Top Menu

Przygotowanie do kontroli GIODO – prawidłowa ochrona baz danych osobowych

Ochrona danych osobowych GIODO
Zaloguj się na dostęp do zakupionych kursów

Szkolenie opracowane na podstawie wniosków z faktycznie przeprowadzonych przez GIODO kontroli w kilku wybranych firmach.

Wyjaśniamy, jak w rzeczywistości wygląda taka kontrola w biurze pośrednictwa, co sprawdzą kontrolerzy, czy obejrzą biuro, na co zwrócą szczególną uwagę, czy będzie ich interesować sposób przechowywania dokumentów. Powiemy, jak się przygotować do kontroli, aby nie wykazano żadnych uchybień, i aby nie narazić się na dotkliwe konsekwencje wynikające z nieprzestrzegania przepisów i procedur.

Nie będziemy „na sucho” omawiać ustawy o GIODO z 29 sierpnia 1997 r. o ochronie danych osobowych, oraz ani Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia I z dnia 29 kwietnia 2004 r. Opowiemy, jak w rzeczywistości wygląda taka kontrola w biurze pośrednictwa, co sprawdzą kontrolerzy, czy obejrzą biuro, na co zwrócą szczególną uwagę, czy będzie ich interesować sposób przechowywania dokumentów. Powiemy, jak się przygotować do kontroli, aby nie wykazano żadnych uchybień, i aby Twoja firma nie była narażona na żadne konsekwencje.

Nie ucz się na swoich błędach. Nie wyważaj otwartych drzwi. To kosztowne i zajmuje wiele czasu. Skorzystaj z doświadczeń innych. W szkoleniu otrzymasz wiedzę wyniesiona z działań, które sprawdziły się w praktyce codziennego wykonywania pośrednictwa w obrocie nieruchomościami!

Tematy:

 

  1. Co to jest GIODO, i czym jest ochrona danych osobowych. Czy Pośrednik nieruchomości przetwarza dane osobowe? A notariusz, czy radca prawny? Lekarz?
  2. Kto i dlaczego może być skontrolowany. Czy biura pośrednictwa obrotu nieruchomościami są kontrolowane/ dlaczego.
  3. Co tak naprawdę podlega ochronie. Co to są dane osobowe, a czym są zbiory danych. Co podlega ochronie. A co to jest przetwarzanie danych osobowych?
  4. Jak spełniamy obowiązek ochrony danych osobowych. Co musimy okazać i wykazać podczas kontroli.
  5. Kto i kiedy może dokonać kontroli GIODO. Czy kontrola taka może nas „zaskoczyć”? A co, jeśli właściciela nie ma w tym czasie w firmie (gdy jest na urlopie, np. przebywa za granicą).
  6. Zgłaszać zatem zbiory danych, czy czekać na informację o kontroli. Może lepiej nie zgłoszę, bo wówczas jestem mniej narażony na kontrolę? Może dokonać zgłoszenia PO uzyskaniu informacji o planowanej kontroli? Czy są jakieś konsekwencje NIE dokonania uprzedniego zgłoszenia zbioru danych do GIODO?
  7. Kto dokonuje kontroli. Czy mam prawo sprawdzenia, że osoba, która mnie kontroluje ma do tego umocowanie? Czy powinienem to zrobić, czy zaufać, że mam do czynienia z osobami odpowiednio umocowanymi? Dlaczego?
  8. Co będzie przedmiotem kontroli? Czy jest to jedna, czy więcej osób, o jakich uprawnieniach ?
  9. Jak wykazać, że dokonaliśmy zgłoszenia zbioru danych do GIODO?
  10. A jeśli nie mamy zgłoszenia – jak tego dokonać
  11. Formularze elektronicznego zgłoszenia zbioru danych zawierają sporo pytań. Na przykład: „podstawa prawna przetwarzania danych osobowych”, „sposób zbierania danych osobowych” Jak udzielac odpowiedzi na takie pytania? Jakie pytania są najtrudniejsze? Na jakie odpowiadamy opisowo, a jakie wymagają ściśle określonych odpowiedzi.
  12. Co to jest „polityka bezpieczeństwa”? Kto opracowuje i wdraża politykę bezpieczeństwa w przedsiębiorstwie?
  13. Jakie treści powinna zawierać polityka bezpieczeństwa? Jakie akty prawne stanowią o jej konstrukcji?
  14. Kim jest administrator danych osobowych? Czy jest to osoba fizyczna, czy firma? Czy administrator ma jakieś obowiązki?
  15. Czym jest „Instrukcja zarządzania systemem informatycznym” ? gdzie zawarte są podstawowe założenia jakie instrukcja powinna spełniać? Kto opracowuje ten dokument, a kto nadzoruje stosowanie się do założeń zawartych w instrukcji?
  16. A kto to jest administrator bezpieczeństwa informacji? Jakie powinien mieć zadania?
  17. Mamy opracowaną politykę bezpieczeństwa i instrukcję zarządzania. Czyli kto powinien znać treści zawarte w tych dokumentach. Czy inspektorzy GIODO sprawdzą znajomość i stosowanie się do tych dokumentów przez osoby zatrudnione w przedsiębiorstwie? Jak?
  18. Kto w firmie może mieć dostęp do danych osobowych. Jak sprawdzić, kto taki dostęp ma. A co w przypadku odejścia/zwolnienia pracownika z firmy?
  19. Czy system nadawania loginów i haseł do baz danych powinien być uporządkowany? W jaki sposób?
  20. Czy są wymogi co do konstrukcji haseł dostępu? Od czego to zależy? Co to jest „wysoki stopień bezpieczeństwa”? czy kontrolerzy mają narzędzia aby sprawdzić jakie hasła stosowane są przez przedsiębiorstwo?
  21. Co informatyk będący w składzie kontrolującej nas Komisji jeszcze sam może sprawdzić? Czy będzie oglądał komputery firmowe? Na co zwróci uwagę? Jak zatem my powinniśmy zadbać o to, aby system informatyczny był odpowiednio zabezpieczony przed dostępem osób trzecich do baz danych?
  22. Co to znaczy „ekrany wygaszane”. A jeśli przy kliencie musimy odejść od stanowiska (np. zrobić ksero dokumentów), co z ekranem komputera? Czy są jakieś zalecane zasady urządzania samego stanowiska do obsługi klienta?
  23. A co z samymi dokumentami „ w formie papierowej”? Jak długo możemy je w firmie przechowywać? Kiedy powinno się dokonać archiwizacji (zniszczenia) posiadanych dokumentów?
  24. A co z danymi osób, które nie są jeszcze klientami biura – a pozostawiają nam swój kontakt (mail, lub telefon) i zgłaszają zapotrzebowanie (chęć kupna/wynajmu). Po jakim czasie powinniśmy te dane usuwać z bazy?
  25. A co z danymi przesyłanymi przez portale – przecież tam są dane osobowe klientów. Czy możemy je przechowywać? gdzie i jak?
  26. Co to są środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej?
  27. Czy informatyk będący w składzie komisji może sprawdzić, czy nasza firma zabezpiecza przesył danych poprzez odpowiednie protokoły? Po czym poznamy, że nasza strona wyposażona jest w SSL?