Cel szkolenia?
Warsztaty mają za zadanie w sposób kompleksowy i praktyczny wprowadzić uczestników w tematykę ochrony danych osobowych ze szczególnym uwzględnieniem nowych zadań jakie spoczywają na Administratorze Bezpieczeństwa Informacji ( po zmianach Inspektorze Danych). Warsztaty pozwolą uczestnikom samodzielnie przeprowadzić sprawdzenie (kontrolę wewnętrzną) zgodności przetwarzania danych osobowych z przepisami prawa w aspekcie prawnym oraz opracować w tym zakresie sprawozdanie dla administratora danych. Poruszone zostaną także zagadnienia związane z nowym obowiązkiem ABI-ego dotyczącym zapewnienia zapoznania osób przetwarzających danych osobowych z przepisami w zakresie ochrony danych osobowych (szkolenia). Znaczną część zajęć poświęcona zostanie zagadnieniom dotyczących ogólnego rozporządzenia unijnego o ochronie danych osobowych (GDPR). Rozporządzenie zastąpi obowiązujące dotychczas ramy prawne ochrony danych osobowych, stanowiąc nową bezpośrednio skuteczną podstawę prawną regulującą kompleksowo prawa i obowiązki związane z przetwarzaniem danych osobowych.
Główne zalety naszego szkolenia:
- skupienie się na konkretach – przekażemy Ci praktyczną wiedzę umożliwiającą samodzielne pełnie funkcji ABI ( INSPEKTORA po zmianach) w ciągu dwóch intensywnych dni szkoleń,
- poszkoleniowe wsparcie – możesz liczyć na naszą wiedzę i doświadczenie także po ukończeniu kursu. Dajemy Ci wsparcie bezpłatnych konsultacji do wykorzystania w dowolnej formie (mail, telefon, Skype, mail) w ciągu 6 miesięcy od uczestnictwa w kursie,
- NOWOŚĆ!Rozporządzenie UE o ochronie danych osobowych– zaprezentujemy Ci najważniejsze zmiany oraz porady jak rozpocząć proces adaptacji do nowych regulacji,
- praktyczny charakter kursu – nasz trener sprawuje funkcję ABI u klientów z różnych branż. Dlatego podczas szkolenia nie teoretyzujemy – każdy przepis prawa konfrontujemy z praktyką i oferujemy Ci rozwiązania, a nie kolejne wątpliwości,
- warsztaty – nasz kurs to nie wykład, a interaktywne szkolenie. Podczas kursu kilkukrotnie będziesz mieć okazję samodzielnie zweryfikować zdobytą wiedzę z praktyką np. tworząc Jawny Rejestr Zbiorów, szkic Polityki Bezpieczeństwa, czy planu sprawdzeń,
- certyfikat– po szkoleniu otrzymasz certyfikat potwierdzający uczestnictwo w kursie. Certyfikat jest jedną z podstaw do legitymowania się przez ABI odpowiednią wiedzą z zakresu ochrony danych osobowych, zgodnie z art. 39a znowelizowanej ustawy.,
- wzory dokumentacji – otrzymasz wzory prawem wymaganej dokumentacji. Otrzymasz: Politykę bezpieczeństwa, Instrukcję zarządzania systemami informatycznymi, klauzule informacyjne, umowy powierzenia, upoważnienia, klauzule zgód na przetwarzanie danych osobowych, Jawny Rejestr Zbiorów ABI, szkolenie dla pracowników w formie prezentacji, formularz zgłoszenia oraz odwołania ABI i ASI, wykaz obowiązków ABI, sprawozdanie, plan sprawdzeń.
Uczestnicy warsztatów otrzymają w formie elektronicznej wszystkie nowe, niezbędne wzory prawem wymaganej dokumentacji oraz wzory planu sprawdzeń, sprawozdań, wewnętrznego rejestru, przykładowe wystąpienia GIODO do ABI-ego i wielu innych.
Kto poprowadzi szkolenie?
Rafał Andrzejewski – prawnik, audytor, trener i wykładowca na licznych seminariach ( w tym w debatach z udziałem GIODO), szkoleniach otwartych i zamkniętych z zakresu ochrony danych osobowych i bezpieczeństwa informacji.
Konsultant wiodących kancelarii prawnych, specjalista z zakresu ochrony danych osobowych świadczący usługi kompleksowej obsługi prawnej podmiotów gospodarczych, jak i jednostek sektora administracji publicznej, trener z wieloletnim doświadczeniem, które przekłada się na umiejętność przystępnego przekazywania i wyjaśniania skomplikowanych zagadnień prawnych. W ramach obsługi prawnej opracowuje oraz wdraża systemy ochrony danych osobowych w różnych podmiotach. Jest cenionym konsultantem ds. ochrony danych osobowych w uczelniach, jednostkach administracji placówkach oświatowych i medycznych. Posiada wieloletnie doświadczenie w zakresie wdrażania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym oraz systemów zarządzania bezpieczeństwem informacji.
Sposób przekazywania wiedzy w czasie szkoleń i jakość praktycznych wskazówek cieszą się bardzo dużym uznaniem.
Program:
I DZIEŃ
I. WPROWADZENIE
- Czym są dane osobowe
- Co to jest zbiór danych osobowych?
- Różnica między danymi zwykłymi a danymi wrażliwymi,
- Przesłanki legalności przetwarzania danych osobowych,
- Podział obowiązków – ADO,ABI,ASI.
II. POZYCJA PRAWNA ABI W ORGANIZACJI
- Wymagania formalne stawiane ABI. Plusy i minusy powołania ABI. Obowiązki i uprawnienia ABI. Porównanie instytucji ABI i IOD (Inspektor Ochrony Danych)
- Wymagania formalne oraz usytuowanie ABI w strukturze organizacyjnej przedsiębiorstwa
- Bezpośrednia podległość kierownictwu przedsiębiorstwa oraz współpraca z innymi osobami
- Zakres zadań ABI (prawo, a praktyka)
- Rozwiązywanie sporów kompetencyjnych oraz innych problemów stojących przed ABI – ćwiczenie (studium przypadku)
- Inspektor ochrony danych (IOD) w ogólnym rozporządzeniu o ochronie danych (RODO) – uwagi ogólne
III. USYTUOWANIE ABI W ORGANIZACJI W KONTEKŚCIE NOWYCH UREGULOWAŃ PRAWNYCH
- Kto może pełnić funkcję ABI. Prawnik czy informatyk a może zupełnie kto inny?
- Czy ASI może być ABI?
- ABI w hierarchii organizacji. Pierwsze problemy po wejściu w życie zmienionych przepisów. (komu i na jakich zasadach podlegać będzie ABI w ramach organizacji)
IV. ALTERNATYWA: POWOŁANIE INNEJ FUNKCJI ZWIĄZANEJ Z OCHRONĄ DANYCH OSOBOWYCH NP. PEŁNOMOCNIKA LUB KOORDYNATORA DS. OCHRONY DANYCH OSOBOWYCH
Warsztaty- jak należy powołać i wskazać zakres obowiązków koordynatora ds. ochrony danych osobowych
V. ABI, ZASTĘPCA ABI A OSOBA NIE WPISANA DO REJESTRU
- Czy administrator danych, który nie powołał ABI przeprowadza sprawdzenie czy audytuje? Jakie przepisy mają zastosowanie?
- Jak powołać zastępcę ABI-ego.
VI. OBOWIĄZKI DLA ADO , KTÓRE NIE POWOŁAŁ ABI-ego
VII. POWOŁANIE ABI IMPLIKUJĄCE OGRANICZENIE W ZGŁASZANIU ZBIORÓW DO GIODO
VIII. ZADANIA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI
- Ocena legalności przetwarzania danych osobowych klientów i pracowników. (Kiedy należy pytać o zgodę na przetwarzanie danych osobowych, a kiedy takiej zgody unikać? W jaki sposób ewidencjonować zebrane zgody i sprzeciwy?
- Powierzenie przetwarzania danych osobowych. (Kiedy należy podpisać umowę powierzenia przetwarzania danych osobowych. Udział ABI i jego rola w negocjacjach – na co zwracać uwagę. Czy różni się powierzenie od udostępnienia danych osobowych?
- Przesłanki legalności przetwarzania danych osobowych
IX. ZADANIA ABI-ego NA GRUNCIE ZNOWELIZOWANEJ USTAWY
- Nadzór nad prawidłowością przetwarzania danych i dokumentacją – jak to robić?
- Zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych
z przepisami o ochronie danych osobowych – szkolenie, czy inne formy? Jeśli tak, to jak i kogo szkolić? Przykładowe testy do szkoleń
- Prowadzenie rejestru zbiorów danych osobowych.
- Prowadzenie regularnych audytów wewnętrznych (sprawdzeń). Plan sprawdzeń, jak go przygotować i na co zwrócić uwagę?
- Raportowanie o nieprawidłowościach do zarządzających organizacją oraz do GIODO (zasady przygotowania sprawozdań)
- Przygotowanie odpowiedzi na pismo GIODO
Warsztat: tworzenie wewnętrznego rejestru
Warsztat: przygotowywanie wzoru kwartalnego/rocznego planu audytów.
Przygotowywanie sprawozdania z przeprowadzanego audytu
Warsztat: ustalenie zakresu obowiązków ABI.
X. REALIZACJA OBOWIAZKÓW ABI-ego
- Sprawdzenia (Audyty) procesorów. Co i jak sprawdzać?
- Pierwszy plan- od kiedy?
- Wewnętrzne dokumentowanie przez ABI jego zaleceń – wskazywanie ryzyka prawnego, czy decyzja ABI jest ostateczna?
- Co tak naprawdę ABI wie o organizacji? Czy powinien zostać dopuszczony do wszystkich tajemnic?
- Zróżnicowanie zadań Administratora Bezpieczeństwa Informacji w zależności od branży.
- Współpraca z ASI
XI. OBOWIĄZEK INFORMACYJNY. PROBLEMY Z PRZYGOTOWANIEM KLAUZUL OBOWIĄZKÓW INFORMACYJNYCH OKREŚLONYCH W ART. 24 I 25 UODO
XII. UMOWY POWIERZENIA A PRAWO DO KONTROLI PROCESORA TERAZ I W RODO
XIII. JAK SKUTECZNIE ZABEZPIECZAĆ DANE OSOBOWE W ZBIORACH NIEINFORMATYCZNYCH?
- Polityka haseł
- Polityka czystego biurka
- Procedura zarządzania kluczami
- Zasady dostępu do pomieszczeń
- Komputery przenośne i „praca na odległość”
- Komputerowe nośniki informacji
- Kopie bezpieczeństwa
- Zabezpieczenia przed szkodliwym oprogramowaniem,
- Zabezpieczenia kryptograficzne,
- Procedury reagowania na incydenty
II DZIEŃ
I. OGÓLNE ROZPORZĄDZENIE UNIJNE O OCHRONIE DANYCH OSOBOWYCH
- Kiedy rozporządzenie stanie się wiążące i jak się do tego przygotować?
- Bezpośrednie stosowanie ogólnego rozporządzenia do krajowych porządków prawnych,
- Nowe kategorie danych – identyfikatory sieciowe, dane biometryczne w rozporządzeniu unijnym,
- Nowe instytucje dotyczące przetwarzania danych osobowych. Notyfikacja incydentów do GIODO. Prywatność w ustawieniach domyślnych. Nowe formy certyfikacji i oceny zgodności.
- Nowe przesłanki przetwarzania danych osobowych zwykłych oraz wrażliwych,
- Nowe zasady realizacji obowiązku informacyjnego
- Obowiązek informacyjny – porównanie treści obowiązku informacyjnego z ustawy o ochronie danych osobowych oraz w rozporządzeniu,
- Zasada ochrony danych osobowych na etapie projektowania tzw. privacy by design
- Obowiązek informacyjny – porównanie treści obowiązku informacyjnego z ustawy o ochronie danych osobowych oraz w rozporządzeniu
Warsztaty- prawidłowa treść obowiązku informacyjnego,
- Współ-administratorzy czyli wspólne operacje przetwarzania danych osobowych przez kilku administratorów,
- Nowe kompetencje GIODO w GDPR, w tym w szczególności możliwość nakładania kar finansowych
II. DATA PROTECTION OFICER (DPO) CZYLI INSPEKTOR OCHRONY DANYCH OSOBOWYCH PO ZMIANACH
- Status prawny inspektora ochrony danych
- Fakultatywność oraz obligatoryjność powołania Inspektora (DPO)
- Powołanie oraz odwołanie inspektora ochrony danych
- Profilowanie
- Współpraca w sprawach ochrony danych osobowych
III. OMÓWIENIA ZADAŃ INSPEKTORA DANYCH OSOBOWYCH
1. Informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
2. Monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
3. Udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;
4. Współpraca z organem nadzorczym
5. Pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;
6. Pełnienie roli punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.
7. Prowadzenie rejestru czynności lub rejestru kategorii czynności
IV. KTO MOŻE A KTO MUSI WYZNACZYĆ INSPEKTORA?
V. FORMY ZATRUDNIENIA I KWALIFIKACJE DO PEŁNIANIA FUNKCJI WEDŁUG RODO
VI. SANKCJE WEDŁUG RODO
VII. PRZYKŁADOWA DOKUMENTACJA Z ZAKRESU OCHRONY DANYCH OSOBOWYCH- OBECNIE I WEDŁUG RODO (UCZESTNICY OTRZYMAJĄ WZORCOWĄ DOKUMENTACJĘ)
Warsztat: Obligatoryjne i fakultatywne elementy dokumentacji
VIII. ZAGADNIENIA DOTYCZĄCE MONITORINGU WIZYJNEGO
IX. PRZETWARZANIE DANYCH PRACOWNIKÓW
- Obowiązki pracodawcy jako administratora danych osobowych pracownika.
- Czy pracodawca musi dopełnić obowiązku informacyjnego względem pracownika? Czy zbiory kadrowe należy rejestrować?
- Jakie dane może posiadać pracodawca? Wykorzystywanie zaawansowanych systemów do ewidencjonowania pracy, identyfikatory służbowe, książki adresowe ze zdjęciami, witryny intranetowe.
- W jakiej formie pracodawca może przetwarzać dane? Czy pracodawca może kserować dokumenty (dowód osobisty, prawo jazdy, aktu urodzenia dziecka, itd.) pracowników?
- Ochrona wizerunku pracownika w kontekście ustawy o ochronie danych osobowych.
- Zdjęcia na identyfikatorach
- Pracodawca użytkownik – prawa i obowiązki w obszarze ochrony danych osobowych.
- Wykorzystywanie danych pracowniczych do celów ustalania przestępstw popełnionych w ramach stosunku pracy
- Komu i na jakich zasadach wolno udostępnić dane osobowe pracownika?
- Postępowanie z wnioskami Policji, Prokuratury, urzędów, banków, rodziny
o udostępnienie danych osobowych.
- Przetwarzanie danych osobowych pracowników i ich rodzin w związku ze świadczeniami jakie przysługują u Pracodawcy (ZFŚS).
- Dane osobowe a ZFŚS,czy dopuszczalne jest żądanie od pracownika przedłożenia rocznego zeznania podatkowego (PIT) w celu wykazania wysokości dochodu, na potrzeby Zakładowego Funduszu Świadczeń Socjalnych?
- Udzielanie informacji drogą telefoniczną na temat pracowników- najnowsze wytyczne GIODO,
- Czy komornik może żądać od pracodawcy nr rachunkowego dłużnika?
X. REKAPITULACJA I KONSULTACJE PRAWNE
Uczestnicy szkolenia otrzymają w formie elektronicznej wszystkie nowe, niezbędne wzory prawem wymaganej dokumentacji oraz wzory planu sprawdzeń, sprawozdań, wewnętrznego rejestru, przykładowe wystąpienia GIODO do ABI-ego i wielu innych.