Akademia RODO - Rola i obowiązki Inspektora Ochrony Danych Osobowych (IOD) w organizacji

Transkrypt

1 Akademia RODO - Rola i obowiązki Inspektora Ochrony Danych Osobowych (IOD) w organizacji PRZEZNACZENIE SZKOLENIA Szkolenie skierowane do: inspektorów ochrony danych, prawników, pracowników innych działów, w których realizowane są procesy przetwarzania danych osobowych. KORZYŚCI WYNIKAJĄCE Z UKOŃCZENIA SZKOLENIA Dzięki szkoleniu uczestnik dowie się: jaka jest rola Inspektora Ochrony Danych w organizacji, czy IOD może pełnić tą samą funkcje w wielu firmach, co decyduje o powołaniu na stanowisko IOD i jaki jest jego zakres odpowiedzialności, z jakimi konfliktami interesów może spotkać się IOD. Dodatkowo zyska: dostęp do wiedzy eksperckiej na portalu słuchacza Altkom Akademii, dostęp do wiedzy eksperckiej w systemie LEX ODO w czasie trwania szkolenia (max. 27 dni) praktyczne ćwiczenia z wykorzystaniem systemu informacji prawnej, dostęp do oprogramowania LEX RODO Compliance do prowadzenia rejestrów ODO, zarządzania zgodnością praca na gotowych rejestrach RODO w czasie trwania warsztatów dla IOD, newsletter Ochrona Danych Osobowych WK, przygotowywany przez Wolters Kluwer Polska, certyfikat eksperta po zaliczeniu testu kompetencji. Metoda szkolenia: prelekcja oraz warsztat, pre-test i post-test. OCZEKIWANE PRZYGOTOWANIE SŁUCHACZY Podstawowa wiedza z zakresu ochrony danych osobowych. Jako uzupełnienie rekomendujemy szkolenia: Ochrona danych osobowych zgodnie z RODO - zagadnienia wprowadzające Plan wdrożenia RODO w organizacji Przygotowanie dokumentacji Umowy z podmiotami zewnętrznymi Szacowane ryzyka i ocena skutków dla ODO Zabezpieczenia techniczne (IT) w RODO 1 / 5

2 RODO w procesach HR PRZYGOTOWANIE DO SZKOLENIA Wirtualna Klasa Poznanie trenera i grupy Sprawdzanie wiedzy - testy i quizy Wprowadzenie w temat zajęć WYKŁADY I WARSZTATY Sala szkoleniowa Dzień 1 - program części teoretycznej Wyznaczenie IOD Obowiązek wyznaczenia IOD podstawa prawna oraz wytyczne Grupy Roboczej Art. 29 IOD u podmiotu lub organu publicznego IOD w przypadku głównej działalności polegającej na przetwarzaniu na dużą skalę, które ze względu na swój charakter, zakres i cele wymaga regularnego i systematycznego monitorowania osób, których dane dotyczą IOD w przypadku głównej działalności polegającej na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych dotyczących wyroków skazujących i naruszeń prawa Fakultatywne wyznaczenie IOD argumentacja przemawiająca za wyznaczeniem inspektora Udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia zgodnie z rekomendacją wytycznych Grupy Roboczej Art. 29 Udokumentowanie wyznaczenia IOD Jeden IOD w kilku organizacjach Jeden IOD w grupie przedsiębiorstw pojęcie grupy przedsiębiorstw, kryteria dopuszczalności wyznaczenia jednego IOD Jeden IOD dla kilku organów lub podmiotów publicznych kryteria wyznaczenia Rekomendacje co do podstawy prawnej wykonywania zadań przez IOD w wariancie jeden inspektor wyznaczany dla kilku podmiotów Kryteria kwalifikacyjne kandydata na IOD Jakie kwalifikacje zawodowe powinien mieć IOD i jak je wykazać Zakres wiedzy fachowej na temat prawa i praktyk Umiejętność wykonywania zadań wynikających z art. 39 RODO Podstawa prawna nawiązania stosunku z IOD IOD pracownik, czy usługodawca wskazanie na różnice co do charakteru podstawy prawnej nawiązania stosunku z IOD oraz omówienie zalet i mankamentów odpowiednio wykonywania czynności przez inspektora będącego członkiem personelu administratora (podmiotu przetwarzającego) oraz inspektora wykonującego czynności na podstawie umowy cywilnoprawnej Jak przekształcić wcześniejszego ABI w jednostce organizacyjnej w IOD Elementy umowy o pracę z IOD Elementy umowy cywilnoprawnej dotyczącej usługi IOD Status IOD w organizacji Usytuowanie organizacyjne IOD Gwarancje niezależności IOD Zapobieganie konfliktom interesów 2 / 5

3 6. Obowiązki administratora (podmiotu przetwarzającego) względem IOD Tajemnica IOD Informowanie o IOD wewnątrz organizacji i w relacjach zewnętrznych Zaangażowanie we wszystkie sprawy dotyczące ochrony danych osobowych Zespół IOD Odpowiedzialność IOD Wypełnianie zadań z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania Zasady odpowiedzialności IOD Odpowiedzialność IOD a odpowiedzialność administratora (podmiotu przetwarzającego), u którego IOD jest wyznaczony Dzień 1 - program części warsztatowej Kazus dotyczący obowiązku wyznaczenia IOD Uczestnicy otrzymują opis stanu faktycznego, ich zadaniem jest ustalenie, czy danym przypadku istnieje obowiązek wyznaczenia IOD. Uczestnicy mają przytoczyć argumentację przemawiającą odpowiednio za wyznaczeniem IOD albo ustaleniem, że jego wyznaczenie jest zbędne Wyłonienie odpowiedniego kandydata na IOD branży, w której administrator (podmiot przetwarzający) działa. Zadaniem uczestnika jest wskazanie listy kryteriów kwalifikacyjnych: zakresu umiejętności, wiedzy, znajomości prawa i praktyk, doświadczenia, jakim musi wykazać się IOD oraz wskazać, w jaki sposób kandydat na IOD może wykazać, że spełnia takie kryteria Umowa z IOD Uczestnicy otrzymują charakterystykę działalności administratora, jego struktury organizacyjnej, przedmiotu działalności, charakteru i sposobu przetwarzania danych, sektora lub branży, w której administrator działa. Zadaniem uczestnika jest zaproponowanie treści tej części umowy pomiędzy administratorem a IOD, która dotyczy zatrudnienia lub świadczenia usług na tym stanowisku w taki sposób, aby maksymalnie zabezpieczyć interesy administratora oraz interesy osoby działającej jako IOD Zapobieganie konfliktom interesów Uczestnicy otrzymują listę zawierającą nazwy stanowisk z krótkimi opisami zadań, które realizuje się na tych stanowiskach. Ich zadaniem jest wskazać, których stanowisk nie można łączyć z wykonywaniem funkcji IOD Zaangażowanie IOD w sprawy dotyczące ochrony danych osobowych Uczestnicy otrzymują opis zadania, które ma być zrealizowane w organizacji np. nowy program marketingowy, którego realizacja będzie wymagać przetwarzania danych osobowych. Zadaniem uczestnika jest stworzenie karty projektu zawierającej informacje istotne dla IOD, pozwalające mu ocenić zgodność z prawem planowanego przetwarzania danych osobowych oraz rekomendować odpowiednie rozwiązania Dzień 2 - program części teoretycznej Charakterystyka zadań IOD Zadania określone w art. 39 RODO Wskazanie na zadania, które należy wywodzić z innych przepisów RODO (np. art ) oraz wskazywane w wytycznych Grupy Roboczej Art. 29 Informowanie i doradztwo Jak zapewnić informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie Informowanie i doradztwo a zasada włączania IOD we wszystkie sprawy dotyczące ochrony danych osobowych 3 / 5

4 Procedury dotyczące informowania Zapewnienie bieżącej komunikacji z personelem Dokumentowanie spełnienia obowiązków z zakresu informowania i doradztwa Monitorowanie przestrzegania przepisów RODO oraz innych przepisów z zakresu ochrony danych osobowych, a także polityk Konkretyzacja kompetencji IOD w stosownych procedurach w jednostce organizacyjnej Działania podnoszące świadomość rekomendacje dotyczące szkolenia personelu, podnoszenia świadomości co do spełniania wymogów ochrony danych osobowych oraz ochrony prywatności, dokumentowanie szkoleń Audyty dotyczące bezpieczeństwa danych osobowych oraz zgodności przetwarzania danych z RODO Planowanie audytów i działań nadzorczych Kompetencje nadzorcze dokumentowanie stwierdzonych naruszeń RODO i innych przepisów, informowanie administratora o naruszeniach, oddziaływanie na członków personelu dopuszczających się naruszeń Procedury, częstotliwość, dokumentowanie działań nadzorczych i audytowych Rekomendacje co do podziału obowiązków w zakresie ochrony danych osobowych realizowanych przez IOD i członków personelu Zapewnienie współpracy IOD z działem IT oraz z działem prawnym Ocena ryzyka i ocena skutków dla ochrony danych osobowych Ustalenie reguł udziału IOD w ocenie ryzyka oraz w ocenie skutków dla ochrony danych osobowych Procedura dokumentowania zaangażowania IOD w ocenę ryzyka i ocenę skutków dla ochrony danych osobowych Ustalenie sposobu i kanałów komunikacji z IOD w sprawie oceny ryzyka i oceny skutków dla ochrony danych Dokumentowanie dokonanych ocen Dokumentowanie rekomendacji IOD Współpraca z organem nadzorczym Omówienie przypadków, w których w praktyce może wchodzić w rachubę współpraca IOD z organem nadzorczym Organizacja wsparcia IOD przez administratora i personel administratora przy współpracy z organem nadzorczym ustalenie procedur, ustalenie sposobów i kanałów komunikacji Udział IOD w konsultacjach, o których mowa w art. 36 RODO Dokumentowanie współpracy z organem nadzorczym Informowanie administratora o współpracy z organem nadzorczym 6. Realizacja praw osób, których dane dotyczą Zapewnienie udziału IOD w sprawach związanych z realizacją praw osób, których dane dotyczą Informowanie osób, których dane dotyczą o IOD Organizacja kontaktu Kanały i sposób kontaktu Dokumentowanie czynności wykonywanych na rzecz lub na żądanie osoby, której dane dotyczą 7. Udział IOD w czynnościach związanych z naruszeniem ochrony danych Informowanie IOD o naruszeniach Udział IOD w dokumentowaniu naruszeń Udział IOD w ocenie charakteru naruszenia w kontekście zgłaszania naruszeń organowi nadzorczemu oraz informowania osoby, której dane dotyczą Dokumentowanie naruszeń Rola IOD w zapobieganiu naruszeniom informowanie, szkolenia, rekomendacje 8. Udział IOD w prowadzeniu dokumentacji z zakresu ochrony danych osobowych oraz w wykazywaniu zgodności działania z RODOa)nadzór nad prowadzoną dokumentacją organizacyjną - politykami, procedurami dotyczącymi bezpieczeństwa, mitygowania ryzyka, ochroną przed naruszeniami 4 / 5

5 Nadzór nad adekwatnością treści dokumentacji osobowej Udział IOD w prowadzeniu rejestru czynności przetwarzania Zapewnienie udziału IOD przy formułowaniu projektów umów dotyczących przetwarzania danych Zapewnienie udziału IOD w konstruowaniu klauzul informacyjnych, klauzul zgody, nadzór nad adekwatnością treści dokumentacji Dzień 2 - program części warsztatowej Informowanie i doradztwo branży, w której administrator (podmiot przetwarzający) działa. Zadaniem uczestnika jest przygotowanie metodyki prowadzenia szkoleń dla personelu administratora, która ma w możliwie najszerszym stopniu uwzględniać zakres szkoleń, sposób zaznajamiania z poszczególnymi zagadnieniami, tematykę szkoleń, adekwatność treści szkolenia dla poszczególnych grup personelu Wykonywanie audytów branży, w której administrator (podmiot przetwarzający) działa. Zadaniem uczestnika jest sporządzenie planu audytów na najbliższe pół roku. Plan na zawierać m.in. przedmiot audytu, wskazanie zakresu dokumentów niezbędnych do jego przeprowadzenia, określenie metod działania Naruszenie ochrony danych osobowych Uczestnicy otrzymują opis naruszenia ochrony danych osobowych, ich zadaniem jest wcielenie się w rolę IOD i sformułowanie pytań lub poleceń kierowanych do personelu administratora, u którego nastąpiło naruszenie, w taki sposób, by dokonać oceny, czy o naruszeniu należy zawiadomić osobę, której dane dotyczą zgodnie z art. 34 RODO Realizacja praw osób, których dane dotyczą Uczestnicy dysponują treścią żądania osoby, której dane dotyczą oraz opisem procesu przetwarzania danych, do którego odnosi się żądanie. Zadaniem uczestników jest skierowanie odpowiedniej odpowiedzi do osoby występującej z żądaniem w taki sposób, aby spełniała ona wymogi wynikające z art. 12 RODO Niezależność w wykonywaniu zadań Uczestnicy otrzymują treść polecenia kierowanego do IOD przez administratora. Polecenie obejmuje nakaz podjęcia działania niezgodnego z RODO. Zadaniem uczestnika jest zaproponowanie treści odpowiedzi na to polecenie, która ma zawierać wskazanie przepisów RODO, których naruszenie spowodowałoby wykonanie polecenia administratora WSPARCIE I ROZWÓJ PO SZKOLENIU Portal Altkom Akademii Dostęp do materiałów szkoleniowych i uzupełniających Opieka trenera Kontakt ze społecznością Kod szkolenia Czas trwania Poziom Autoryzacja PFK AR / 2IOD 2 dni Średnio zaawansowany Altkom 5 / 5