proInfoSec partnerem konferencji „Bezpieczeństwo danych w sektorze publicznym”

maj 052017
 
BDWSP

Z dumą informujemy, że zostaliśmy partnerem konferencji Bezpieczeństwo Danych w Sektorze Publicznym.
W czasie tegorocznej edycji tematem przewodnim będzie ochrona danych osobowych ze szczególnym uwzględnieniem Europejskiego Rozporządzenia o Ochronie Danych Osobowych (RODO/GDPR).
Agenda i lista prelegentów wskazują, że będzie to z pewnością jedno z najważniejszych wydarzeń w najbliższym czasie.

Konferencja

Tegoroczna edycja konferencji „Bezpieczeństwo danych w sektorze publicznym” odbędzie się w dn. 17 maja 2017 r. w Warszawie, przy ul. Solec 38 lok. 103.

Temat przewodni konferencji dotyczy problematyki ochrony danych osobowych ze szczególnym uwzględnieniem Europejskiego Rozporządzenia o Ochronie Danych Osobowych (RODO/GDPR).

Konferencja adresowana jest do osób zainteresowanych zagadnieniami związanymi z ochroną danych osobowych, ze szczególnym uwzględnieniem przedstawicieli jednostek administracji publicznej.

Udział w konferencji jest bezpłatny.

Przewidywany jest udział osobisty oraz udział zdalny (w wybranych częściach konferencji).

Formuła konferencji

Wiodącym celem zeszłorocznej edycji konferencji był wzrost świadomości zagadnień dotyczących bezpieczeństwa danych, ze szczególnym uwzględnieniem wymagań stawianych w jednostkach administracji publicznej.
W trakcie konferencji poruszone zostały techniczne, ekonomiczne oraz prawne aspekty związane z definiowaniem, utrzymaniem oraz doskonaleniem systemów zarządzania bezpieczeństwem informacji.

Tegoroczna edycja konferencji została pomyślana w ten sposób, aby na gruncie rezultatów pierwszej edycji konferencji, pójść o krok dalej i zaadresować nie tylko wzrost świadomości uczestników, ale także zapewnić możliwość wymiany doświadczeń oraz podzielenia się własnymi doświadczeniami a także katalizować budowanie nowych lub utrwalenia istniejących relacji.

Tegoroczna edycja konferencji będzie realizowana w formule zgodnie z którą:

  • Społeczność sympatyków, prelegentów oraz uczestników tego cyklu konferencji będzie budowana przed, pielęgnowana w trakcie oraz po jej zakończeniu.
  • Zorganizowana zostanie internetowa prekonferencja, w której uczestniczyć będzie można wyłącznie w sposób zdalny.
  • Przed rozpoczęciem konferencji odbędzie się nabór oraz głosowania w kategoriach:
    • MWS (Most Wanted Speaker) :: najbardziej pożądany wykładowca
    • MWQ (Most Wanted Question) :: najbardziej palące pytanie
    • MWT (Most Wanted Topic) :: najbardziej intrygujący temat
    • MWP (Most Wanted Proposal) :: najlepsza zgłoszona propozycja
  • Program konferencji będzie podzielony na części, a każda z nich będzie miała inną formułę – od wykładów plenarnych zaproszonych prelegentów, przez dyskusję z ekspertem, po wystąpienia uczestników:
    • Część 1 konferencji obejmuje wykłady plenarne osób zajmujących się zawodowo praktyką ochroną danych osobowych. Pierwsza część konferencji będzie realizowana w formule wykładowej (wykłady będą strumieniowane przez Internet).
    • Część 2 konferencji poświęcona jest kontroli przetwarzania danych osobowych. Druga część konferencji będzie realizowana w formule dyskusji z zaproszonym ekspertem (z GIODO).
    • Część 3 konferencji dotyczy zagadnień związanych z przygotowaniem do wdrożenia unijnego rozporządzenia o ochronie danych osobowych. Formuła tej części konferencji to World Cafe (propozycje tematów zgłaszane przez uczestników, które w dalszej części omawiane są przy stolikach tematycznych).
    • Część 4 konferencji przewiduje serię 5-minutowych wystąpień dotyczących problematyki konferencji, które zostały zgłoszone przez przedstawicieli instytucji sektora publicznego. Formuła: Ignite Talk (prezentacje złożone są z 20 slajdów, a slajdy przełączane są co 15 sekund).
  • Opracowane zostaną materiały pokonferencyjne będące udokumentowaniem wszystkich aktywności związanych z tegoroczną edycją konferencji: od materiałów wykładowych, przez wnioski z dyskusji oraz komentarze uczestników.
  • Zorganizowana zostanie internetowe spotkanie pokonferencyjne w ramach którego wystąpią eksperci związani z Polskim Towarzystwem Informatycznym.

Szczegółowe informacje dostępne są na stronie konferencji.

Przygotowanie organizacji do stosowania RODO

kwi 252017
 

Przygotowanie organizacji do stosowania rodo. Ochrona danych w okresie przejściowym i po wejściu przepisów w życie

Nakładem wydawnictwa Presscom ukazała się jedna z pierwszych pozycji poruszających tematykę przygotowania organizacji do stosowania Rozporządzenia ogólnego (RODO). Autorzy omawiają zarówno aktualne obowiązki wynikające z ustawy o ochronie danych osobowych jaki i odpowiadające im obowiązki wynikające z RODO.

Książka jest unikatową pozycją, przygotowaną przez praktyków prowadzących audyty i przygotowujących dokumentację systemu ochrony danych osobowych. Każda organizacja jest inna i w każdej spotkamy się z nieco innymi problemami. Jednak w większości organizacji musimy uregulować ochronę danych osobowych w działach personalnych. I to właśnie na przykładzie przetwarzania danych w takim dziale omówiono zasady prowadzenia audytów w organizacji. W dalszej części książki, autorzy omówili zasady opracowywania systemu zarządzania ochroną danych osobowych.

Zapraszamy na stronę wydawnictwa,

oraz stronę książki na Facebooku.

O książce

W jakim zakresie unijne rodo różni się od obowiązującej w Polsce uodo? Jak opracować i wdrożyć system ochrony danych osobowych w kontekście zbliżających się zmian w prawie? Czy przetwarzanie danych można zlecić podmiotom zewnętrznym?

Książka pomoże przygotować się organizacjom do wdrożenia rodo oraz rozwiązać konkretne problemy związane ze stosowaniem prawa ochrony danych osobowych zarówno w okresie przejściowym, jak i po wejściu nowych przepisów w życie. W publikacji szczegółowo zostały omówione te zmiany, wynikające z rozporządzenia ogólnego, które znacząco wpłyną na dotychczasowy sposób przetwarzania danych osobowych:

  • obowiązek prowadzenia rejestru czynności przetwarzania wewnątrz organizacji,
  • modyfikacja katalogu danych wrażliwych,
  • zmiana statusu ABI,
  • dopuszczalność współadministrowania danymi,
  • zarządzanie incydentami i raportowanie wycieku danych,
  • odpowiedzialność administratora danych i wysokie kary finansowe.

Dzięki książce czytelnik dowie się, w jaki sposób dobierać zabezpieczenia, jakie elementy, zgodnie z rozporządzeniem technicznym, musi zawierać dokumentacja oraz jak te elementy powinny wiązać się z pozostałymi systemami zarządzania bezpieczeństwem informacji w organizacji. Pozna także obowiązki w zakresie ochrony danych w procesach kadrowych i otrzyma wskazówki, jak prowadzić sprawdzenia.

Poradnik ma charakter praktyczny – istotne wnioski autorzy uwypuklają w ramkach „Ważne!”, przedstawiając kluczowe zagadnienia. Udzielają jednocześnie odpowiedzi na pytanie „A co na to rodo?” oraz powołują się na przykłady, które zostały oznaczone hasłem „Z życia wzięte”.

Spis treści

Spis treści

Wykaz skrótów

Wstęp

Rozdział 1

Ochrona danych osobowych – od czego zacząć, jak opracować i utrzymać system oraz na czym polega ochrona danych w praktyce

1.1.          Garść niezbędnych definicji i wyjaśnień

1.1.1.          Dane osobowe i ich przetwarzanie

1.1.2.          Szczególna kategoria danych osobowych – dane wrażliwe

1.1.3.          Administrator danych – podmiot praw i obowiązków

1.1.4.          Przesłanki przetwarzania danych osobowych – wiedza fundamentalna

1.2.          Dlaczego administrator danych oraz podmiot przetwarzający powinni wdrożyć przepisy o ochronie danych osobowych?

1.2.1.          Zapewnienie zgodności działań jednostki z aktualnie obowiązującymi przepisami prawa

1.2.2.          Uniknięcie konsekwencji administracyjnych z tytułu kontroli GIODO oraz odpowiedzialności cywilnej i karnej

1.2.3.          Znaczne ułatwienie w wypełnianiu obowiązków, które przewiduje rodo

1.2.4.          Zdobycie zaufania klientów i partnerów biznesowych oraz ochrona tajemnic zawodowych

1.3.          Przeprowadzenie audytu – inwentaryzacja zasobów danych osobowych i rozpoznanie stanu ich ochrony

1.3.1.          Jak prowadzić audyt?

1.3.2.          Etapy audytu

1.3.3.          System ochrony danych osobowych – uodo oraz inne akty prawne

1.3.4.          Opracowanie lub uaktualnienie dokumentacji opisującej system ochrony danych osobowych

1.3.5.          Elementy dokumentacji dotyczącej ochrony danych osobowych

1.3.6.          Identyfikacja zbiorów danych – zagadnienie istotne i problematyczne

1.4.          Wdrożenie systemu ochrony danych

1.5.          Monitorowanie i doskonalenie systemu ochrony danych osobowych

1.6.          Jak przygotować się do stosowania rodo? Graniczna data 25 maja 2018 r.

Rozdział 2

Ochrona danych osobowych w procesach kadrowych

2.1.          Ochrona danych osobowych w procesie rekrutacji

2.1.1.          Zakres danych osobowych wymagany od kandydatów do pracy – problemy praktyczne

2.1.2.          Obowiązek informacyjny z art. 24 uodo a gromadzenie danych osobowych kandydatów do pracy

2.1.3.          Obieg dokumentów aplikacyjnych kandydatów do pracy a wymogi uodo

2.1.4.          Okres archiwizacji dokumentów składanych przez kandydatów do pracy, czyli zasada ograniczenia czasowego w praktyce

2.2.          Ochrona danych osobowych w procesach związanych z obsługą stosunku pracy

2.2.1.          Przetwarzanie danych pracowników udostępnionych na etapie rekrutacji, czyli zasada celowości w praktyce

2.2.2.          Wybrane przykłady naruszenia zasady adekwatności oraz legalności identyfikowane w dziale personalnym

2.2.3.          Dokumenty pracownicze, które powinny być przetwarzane jedynie do wglądu

2.2.4.          Rozpowszechnianie informacji dotyczących prywatnej sfery życia pracownika a wymogi art. 23 i 26 uodo

2.2.5.          Wybrane przykłady naruszeń uodo związane z przetwarzaniem danych osobowych pracowników – „niespodzianki” dla ABI

2.2.6.          Świadomość pracowników działu personalnego w zakresie ochrony danych osobowych – dlaczego jest tak ważna?

2.2.7.          Dokumentacja osobowa poza działem kadr

2.2.8.          Upoważnienia do przetwarzania danych osobowych

2.2.9.          Przekazywanie danych osobowych pracowników pomiędzy pracodawcą a zakładową organizacją związkową

2.2.10.       Obowiązek informacyjny związany z zatrudnianiem personelu

2.2.11.       Przetwarzanie danych osobowych zleceniobiorców i wykonawców

2.3.          Ochrona danych osobowych pracowników na etapie zakończenia umowy o pracę

2.3.1.          Nieuprawnione udostępnianie danych osobowych pracowników zawartych na formularzu karty obiegowej

2.3.2.          Sposób wręczania pracownikowi wypowiedzenia umowy o pracę a regulacje uodo

2.3.3.          Zdjęcia byłych pracowników przetwarzane w związku z wydawaniem identyfikatorów pracowniczych

Rozdział 3

Elementy systemu ochrony danych osobowych

3.1.          Zabezpieczenie danych

3.1.1.          Osoby dopuszczone do przetwarzania danych

3.1.2.          Zapewnienie rozliczalności

3.1.3.          Obowiązek zabezpieczenia danych

3.1.4.          Rozporządzenie w sprawie KRI

3.1.5.          Zabezpieczenia wymagane przez rozporządzenie techniczne

3.1.6.          Zabezpieczenie danych w rodo

3.2.          Dokumentacja

3.2.1.          Wymagana dokumentacja

3.2.2.          Polityka bezpieczeństwa

3.2.3.          Instrukcja zarządzania

3.2.4.          Dokumentacja według rodo

3.2.5.          Pozostałe elementy dokumentacji (drobna dokumentacja)

3.2.6.          Dokumentacja w podmiotach przetwarzających informacje niejawne

3.3.          Powierzenie przetwarzania danych

3.3.1.          Powierzenie przetwarzania bez zawarcia umowy

3.3.2.          Powierzenie przetwarzania według rodo

3.4.          Zarządzanie incydentami

3.4.1.          Procedura zarządzania incydentami

3.4.2.          Obowiązek notyfikacyjny według rodo

3.4.3.          Zawiadomienie organu nadzorczego

3.4.4.          Zawiadomienie osób fizycznych

3.5.          Zgłoszenie zbioru danych do rejestracji GIODO

Rozdział 4

Nadzorowanie systemu ochrony danych osobowych

4.1.          Administrator bezpieczeństwa informacji

4.2.          Zgłoszenie powołania ABI do rejestracji GIODO

4.3.          Zastępcy ABI

4.4.          Zadania ABI

4.5.          Sprawdzanie zgodności przetwarzania danych

4.6.          Plan sprawdzeń

4.6.1.          Co powinien zawierać plan sprawdzeń?

4.6.2.          Sposób i zakres dokumentowania

4.6.3.          Okres objęty planem

4.7.          Sprawdzenia planowe

4.7.1.          Etapy sprawdzenia

4.7.2.          Sprawdzanie zabezpieczeń systemów informatycznych

4.7.3.          Przygotowanie listy kontrolnej

4.7.4.          Jak prowadzimy wywiady

4.7.5.          Dokumentowanie sprawdzenia

4.8.          Sprawdzenie doraźne

4.9.          Sprawdzenie dla GIODO

4.10.       Sprawozdanie

4.10.1.       Terminy składania sprawozdania

4.10.2.       Wymagane elementy sprawozdania

4.10.3.       Język sprawozdania

4.11.       Nadzorowanie opracowania i aktualizowania dokumentacji

4.12.       Nadzorowanie przestrzegania zasad określonych w dokumentacji

4.13.       Zapewnienie zapoznania

4.14.       Prowadzenie jawnego rejestru zbiorów

4.15.       Jeżeli ABI nie zostanie powołany

Bibliografia

Akty prawne

O autorach

Autorzy

Magdalena Korga – prawnik, praktyk, administrator bezpieczeństwa informacji. Ukończyła studia doktoranckie w Katedrze Prawa Cywilnego i Prawa Prywatnego Międzynarodowego Wydziału Prawa i Administracji Uniwersytetu Śląskiego, przygotowuje rozprawę doktorską dotyczącą zagadnienia danych osobowych w aspekcie praktycznym. Od kilku lat kieruje pracą zespołu ekspertów, realizując projekty związane z dostosowaniem organizacji do wymogów prawa ochrony danych osobowych. Audytor z doświadczeniem w zakresie wdrażania systemów zarządzania bezpieczeństwem danych osobowych. Pasjonat tematyki ochrony danych osobowych, wykładowca uniwersytecki na studiach podyplomowych i doświadczony trener.

Katarzyna Matelowska-Tatoj – praktyk, administrator bezpieczeństwa informacji, absolwentka studiów podyplomowych na kierunku „Ochrona danych osobowych w administracji i biznesie”. Audytor z doświadczeniem w zakresie wdrażania systemów zarządzania bezpieczeństwem danych osobowych w podmiotach sektora prywatnego i publicznego. Specjalizuje się w tematyce ochrony danych osobowych w procesach obsługiwanych przez działy personalny i bhp.

Jarosław Żabówka – praktyk, ekspert ochrony danych osobowych i bezpieczeństwa informacji, administrator bezpieczeństwa informacji, audytor normy ISO 27001. Doświadczony informatyk i specjalista ds. bezpieczeństwa systemów informatycznych. Posiada wieloletnie doświadczenie w tworzeniu i wdrażaniu polityki bezpieczeństwa danych osobowych w administracji publicznej i przedsiębiorstwach prywatnych. Trener, autor artykułów i popularyzator zagadnień ochrony danych osobowych, aktywnie uczestniczący w budowaniu polskiej społeczności administratorów bezpieczeństwa informacji. Wykładowca na studiach podyplomowych, prelegent na konferencjach, doświadczony trener. Właściciel firmy proInfoSec, wykładowca Wyższej Szkoły Biznesu w Dąbrowie Górniczej. Członek Polskiego Towarzystwa Informatycznego oraz Stowarzyszenia Wspierania Bezpieczeństwa Narodowego.