Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta. Koszt szkolenia: 1790.

Transkrypt

1 Certyfikowany kurs Inspektora ochrony danych osobowych zgodnie z Rozporządzeniem UE z 27 kwietnia 2016 roku, w kontekście zmian obowiązujących od 2018 roku Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta Koszt szkolenia: zł Program Dzień pierwszy 1. Źródła prawa i obowiązujące pojęcia - omówienie uregulowań prawnych w zakresie ochrony danych osobowych i bezpieczeństwa informacji na terenie Polski i Unii Europejskiej oraz zmian planowanych w roku omówienie obowiązków administratorów danych osobowych w świetle najnowszych uregulowań prawnych oraz w aspekcie zmian planowanych w 2017 roku związanych z przetwarzaniem danych osobowych oraz bezpieczeństwem informacji - Dopuszczalność przetwarzania danych osobowych - podstawy prawne i analiza pojęć: - przepis prawny - zgoda - zakres i zasady jej formułowania - prawnie usprawiedliwiony cel - realizacja umowy - dobro publiczne 2. Zasady przetwarzania danych osobowych - zakres obowiązków i odpowiedzialności w zakresie powierzania i udostępniania danych osobowych: - powierzanie a udostępnianie - podobieństwa i różnice - zawieranie umów powierzania danych osobowych - udostępnianie i powierzanie przetwarzania danych osobowych za granicę - odpowiedzialność za naruszenie zasad ochrony danych osobowych i bezpieczeństwa informacji 3. Dostęp do informacji publicznej a względu na ochronę danych osobowych - relacje między ustawą o ochronie danych osobowych a ustawią o dostępie do informacji publicznej w świetle orzecznictwa sądowego oraz stanowiska GIODO - zasada lex specialis derogat legi generali - odmowa udzielenia do informacji publicznej - niemożność udzielenia informacji publicznej - informacja ustna a obowiązek jej udostępnienia

2 - bezczynność w zakresie dostępu do informacji publicznej - publikowanie oświadczenia majątkowego zadłużonego posła - publikowanie danych o reprezentantach skarbu państwa w Radach Nadzorczych - publikowanie w BIP uchwał zawierających dane osobowe 4. Rola administratora danych osobowych w strukturze ochrony danych osobowych - regulacje prawne i warunki uprawniające administratora danych do ich przetwarzania - rola starosty jako administratora danych gromadzonych w związku z wykonywaniem zadań publicznych - kto jest administratorem danych w spółce prawa handlowego: spółka, organy spółki, osoby zasiadające w organach spółki czy osoby pełniące funkcje kierownicze w spółce? - Czy administratorem danych może być podmiot inny niż osoba fizyczna? 5. Przetwarzanie danych osobowych w kadrach - prawa i obowiązki pracodawcy - komu można udostępnić akta osobowe pracowników? - czy pracodawca ma obowiązek udostępnienia pracownikowi jego akt osobowych? Jeśli tak, to z jakich regulacji prawnych wynika ten obowiązek? Czy pracownik może wykonywać kserokopie zgromadzonych w tych aktach dokumentów? - ochrona danych osobowych w przypadku prowadzenia szczegółowej listy obecności - przetwarzanie danych osobowych kandydata do pracy i upoważnienie do podpisania świadectwa pracy - stanowisko GIODO w sprawie przechowywania danych w aktach osobowych pracowników - zakres danych osobowych, jakich może żądać pracodawca od kandydata do pracy i pracownika 6. Administrator Bezpieczeństwa Informacji - charakterystyka pracy w świetle uregulowań prawnych obowiązujących w Polsce oraz w środowisku międzynarodowym - kategorie zagrożeń bezpieczeństwa danych i metody kradzieży danych 7. Kto może pełnić rolę ABI? - predyspozycje osobowościowe - niezbędne kwalifikacje zawodowe - usytuowanie ABI w strukturze jednostki organizacyjnej - omówienie najczęściej występujących problemów administratorów bezpieczeństwa informacji 8. Zasady powoływania i odwoływania ABI - Obowiązek zgłoszenia ABI do GIODO - dokumentacja i terminy

3 9. Uprawnienia i obowiązki ABI po nowelizacji ustawy - nowe obowiązki kontrolne w zakresie sprawdzania zgodności przetwarzania danych z przepisami ustawy - zakres merytoryczny i terminy sprawdzenia według wytycznych GIODO, sprawozdania z kontroli - prowadzenie rejestrów zbiorów danych przetwarzanych w danej jednostce organizacyjnej - zmiany w zakresie i obowiązku rejestracji zbiorów w GIODO - obowiązek zapewnienia w jednostce organizacyjnej przestrzegania przepisów o ochronie danych osobowych w myśl art. 36a ust. 2 pkt 1 ustawy o odo - sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych - nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 ustawy oraz przestrzegania zasad określonych w tej ustawie - zarządzanie ryzykiem w zakresie przetwarzania danych osobowych - zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych 10. Rejestr przetwarzania danych osobowych - rola i zadania ABI w tym zakresie - kto jest zobowiązany do prowadzenia rejestru - zakres danych zamieszczanych w rejestrze - dopuszczalne formy prowadzenia rejestru - zasady udostępniania rejestru; podobieństwa i różnice z dotychczasowym jawnym rejestrem zbiorów danych osobowych prowadzonym przez ABI 11. Rejestrowanie zbiorów danych u GIODO - podstawa prawna obowiązku rejestracyjnego - zbiory danych osobowych zwolnione z obowiązku rejestracji - rejestracja zbiorów danych w praktyce - wypełnianie zgłoszenia rejestracyjnego do GIODO - warsztaty 12. Procedury zabezpieczenia danych osobowych - zakres obowiązku zabezpieczenia danych osobowych - poziomy bezpieczeństwa danych osobowych - środki bezpieczeństwa danych osobowych 13. Odpowiedzialność za naruszenie ustawy o ochronie danych osobowych - odpowiedzialność administracyjna - odpowiedzialność cywilna - odpowiedzialność karna

4 14. Kompetencje kontrolne Generalnego Inspektora Ochrony Danych Osobowych 15. Podsumowanie pierwszego dnia szkolenia, dyskusja, konsultacje z trenerem Dzień drugi Dokumentacja z zakresu ochrony danych osobowych w jednostkach organizacyjnych - warsztaty tworzenia i wdrażania polityki bezpieczeństwa informacji oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Polityka Bezpieczeństwa Informacji (PBI) - samodzielne tworzenie i techniki wdrażania dokumentu w jednostce organizacyjnej krok po kroku 1. Czym jest polityka bezpieczeństwa i jaki jest cel jej tworzenia w jednostce organizacyjnej informacje i narzędzia niezbędne do stworzenia dokumentu dla potrzeb danej jednostki organizacyjnej 2. Regulacje prawne i ich praktyczne zastosowanie w tworzeniu dokumentacji polityki bezpieczeństwa informacji - Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. z 2016 roku, poz. 922 z późn. zm.) - wytyczne GIODO określające sposób przygotowania dokumentacji opisującej politykę bezpieczeństwa w zakresie odnoszącym się do sposobu przetwarzania danych osobowych oraz środków ich ochrony określonych w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 roku, Nr 100, poz z późn. zm.) - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - Rozporządzenie ogólne (RODO) 3. Zakres podmiotowy polityki bezpieczeństwa informacji w świetle aktualnych regulacji prawnych z uwzględnieniem wytycznych i obowiązującego terminu zastosowania rozporządzenia ogólnego (RODO) o ochronie danych osobowych 4. Zakres przedmiotowy polityki bezpieczeństwa - omówienie konstrukcji i niezbędnych treści, które powinien zawierać dokument określający politykę bezpieczeństwa informacji w jednostce organizacyjnej 5. Dokumentacja polityki bezpieczeństwa informacji w jednostce organizacyjnej (załączniki do PBI) - warsztat samodzielnego tworzenia poszczególnych dokumentów, zgodnie z obowiązującymi wytycznymi oraz trening umiejętności ich praktycznego zastosowania w jednostce organizacyjnej - obszar przetwarzania danych osobowych - konstrukcja i zawartość merytoryczna dokumentu - rejestr zbiorów danych osobowych przetwarzanych w jednostce organizacyjnej, zgodnie z wytycznymi Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z 2015 roku, poz. 719 z późn. zm.) - wykaz oraz struktura zbiorów danych osobowych wskazujące zawartość poszczególnych pól informacyjnych i powiązania między nimi wraz z programami zastosowanymi do ich przetwarzania - upoważnienie do przetwarzania danych osobowych - zakres merytoryczny i termin obowiązywania

5 dokumentu, obowiązki osoby upoważnionej - oświadczenie o zachowaniu poufności w świetle ustawy o ochronie danych osobowych - zakres merytoryczny i przesłanki tworzenia oświadczenia - upoważnienie dla ABI - wykaz osób upoważnionych do przetwarzania danych osobowych - wykaz udostępnień danych osobowych innym podmiotom - wykaz podmiotów, którym powierzono przetwarzanie danych osobowych - wykaz udostępnień danych osobowych osobom, których dane dotyczą - protokół zagrożenia, uchybienia, dziennik uchybień - umowa powierzenia przetwarzania danych osobowych Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (IZSI) - samodzielne tworzenie i techniki wdrażania dokumentu w jednostce organizacyjnej 1. Cel i podstawy tworzenia IZSI w jednostce organizacyjnej 2. Regulacje prawne w zakresie tworzenia instrukcji oraz ich praktyczne zastosowanie w jednostce organizacyjnej 3. Zakres podmiotowy i przedmiotowy dokumentu - wskazanie systemów informatycznych w których przetwarzane będą dane osobowe, ich lokalizacji, metod dostępu do systemu - procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności - stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem - procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu - procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania oraz sposób i miejsce ich przechowywania - sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego - sposób obowiązku odnotowania informacji dla każdej osoby, której dane są przetwarzane w systemie - procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych 4. Wdrażanie IZSI w jednostce organizacyjnej krok po kroku, z uwzględnieniem przypadku funkcjonowania więcej, niż jednego systemu informatycznego służącego do przetwarzania danych osobowych 5. Podsumowanie drugiego dnia szkolenia, dyskusja, konsultacje z trenerem Dzień trzeci Analiza zagrożeń i ryzyka przy przetwarzaniu danych osobowych w jednostce organizacyjnej, sprawozdanie ze sprawdzenia jako obowiązek ABI, zgodnie z Rozporządzeniem MAiC z dnia 11 maja 2015 roku, audyt bezpieczeństwa informacji - warsztat umiejętności przeprowadzania analizy, sprawdzenia i audytu oraz tworzenia dokumentacji w tym zakresie Analiza zagrożeń i ryzyka jako główny element procesu zarządzania ryzykiem bezpieczeństwa informacji

6 1. Cel i wymogi dotyczące terminów przeprowadzania analizy i oceny ryzyka bezpieczeństwa danych osobowych w jednostce organizacyjnej 2. Wymogi ogólne bezpieczeństwa danych osobowych, omówienie pojęć 3. Obszary ryzyka bezpieczeństwa danych osobowych 4. Zasoby i zagrożenia systemu przetwarzania danych osobowych w jednostce organizacyjnej 5. Co oznacza i z czego wynika podatność systemu przetwarzania danych osobowych na zagrożenia 6. Stopień ważności informacji jako element determinujący wysokość strat w systemie informatycznym po zaistnieniu incydentu 7. Rodzaje zagrożeń dla systemu przetwarzania danych osobowych w jednostce organizacyjnej 8. Wymagania techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzanych lub przechowywanych informacji zawierających dane osobowe 9. Identyfikacja i szacowanie zidentyfikowanych ryzyk w praktyce - warsztaty umiejętności identyfikacji i szacowania ryzyka oraz dokumentowania tego procesu 10. Formułowanie wniosków do analizy zagrożeń i ryzyka bezpieczeństwa informacji - warsztat umiejętności interpretacji uzyskanych danych 11. Analiza zagrożeń i ryzyka bezpieczeństwa danych osobowych - zawartość merytoryczna i konstrukcja dokumentu - warsztaty praktycznych umiejętności tworzenia dokumentu w oparciu o uzyskane dane 12. Sprawozdanie ze sprawdzenia - warsztat praktycznych umiejętności tworzenia sprawozdania ze sprawdzenia 13. Audyt bezpieczeństwa informacji - cel, istota i dokumentacja - warsztat praktycznych umiejętności tworzenia dokumentacji audytu 14. Podsumowanie trzeciego dnia szkolenia, dyskusja, konsultacje z trenerem Dzień czwarty Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - RODO/Rozporządzenie ogólne 1. Aspekty praktyczne wdrożenia RODO jako spójnego narzędzia do stosowania zasad ochrony danych osobowych we wszystkich państwach członkowskich Unii Europejskiej 2. Wpływ regulacji Rozporządzenia ogólnego na przepisy prawa w zakresie ochrony danych osobowych obowiązujące w Polsce 3. Zakres obowiązywania Rozporządzenia w praktyce - dopasowanie przepisów do rodzaju i wielkości jednostki organizacyjnej/przedsiębiorstwa - analiza porównawcza dotychczasowych przepisów z regulacjami wynikającymi z Rozporządzenia ogólnego - dyskusja moderowana, analiza przypadków 4. Nowe sankcje za niezgodne z prawem przetwarzanie danych osobowych i ich dotkliwość dla administratorów danych osobowych 5. Nowe obowiązki GIODO w przypadku naruszenia przepisów o ochronie danych osobowych oraz trybu składania i rozpatrywania skarg 6. Data protection by design and by default - uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych bez konieczności podejmowania działań przez osoby, których dane dotyczą - analiza przypadków zastosowania zasady w praktyce ze szczególnym uwzględnieniem małych i średnich jednostek organizacyjnych, serwisów społecznościowych itp. 7. Zasada uwzględniania ochrony danych w fazie projektowania i zasada domyślnej ochrony danych w przetargach publicznych 8. Sankcje za naruszenie przez administratora danych osobowych lub procesora obowiązku uwzględniania ochrony danych osobowych w fazie projektowania i ustawiania mechanizmów ochrony domyślnej 9. Inspektor Ochrony Danych (IOD) w miejsce Administratora Bezpieczeństwa Informacji - zakres kompetencji, kogo i kiedy obejmuje obowiązek wyznaczania IOD - analiza przypadków 10. Obowiązek informacyjny i dostęp do IOD,

7 11. Uwarunkowania możliwości powołania jednego inspektora dla kilku jednostek organizacyjnych 12. Sankcje dla administratora danych za naruszenie obowiązku powołania IOD 13. Obowiązek dokonywania oceny skutków przetwarzania danych przez administratora przed rozpoczęciem ich przetwarzania 14. Nowe obowiązki i ograniczenia procesorów w zakresie przetwarzania danych osobowych - wymóg zgody administratora na dalsze powierzanie przetwarzania danych - obowiązek informowania administratora o wszelkich zamierzonych zmianach dotyczących dodatnia lub zastąpienia podmiotów przetwarzających dane - prawo sprzeciwu administratora wobec ww. zmian - obowiązek rejestrowania wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu administratora 15. Umowa powierzenia danych osobowych a inne instrumenty prawne - warsztat umiejętności konstruowania umowy powierzenia danych osobowych z uwzględnieniem wymogów wynikających z Rozporządzenia ogólnego oraz praktycznego zastosowania innych instrumentów prawnych w tym zakresie 16. Współadministratorzy i grupy przedsiębiorstw - zakresy praw, obowiązków i odpowiedzialności, warunki wyznaczania IDO 17. Raportowanie naruszenia bezpieczeństwa danych do GIODO zgodnie z art. 33 Rozporządzenia ogólnego - okoliczności i terminy składania raportów, dokumentacja naruszeń a obowiązek składania raportu 18. Obowiązek administratora informowania osoby, której dane dotyczą o wysokim ryzyku naruszenia bezpieczeństwa jej danych (art. 34 ust. 1 i 2 RODO) 19. Katalog danych szczególnych kategorii - nowa terminologia danych, rozszerzenie katalogu 20. Profilowanie danych osobowych - przesłanki, aspekty praktyczne zagadnienia, obowiązek informowania o profilowaniu 21. Rozszerzony obowiązek informacyjny wobec osób, których dane są przetwarzane 22. Przetwarzanie danych dzieci - granica wiekowa, zgoda dziecka, zgoda rodziców lub opiekunów dziecka - analiza przypadków 23. Podsumowanie czwartego dnia szkolenia, dyskusja, konsultacje Zamknięcie szkolenia, egzamin. Prowadzący