KURS ABI Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I I. Wyjaśnienie najważniejszych pojęć pojawiających się w ustawie o ochronie danych 1) dane osobowe, 2) przetwarzanie danych, 3) zbiór danych, 4) administrator danych, 5) administrator bezpieczeństwa informacji (inspektor ochrony danych), 6) generalny inspektor ochrony danych, 7) osoba upoważniona do przetwarzania danych, 8) procesor danych, 9) odbiorca danych, 10) system informatyczny służący do przetwarzania danych, 11) państwo trzecie. II. Organizacja ochrony danych 1) możliwe warianty funkcjonowania systemu ochrony danych, 2) podmioty obowiązane do wyznaczenia inspektora ochrony danych po 25.05.2018 r., 3) organizacja systemu ochrony danych, 4) struktura zarządzania w systemie ochrony danych, 5) analiza wpływu na działalność (business impact analysis - BIA), 6) zarządzanie ryzykiem w ochronie danych, 7) dokumentacja przetwarzania danych, 8) zastosowanie cyklu PDCA w odniesieniu do doskonalenia systemu ochrony danych, 9) gdzie w tym wszystkim jest miejsce dla ABI? MODUŁ II III. Administrator bezpieczeństwa informacji 1) wymagania kwalifikacyjne do pełnienia funkcji ABI, 2) umocowanie ABI w strukturze organizacji niezależność funkcji, 3) zastępcy ABI, 4) uprawnienia, sposób wyznaczenia i rejestracji ABI, 5) najczęstsze błędy w procesie rejestracji ABI, 6) obowiązki ABi związane z zapewnianiem przestrzegania przepisów o ochronie danych, 7) outsourcing funkcji administratora bezpieczeństwa informacji 8) odpowiedzialność ABi, 9) możliwe kierunki rozwoju zawodowego ABI.
IV. Filary zgodnego z prawem przetwarzania danych obowiązki administratora danych 1) przetwarzanie danych zgodnie z prawem podstawy prawne przetwarzania danych, 2) dopełnienie obowiązku informacyjnego względem osób, których dane dotyczą, 3) dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, 4) stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, 5) rejestracja zbiorów danych w GIODO. V. Organizacyjne środki ochrony danych 1) bezpieczeństwo danych przymioty, 2) przyczyny naruszeń przepisów o ochronie danych, 3) bezpieczeństwo osobowe, 4) dokumentacja przetwarzania danych, 5) nadawanie upoważnień do przetwarzania danych, 6) prowadzenie ewidencji osób upoważnionych, 7) zapewnianie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Moduł III VI. Techniczne środki ochrony danych 1) wybór technicznych środków ochrony danych, 2) kontrola dostępu i zabezpieczenie obszaru przetwarzania, 3) zabezpieczenia obszarów specjalnych, 4) przechowywanie dokumentacji papierowej, 5) wymagania dla systemów informatycznych, 6) dobre praktyki w zakresie procedury logowania, 7) dobre praktyki w zakresie zarządzania hasłami, 8) ochrona przed szkodliwym oprogramowaniem, 9) zabezpieczenia kryptograficzne, 10) urządzenia mobilne, 11) zarządzanie elektronicznymi nośnikami informacji, 12) telepraca, 13) kopie bezpieczeństwa, 14) zabezpieczenia przed awarią zasilania, VII. Uprawnienia GIODO oraz odpowiedzialność za naruszenie przepisów o ochronie danych 1) kontrole GIODO 2) przebieg kontroli 3) uprawnienia inspektorów GIODO 4) skutki kontroli 5) odpowiedzialność karna, cywilna i administracyjna za naruszenie przepisów o ochronie danych 6) niemierzalne konsekwencje uchybienia przepisom o ochronie danych RAZEM: 6 godz. Strona 2 z 9
Dzień 2 Przygotowanie dokumentacji ochrony danych SZCZEGÓŁOWY HARMONOGRAM WARSZTATÓW MODUŁ I I. Środowisko prawne systemu ochrony danych 1. ogólne przepisy o ochronie danych 2. branżowe przepisy o ochronie danych 3. wymagania zainteresowanych stron (kontrahenci, podmioty dominujące, jednostki nadrzędne) 4. zalecenia i wystąpienia Generalnego Inspektora Ochrony Danych Osobowych II. Organizacja systemu ochrony danych 1. wybór właściwego wariantu funkcjonowania systemu ochrony danych 2. struktura zarządzania w systemie ochrony danych 3. zespół wdrożeniowy systemu ochrony danych 4. rola administratora danych 5. przypisanie obowiązków, uprawnień oraz odpowiedzialności personelowi organizacji 6. formalne ustanowienie systemu ochrony danych dokumentacja przetwarzania danych 90 min. III. MODUŁ II Polityka bezpieczeństwa elementy składowe, sposób prowadzenia i aktualizowania - ćwiczenia 1. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe 2. wykaz zbiorów danych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych 3. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi 4. sposób przepływu danych pomiędzy poszczególnymi systemami 5. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych Strona 3 z 9
MODUŁ III IV. Opracowywanie, aktualizowanie oraz nadzór nad pozostałymi dokumentami funkcjonującymi w systemie ochrony danych ćwiczenie 1. nadawanie, modyfikowanie oraz odbieranie upoważnień do przetwarzania danych 2. prowadzenie ewidencji osób upoważnionych do przetwarzania danych 3. tworzenie klauzul zgody oraz dopełnianie obowiązku informacyjnego 4. opracowywanie oraz opiniowanie umów o powierzeniu przetwarzania danych 5. prowadzenie rejestru zbiorów danych 6. dokumentowanie procesu zapoznawania z przepisami o ochronie danych 90 min. MODUŁ IV V. Rejestracja zbiorów danych oraz administratora bezpieczeństwa informacji - ćwiczenia 1. Sposób zgłaszania zbioru oraz administratora bezpieczeństwa informacji do rejestracji GIODO 2. Ogólnokrajowy rejestr zbiorów danych i administratorów bezpieczeństwa informacji 3. Dokonywanie zmian w rejestrze zbiorów danych oraz administratorów bezpieczeństwa informacji 4. Wykreślenie zbioru oraz administratora bezpieczeństwa informacji z rejestru GIODO 5. Zwolnienia z obowiązku rejestracji zbiorów danych Indywidualne konsultacje RAZEM: 8 godz. Strona 4 z 9
Dzień 3 Przygotowanie dokumentacji ochrony danych VI. SZCZEGÓŁOWY HARMONOGRAM WARSZTATÓW MODUŁ V - MK Weryfikacja wymagań w zakresie ochrony danych dla systemów informatycznych VIII. 1. zapewnienie kontroli dostępu do systemu informatycznego, 2. zapewnienie rozliczalności działań wykonywanych na danych 3. odnotowywanie daty pierwszego wprowadzenia danych do systemu 4. odnotowywanie identyfikatora użytkownika wprowadzającego dane osobowe do systemu 5. odnotowywanie źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą 6. odnotowywanie informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia 7. odnotowywanie sprzeciwu wobec przetwarzania danych w celach marketingowych MODUŁ VI MK Instrukcja Zarządzania Systemem Informatycznym elementy składowe, sposób prowadzenia i aktualizowania - ćwiczenia 1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, 2. stosowanie mechanizmów kontroli dostępu do systemów informatycznych służących do przetwarzania danych 3. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, 4. zasady nadawania identyfikatorów oraz haseł 5. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, 6. zabezpieczenie systemu informatycznego przed skutkami działania szkodliwego oprogramowania 7. zasady zabezpieczenia i użytkowania sprzętu komputerowego 8. środki ochrony kryptograficznej zasady postępowania z komputerowymi nośnikami informacji 9. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, 10. sposób, miejsce i okres przechowywania kopii zapasowych, 11. zasady tworzenia oraz przechowywania kopii zapasowych MODUŁ VII MK IX. Techniczne środki ochrony danych 1. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu 2. sposób, miejsce i okres przechowywania elektronicznych nośników Strona 5 z 9
informacji zawierających dane osobowe 3. zabezpieczenie przed awarią zasilania 4. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych 5. kontrola dostępu i zasady przebywania w obszarze przetwarzania danych 6. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych Indywidualne konsultacje MODUŁ VII I. Wstęp do sprawdzenia (audytu) systemu ochrony danych 1. Zasady przeprowadzania sprawdzeń planowych oraz doraźnych 2. Określanie przedmiotu i zakresu sprawdzenia oraz przygotowywanie planu 3. Określanie kryteriów sprawdzenia 4. Zbieranie dowodów audytowych 5. Przygotowanie sprawozdania ze sprawdzenia oraz jego dystrybucja 6. Symulacja rozmowy audytowej odebranie ustnych wyjaśnień 30 min II. Przebieg kontroli GIODO MODUŁ VIII 1. Zakres przedmiotowy uprawnień kontrolnych Generalnego Inspektora 2. Rodzaje kontroli 3. Uprawnienia inspektora ochrony danych 4. Organizacja kontroli 5. Przebieg kontroli 6. Dokumentowanie czynności kontrolnych 7. Uprawnienia pokontrolne III. Konsekwencje kontroli GIODO 1. Rodzaje decyzji administracyjnych wydawane przez GIODO 2. Zawiadomienie o podejrzeniu popełnienia przestępstwa 3. Środki odwoławcze od decyzji GIODO 4. Postępowania sądowo administracyjne 5. Niemierzalne konsekwencje kontroli GIODO 30 min. Indywidualne konsultacje RAZEM: 7 godz. Strona 6 z 9
Dzień 4 Audytor wewnętrzny systemu ochrony danych SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I I. Wyjaśnienie najważniejszych pojęć związanych z audytem systemu ochrony danych II. 1) Audyt 2) Audytor 3) Dowód z audytu 4) Ekspert techniczny 5) Kompetencje 6) Kryteria audytu 7) Plan sprawdzenia (audytu) 8) System ochrony danych 9) Ustalenia z audytu 10) Wnioski z audytu 11) Zakres audytu 12) Zespół audytujący 13) Zgodność/niezgodność Administrator bezpieczeństwa informacji (inspektor ochrony danych) rola w organizacji 90 min. 1) Wymagania kwalifikacyjne do pełnienia funkcji ABI 2) Umocowanie ABI w strukturze organizacji niezależność funkcji 3) Uprawnienia, sposób wyznaczenia i rejestracji administratora bezpieczeństwa informacji 4) Obowiązki ABI związane z zapewnianiem przestrzegania przepisów o ochronie danych : a) sprawdzanie zgodności przetwarzania danych z przepisami o ochronie danych b) nadzorowanie opracowania i aktualizowania dokumentacji przetwarzania danych c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych z przepisami o ochronie danych d) prowadzenie rejestru zbiorów danych 5) Obowiązki i uprawnienie inspektora ochrony danych Ogólne Rozporządzenie o Ochronie Danych 6) Administrator bezpieczeństwa informacji audytor wewnętrzny? Strona 7 z 9
III. MODUŁ II Audyt systemu ochrony danych przygotowanie (ćwiczenie) 1) Rodzaje audytów (sprawdzeń) a) pierwszej strony - sprawdzenie wewnętrzne (planowe i doraźne) b) drugiej strony sprawdzanie u procesora danych na żądanie GIODO c) trzeciej strony sprawdzenie na żądanie GIODO 2) Ustalanie celów i zakresu audytów 3) Kompetencje audytorskie administratora bezpieczeństwa informacji 4) Wybór członków zespołu audytowego 5) Identyfikowanie i szacowanie ryzyk związanych z programem audytów 6) Identyfikowanie zasobów dla programu audytu IV. Wymogi formalne dotyczące w zakresie realizacji sprawdzeń (ćwiczenie) 1) Zasady przygotowywania planu sprawdzeń 2) Terminy realizacji sprawdzeń 3) Zawiadomienie o rozpoczęciu sprawdzenia oraz o zakresie planowanych czynności 4) Zasady dokumentowania sprawdzeń 5) Zasady przygotowywania sprawozdania ze sprawdzenia 135 min. V. Metodyka prowadzenia audytu oraz analiza zebranych dowodów (ćwiczenie) 1) Zbieranie i weryfikowanie informacji 2) Przeprowadzanie przeglądu dokumentów 3) Pobieranie próbek audytowych 4) Wybór źródeł informacji 5) Przygotowywanie dokumentów roboczych 6) Prowadzenie rozmów audytowych 7) Odnotowywanie stwierdzonych zgodności lub niezgodności 8) Opracowanie ustaleń z audytu 9) Przygotowywanie wniosków z audytu MODUŁ III (ĆWICZENIA PRAKTYCZNE) VI. Przeprowadzenie sprawdzenia w podejściu procesualnym (ćwiczenie) 1) Ustalenie podstaw prawnych przetwarzania danych 2) Weryfikacja dopełnienia obowiązku informacyjnego 3) Weryfikacja dopełnienia obowiązku dochowania szczególnej staranności w celu ochrony interesów osób, których dane dotyczą 4) Weryfikacja zapisów dotyczących powierzenia przetwarzania danych 5) Ustalenie sposobu realizacji praw osób, których dane dotyczą 6) Weryfikacja adekwatności organizacyjno-technicznych środków ochrony danych 7) Weryfikacja zasad przekazywania danych do państw trzecich 8) Weryfikacja dopełnienia obowiązku rejestracji zbiorów danych VII. Przygotowanie sprawozdania ze sprawdzenia oraz jego dystrybucja (ćwiczenie) 1) Przygotowanie sprawozdania ze sprawdzenia 2) Dystrybucja sprawozdania ze sprawdzenia 3) Realizacja działań korygujących i korekcyjnych RAZEM: 5 godz. 45 min. Strona 8 z 9
Dzień 5 Praktyczne aspekty Europejskiego Rozporządzenia o ochronie danych SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I I. Organ nadzorczy (GIODO) 1) nowa rola, 2) status, 3) zadania i uprawienia, II. Sankcje za nieprzestrzeganie przepisów rozporządzenia. 1) administracyjne kary pieniężne - warunki ich nakładania i wysokość, 2) odszkodowanie za poniesioną szkodę, III. Przetwarzanie danych. 1) ogólne zasady przetwarzania danych, 2) przetwarzanie danych szczególnych kategorii, 3) zgoda na przetwarzanie danych dzieci. MODUŁ II IV. Prawa przysługujące osobie, której dane dotyczą 1) prawo do bycia zapomnianym,, 2) prawo do przenoszenia danych, 3) prawo do niepodlegania profilowaniu,, 4) zasada przejrzystości i inne. V. Obowiązki administratora danych 1) obowiązek rejestrowania czynności przetwarzania danych, 2) obowiązek zgłaszania naruszeń ochrony danych, 3) wdrożenie mechanizmów privacy by design i privacy by default i inne. 90 min. MODUŁ III VI. Inspektor ochrony danych 1) zadania inspektora ochrony danych, 2) sytuacje, w których jego wyznaczenie jest obligatoryjne. VII. Podmiot przetwarzający (procesor): 1) zakres i treść umowy z procesorem, 2) obowiązki procesora. MODUŁ IV VIII. Przekazywanie danych do państw trzecich: 1) zasady przekazywania danych. IX. Kodeksy postępowania i certyfikacja: 1) rola funkcjonowania kodeksów postępowań, 2) określenie procedur certyfikacji podmiotów dokonujących operacji przetwarzania przez podmioty certyfikujące, które uzyskały uprzednio akredytację w trybie art. 43 rozporządzenia RAZEM: 5 godz. 30 min. TOTAL: 32 godz. 15 min. Strona 9 z 9