Instytut Odpowiedzialnego Biznesu

więcej szkoleń organizatora

Kurs RODO kompleksowy kurs z nowych zasad przetwarzania danych osobowych (wykład i warsztaty, łącznie 4 dni)

Cena

2458,77 PLN (brutto)

Termin szkolenia

25 - 28 marzec 2019

Miejsce

Poznań, woj. wielkopolskie

Program szkolenia

DZIEŃ 1 - “RODO W PIGUŁCE”

ROZPOCZĘCIE SZKOLENIA - GODZ. 9:00

I. Wstęp i źródła prawa.
- Reforma ochrony danych osobowych – z czego wynika, jakie jest jej znaczenie?
- Jak czytać RODO?
- Ustawa o ochronie danych osobowych. z 10 maja 2018 r.
- Ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679.
- Zmiany sektorowe – gdzie odnaleźć sektorowe przepisy o ochronie danych osobowych?

II. Dział kadr a RODO.
- Zmiany w kodeksie pracy - w jaki sposób przygotować do nich firmę/instytucję?
- Rekrutacja zgodna z RODO.
- Kwestionariusze osobowe, akta osobowe, listy obecności, układy zbiorowe i regulaminy pracy - jak pozostać w zgodności z nowymi przepisami?
- Kiedy potrzebna jest zgoda pracownika na przetwarzanie jego danych osobowych?
- Wdrażanie monitoringu wizyjnego - obowiązki względem pracowników i osób zewnętrznych.
- Inne formy monitoringu.

PRZERWA KAWOWA 10:45 - 11:00 (zapewniona przez organizatora)

III. Podstawowe pojęcia i informacje.
- Kto i kiedy ma obowiązek stosować przepisy RODO.
- Najważniejsze definicje w RODO - jak je rozumieć?
- Czym są “dane osobowe”, “przetwarzanie” – case study.
- W jakich sytuacjach „przetwarzamy dane osobowe”?

IV. Obowiązki Administratora i Podmiotu przetwarzającego, współadministrowanie danymi osobowymi.
- Administrator danych, procesor i osoba upoważniona do przetwarzania danych – role w procesie przetwarzania danych osobowych, a zmiany z RODO.
- Obowiązki Administratora danych.
- Obowiązki Podmiotu przetwarzającego (procesora).
- Zmiany w umowach powierzenia danych osobowych.
- Współadministrowanie danymi osobowych – nowa instytucja RODO.

V. Kiedy przetwarzamy dane osobowe zgodnie z prawem?
- Rodzaje danych osobowych – dane “zwykłe” oraz “szczególne kategorie danych”, w tym biometryczne.
- Kiedy możemy przetwarzać dane osobowe “zwykłe”, a kiedy “szczególne kategorie danych”?
- Wymogi dotyczące przetwarzania danych osobowych dzieci.
- Kiedy jest wymagana zgoda na przetwarzanie danych osobowych?
- Warunki wyrażenia zgody na przetwarzanie danych osobowych wg RODO.

VI. Zasady przetwarzania danych osobowych.
- Legalność przetwarzania danych osobowych – praktyczne aspekty kryteriów prawnych.
- Celowość i minimalizm w przetwarzaniu danych osobowych wg RODO.
- Poprawność merytoryczna przetwarzanych danych.
- Zasada ograniczonego przechowywania (retencja danych) – omówienie najważniejszych przykładów, praktyczne rozwiązania.
- Integralność i poufność przetwarzania danych osobowych.
- Rozliczalność - nadrzędna zasada RODO, jej konsekwencje dla IT.
- Nowe zasady “privacy by design oraz “privacy by default” i ich praktyczne zastosowanie.

PRZERWA OBIADOWA 12:45 - 13:30 (we własnym zakresie)

VII. Prawa osób, których dane osobowe są przetwarzane.
- Prawo dostępu do danych oraz prawo uzyskania kopii danych osobowych.
- Prawo do sprostowania danych.
- Prawo do bycia zapomnianym.
- Prawo do ograniczenia przetwarzania.
- Prawo do przenoszenia danych osobowych.
- Prawo do sprzeciwu.
- Prawa osób profilowanych.
- Jak postępować z żądaniami osób, których dane dotyczą?

VIII. Obowiązek informacyjny (klauzule informacyjne dotyczące przetwarzania).
- Obowiązek informacyjny przy przetwarzaniu danych osobowych – ustawy krajowe oraz RODO.
- Wymogi formalne z praktycznym omówieniem.
- Obowiązek informacyjny przy uzyskaniu zgody na przetwarzanie danych osobowych.
- Obowiązek informacyjny przy wyznaczeniu IOD.
- Obowiązek informacyjny przy przekazaniu danych osobowych poza EOG.
- Praktyczny przykład klauzuli informacyjnej z omówieniem.
- Obowiązek informacyjny w przypadku zbierania danych nie od osoby, której te dane dotyczą.
- Chwila powstania obowiązków informacyjnych.

IX. Rejestr czynności przetwarzania oraz rejestr kategorii czynności przetwarzania.
- Obowiązkowe elementy rejestrów przetwarzania.
- Jak prowadzić rejestr czynności przetwarzania (rejestr administratora), wymagany przez RODO?
- Praktyczny przykład rejestru czynności przetwarzania na danych wraz z omówieniem.
- Kiedy i jak prowadzić rejestr kategorii czynności przetwarzania (rejestr procesora)?
- Praktyczna forma rejestrów, różnice pomiędzy nimi.

PRZERWA KAWOWA 14:45 - 15:00 (zapewniona przez organizatora)

X. Bezpieczeństwo przetwarzania danych osobowych – przykładowe aspekty praktyczne w kontekście RODO.
- Organizacyjne środki zabezpieczenia danych osobowych – ich wybór i dostosowanie zgodnie z RODO, w ujęciu praktycznym.
- Techniczne środki bezpieczeństwa, ze szczególnym uwzględnieniem wymaganego przez RODO zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, pseudonimizacji oraz szyfrowania.
- Analiza ryzyka przy przetwarzaniu danych osobowych – przykłady praktyczne.
- Ocena skutków dla ochrony danych osobowych – kiedy jest wymagana.
- Uprzednie konsultacje z organem nadzorczym.

XI. Naruszenia ochrony danych osobowych
- Identyfikacja naruszeń bezpieczeństwa danych osobowych.
- Co robić w przypadku naruszenia?
- Obowiązek zgłaszania incydentów z danymi, wynikający z RODO (zasada 72 godzin).
- Obowiązek powiadamiania osób, których dane osobowe podlegają naruszeniu.
- Rejestr naruszeń ochrony danych osobowych.

XII. Tworzenie dokumentacji przetwarzania i ochrony danych osobowych.
- Dotychczasowa dokumentacja - Polityka bezpieczeństwa i Instrukcja Zarządzania Systemem Informatycznym w perspektywie aktualnych wymogów RODO.
- Obowiązki dokumentacyjne w RODO - Polityka Ochrony Danych.
- Upoważnienie do przetwarzania danych osobowych w kontekście RODO.
- Budowanie procedur wewnętrznego systemu zapewniającego bezpieczeństwo danych osobowych w kontekście nowych wymogów RODO.

XIII. Inspektor Ochrony Danych (Data Protection Officer).
- Kiedy istnieje obowiązek powołania Inspektora Ochrony Danych?
- Inspektor Ochrony Danych - rola w firmie/instytucji.

XIV. Odpowiedzialność związana z przetwarzaniem danych osobowych.
- Kary finansowe do 4% rocznego obrotu / 20 000 000 EUR – czy to jedyna forma działania organu nadzorczego, czy należy się ich spodziewać?
- Odpowiedzialność odszkodowawcza.
- Jak postępować, aby zmniejszyć wymiar potencjalnej kary za naruszenie ochrony danych, w przypadku jego wystąpienia.
- Sankcje dla podmiotów publicznych.

XV. Podsumowanie.
- Jak podzielić prace wdrożeniowe?
- Na czym skupić się w pierwszej kolejności?
- Jak wdrożyć RODO w 6-ciu krokach, w oparciu o wiedzę ze szkolenia oraz materiały szkoleniowe?

XVI. Głos publiczności (30 min).
- Pytania uczestników.
- Dyskusja.

ZAKOŃCZENIE SZKOLENIA - GODZ. 17:00

------------------------------------------------------------

DZIEŃ 2 - KURS IOD

ROZPOCZĘCIE KURSU - GODZ. 9:00

I. Inspektor Ochrony Danych (IOD/DPO) - zagadnienia wstępne.
- Powołanie IOD - obowiązek czy uprawnienie?
- Kto może zostać IOD?
- Jakie zadania IOD wskazane zostały w RODO, a jakie zwykle wykonuje w praktyce? IOD w perspektywie wytycznych Grupy Roboczej art. 29 (Europejskiej Rady Ochrony Danych).
- Współpraca IOD z działem IT.
- Pełnienie roli punktu kontaktowego - tak dla osób, których dane dotyczą, jak i organu nadzorczego - w praktyce.
- Konsultacje w zakresie oceny skutków dla ochrony danych.
- Status IOD, jego kompetencje i zakres odpowiedzialności.
- Odpowiedzialność administratora i osób upoważnionych do przetwarzania danych w perspektywie powołania IOD.
- Formalne powołanie IOD wewnątrz organizacji.
- Forma zatrudnienia / współpracy z IOD.
- IOD w grupie kapitałowej.
- Zgłoszenie powołania IOD do organu nadzorczego - wypełnianie formularza oraz zgłoszenia poprzez platformę ePUAP.
- Ubezpieczenia dla IOD i administratora - czy warto z nich korzystać? Analiza umów ubezpieczeniowych - na jakie wyłączenia w szczególności należy zwrócić uwagę.
- Zlecanie funkcji IOD - jakie zapisy w umowie / powołaniu powinny się znaleźć?
- Przyjmowanie funkcji IOD - zalecane postanowienia umowne - okiem prawnika.

PRZERWA KAWOWA 10:45 - 11:00 (zapewniona przez organizatora)

II. Realizacja bieżących obowiązków IOD.

A. OBOWIĄZKI INFORMACYJNE.
Poprawne definiowanie podstaw przetwarzania danych osobowych - art. 6, art. 9 i art. 10 RODO w praktyce - case study.
Dodatkowe obowiązki informacyjne w przypadku współadministrowania danymi - wyzwania płynące z art. 26 RODO.
Obowiązki informacyjne - wdrażanie w praktyce. Zalecane formy oraz miejsca ich spełniania. Dobre praktyki.
Strona internetowa, BIP - ważne źródło wiedzy o tym, w jaki sposób przetwarzamy dane osobowe.
Konstruowanie obowiązków informacyjnych - warsztat.

B. KONTROLA PRZEPŁYWU DANYCH.
Powierzenie a udostępnienie danych osobowych - jak odróżnić te dwie formy przekazywania danych “na zewnątrz”.
Najczęstsze przypadki powierzania danych osobowych.
Na jakiej podstawie możemy udostępniać dane osobowe?
Udostępnienie danych - przykłady praktyczne.
Obowiązkowe i fakultatywne elementy umowy powierzenia.
Konstruowanie oraz weryfikacja umów powierzenia - warsztat.
Przepływ danych między współadministratorami.
Rejestry powierzeń i udostępnień.

C. POSTĘPOWANIA ZWIĄZANE Z REALIZACJĄ UPRAWNIEŃ OSÓB, KTÓRYCH DANE DOTYCZĄ.
Forma składania żądań przez osoby, których dane dotyczą.
Z jakimi żądaniami w praktyce spotykamy się najczęściej?
Jak przygotować firmę / instytucję do realizacji uprawnień osób, których dane dotyczą, w aspekcie organizacyjnym oraz informatycznym? Główne praktyczne problemy.
W jaki sposób realizować uprawnienia osób, których dane dotyczą? Jak poprawnie prowadzić korespondencję?
Analiza zasadności roszczeń - case study.

PRZERWA OBIADOWA 12:45 - 13:30 (we własnym zakresie)

II. Realizacja bieżących obowiązków IOD - ciąg dalszy.

D. POSTĘPOWANIE Z NARUSZENIAMI.
Procedura wewnętrznego zgłaszania naruszeń / incydentów. Forma komunikacji z osobami upoważnionymi do przetwarzania danych osobowych.
Prowadzenie wewnętrznego rejestru naruszeń - case study.
Zgłaszanie naruszeń do organu nadzorczego - kiedy jest obowiązkowe? Czy termin 72 godzin jest nieprzekraczalny?
Wypełnianie formularza zgłoszeniowego oraz zgłaszanie naruszeń poprzez e-PUAP - warsztat.
Obowiązek zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych. W jakich przypadkach i w jakiej formie informować o naruszeniach?

III. Bezpieczeństwo danych osobowych.
- Co o środkach ochrony danych mówi RODO?
- Analiza art. 32 RODO i praktyczne następstwa tak ogólnej regulacji.
- Rodzaje zagrożeń i sposoby przeciwdziałania im.
- Pseudonimizacja i szyfrowanie - kiedy jest niezbędne?
- Szczególnie zalecane organizacyjne środki bezpieczeństwa.
- Szczególnie zalecane fizyczne i techniczne środki bezpieczeństwa.
- Kodeksy postępowania i certyfikacja.

PRZERWA KAWOWA 14:45 - 15:00 (zapewniona przez organizatora)

IV. Wdrażanie RODO.
- Przygotowanie planu wdrożenia.
- Uwzględnianie ochrony danych w fazie projektowania (zasada “privacy by design” w praktyce).
- Wdrażanie domyślnej ochrony danych (zasada “privacy by default” w praktyce”).
- Polityka Ochrony Danych - w jakim zakresie jest obowiązkowa? Praktyczne rady, w jaki sposób konstruować wewnętrzną dokumentację oraz system przetwarzania danych osobowych w organizacji.
- Formułowanie wewnętrznych procedur w zakresie przetwarzania i bezpieczeństwa danych osobowych - warsztat; analiza wzorcowych procedur, udostępnionych przez organizatora.
- W jaki sposób skonstruować upoważnienia do przetwarzania danych osobowych?
- Przydatne pod kątem rozliczalności ewidencje i rejestry.

V. Wizerunek a RODO.
- Definicja “wizerunku”. W jakim zakresie wizerunek to dane osobowe?
- Rozpowszechnianie wizerunku w perspektywie art. 81 ustawy o prawie autorskim i prawach pokrewnych - case study w oparciu o orzecznictwo.
- Czy zgodę na rozpowszechnianie wizerunku można cofnąć w dowolnym momencie?
- Jak powinna wyglądać zgoda na utrwalenie i upowszechnianie wizerunku - case study, w oparciu o orzecznictwo.
- Uzasadniony interes administratora jako podstawa prawna przetwarzania wizerunku pracownika.
- Odpowiedzialność za niezgodne z prawem przetwarzanie wizerunku na gruncie RODO, prawa autorskiego oraz kodeksu cywilnego.

VI. Głos publiczności (30 min).
- Pytania uczestników.
- Dyskusja.

ZAKOŃCZENIE KURSU - GODZ. 17:00

-------------------------------------------------------
Dzień 3 - WARSZTAT Z ANALIZY RYZYKA I DPIA

ROZPOCZĘCIE WARSZTATU - GODZ. 9:00

I. Wykonywanie audytów systemów przetwarzania danych osobowych.
- Podstawowe pojęcia związane z przeprowadzaniem audytów.
- Główne problemy audytorów - jak przygotować się do tej roli?
- Zadanie audytów w procesie wdrażania i stosowania RODO.
- Czym różni się audyt przedwdrożeniowy od audytu walidacyjnego - jakie są ich cele i jakie zadania spoczywają na audytorze?
- Jak sporządzić plan audytu, z uwzględnieniem jego celu i docelowego zakresu? Warsztat.
- Pozyskiwanie materiału źródłowego do audytu. Forma jego dokumentacji w perspektywie dowodowości.
- Jakie środki bezpieczeństwa przy przetwarzaniu danych osobowych są najczęściej stosowane, a jakich wymaga organ nadzorczy? Case study w oparciu o analizę dotychczasowych decyzji i opinii organu nadzorczego.
- Jak badać fizyczne środki bezpieczeństwa, w tym w zakresie infrastruktury budynków i pomieszczeń?
- Jak badać techniczne środki bezpieczeństwa, w tym w zakresie infrastruktury informatycznej?
- Organizacyjne środki bezpieczeństwa - analiza jakie procedury są kluczowe oraz w jaki sposób badać świadomość obowiązków spoczywających na osobach upoważnionych.
- Badanie, czy organizacja jest przygotowana do realizacji uprawnień osób, których dotyczą przetwarzane dane osobowe.
- Jaki powinien być efekt audytu, aby był on użyteczny. W jaki sposób sporządzić raport z audytu systemu przetwarzania danych osobowych?
- Zalecenia pokontrolne - jakie treści powinny zawierać?.

PRZERWA KAWOWA 10:45 - 11:00 (zapewniona przez organizatora)


II. Analiza ryzyka.
- Podejście oparte na ryzyku (risk-based approach) jako fundament RODO.
- Identyfikacja aktywów i zasobów niezbędnych w procesie szacowania ryzyka.
- Parametry analizy ryzyka – skutek i prawdopodobieństwo wystąpienia – jak rozumieć, oceniać i jakie wartości należy im przypisać.
- Jak diagnozować zagrożenia naruszeń ochrony danych osobowych, wynikające z używania konkretnych zasobów?
- Na jakie podatności należy zwrócić uwagę, przy diagnozowaniu konkretnych ryzyk?
- Sposoby oceny ryzyka związanego z wystąpieniem konkretnych zagrożeń.
- Przeprowadzanie szczegółowej analizy na matrycach zaproponowanych przez organizatora - zajęcia warsztatowe.

PRZERWA OBIADOWA 12:45 - 13:30 (we własnym zakresie)

II. Analiza ryzyka - ciąg dalszy.
- Kontynuacja warsztatu z użyciem elektronicznych matryc ryzyk, na konkretnym przykładzie podmiotu przetwarzającego dane osobowe.
- Jak postępować ze zdiagnozowanym ryzykiem.
- Jak sporządzać plany działań, zmierzające do minimalizacji ryzyka - obniżanie ryzyka, transfer ryzyka.

PRZERWA KAWOWA 14:45 - 15:00 (zapewniona przez organizatora)

III. Ocena skutków dla ochrony danych (Data Protection Impact Assessment, OSOD/DPIA).
- Jaki jest cel DPIA?
- Jak ocenić, czy przeprowadzenie DPIA jest wymagane?
- Niezbędne elementy procesu DPIA - art. 35 RODO.
- Formułowanie informacji dotyczących planowanych działań, mogących spowodować skutek dla ochrony danych osobowych.
- Definiowanie interesu administratora, celów oraz podstaw prawnych przetwarzania, mogącego spowodować skutek dla ochrony danych osobowych.
- Jak oceniać niezbędność i proporcjonalność planowanych operacji przetwarzania danych osobowych, względem praw osób, których te dane dotyczą?
- Jak diagnozować zakres danych osobowych, przetwarzanych w ramach planowanych operacji przetwarzania?
- Ocena zdolności do realizacji uprawnień osób, których dotyczą dane przetwarzane w ramach planowanych operacji przetwarzania.
- Jak wybrać i opisać środki bezpieczeństwa, wdrażane w celu ograniczenia ryzyka naruszenia praw i wolności osób, których dane dotyczą?
- Jaka zależność zachodzi pomiędzy przeprowadzeniem DPIA a analizą ryzyka?
- Przygotowywanie DPIA - warsztat. Formuła case studies na wzorcu DPIA.
- Rola Inspektora Ochrony Danych w DPIA.
- Uprzednie konsultacje z organem nadzorczym:
zakres informacji, która należy przedłożyć organowi nadzorczemu,
uprawnienia organu nadzorczego.

IV. Głos publiczności (30 min).
- Pytania uczestników.
- Dyskusja.

ZAKOŃCZENIE WARSZTATU - GODZ. 17:00

---------------------------------------------------------
Dzień 4 - WARSZTAT Z REJESTRU CZYNNOŚCI

ROZPOCZĘCIE WARSZTATU - GODZ. 9:00

I. Zasada ograniczonego przechowywania i retencja danych.
- Minimalizacja czasu przechowywania i zakresu danych osobowych jako podstawa RODO.
- Po jakim czasie należy usuwać dane osobowe?
- Terminy przetwarzania danych osobowych, wynikające z obowiązujących przepisów prawa. Case study - tworzymy wykaz okresów retencji danych.
- W jaki sposób należy określać terminy przetwarzania danych osobowych w przypadku, gdy wprost nie określają tego przepisy prawa? Case study - tworzymy wykaz okresów retencji danych.
- Instrukcja kancelaryjna i jednolity rzeczowy wykaz akt.
- Relacja pomiędzy zasadą retencji a obowiązkiem informacyjnym RODO.
- Zasadą retencji a wykonywanie kopii bezpieczeństwa przetwarzanych danych osobowych - uwagi praktyczne.
- Jak i gdzie należy zamieścić informacje o planowanych terminach usunięcia danych osobowych?
- Praktyczne rozwiązania związane z wdrażaniem zasady ograniczonego przechowywania

PRZERWA KAWOWA 10:45 - 11:00 (zapewniona przez organizatora)
II. Rejestr czynności przetwarzania (rejestr administratora) i kategorii czynności przetwarzania (rejestr podmiotu przetwarzającego).
- Cele i praktyczne znaczenie rejestrów.
- Obowiązkowe i fakultatywne elementy rejestrów.
- Jakie dodatkowe elementy rejestru czynności warto stosować, w celu ułatwienia zarządzania systemem przetwarzania danych osobowych?
- Jak ocenić, czy sporządzenie rejestru czynności i rejestru kategorii przetwarzań jest wymagane? Wyłączenia wskazane w RODO.
- Jak wyróżniać i identyfikować „czynności” i „kategorie czynności” przetwarzania, podlegające uwzględnieniu w rejestrach.
- Jak formułować cele przetwarzania danych i jaka jest ich relacja względem zdefiniowanych czynności?
- Opis kategorii danych osobowych oraz kategorii osób, których dotyczą przetwarzane dane.
- Jak uwzględniać odbiorców danych oraz diagnozować, czy dane osobowe są przekazywane poza EOG?
- Jak oceniać zasadność stosowania dodatkowych zabezpieczeń, w przypadku przekazywania danych osobowych do krajów spoza EOG.
- Formułowanie opisu technicznych i organizacyjnych środków bezpieczeństwa, stosowanych przy przetwarzaniu danych osobowych.
- Monitorowanie aktualności rejestru czynności na danych – jak praktycznie sobie z tym poradzić?

PRZERWA OBIADOWA 12:45 - 13:30 (we własnym zakresie)

III. Warsztat.
- Konstruowanie rejestrów na podstawie konkretnego stanu faktycznego, przy wykorzystaniu autorskich wzorów: rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzanie.

PRZERWA KAWOWA 14:45 - 15:00 (zapewniona przez organizatora)

IV. Problematyka transferu danych do państw trzecich.
- Czy rzeczywiście nie przekazujemy danych do państw trzecich? Oprogramowanie, narzędzia, usługi, na które musimy w szczególności zwrócić uwagę.
- Kiedy legalnie można przekazywać dane do państwa trzeciego?
- Jak sprawdzić, czy państwo do którego organizacja transferuje dane osobowe znajduje się na liście “krajów bezpiecznych”.
- Transfer danych do Stanów Zjednoczonych - analiza problematyki oraz omówienie jak krok po kroku sprawdzić czy podmiot do którego transferujemy dane osobowe jest “bezpieczny”.
- Dodatkowe środki zabezpieczeń, stosowane w przypadku przekazywania danych osobowych do krajów spoza listy “krajów bezpiecznych”.
- Konsekwencje transferu danych poza EOG w zakresie dokumentacji i obowiązku informacyjnego.

V. Urząd Ochrony Danych Osobowych (UODO).
- Status Prezesa Urzędu Ochrony Danych Osobowych.
- Zadania i kompetencje organu nadzorczego.
- Postępowanie kontrolne i procedury z nim związane.
- Jak wyglądają kontrole w praktyce?
- Jak przygotować się na kontrolę?
- Zakres odpowiedzialności i administracyjne kary pieniężne.

VI. Głos publiczności (30 min).
- Pytania uczestników.
- Dyskusja.

ZAKOŃCZENIE WARSZTATU - GODZ. 17:00

Trener

Anna Mrozowska
Prawnik i praktyk. Członek Grupy Roboczej ds. Ochrony Danych Osobowych przy Ministerstwie Cyfryzacji.

Wykonawca kilkuset polityk ochrony danych osobowych. Certyfikowany audytor wewnętrzny ISO 27001 i 9001. Ekspert ds. postępowania oceniającego (EPO) Polskiej Komisji Akredytacyjnej, ekspert Programu Operacyjnego Wiedza Edukacja Rozwój (PO WER), ekspert Programu Operacyjnego Inteligentny Rozwój (PO IR) przy Narodowym Centrum Badań i Rozwoju oraz ekspert ds. przetwarzania i ochrony danych osobowych w Instytucie Rozwoju Szkolnictwa Wyższego. Członek Komitetu Monitorującego Wielkopolski Regionalny Program Operacyjny 2014+, członek Komisji ds. Strategicznych Szkolnictwa Wyższego 2016-2020 Konferencji Rektorów Akademickich Szkół Polskich. Wykonawca kilkuset polityk ochrony danych osobowych. Certyfikowany audytor wewnętrzny ISO 27001 i 9001. Wykonawca merytoryczny narzędzia NiezbędnikRODO pl. Prowadzi audyty i wdrożenia od 2014 roku, a szkolenia od 2010 roku.

Profil uczestników
Kurs dla Inspektorów Ochrony Danych, a także dla osób wyznaczonych na to stanowisko. Dla kierownictwa administratorów danych, samodzielnie wdrażających RODO w organizacji lub dla osób nadzorujących ten proces. Dla wszystkich, którzy poszukują zaawansowanych umiejętności wdrażania i stosowania RODO.

Forma szkolenia
Maksymalnie praktyczny, czterodniowy kurs w formie wykładowo-ćwiczeniowej. Praca na komputerach oraz na autorskich wzorach: analizy ryzyka i matrycy ryzyk, DPIA, oraz rejestru czynności przetwarzania.

Czas trwania
32 godzin (4 dni)

W cenę wliczono
Praktyczna wiedza i umiejętności:
W oparciu o przeprowadzone wykłady i ćwiczenia, dowiesz się i nauczysz, jak wdrażać RODO oraz praktycznie realizować bieżące obowiązki Inspektora Ochrony Danych. Pamiętaj, że jeżeli w Twojej organizacji nie ma IOD, jego zadania spoczną na administratorze danych.

Wzorcowa dokumentacja:
Otrzymasz pakiet wzorcowej dokumentacji RODO, o wartości 379 zł: polityka ochrony danych, przykładowe obowiązki informacyjne, analiza ryzyka z przykładową matrycą ryzyk (ponad 20 zasobów), rejestr czynności przetwarzań (ponad 20), zbiór przykładowych procedur, związanych z przetwarzaniem danych (ponad 20), akty prawne i wytyczne, wzór umowy powierzenia danych osobowych, nadto wiele użytecznych dokumentów.

Materiały szkoleniowe:
W zakres materiałów szkoleniowych wchodzą: kolorowa broszura z przedstawioną na szkoleniu prezentacją, książeczka z RODO w kieszonkowym formacie, notatnik oraz długopis.

Certyfikaty RODO:
Po szkoleniu, otrzymasz imienny certyfikat uczestnictwa w szkoleniu z RODO. Opatrzony hologramem oraz podpisany przez trenera prowadzącego, pozwoli Ci pokazać światu swoje kwalifikacje!

Darmowe wsparcie prawne:
Możesz skorzystać z mailowych konsultacji (do 3 przez 30 dni) w zakresie omówionych zagadnień (wsparcie nie obejmuje przygotowania dokumentacji). Otrzymasz także aktualne akty prawne i wytyczne PUODO oraz Grupy Roboczej art. 29.

Plan Optimum w niezbednikrodo pl:
Dostęp do narzędzia zarządzania systemem ochrony danych osobowych online przez 3 miesiące. Umożliwia ono m. in. generowanie powierzeń, prowadzenie elektronicznego rejestru czynności, czy przyjmowanie zgłoszeń naruszeń ochrony danych online. Stworzone z myślą o maksymalnym ułatwieniu wdrożenia RODO.

Zdobyta wiedza
Szukasz profesjonalnego kursu dla Inspektora Ochrony Danych? Zapraszamy na 32 godziny zaawansowanych wykładów i praktycznych ćwiczeń z realizacji wdrożeń RODO oraz bieżącego wykonywania obowiązków IOD. Pamiętaj, że w przypadku braku IOD, jego obowiązki spoczywają na kierownictwie administratora danych.

W jaki sposób wdrażać RODO w warstwie dokumentowej:
- jak definiować podstawy przetwarzania danych,
- jak formułować treści obowiązku informacyjnego RODO,
- jak sporządzać umowy powierzenia, w oparciu o szablon SzkolenieRODO pl, a także jak odróżnić powierzenie przetwarzania danych od ich udostępnienia innemu administratorowi,
- jak sporządzić politykę ochrony danych osobowych, w oparciu o szablony SzkolenieRODO pl,
- jak sformułować procedury związane z przetwarzaniem danych osobowych, w oparciu o szablony Szkolenie RODO pl.

W jaki sposób realizować bieżące obowiązki IOD:
- kto może pełnić funkcję IOD,
- jakie uprawnienia i obowiązki dotyczą IOD,
- na co w szczególności zwrócić uwagę, pełniąc funkcję IOD,
- w jaki sposób reagować na żądania podmiotów danych,
- jak postępować z naruszeniami ochrony danych,
- jak zgłaszać naruszenia do PUODO,
- jak powiadamiać o naruszeniu podmioty danych.
Wiele z wymienionych zagadnień omawiamy w oparciu o udostępnione Tobie szablony dokumentacji SzkolenieRODO pl, a także w formule ćwiczeń, pozwalających na praktyczne zastosowanie omawianej tematyki.

Poznasz specjalistyczne zagadnienia dodatkowe:
- na jakich zasadach przetwarzać wizerunek, traktowany jako dane osobowe,
- NOWOŚĆ - jak dostosować organizację do zmian wynikających z Ustawy wprowadzającej RODO.

Poznasz praktyczne aspekty wykonywania audytów systemów przetwarzania danych osobowych:
- czym różni się audyt przedwdrożeniowy od audytu walidacyjnego - jakie są ich cele i jakie zadania audytora,
- jak sporządzić plan audytu, z uwzględnieniem jego celu i docelowego zakresu,
- jak pozyskiwać materiał źródłowy do audytu i w jakiej formie go dokumentować,
- jakie środki bezpieczeństwa przy przetwarzaniu danych osobowych są najczęściej stosowane,
- jak badać fizyczne środki bezpieczeństwa, w tym w zakresie infrastruktury budynków i pomieszczeń,
- jak badać techniczne środki bezpieczeństwa, w tym w zakresie infrastruktury informatycznej,
- jak badać organizacyjne środki bezpieczeństwa,
- jak badać zdolność organizacji do realizacji uprawnień osób, których dotyczą przetwarzane dane osobowe,
- jaki powinien być efekt audytu, aby był on użyteczny - w jaki sposób sporządzić raport z audytu systemu przetwarzania danych osobowych, a nadto jak formułować zalecenia pokontrolne.

Nabędziesz umiejętności wykonywania obowiązkowej analizy ryzyka:
- jak ewidencjonować zasoby używane przy przetwarzaniu danych osobowych,
- jak diagnozować zagrożenia naruszeń ochrony danych osobowych, wynikające z używania konkretnych zasobów,
-na jakie podatności należy zwrócić uwagę, przy diagnozowaniu konkretnych ryzyk,
- jak oceniać prawdopodobieństwo i skutek wystąpienia konkretnych zagrożeń,
- jak oceniać ryzyko związane z wystąpieniem konkretnych zagrożeń,
- jak postępować ze zdiagnozowanym ryzykiem.
Wymienione zagadnienia realizujemy w formule case studies, z użyciem elektronicznych matryc ryzyk, na konkretnym przykładzie podmiotu przetwarzającego dane osobowe.

Nauczysz się oceniać zasadność, a także przeprowadzać ocenę skutków ochrony danych osobowych (DPIA/OSOD):
- jak ocenić, czy przeprowadzenie DPIA jest wymagane,
- jak formułować informacje dotyczące planowanych działań, mogących spowodować skutek dla ochrony danych osobowych oraz ich opis,
- jak formułować interes administratora, cele oraz podstawę prawną przetwarzania, mogącego spowodować skutek dla ochrony danych osobowych,
- jak diagnozować zakres danych osobowych, przetwarzanych w ramach planowanych operacji przetwarzania,
- jak oceniać niezbędność i proporcjonalność planowanych operacji przetwarzania danych osobowych, względem praw osób, których te dane dotyczą,
- jak oceniać zdolność do realizacji uprawnień osób, których dotyczą dane przetwarzane w ramach planowanych operacji przetwarzania,
- jak wybrać i opisać środki bezpieczeństwa, wdrażane w celu ograniczenia ryzyka naruszenia praw i wolności osób, których dane dotyczą,
- jaka zależność zachodzi pomiędzy przeprowadzeniem DPIA a analizą ryzyka.
Wymienione zagadnienia realizujemy w formule case studies, z użyciem szablonu DPIA, na konkretnym przykładzie planowanych operacji przetwarzania danych osobowych.

Dowiesz się, jak postępować w przypadku transferu danych osobowych do państw trzecich:
- jak krok po kroku sprawdzić, czy państwo do którego organizacja transferuje dane osobowe znajduje się na liście “krajów bezpiecznych”,
- poznasz rodzaje dodatkowych środków zabezpieczeń, stosowanych w przypadku przekazywania danych osobowych do krajów spoza listy “krajów bezpiecznych”.

Nauczysz się oceniać zasadność, a także sporządzać rejestr czynności przetwarzania danych osobowych oraz rejestr kategorii przetwarzań:
- jak ocenić, czy sporządzenie rejestru czynności i rejestru kategorii przetwarzań jest wymagane,
- jak definiować i rozróżniać czynności przetwarzania, podlegające uwzględnieniu w rejestrze czynności,
- jak formułować cele przetwarzania danych i jaka jest ich relacja względem zdefiniowanych czynności,
- jak opisywać kategorie danych osobowych oraz kategorie osób, których dotyczą przetwarzane dane,
- jak uwzględniać odbiorców danych oraz diagnozować, czy dane osobowe są przekazywane poza EOG,
- jak oceniać zasadność stosowania dodatkowych zabezpieczeń, w przypadku przekazywania danych osobowych do krajów spoza EOG,
- jak formułować opis technicznych i organizacyjnych środków bezpieczeństwa, stosowanych przy przetwarzaniu danych osobowych,
- jakie dodatkowe elementy rejestru czynności warto stosować, w celu ułatwienia zarządzania systemem przetwarzania danych osobowych.

Dowiesz się jak stosować zasadę ograniczonego przechowywania danych osobowych (retencji):
- po jakim czasie należy usuwać dane osobowe,
- poznasz terminy przetwarzania danych osobowych, wynikające z obowiązujących przepisów prawa,
- dowiesz się jak określać terminy przetwarzania danych osobowych w przypadku, gdy nie określają tego przepisy prawa,
- poznasz relację pomiędzy zasadą retencji a obowiązkiem informacyjnym RODO,
- poznasz relację pomiędzy zasadą retencji a wykonywaniem kopii bezpieczeństwa przetwarzanych danych osobowych,
- jak i gdzie należy zamieścić informacje o planowanych terminach usunięcia danych osobowych.

Certyfikaty
Imienny certyfikat uczestnictwa w szkoleniu z RODO