Szkolenia to podstawa.

szkolenia wyciek danych osobowych RODO IOD

Rozważania na szybko: Coraz częściej mają miejsce wycieki danych osobowych i nasuwa się pytanie – co jest ich najczęstszą przyczyną i jak możemy temu zapobiec? Jedna z odpowiedzi to pracownicy i współpracownicy są najsłabszymi ogniwami w ochronie danych osobowych. A szkolenia dla nich to podstawa.

Dlaczego człowiek jest najsłabszym ogniwem w procesie ochrony danych osobowych?

Brak odpowiedniego finansowania procesów związanych z bezpieczeństwem przetwarzanych danych osobowych jest najczęstszą, pośrednią przyczyną występowania naruszeń danych osobowych. Od oszczędności na szkoleniach (ich jakości, długości/programie, cykliczności, doświadczeniu prowadzącego), oprogramowaniu, sprzęcie poprzez zatrudnianie niewykwalifikowanych pracowników na stanowiskach, które mają bezpośredni wpływ na bezpieczeństwo danych osobowych (administratorzy systemów informatycznych, pracownicy działu IT). Organizacje, ograniczając swoje wydatki na bezpieczeństwo danych osobowych, ryzykują zwiększenie szansy powstania wycieków danych osobowych, poprzez błędy ludzkie lub słabo zabezpieczone systemy.

Oszczędności….

Organizacje szukając oszczędności często delegują lub łączą stanowisko odpowiedzialne za ochronę danych osobowych (np.: ABI) z innymi już istniejącymi stanowiskami (pracownicy kadr, kierownicy czy informatycy). W takiej sytuacji napotykamy na często powtarzający się problem, kiedy pracownik wykonujący swoje główne obowiązki (np.: informatyka) nie ma już czasu na zajmowanie się kwestiami związanymi z ochroną danych osobowych tj. śledzenie zmian w prawie, szkolenie nowych pracowników, przeprowadzenie audytów, aktualizowanie dokumentacji przetwarzania danych osobowych itp.

Kwestia oszczędności na szkoleniach to złożony temat. W zależności od „wielkości” firm podejście do szkoleń może być trochę inne. Szkolenie dla małych firm (mała liczba pracowników – kilka/kilkanaście osób) wiąże się z przeszkoleniem np.: wszystkich osób na raz – co powoduje „paraliż firmy” w czasie szkolenia, a rozbicie szkoleń na małe grupki może podnieść koszt takiej usługi. Aby obniżyć koszt szkolenia, firmy nie dobierają szkolenia pod kątem merytorycznym, ale „aby tylko jakieś było i najtaniej”, co oczywiście wpływa negatywnie na jakość takich szkoleń a co za tym idzie na wiedzę uczestników czyli osób które później będą w danej firmie będą przetwarzały dane osobowe.

Szkolenia w dużych firmach (duża ilość pracowników – powyżej kilkuset) mogą powodować czasowe obniżenie wydajności poszczególnych działów ze względu na brak osób, odpowiedzialnych za konkretne działania lub procesy. Dodatkowo dochodzi często konieczność ściągnięcia pracowników z różnych rejonów kraju czy nawet zagranicy co dodatkowo wydłuża czas potrzebny na odbycie szkolenia, a co za tym idzie podnosi koszty. Z tego powodu większe organizacje sięgają po szkolenia e-learnigowe, gdzie pracownik sam zapoznaje się z materiałami szkoleniowymi i później rozwiązuje test weryfikujący wiedzę. To rozwiązanie jest odpowiednie przy szkoleniu pracowników, którzy dopiero zaczynają pracę jednak nie jest ono w stanie w pełni zastąpić szkoleń warsztatowych i wykładowych, które prowadzi doświadczony wykładowca. Szkolenia dla kadry zarządzającej i pracowników którzy na co dzień przetwarzają dane osobowe powinny zostać przeprowadzone w formie wykładowej lub warsztatowej – gdzie pracownicy mogą na bieżąco się zadawać pytania i wyjaśniać wątpliwości.

Czemu szkolenia?

Szkolenia mają na celu przekazanie wiedzy dotyczącej ochrony danych osobowych oraz uświadomienie pracowników jaka w związku z tym spoczywa na nich odpowiedzialność. Informacje przekazywane w ramach szkoleń dotyczą przede wszystkich sposobów zapewnienia bezpieczeństwa przetwarzanych danych i uczą pracowników prawidłowych zachowań (np.: prawidłowego zabezpieczania maili z wysyłanymi danymi osobowymi, niszczenia dokumentów, archiwizowania dokumentów, odpowiedniej ochrony laptopów czy telefonów, sprawdzenie adresatów podczas wysyłki maili, sprawdzenie przed wyjściem z pracy czy komputer jest wyłączony i drzwi pozamykane).

Dlaczego szkolenie pracowników z zakresu ochrony danych osobowych jest takie ważne? Błąd pracownika może spowodować wyciek danych, co z kolei może skutkować kontrolą organu nadzorczego, grzywną (karą finansową w przyszłości), koniecznością zapłaty odszkodowań lub zadośćuczynień dla osób których dane zostały ujawnione, utratą zaufania klientów i kontrahentów. Im więcej danych osobowych jest wykorzystywanych w działalności firmy, tym wyższe jest ryzyko ludzkiego błędu, który może spowodować ujawnienie danych osobowych osobom nieupoważnionym. Dodatkowo warto podkreślić, że szkolenie jest to jedyny sposób przed zabezpieczeniem się na bardzo niebezpieczne ataki socjotechniczne poprzez wytworzenie świadomości potencjalnego zagrożenia u pracowników.

Decyzje z konsekwencjami.

Kluczowe znaczenie dla bezpieczeństwa danych osobowych ma świadomość osób decyzyjnych w firmie. To one decydują o budżecie firmy. Wprowadzenie rozwiązań z zakresu ochrony danych osobowych stanowić może istotny wydatek (szczególnie jeżeli firma przygotowuje się do spełnienia warunków z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE w skrócie RODO), dlatego tak ważne jest aby wydatki na ochronę danych osobowych (szkolenia, audyt, konieczność zmian w systemach informatycznych itp.) zostały uwzględnione już na etapie planowania budżetu firmy na przyszły rok.

Szkodliwe dla bezpieczeństwa danych w firmie, jest podejście polegające na bagatelizowaniu ryzyka wystąpienia naruszenia danych osobowych, w tym wycieku danych, bazujące na przeświadczeniu, że do tej pory naruszenie nie miało miejsca. Żadne działania nie cofną (mogą jedynie zminimalizować skutki) i nie naprawią wycieku już ujawnionych danych – a co za tym idzie nie uchronią przed konsekwencjami wycieku. Niezbędne dla minimalizowania ryzyka związanego z wyciekiem danych są działania prewencyjne.

Brak profesjonalizmu.

Niewykwalifikowani pracownicy działów informatycznych, niezależnie czy zatrudnieni w firmie czy działający na ramach usług outsourcingowych, mogą stanowić duże zagrożenie dla bezpieczeństwa danych osobowych. Błędy popełnione przy zabezpieczaniu baz z danymi osobowymi stanowią najgłośniejsze sprawy opisywane i nagłaśniane przez media, a wycieki takich danych często dotykają dziesiątek lub setek tysięcy osób. Wiąże się to najczęściej z umożliwieniem dostępu do bazy klientów poprzez stronę firmową. W zależności od tego jakie dane firma przetwarza, najbardziej groźne są informacje, które umożliwiają zaciągnięcie zobowiązań finansowych podszywając się pod osoby których dane były pomyłkowo udostępnione lub dane wrażliwe dotyczące stanu zdrowa, poglądów politycznych czy wyznania. Dużymi uchybieniami ze strony działów IT są również niedostateczne zabezpieczenia komputerów i systemów informatycznych przed szkodliwym oprogramowaniem czy atakami hackerów.

Pracownik odpowiedzialny za wyciek danych osobowych, niezależnie czy był to błąd, zaniedbanie lub działanie umyślne – może zostać pociągnięty do odpowiedzialności dyscyplinarnej wynikającej z przepisów kodeksu pracy i odpowiedzialności przewidzianej przez przepisy ustawy o ochronie danych osobowych.

Zapewnianie pracownikom szkoleń z ochrony danych osobowych jest koniecznym elementem budowania ich świadomości w zakresie bezpieczeństwa danych osobowych i niezbędnym krokiem do przeciwdziałania wyciekom danych osobowych.

 

Uwaga na fałszywe wiadomości o kontroli GIODO!

Uwaga na fałszywe wiadomości o kontroli GIODO!

Na stronie GIODO: http://www.giodo.gov.pl/pl/259/10050 została umieszczona informacja o podejrzanych fałszywych wiadomościach/mailach:

„Dzisiaj wiele kancelarii prawnych otrzymało informację o planowanej kontroli Generalnego Inspektora Ochrony Danych Osobowych. UWAGA – wiadomość nie pochodzi od GIODO! Maile nie zostały wysłane z serwera GIODO. Ostrzegamy przed otwieraniem podejrzanej korespondencji podszywającej się pod GIODO. Niebezpieczna wiadomość zawiera złośliwe oprogramowanie szyfrujące dane na komputerze i żądające opłaty za klucz pozwalający na ich odkodowanie (ransomware). Prosimy więc o zachowanie szczególnej ostrożności w sytuacji, kiedy otrzymacie Państwo taką podejrzaną wiadomość wysłaną z adresu przypominającego adres kancelarii GIODO – nadawcą wiadomości jest bowiem adres kanelaria@giodo.gov.pl. Jednocześnie zaleca się zwiększenie ostrożności w trakcie korzystania z poczty elektronicznej oraz otwierania przesłanych załączników np. z dokumentami MS Office, które mogą zawierać makra JavaScript lub PowerShell, za pomocą których złośliwe oprogramowanie może zostać pobrane.”

w dniu 26-06-2017:

Pragniemy poinformować, że nie tylko kancelarie prawne ale i inne firmy otrzymały takie maile. Chcemy przypomnieć o środkach bezpieczeństwa i o zachowaniu szczególnej ostrożności przy otwieraniu wszelakich załączników oraz przy uruchamiani linków zawartych w mailach z „podejrzanego pochodzenia” nie tylko w wiadomościach służbowych, ale i w prywatnej korespondencji też.

Niepotwierdzone źródła podają, że po uruchomieniu złośliwego oprogramowania z maila, dane na komputerze zostają zaszyfrowane. Sprawcy żądają za kod/hasło do odszyfrowania 200 $.

RODO w praktyce

Szkolenie RODO

Zapraszamy wszystkich chętnych do wzięcia udziału w szkoleniu na temat wdrożenia w organizacji ogólnego rozporządzenie o ochronie danych.

Miejsce szkolenia: Centrum Konferencyjne Warszawianka ul. Merliniego 2A Warszawa

Data: 20.06.2017; godz. 10:00-16:00

Koszt: 600 zł netto. Cena obejmuje: uczestnictwo w szkoleniu, materiały szkoleniowe, poczęstunek w przerwach (kawa, herbata, ciastka), obiad oraz  zaświadczenie o ukończeniu szkolenia.

Zgłoszenia można wysyłać na adres kontakt@auraco.pl

Adresaci:

  • kadra kierownicza, która jest odpowiedzialna za kreowanie polityki dotyczącej ochrony danych osobowych,
  • pracownicy odpowiedzialni za realizacją zadań związanych z przetwarzaniem danych osobowych (np. pracownicy działu kard, marketingu, sprzedaży, itd.),
  • administratorzy bezpieczeństwa informacji,
  • przyszli inspektorzy ochrony danych osobowych,
  • osoby zarządzające systemem ochrony danych osobowych

Cel:

Na szkoleniu zostaną zaprezentowane zmiany, jakie ma wprowadzić rozporządzenie UE tzw. ogólne rozporządzenie o ochronie danych w stosunku do obecnie obowiązującego prawa w tym zakresie w Polsce oraz ujednolicające ochronę danych osobowych w państwach członkowskich UE. Szkolenie ma za zadanie przedstawić praktyczne aspekty związane z realizacją obowiązków jakie będą ciążyły na administratorach danych (np.: konieczność zgłaszania incydentów do organu nadzorczego oraz informowanie osób poszkodowanych przed dane zdarzenie) jak i uprawnień oraz praw osób, których dane będą przetwarzane (np.: tzw. prawo do bycia zapomnianym). Poruszone zostaną zagadnienia zawiązane z ewentualnymi karami pieniężnymi nakładanymi na administratorów danych i formy egzekwowania nałożonych kar pieniężnych.

Wymagania wstępne dla uczestników:

Ze względu na temat warsztatu – szkolenie skierowane jest do osób/organizacji, które chcą się przygotować na nadchodzące zmiany. Szkolenie adresujemy nie tylko do osób posiadających podstawową wiedzę na temat danych osobowych, ale i tych bardziej zaawansowanych uczestników, w tym do osób pełniących funkcję Administratorów Bezpieczeństwa Informacji lub przymierzających się do jej pełnienia.

Korzyści:

Osoby uczestniczące w szkoleniu będą miały okazję do zapoznania się ze zmianami stanu prawnego i zakresu obowiązków, wynikających z rozporządzenia, które wejdzie w życie 25 maja 2018 r. Szkolenie dotyczy praktycznych elementów związanych ze stosowaniem nowych przepisów. Pozwoli to na skuteczne i sprawniejsze przygotowanie swojej organizacji do stosowania nowych wymogów prawnych.
Formuła spotkania czyli szkolenie powiązane z możliwością zadawania pytań  i dyskutowania na pewno pozwoli na sukcesywne przyswajanie wiedzy i wymianę doświadczeń z innymi uczestnikami szkolenia. Po zakończeniu warsztatów uczestnicy otrzymają komplet materiałów zawierających opracowania dydaktyczne tematu szkolenia jak i możliwość późniejszego uczestnictwa w indywidualnych konsultacjach.

Metodyka

Szkolenie jest oparte na prezentacji multimedialnej przedstawiającej zestawienie aktualnych i przyszłych regulacji prawnych w zakresie ochrony danych osobowych, uzupełnione o przykłady z praktyki, które będą stanowić podstawę dla prowadzącego, który będzie tematy szczegółowo omawiał, a także je rozwijał. Dodatkową częścią kursu będzie możliwość uczestnictwa w indywidualnych konsultacjach.

Plan szkolenia:

  1. Kto i kiedy stosuje RODO.
  2. Wdrożenie RODO – pierwsze kroki.
  3. Wyjaśnienie podstawowych pojęć z RODO:
    • Nowa definicja danych osobowych – szczególne kategorie danych;
    • Współadministratorzy;
    • Formy przetwarzania danych osobowych;
    • Inne definicje i ich znaczenie dla stosowania RODO w praktyce;
    • Braki definicyjne RODO.
  4. Przetwarzanie danych niewymagające identyfikacji.
  5. Zasady przetwarzania danych w RODO:
    • Zgodność z prawem, rzetelność i przejrzystość;
    • Celowość oraz dopuszczalność zmiany celu;
    • Adekwatność;
    • Czasowość.
  6. Zasada bezpieczeństwa:
    • pseudonimizacja i szyfrowanie danych osobowych;
    • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
    • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
    • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
  7. Administrator oraz współadministrator – obowiązki:
    • obowiązek prowadzenia audytów;
    • przeprowadzenie oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych;
    • analiza ryzyka przetwarzania danych osobowych;
    • zasada privacy by design oraz privacy by default.
  8. Podmiot przetwarzający – obowiązki.
  9. Podstawy przetwarzania danych osobowych:
    • zgoda na przetwarzanie danych – przygotowanie przykładowej klauzuli zgody;
    • pozostałe podstawy przetwarzania danych – w ramach jakich procesów stanowią podstawę przetwarzania;
    • porównanie podstaw prawnych wynikających z ustawy o ochronie danych osobowych a tych wynikających z RODO;
    • nowe wymogi dot. umów powierzenia przetwarzania danych.
  10. Omówienie skutecznego sposobu informowania o korzystanie z praw wynikających z RODO:
    • prawo do sprostowania danych;
    • prawo do bycia zapomnianym;
    • prawo do ograniczonego przetwarzania;
    • prawo do przenoszenia danych;
    • prawo do sprzeciwu.
  11. Nowy kształt obowiązku informacyjnego według RODO:
    • zbieranie danych od osoby, której dane dotyczą;
    • zbieranie danych nie bezpośrednio od osoby, której dane dotyczą.
  12. Obowiązek zgłaszania incydentów:
    • zgłaszanie incydentów PUODO;
    • zgłaszanie incydentów osobie, której dane dotyczą.
  13. Nowa dokumentacja:
    • Rejestr czynności przetwarzania danych;
    • Polityki bezpieczeństwa;
    • Upoważnienia do przetwarzania danych.
  14. Zasady certyfikacji oraz kodeksy postępowania.
  15. Wymagania w zakresie przetwarzania danych w systemach IT:
    • omówienie zabezpieczeń informatycznych zapewniających bezpieczeństwo danych przetwarzanych przy użyciu systemu IT;
    • wdrożenia niezbędnych środków organizacyjnych zabezpieczających dane osobowe przetwarzane w systemach informatycznych;
    • określenie okresu przetwarzania danych w systemach IT;
    • nowe funkcjonalności jakie powinien zapewnić system IT.
  16. Inspektor ochrony danych:
    • kto ma obowiązek wyznaczenia IOD;
    • jakie wymagania powinien spełniać IOD;
    • obowiązki IOD.
  17. Zasady przekazywania danych do państw trzecich.
  18. PUODO (dawniej GIODO):
    • właściwość, zadania i uprawnienia;
    • zasady prowadzenia kontroli;
    • współpraca z innymi organami nadzorczymi.
  19. Europejska rada ochrony danych.
  20. Środki ochrony prawnej:
    • kto może wnieść skargę do PUODO;
    • dochodzenie praw przed sądem;
    • prawo do odszkodowania.
  21. Odpowiedzialność:
    • administratora danych;
    • współadministratora;
    • podmiotu przetwarzającego;
    • osoby upoważnionej.
  22. Sankcje:
    • kryteria nakładania kar pieniężnych;
    • odwoływanie się nałożonych kar pieniężnych.
  23. Przepisy określające tryb postępowania przed PUODO – projekt uzupełniającej RODO polskiej ustawy o ochronie danych osobowych.
  24. Pytania i konsultacje.