Kontrole NIK w zakresie ochrony danych osobowych w jst i jednostkach organizacyjnych. Omówienie wyników kontroli i dalsze konsekwencje

Nieprawidłowości w ochronie danych osobowych w samorządach polskich zostały odsłonięte przez Najwyższą Izbę Kontroli. Analiza NIK wskazywała na szeroki spektrum nieprawidłowości w procesach przetwarzania danych osobowych. Kontrolerzy odkryli, m.in. że w skrzynkach e-mailowych dane osobowe, takie jak imiona, nazwiska, numery PESEL, numery telefonów, informacje medyczne, dane o korzystaniu ze świadczeń socjalnych, dane o zatrudnieniu i sytuacja rodzinna, były przetwarzane nieprawidłowo. Przewiduję się również ogromną skalę nieprawidłowości w całej sieci samorządowej, z uwagi na liczne jednostki publiczne, które codziennie korzystają z hostingu i domen komercyjnych bez odpowiednich zabezpieczeń.
Szacunkowa skala nieprawidłowości, dotykająca kilkunastu tysięcy publicznych instytucji oraz kilkudziesięciu tysięcy adresów mailowych, które nie powinny być wykorzystywane do celów służbowych. Dlatego też planowane są kolejne kontrole NIK, które obejmą wszystkie jednostki samorządowe w Polsce w całym kraju, a ich celem będzie eliminacji nieprawidłowości i zapewnienia pozytywnych zmian w usługach publicznych. Zapraszamy Państwa na szkolenie, na którym szczegółowo omówione zostaną wyniki kontroli NIK wraz ze wskazaniem nieprawidłowości i propozycjami ich rozwiązań. Szkolenie poprowadzą wieloletni eksperci FRDL wysoko oceniani przez Uczestników szkoleń online, stacjonarnych i zamkniętych.

• Zwiększenie świadomości uczestników poprzez poznanie i omówienie wyników kontroli NIK oraz identyfikacja popełnionych błędów w zakresie ochrony danych osobowych wraz z przedstawieniem prawidłowego postępowania.
• Omówienie konieczności zawierania umów powierzenia przetwarzania danych osobowych zgodnie z RODO dla adresów mailowych używanych w celach służbowych aby zapewnić odpowiedni poziom bezpieczeństwa.
• Zaprezentowanie i wyjaśnienie konsekwencji korzystania adresów mailowych utworzonych w domenach komercyjnych bez zawarcia umów wymaganych rozporządzeniem RODO.
• Zapoznanie się z wymaganymi procedurami i dobrymi praktykami oraz odpowiedzialnością personalną za funkcjonowanie służbowej poczty email.
• Przedstawienie i omówienie naruszeń dot. ochrony danych takich jak np. przetwarzanie danych osobowych w zakresie zdrowia, dane o korzystaniu ze świadczeń opieki społecznej, o sytuacji rodzinnej czy dane o zatrudnieniu, z podkreśleniem konsekwencji takich działań.
• Analiza wykazanych podczas kontroli nieprawidłowości w zakresie danych umieszczonych na stronach urzędu i w kontrolowanych jednostkach oraz na stronach BIP oraz zasad transmitowania i publikowania posiedzeń.
• Wskazanie jak właściwie dokumentować naruszenia ochrony danych oraz jakie środki zaradcze należy podjąć w przypadku incydentów.
• Poprawa bezpieczeństwa danych dzięki lepszej znajomości procedur i zasad.
• Minimalizacja ryzyka dzięki poznaniu dobrych praktyk i odpowiedzialności personalnej.
• Dostosowanie działań do wymogów prawa, w tym RODO.

I. Zakres prowadzonych kontroli NIK wraz z omówieniem nieprawidłowości i w skazaniem prawidłowych działań:
1. Zasady korzystania z poczty służbowej email:
a. Omówienie stwierdzonych niezgodności przez kontrolerów NIK.
b. Zasady korzystania z poczty email.
c. Wymagane procedury.
d. Umowy powierzenia z dostawcą usług hostingowych.
e. Odpowiedzialność personalna za funkcjonowanie poczty email w jednostce.
f. Dobre praktyki w tym zakresie.
g. Zadania IT oraz IOD w tym zakresie.
2. Biuletyn Informacji Publicznej:
a. Niezgodności stwierdzone przez NIK wraz z ich omówieniem.
b. Zasady funkcjonowania w zakresie wprowadzania, udostępniania oraz usuwania danych. 
c. Wymagane procedury.
d. Osoby funkcyjne i ich zakres obowiązków i odpowiedzialność.
e. Dobre praktyki.
3. Powierzenie danych osobowych:
a. Omówienie wyników kontroli prowadzonej przez NIK.
b. Kto, kiedy i w jakim zakresie odpowiada za umowy powierzenia?
c. Konsultacje z IOD.
d. Weryfikacja podmiotu przetwarzającego, ankieta czy jednak sprawdzenie siedzibie?
e. Na co warto zwrócić uwagę w zapisach umowy powierzenia uwzględniając art. 28 RODO.
4. Naruszenia ochrony danych:
a. Dokumentowanie.
b. Analiza naruszenia wg wskazówek UODO.
c. Zgłaszanie do UODO oraz informowanie osób.
d. Środki zaradcze.
e. Odpowiedzialność osób w związku z naruszeniem. Omówienie przykładów.
II. Podsumowanie szkolenia, pytania od uczestników, wymiana doświadczeń.
 

Szkolenie skierowane jest do wszystkich jednostek samorządu terytorialnego oraz jednostek organizacyjnych m.in.: do ośrodków kultury, bibliotek, powiatowych inspektorów nadzoru budowlanego, powiatowych stacji sanitarno-epidemiologicznych, domów pomocy społecznej, powiatowych centrów pomocy rodzinie, przychodni psychologiczno-pedagogicznych, centrów usług a w szczególności do:
• inspektorów ochrony danych i ich zastępcom,
• osób odpowiedzialnych za ochronę danych (kierownikom i dyrektorom jednostek),
• kierowników działów organizacyjnych i IT,
• członków zespołów ds. utrzymania systemu zarządzania bezpieczeństwem informacji,
• pełnomocników ds. SZBI.
 

Trener 1 - Inspektor ochrony danych w jednostkach budżetowych, audytor wiodący ISO 27001, nieetatowy współpracownik Instytutu studiów Podyplomowych Wyższej Szkoły Nauk Pedagogicznych w zakresie zajęć o tematyce ochrony danych osobowych w jednostkach publicznych, wieloletni prelegent na kursach i szkoleniach z zakresu ochrony danych osobowych.

Trener 2 - audytor wewnętrzny bezpieczeństwa informacji normy IOS27001, absolwent studiów podyplomowych na kierunku Inspektor Ochrony Danych. Aktywny członek stowarzyszenia inspektorów ochrony danych (SABI). Posiada doświadczenie w zakresie współpracy z administracją publiczną pełniąc funkcję inspektora ochrony danych oraz obsługując naruszenia ochrony danych. Prowadzi audyty ochrony danych osobowych, audyty bezpieczeństwa systemów informatycznych oraz szkolenia dla pracowników, których tematyka związana jest z danymi osobowymi, prywatnością a także bezpieczeństwem informacji.