AKREDYTOWANY KURS ABI. KOMPLEKSOWE PRZYGOTOWANIE DO PEŁNIENIA FUNKCJI ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI (ABI) SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - PODSTAWY PEŁNIENIA FUNKCJI ABI Godziny REJESTRACJA UCZESTNIKÓW 08.00 08.15 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie będzie Państwu zależało. 08.15 08.30 TEST SPRAWDZAJĄCY POZIOM WIEDZY UCZESTNIKÓW ROZPOCZYNAJĄCYCH KURS 08.30 09.30 MODUŁ I (Tomasz Ochocki) I. Wyjaśnienie najważniejszych pojęć pojawiających się w ustawie o ochronie danych osobowych. dane osobowe, przetwarzanie danych, zbiór danych osobowych, administrator danych, administrator bezpieczeństwa informacji (inspektor ochrony danych), generalny inspektor ochrony danych osobowych, osoba upoważniona do przetwarzania danych osobowych, procesor danych osobowych, odbiorca danych, system informatyczny służący do przetwarzania danych osobowych, państwo trzecie. II. Organizacja ochrony danych osobowych 9.30 11.30 możliwe warianty funkcjonowania systemu ochrony danych osobowych, podmioty obowiązane do wyznaczenia inspektora ochrony danych po 25.05.2018 r., organizacja systemu ochrony danych osobowych, struktura zarządzania w systemie ochrony danych osobowych, analiza wpływu na działalność (business impact analysis - BIA), zarządzanie ryzykiem w ochronie danych osobowych, dokumentacja przetwarzania danych osobowych, PRZERWA KAWOWA 11.30 11.45
MODUŁ II (Tomasz Ochocki) III. Administrator bezpieczeństwa informacji. wymagania kwalifikacyjne do pełnienia funkcji ABI, umocowanie ABI w strukturze organizacji niezależność funkcji, zastępcy ABI, uprawnienia, sposób wyznaczenia i rejestracji ABI, najczęstsze błędy w procesie rejestracji ABI, obowiązki ABi związane z zapewnianiem przestrzegania przepisów o ochronie danych, outsourcing funkcji administratora bezpieczeństwa informacji odpowiedzialność ABi, możliwe kierunki rozwoju zawodowego ABI. IV. Filary zgodnego z prawem przetwarzania danych osobowych obowiązki administratora danych. przetwarzanie danych zgodnie z prawem podstawy prawne przetwarzania danych, dopełnienie obowiązku informacyjnego względem osób, których dane dotyczą, dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, rejestracja zbiorów danych osobowych w GIODO. V. Organizacyjne środki ochrony danych osobowych. 11.45 13.45 bezpieczeństwo danych osobowych przymioty, przyczyny naruszeń przepisów o ochronie danych osobowych, bezpieczeństwo osobowe, dokumentacja przetwarzania danych osobowych, nadawanie upoważnień do przetwarzania danych osobowych, prowadzenie ewidencji osób upoważnionych, zapewnianie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. LUNCH 13.45 14.15 MODUŁ III (Tomasz Ochocki) VI. Techniczne środki ochrony danych osobowych wybór technicznych środków ochrony danych osobowych, kontrola dostępu i zabezpieczenie obszaru przetwarzania, zabezpieczenia obszarów specjalnych, przechowywanie dokumentacji papierowej, wymagania dla systemów informatycznych, 14.15 16.15
dobre praktyki w zakresie procedury logowania, dobre praktyki w zakresie zarządzania hasłami, ochrona przed szkodliwym oprogramowaniem, zabezpieczenia kryptograficzne, urządzenia mobilne, zarządzanie elektronicznymi nośnikami informacji, telepraca, kopie bezpieczeństwa, zabezpieczenia przed awarią zasilania. VII. Uprawnienia GIODO oraz odpowiedzialność za naruszenie przepisów o ochronie danych osobowych kontrole GIODO, przebieg kontroli, uprawnienia inspektorów GIODO, skutki kontroli, odpowiedzialność karna, cywilna i administracyjna za naruszenie przepisów o ochronie danych osobowych, niemierzalne konsekwencje uchybienia przepisom o ochronie danych osobowych. DZIEŃ II - PRZYGOTOWANIE DOKUMENTACJI ODO Godziny MODUŁ I (Konrad Gałaj - Emiliańczyk) I. Środowisko prawne systemu ochrony danych osobowych ogólne przepisy o ochronie danych osobowych, branżowe przepisy o ochronie danych osobowych wymagania zainteresowanych stron (kontrahenci, podmioty dominujące, jednostki nadrzędne) zalecenia i wystąpienia Generalnego Inspektora Ochrony Danych Osobowych. II. Organizacja systemu ochrony danych osobowych wybór właściwego wariantu funkcjonowania systemu ochrony danych osobowych struktura zarządzania w systemie ochrony danych osobowych zespół wdrożeniowy systemu ochrony danych osobowych rola administratora danych przypisanie obowiązków, uprawnień oraz odpowiedzialności personelowi organizacji formalne ustanowienie systemu ochrony danych osobowych dokumentacja przetwarzania danych. 9.00 10.30 PRZERWA KAWOWA 10.30 10.45
MODUŁ II (Konrad Gałaj - Emiliańczyk) III. Polityka bezpieczeństwa elementy składowe, sposób prowadzenia i aktualizowania ćwiczenia. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi sposób przepływu danych pomiędzy poszczególnymi systemami określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. 10.45 13.00 LUNCH 13.00 13.30 MODUŁ III (Konrad Gałaj-Emiliańczyk) IV. Opracowywanie, aktualizowanie oraz nadzór nad pozostałymi dokumentami funkcjonującymi w systemie ochrony danych osobowych ćwiczenie. nadawanie, modyfikowanie oraz odbieranie upoważnień do przetwarzania danych osobowych prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych tworzenie klauzul zgody oraz dopełnianie obowiązku informacyjnego opracowywanie oraz opiniowanie umów o powierzeniu przetwarzania danych osobowych prowadzenie rejestru zbiorów danych osobowych dokumentowanie procesu zapoznawania z przepisami o ochronie danych osobowych. 13.30 15.00 PRZERWA KAWOWA 15.00 15.15 MODUŁ IV (Konrad Gałaj-Emiliańczyk) V. Rejestracja zbiorów danych osobowych oraz administratora bezpieczeństwa informacji ćwiczenia. sposób zgłaszania zbioru oraz administratora bezpieczeństwa informacji do rejestracji GIODO, ogólnokrajowy rejestr zbiorów danych osobowych i administratorów bezpieczeństwa informacji, dokonywanie zmian w rejestrze zbiorów danych osobowych oraz administratorów bezpieczeństwa informacji, wykreślenie zbioru oraz administratora bezpieczeństwa informacji z rejestru GIODO, zwolnienia z obowiązku rejestracji zbiorów danych osobowych. 15.15 17.15 Indywidualne konsultacje 17.15 18.15
DZIEŃ III - WDROŻENIE I NADZÓR NAD SYSTEMEM ODO MODUŁ VI (Marcin Kujawa) VI. Weryfikacja wymagań w zakresie ochrony danych osobowych dla systemów informatycznych. zapewnienie kontroli dostępu do systemu informatycznego, zapewnienie rozliczalności działań wykonywanych na danych osobowych odnotowywanie daty pierwszego wprowadzenia danych do systemu odnotowywanie identyfikatora użytkownika wprowadzającego dane osobowe do systemu, odnotowywanie źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą, odnotowywanie informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, odnotowywanie sprzeciwu wobec przetwarzania danych w celach marketingowych. VII. Instrukcja Zarządzania Systemem Informatycznym elementy składowe, sposób prowadzenia i aktualizowania ćwiczenia. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, stosowanie mechanizmów kontroli dostępu do systemów informatycznych służących do przetwarzania danych osobowych stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, zasady nadawania identyfikatorów oraz haseł sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, zabezpieczenie systemu informatycznego przed skutkami działania szkodliwego oprogramowania zasady zabezpieczenia i użytkowania sprzętu komputerowego środki ochrony kryptograficznej zasady postępowania z komputerowymi nośnikami informacji procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, sposób, miejsce i okres przechowywania kopii zapasowych, zasady tworzenia oraz przechowywania kopii zapasowych. 9.00 11.00 PRZERWA KAWOWA 11.00 11.15
MODUŁ VII (Marcin Kujawa) VIII. Techniczne środki ochrony danych osobowych procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe zabezpieczenie przed awarią zasilania procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych kontrola dostępu i zasady przebywania w obszarze przetwarzania danych osobowych instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. 11.15 12.15 Indywidualne konsultacje 12.15 13.00 LUNCH 13.00 13.30 MODUŁ VIII (Konrad Gałaj-Emiliańczyk) IX. Wstęp do sprawdzenia (audytu) systemu ochrony danych osobowych. zasady przeprowadzania sprawdzeń planowych oraz doraźnych, określanie przedmiotu i zakresu sprawdzenia oraz przygotowywanie planu, określanie kryteriów sprawdzenia, zbieranie dowodów audytowych, przygotowanie sprawozdania ze sprawdzenia oraz jego dystrybucja, symulacja rozmowy audytowej odebranie ustnych wyjaśnień. 13.30 14.30 MODUŁ IX (Konrad Gałaj-Emiliańczyk) X. Przebieg kontroli GIODO. przebieg kontroli GIODO. zakres przedmiotowy uprawnień kontrolnych Generalnego Inspektora, rodzaje kontroli, uprawnienia inspektora ochrony danych osobowych, organizacja kontroli, przebieg kontroli, dokumentowanie czynności kontrolnych, uprawnienia pokontrolne. 14.30 16.00 XI. Zakres kontroli GIODO. rodzaje decyzji administracyjnych wydawane przez GIODO, zawiadomienie o podejrzeniu popełnienia przestępstwa, środki odwoławcze od decyzji GIODO,
DZIEŃ IV - AUDYTOR WEWNĘTRZNY SYSTEMU ODO MODUŁ I (Tomasz Ochocki) I. Wyjaśnienie najważniejszych pojęć pojawiających się w ustawie o ochronie danych osobowych audyt, audytor, dowód z audytu, ekspert techniczny, kompetencje, kryteria audytu, plan sprawdzenia (audytu), system ochrony danych osobowych, ustalenia z audytu, wnioski z audytu, zakres audytu, zespół audytujący, zgodność/niezgodność. II. Administrator bezpieczeństwa informacji (inspektor ochrony danych) rola w organizacji. wymagania kwalifikacyjne do pełnienia funkcji ABI umocowanie ABI w strukturze organizacji niezależność funkcji uprawnienia, sposób wyznaczenia i rejestracji administratora bezpieczeństwa informacji obowiązki ABI związane z zapewnianiem przestrzegania przepisów o ochronie danych osobowych: o sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych; o nadzorowanie opracowania i aktualizowania dokumentacji przetwarzania danych osobowych; o zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych; o z przepisami o ochronie danych osobowych; prowadzenie rejestru zbiorów danych osobowych obowiązki i uprawnienie inspektora ochrony danych Ogólne Rozporządzenie o Ochronie Danych administrator bezpieczeństwa informacji - audytor wewnętrzny? sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, zabezpieczenie systemu informatycznego przed skutkami działania szkodliwego oprogramowania zasady zabezpieczenia i użytkowania sprzętu komputerowego środki ochrony kryptograficznej zasady postępowania z komputerowymi nośnikami informacji procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, sposób, miejsce i okres przechowywania kopii zapasowych, zasady tworzenia oraz przechowywania kopii zapasowych 9.00 10.30
PRZERWA KAWOWA 10.30 10.45 MODUŁ II (Tomasz Ochocki) III. Audyt systemu ochrony danych osobowych - przygotowanie rodzaje audytów (sprawdzeń), o pierwszej strony - sprawdzenie wewnętrzne (planowe i doraźne); o drugiej strony sprawdzanie u procesora danych na żądanie GIODO; o trzeciej strony sprawdzenie na żądanie GIODO; ustalanie celów i zakresu audytów, kompetencje audytorskie administratora bezpieczeństwa informacji, wybór członków zespołu audytowego, identyfikowanie i szacowanie ryzyk związanych z programem audytów, IV. Wymogi formalne dotyczące w zakresie realizacji sprawdzeń zasady przygotowywania planu sprawdzeń, terminy realizacji sprawdzeń, zawiadomienie o rozpoczęciu sprawdzenia oraz o zakresie planowanych czynności, zasady dokumentowania sprawdzeń, zasady przygotowywania sprawozdania ze sprawdzenia, ćwiczenie przygotowywanie planu sprawdzenia. 10.45 13.00 V. Metodyka prowadzenia audytu oraz analiza zebranych dowodów zbieranie i weryfikowanie informacji, przeprowadzanie przeglądu dokumentów, pobieranie próbek audytowych, wybór źródeł informacji, przygotowywanie dokumentów roboczych ćwiczenie, prowadzenie rozmów audytowych, odnotowywanie stwierdzonych zgodności lub niezgodności, opracowanie ustaleń z audytu, przygotowywanie wniosków z audytu. LUNCH 13.00 13.30
MODUŁ III (Tomasz Ochocki) VI. Przeprowadzenie sprawdzenia w podejściu procesualnym - ćwiczenie ustalenie podstaw prawnych przetwarzania danych osobowych, weryfikacja dopełnienia obowiązku informacyjnego, weryfikacja dopełnienia obowiązku dochowania szczególnej staranności w celu ochrony, interesów osób, których dane dotyczą, weryfikacja zapisów dotyczących powierzenia przetwarzania danych osobowych, ustalenie sposobu realizacji praw osób, których dane dotyczą, weryfikacja adekwatności organizacyjno-technicznych środków ochrony danych osobowych, weryfikacja zasad przekazywania danych do państw trzecich, weryfikacja dopełnienia obowiązku rejestracji zbiorów danych osobowych. 13.30 15.45 VII. Przygotowanie sprawozdania ze sprawdzenia oraz jego dystrybucja ćwiczenie przygotowanie sprawozdania ze sprawdzenia ćwiczenie, dystrybucja sprawozdania ze sprawdzenia, realizacja działań korygujących i korekcyjnych. DZIEŃ V - PRAKTYCZNE ASPEKTY EUROPEJSKIEGO ROZPORZĄDZENIA O OCHRONIE DANYCH OSOBOWYCH MODUŁ I (Anna Dmochowska, Marcin Zadrożny) TEST SPRAWDZAJĄCY POZIOM WIEDZY UCZESTNIKÓW KOŃCZĄCYCH KURS 09.00 10.00 ISTOTNE NOVUM 1. Organ nadzorczy (GIODO): nowa rola, status, zadania i uprawienia, 2. Przetwarzanie danych osobowych: ogólne zasady przetwarzania danych osobowych, przetwarzanie danych osobowych szczególnych kategorii, zgoda na przetwarzanie danych dzieci. 9.30-11.00 PRZERWA KAWOWA 11.00-11.15 PRAWA I OBOWIĄZKI 1. Prawa przysługujące podmiotowi danych: prawo do bycia zapomnianym,, prawo do przenoszenia danych, prawo do niepodlegania profilowaniu,, zasada przejrzystości i inne. 2. Obowiązki administratorów danych: obowiązek rejestrowania czynności przetwarzania danych osobowych, obowiązek zgłaszania naruszeń ochrony danych osobowych, wdrożenie mechanizmów privacy by design i privacy by default i inne. 11.15-13.00 LUNCH 13.00-13.30
ANALIZA RYZYKA ZGODNIE Z WYMOGAMI RODO 1. Warsztaty z szacowania ryzyka związanego z przetwarzaniem danych osobowych: identyfikacja i klasyfikacja zasobów informacyjnych; identyfikacja zasobów informatycznych; określanie parametrów szacowania i oceny ryzyka; identyfikacja i opis obecnie stosowanych zabezpieczeń i ich skuteczności. 2. Ocena wyników szacowania: plan postępowania z ryzykiem; plan przyszłych zabezpieczeń; implementacja analizy ryzyka RODO w funkcjonujący w organizacji procesem zarządzania ryzykiem. 13.30-14.30 PRZERWA KAWOWA 14.30-14.45 STATUS INSPEKTORA OCHRONY DANYCH ORAZ PROCESORA I PRZEKAZYWANIE DANYCH POZA EOG 1. Inspektor ochrony danych: zadania inspektora ochrony danych, sytuacje, w których jego wyznaczenie jest obligatoryjne. 2. Podmiot przetwarzający (procesor): zakres i treść umowy z procesorem, obowiązki procesora. 3. Sankcje za nieprzestrzeganie przepisów rozporządzenia: administracyjne kary pieniężne - warunki ich nakładania i wysokość, odszkodowanie za poniesioną szkodę, 14.45-16.15 4. Przekazywanie danych do państw trzecich: zasady przekazywania danych.; 5. Kodeksy postępowania i certyfikacja: rola funkcjonowania kodeksów postępowań; określenie procedur certyfikacji podmiotów dokonujących operacji przetwarzania przez podmioty certyfikujące, które uzyskały uprzednio akredytację w trybie art. 43 rozporządzenia; ZAKOŃCZENIE SZKOLENIA - WYDANIE CERTYFIKATÓW 16.15-16.30 DLA ZAINTERESOWANYCH - PREZENTACJA APLIKACJI ABIeye 16.30-16.50 POŻEGNANIE UCZESTNIKÓW