykładzie przetwarzania danych w takim dziale omówiono zasady prowadzenia audytów w organizacji. W dalszej części książki, autorzy omówili zasady opracowywania systemu zarządzania ochroną danych osobowych.
Zapraszamy na stronę wydawnictwa,
oraz stronę książki na Facebooku.
O książce
W jakim zakresie unijne rodo różni się od obowiązującej w Polsce uodo? Jak opracować i wdrożyć system ochrony danych osobowych w kontekście zbliżających się zmian w prawie? Czy przetwarzanie danych można zlecić podmiotom zewnętrznym?
Książka pomoże przygotować się organizacjom do wdrożenia rodo oraz rozwiązać konkretne problemy związane ze stosowaniem prawa ochrony danych osobowych zarówno w okresie przejściowym, jak i po wejściu nowych przepisów w życie. W publikacji szczegółowo zostały omówione te zmiany, wynikające z rozporządzenia ogólnego, które znacząco wpłyną na dotychczasowy sposób przetwarzania danych osobowych:
- obowiązek prowadzenia rejestru czynności przetwarzania wewnątrz organizacji,
- modyfikacja katalogu danych wrażliwych,
- zmiana statusu ABI,
- dopuszczalność współadministrowania danymi,
- zarządzanie incydentami i raportowanie wycieku danych,
- odpowiedzialność administratora danych i wysokie kary finansowe.
Dzięki książce czytelnik dowie się, w jaki sposób dobierać zabezpieczenia, jakie elementy, zgodnie z rozporządzeniem technicznym, musi zawierać dokumentacja oraz jak te elementy powinny wiązać się z pozostałymi systemami zarządzania bezpieczeństwem informacji w organizacji. Pozna także obowiązki w zakresie ochrony danych w procesach kadrowych i otrzyma wskazówki, jak prowadzić sprawdzenia.
Poradnik ma charakter praktyczny – istotne wnioski autorzy uwypuklają w ramkach „Ważne!”, przedstawiając kluczowe zagadnienia. Udzielają jednocześnie odpowiedzi na pytanie „A co na to rodo?” oraz powołują się na przykłady, które zostały oznaczone hasłem „Z życia wzięte”.
Spis treści
Spis treści
Wykaz skrótów
Wstęp
Rozdział 1
Ochrona danych osobowych – od czego zacząć, jak opracować i utrzymać system oraz na czym polega ochrona danych w praktyce
1.1. Garść niezbędnych definicji i wyjaśnień
1.1.1. Dane osobowe i ich przetwarzanie
1.1.2. Szczególna kategoria danych osobowych – dane wrażliwe
1.1.3. Administrator danych – podmiot praw i obowiązków
1.1.4. Przesłanki przetwarzania danych osobowych – wiedza fundamentalna
1.2. Dlaczego administrator danych oraz podmiot przetwarzający powinni wdrożyć przepisy o ochronie danych osobowych?
1.2.1. Zapewnienie zgodności działań jednostki z aktualnie obowiązującymi przepisami prawa
1.2.2. Uniknięcie konsekwencji administracyjnych z tytułu kontroli GIODO oraz odpowiedzialności cywilnej i karnej
1.2.3. Znaczne ułatwienie w wypełnianiu obowiązków, które przewiduje rodo
1.2.4. Zdobycie zaufania klientów i partnerów biznesowych oraz ochrona tajemnic zawodowych
1.3. Przeprowadzenie audytu – inwentaryzacja zasobów danych osobowych i rozpoznanie stanu ich ochrony
1.3.1. Jak prowadzić audyt?
1.3.2. Etapy audytu
1.3.3. System ochrony danych osobowych – uodo oraz inne akty prawne
1.3.4. Opracowanie lub uaktualnienie dokumentacji opisującej system ochrony danych osobowych
1.3.5. Elementy dokumentacji dotyczącej ochrony danych osobowych
1.3.6. Identyfikacja zbiorów danych – zagadnienie istotne i problematyczne
1.4. Wdrożenie systemu ochrony danych
1.5. Monitorowanie i doskonalenie systemu ochrony danych osobowych
1.6. Jak przygotować się do stosowania rodo? Graniczna data 25 maja 2018 r.
Rozdział 2
Ochrona danych osobowych w procesach kadrowych
2.1. Ochrona danych osobowych w procesie rekrutacji
2.1.1. Zakres danych osobowych wymagany od kandydatów do pracy – problemy praktyczne
2.1.2. Obowiązek informacyjny z art. 24 uodo a gromadzenie danych osobowych kandydatów do pracy
2.1.3. Obieg dokumentów aplikacyjnych kandydatów do pracy a wymogi uodo
2.1.4. Okres archiwizacji dokumentów składanych przez kandydatów do pracy, czyli zasada ograniczenia czasowego w praktyce
2.2. Ochrona danych osobowych w procesach związanych z obsługą stosunku pracy
2.2.1. Przetwarzanie danych pracowników udostępnionych na etapie rekrutacji, czyli zasada celowości w praktyce
2.2.2. Wybrane przykłady naruszenia zasady adekwatności oraz legalności identyfikowane w dziale personalnym
2.2.3. Dokumenty pracownicze, które powinny być przetwarzane jedynie do wglądu
2.2.4. Rozpowszechnianie informacji dotyczących prywatnej sfery życia pracownika a wymogi art. 23 i 26 uodo
2.2.5. Wybrane przykłady naruszeń uodo związane z przetwarzaniem danych osobowych pracowników – „niespodzianki” dla ABI
2.2.6. Świadomość pracowników działu personalnego w zakresie ochrony danych osobowych – dlaczego jest tak ważna?
2.2.7. Dokumentacja osobowa poza działem kadr
2.2.8. Upoważnienia do przetwarzania danych osobowych
2.2.9. Przekazywanie danych osobowych pracowników pomiędzy pracodawcą a zakładową organizacją związkową
2.2.10. Obowiązek informacyjny związany z zatrudnianiem personelu
2.2.11. Przetwarzanie danych osobowych zleceniobiorców i wykonawców
2.3. Ochrona danych osobowych pracowników na etapie zakończenia umowy o pracę
2.3.1. Nieuprawnione udostępnianie danych osobowych pracowników zawartych na formularzu karty obiegowej
2.3.2. Sposób wręczania pracownikowi wypowiedzenia umowy o pracę a regulacje uodo
2.3.3. Zdjęcia byłych pracowników przetwarzane w związku z wydawaniem identyfikatorów pracowniczych
Rozdział 3
Elementy systemu ochrony danych osobowych
3.1. Zabezpieczenie danych
3.1.1. Osoby dopuszczone do przetwarzania danych
3.1.2. Zapewnienie rozliczalności
3.1.3. Obowiązek zabezpieczenia danych
3.1.4. Rozporządzenie w sprawie KRI
3.1.5. Zabezpieczenia wymagane przez rozporządzenie techniczne
3.1.6. Zabezpieczenie danych w rodo
3.2. Dokumentacja
3.2.1. Wymagana dokumentacja
3.2.2. Polityka bezpieczeństwa
3.2.3. Instrukcja zarządzania
3.2.4. Dokumentacja według rodo
3.2.5. Pozostałe elementy dokumentacji (drobna dokumentacja)
3.2.6. Dokumentacja w podmiotach przetwarzających informacje niejawne
3.3. Powierzenie przetwarzania danych
3.3.1. Powierzenie przetwarzania bez zawarcia umowy
3.3.2. Powierzenie przetwarzania według rodo
3.4. Zarządzanie incydentami
3.4.1. Procedura zarządzania incydentami
3.4.2. Obowiązek notyfikacyjny według rodo
3.4.3. Zawiadomienie organu nadzorczego
3.4.4. Zawiadomienie osób fizycznych
3.5. Zgłoszenie zbioru danych do rejestracji GIODO
Rozdział 4
Nadzorowanie systemu ochrony danych osobowych
4.1. Administrator bezpieczeństwa informacji
4.2. Zgłoszenie powołania ABI do rejestracji GIODO
4.3. Zastępcy ABI
4.4. Zadania ABI
4.5. Sprawdzanie zgodności przetwarzania danych
4.6. Plan sprawdzeń
4.6.1. Co powinien zawierać plan sprawdzeń?
4.6.2. Sposób i zakres dokumentowania
4.6.3. Okres objęty planem
4.7. Sprawdzenia planowe
4.7.1. Etapy sprawdzenia
4.7.2. Sprawdzanie zabezpieczeń systemów informatycznych
4.7.3. Przygotowanie listy kontrolnej
4.7.4. Jak prowadzimy wywiady
4.7.5. Dokumentowanie sprawdzenia
4.8. Sprawdzenie doraźne
4.9. Sprawdzenie dla GIODO
4.10. Sprawozdanie
4.10.1. Terminy składania sprawozdania
4.10.2. Wymagane elementy sprawozdania
4.10.3. Język sprawozdania
4.11. Nadzorowanie opracowania i aktualizowania dokumentacji
4.12. Nadzorowanie przestrzegania zasad określonych w dokumentacji
4.13. Zapewnienie zapoznania
4.14. Prowadzenie jawnego rejestru zbiorów
4.15. Jeżeli ABI nie zostanie powołany
Bibliografia
Akty prawne
O autorach
Autorzy
Magdalena Korga – prawnik, praktyk, administrator bezpieczeństwa informacji. Ukończyła studia doktoranckie w Katedrze Prawa Cywilnego i Prawa Prywatnego Międzynarodowego Wydziału Prawa i Administracji Uniwersytetu Śląskiego, przygotowuje rozprawę doktorską dotyczącą zagadnienia danych osobowych w aspekcie praktycznym. Od kilku lat kieruje pracą zespołu ekspertów, realizując projekty związane z dostosowaniem organizacji do wymogów prawa ochrony danych osobowych. Audytor z doświadczeniem w zakresie wdrażania systemów zarządzania bezpieczeństwem danych osobowych. Pasjonat tematyki ochrony danych osobowych, wykładowca uniwersytecki na studiach podyplomowych i doświadczony trener.
Katarzyna Matelowska-Tatoj – praktyk, administrator bezpieczeństwa informacji, absolwentka studiów podyplomowych na kierunku „Ochrona danych osobowych w administracji i biznesie”. Audytor z doświadczeniem w zakresie wdrażania systemów zarządzania bezpieczeństwem danych osobowych w podmiotach sektora prywatnego i publicznego. Specjalizuje się w tematyce ochrony danych osobowych w procesach obsługiwanych przez działy personalny i bhp.
Jarosław Żabówka – praktyk, ekspert ochrony danych osobowych i bezpieczeństwa informacji, administrator bezpieczeństwa informacji, audytor normy ISO 27001. Doświadczony informatyk i specjalista ds. bezpieczeństwa systemów informatycznych. Posiada wieloletnie doświadczenie w tworzeniu i wdrażaniu polityki bezpieczeństwa danych osobowych w administracji publicznej i przedsiębiorstwach prywatnych. Trener, autor artykułów i popularyzator zagadnień ochrony danych osobowych, aktywnie uczestniczący w budowaniu polskiej społeczności administratorów bezpieczeństwa informacji. Wykładowca na studiach podyplomowych, prelegent na konferencjach, doświadczony trener. Właściciel firmy proInfoSec, wykładowca Wyższej Szkoły Biznesu w Dąbrowie Górniczej. Członek Polskiego Towarzystwa Informatycznego oraz Stowarzyszenia Wspierania Bezpieczeństwa Narodowego.