Jesteśmy już po kilku edycjach szkoleń z zakresu Rozporządzenia UE RODO. Zdajemy sobie sprawię, że również i Państwo uczestniczyliście w niejednym spotkaniu poświęconemu tej tematyce. Zmiany okazały się być tak kontrowersyjne a pytań i
wątpliwości ogrom. Dlatego wychodząc na przeciw naszym Partnerom/Klientom chcielibyśmy po raz kolejny przed wejściem w życie przepisów spotkać się aby podsumować dotychczasową zdobytą wiedzę na temat RODO, ale również odpowiedzieć sobie na pytania:
• Na jakim etapie prac jesteśmy w naszej Instytucji?
• Czy zabezpieczyliśmy dobrze swoje dane i finanse?
• Czy dostatecznie przygotowaliśmy się do wejścia w życie Rozporządzenia UE?
Warsztaty kierujemy do:
TOWARZYSTW FUNDUSZY INWESTYCYJNYCH
a przede wszystkim do Specjalistów w zakresie:
• Prawa i Compliance • Audytu i Kontroli Wewnętrznej • Obsługi Klienta • Ryzyka i Bezpieczeństwa IT
• Administratorów Bezpieczeństwa Informacji (ABI) • Administratorów Danych Osobowych (ADO)
• Wszystkich osób przetwarzających lub odpowiedzialnych za przetwarzanie danych osobowych
9.30 – 10.00 Rejestracja uczestników i poranna kawa
10.00 – 12.30 RODO – krajowy organ nadzorczy i wykonywanie jego kompetencji.
Relacje GIODO i Inspektora Ochrony Danych (IOD)
• Uwarunkowania prawne
• Organ nadzorczy – GIODO niezależny – zadania organu nadzorczego
• Ustawa o ochronie danych osobowych – projekt
• Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych
• Postępowanie kontrolne
11.00 – 11.15 Przerwa na kawę
• Administracyjne kary pieniężne
• Odpowiedzialność cywilna
• Kary finansowe
• Rodzaje i techniki kontroli/Przebieg i zakres kontroli
• Znaczenie polskich norm w podmiotach kontrolowanych
• Dokumentowanie naruszenia ochrony danych osobowych
• Uprawnienia pokontrolne
• Zalecenia dla ABI w celu przygotowania do funkcji IOD
• Wybrane kompetencje IOD w kontaktach z organem nadzorczym
• Czynności podejmowane przez IOD podczas kontroli
• Odpowiedzialność IOD
Bogusława Pilc – Radca prawny, Dyrektor Departamentu Inspekcji – Biuro Generalnego Inspektora Ochrony Danych Osobowych
12.30 – 13.15 Lunch
13.15 – 16.15 Obowiązki TFI jako administratora danych osobowych po reformie.
Nadchodzący stan prawny według RODO (Rozporządzenia UE 2016/679) i projektów ustaw opublikowanych przez Ministerstwo Cyfryzacji.
1. Charakterystyka ochrony danych osobowych po reformie. Rozszerzenie definicji danych osobowych.
Podstawowe pojęcia:
• dane osobowe (czy np. adres e-mail i numer telefonu są danymi osobowymi?), dane wrażliwe,
dane biometryczne, (np. odciski palców jako alternatywa dla PIN lub do ewidencji czasu pracy),
dane geolokalizacyjne i IP (użytkownika aplikacji)
• przetwarzanie danych, usuwanie danych, pseudonimizacja
2. Klauzule zgody i klauzule informacyjne. Prawidłowość prowadzenia marketingu.
• nowe wymagania wobec klauzul zgody, w tym marketingowych, błędy popełniane przy ich konstruowaniu
• ważność dotychczasowych klauzul zgody po maju 2018
• czy dopuszczalne jest telefonowanie do klienta z dodatkową ofertą? czy dopuszczalne jest telefonowanie / wysłanie e-maila marketingowego (np. pozyskanego z ogłoszeń w Internecie) do potencjalnego klienta? czy przy okazji marketingu produktów instytucji finansowej dopuszczalne jest przestawienie oferty podmiotu innego niż ta instytucja?
• nowy zakres klauzul informacyjnych i skutki ich rozszerzenia (np. dane kontaktowe ABI, podstawa prawna przetwarzania danych, pouczenie o profilowaniu, informacja o retencji)
• nowe warunki dopuszczalności profilowania klientów w celach marketingowych
• problemy dotyczące przetwarzania danych wrażliwych np. w procesach windykacyjnych, zmiana definicji danych wrażliwych
• dopuszczalność odbierania od kandydatów do pracy i pracowników informacji lub zaświadczeń dotyczących ewentualnej karalności
• zasady monitoringu pracowników (np. e-maili, historii przeglądania stron w Internecie); nowe przepisy Kodeksu pracy dotyczące monitoringu oraz zgody pracownika
• przechowywanie danych osobowych po wygaśnięciu umowy z klientem
14.45 – 15.00 Przerwa na kawę
3. Uprawnienia klientów wobec instytucji finansowej jako administratora danych
• prawo żądania informacji m.in. o treści przetwarzanych danych dotyczących klienta, o ich źródle, o odbiorcach danych
• prawo żądania odnotowania sprzeciwu wobec marketingu, prawo do sprzeciwu wobec profilowania
• prawo do profilowania w celu oceny ryzyka i w celu prowadzenia marketingu
• prawo żądania poprawienia błędnych danych (np. sposób postępowania, gdy żądanie zmiany adresu do korespondencji składa nie klient, lecz właściciel mieszkania)
• nowe prawo do przenoszenia danych
• nowe „prawo do bycia zapomnianym”
• nowe prawo do ograniczenia przetwarzania
• „domagam się informacji o rachunku i zadłużeniu mojej żony / męża, ponieważ jesteśmy objęciu ustawową wspólnością małżeńską / toczy się postępowanie sądowe o podział majątku”
• „jakim prawem kseruje pan mój dowód osobisty?”
• „jakim prawem przekazaliście moje dane firmie windykacyjnej?”, „jakim prawem wysyłacie do mnie smsy windykacyjne bez mojej zgody?”
4. Przykładowe nowe obowiązki organizacyjne i techniczne
• analiza ryzyka przed przetwarzaniem danych (privacy risk assessment)
• uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych (privacy
by default)
• rejestr czynności przetwarzania
• wybór processora
Katarzyna Hildebrandt, Zastępca Dyrektora Departamentu Inspekcji w Biurze Generalnego Inspektora Ochrony Danych Osobowych
16.15 Zakończenie warsztatów i wręczenie uczestnikom certyfikatów
Tel. 791 404 321