Pierwszy dzień szkolenia – część I
-
Źródła prawa i obowiązujące pojęcia
-
omówienie uregulowań prawnych w zakresie ochrony danych osobowych
i bezpieczeństwa informacji na terenie Polski i Unii Europejskiej z uwzględnieniem zmian w roku 2017 i 2018
-
omówienie obowiązków administratorów danych osobowych w świetle omawianych regulacji prawnych
-
Dopuszczalność przetwarzania danych osobowych – podstawy prawne
i analiza pojęć:
-
przepis prawny
-
zgoda – zakres i zasady jej formułowania
-
prawnie usprawiedliwiony cel
-
realizacja umowy
-
dobro publiczne
-
Zasady przetwarzania danych osobowych
-
zakres obowiązków i odpowiedzialności w zakresie powierzania i udostępniania danych osobowych:
-
powierzanie a udostępnianie – podobieństwa i różnice
-
zawieranie umów powierzania danych osobowych
-
udostępnianie i powierzanie przetwarzania danych osobowych za granicę
-
odpowiedzialność za naruszenie zasad ochrony danych osobowych
i bezpieczeństwa informacji
-
Dostęp do informacji publicznej a względu na ochronę danych osobowych
-
relacje między ustawą o ochronie danych osobowych a ustawią o dostępie do informacji publicznej w świetle orzecznictwa sądowego oraz stanowiska GIODO – zasada lex specialis derogat legi generali
-
odmowa udzielenia do informacji publicznej
-
niemożność udzielenia informacji publicznej
-
informacja ustna a obowiązek jej udostępnienia
-
bezczynność w zakresie dostępu do informacji publicznej
-
publikowanie oświadczenia majątkowego zadłużonego posła
-
publikowanie danych o reprezentantach skarbu państwa w Radach Nadzorczych
-
publikowanie w BIP uchwał zawierających dane osobowe
-
Rola administratora danych osobowych w strukturze ochrony danych osobowych
-
regulacje prawne i warunki uprawniające administratora danych do ich przetwarzania
-
rola kierownika jednostki jako administratora danych gromadzonych w związku
z wykonywaniem zadań publicznych
-
kto jest administratorem danych w spółce prawa handlowego: spółka, organy spółki, osoby zasiadające w organach spółki czy osoby pełniące funkcje kierownicze w spółce?
-
podmiot inny niż osoba fizyczna jako administrator danych osobowych
-
Przetwarzanie danych osobowych w kadrach – prawa i obowiązki pracodawcy
-
komu można udostępnić akta osobowe pracowników?
-
czy pracodawca ma obowiązek udostępnienia pracownikowi jego akt osobowych? Jeśli tak, to z jakich regulacji prawnych wynika ten obowiązek? Czy pracownik może wykonywać kserokopie zgromadzonych w tych aktach dokumentów?
-
ochrona danych osobowych w przypadku prowadzenia szczegółowej listy obecności
-
przetwarzanie danych osobowych kandydata do pracy i upoważnienie do podpisania świadectwa pracy
-
stanowisko GIODO w sprawie przechowywania danych w aktach osobowych pracowników
-
zakres danych osobowych, jakich może żądać pracodawca od kandydata do pracy i pracownika
-
Administrator Bezpieczeństwa Informacji
-
charakterystyka pracy w świetle uregulowań prawnych obowiązujących
w Polsce oraz w środowisku międzynarodowym
-
kategorie zagrożeń bezpieczeństwa danych i metody kradzieży danych
-
Kto może pełnić rolę ABI?
-
predyspozycje osobowościowe
-
niezbędne kwalifikacje zawodowe
-
usytuowanie ABI w strukturze jednostki organizacyjnej
-
omówienie najczęściej występujących problemów administratorów bezpieczeństwa informacji
-
Zasady powoływania i odwoływania ABI
-
Obowiązek zgłoszenia ABI do GIODO – dokumentacja i terminy
-
Uprawnienia i obowiązki ABI po nowelizacji ustawy
-
nowe obowiązki kontrolne w zakresie sprawdzania zgodności przetwarzania danych z przepisami ustawy – zakres merytoryczny i terminy sprawdzenia według wytycznych GIODO, sprawozdania z kontroli
-
prowadzenie rejestrów zbiorów danych przetwarzanych w danej jednostce organizacyjnej – zmiany w zakresie i obowiązku rejestracji zbiorów w GIODO
-
obowiązek zapewnienia w jednostce organizacyjnej przestrzegania przepisów o ochronie danych osobowych w myśl art. 36a ust. 2 pkt 1 ustawy o odo
-
sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych
-
nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 ustawy oraz przestrzegania zasad określonych w tej ustawie
-
zarządzanie ryzykiem w zakresie przetwarzania danych osobowych
-
zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych
-
Rejestr przetwarzania danych osobowych – rola i zadania ABI w tym zakresie
-
kto jest zobowiązany do prowadzenia rejestru
-
zakres danych zamieszczanych w rejestrze
-
dopuszczalne formy prowadzenia rejestru
-
zasady udostępniania rejestru; podobieństwa i różnice z dotychczasowym jawnym rejestrem zbiorów danych osobowych prowadzonym przez ABI
-
Rejestrowanie zbiorów danych u GIODO
-
Podstawa prawna obowiązku rejestracyjnego
-
Zbiory danych osobowych zwolnione z obowiązku rejestracji
-
Rejestracja zbiorów danych w praktyce
-
Wypełnianie zgłoszenia rejestracyjnego do GIODO –warsztaty
-
Procedury zabezpieczenia danych osobowych
-
Zakres obowiązku zabezpieczenia danych osobowych
-
Poziomy bezpieczeństwa danych osobowych
-
Środki bezpieczeństwa danych osobowych
-
Odpowiedzialność za naruszenie ustawy o ochronie danych osobowych
-
Odpowiedzialność administracyjna
-
Odpowiedzialność cywilna
-
Odpowiedzialność karna
-
Kompetencje kontrolne Generalnego Inspektora Ochrony Danych Osobowych
-
Podsumowanie pierwszej części szkolenia, dyskusja, konsultacje z trenerem
Pierwszy dzień szkolenia – część II
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – RODO/Rozporządzenie ogólne
-
Aspekty praktyczne wdrożenia RODO jako spójnego narzędzia do stosowania zasad ochrony danych osobowych we wszystkich państwach członkowskich Unii Europejskiej
-
Wpływ regulacji Rozporządzenia ogólnego na przepisy prawa w zakresie ochrony danych osobowych obowiązujące w Polsce
-
Zakres obowiązywania Rozporządzenia w praktyce – dopasowanie przepisów do rodzaju i wielkości jednostki organizacyjnej/przedsiębiorstwa – analiza porównawcza dotychczasowych przepisów z regulacjami wynikającymi
z Rozporządzenia ogólnego – dyskusja moderowana, analiza przypadków
-
Nowe sankcje za niezgodne z prawem przetwarzanie danych osobowych i ich dotkliwość dla administratorów danych osobowych
-
Nowe obowiązki GIODO w przypadku naruszenia przepisów o ochronie danych osobowych oraz trybu składania i rozpatrywania skarg
-
Data protection by design and by default - uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych bez konieczności podejmowania działań przez osoby, których dane dotyczą – analiza przypadków zastosowania zasady w praktyce ze szczególnym uwzględnieniem małych i średnich jednostek organizacyjnych, serwisów społecznościowych itp.
-
Zasada uwzględniania ochrony danych w fazie projektowania i zasada domyślnej ochrony danych w przetargach publicznych
-
Sankcje za naruszenie przez administratora danych osobowych lub procesora obowiązku uwzględniania ochrony danych osobowych w fazie projektowania
i ustawiania mechanizmów ochrony domyślnej
-
Inspektor Ochrony Danych (IOD) w miejsce Administratora Bezpieczeństwa Informacji – zakres kompetencji, kogo i kiedy obejmuje obowiązek wyznaczania IOD – analiza przypadków
-
Obowiązek informacyjny i dostęp do IOD,
-
Uwarunkowania możliwości powołania jednego inspektora dla kilku jednostek organizacyjnych
-
Sankcje dla administratora danych za naruszenie obowiązku powołania IOD
-
Obowiązek dokonywania oceny skutków przetwarzania danych przez administratora przed rozpoczęciem ich przetwarzania
-
Nowe obowiązki i ograniczenia procesorów w zakresie przetwarzania danych osobowych
-
wymóg zgody administratora na dalsze powierzanie przetwarzania danych
-
obowiązek informowania administratora o wszelkich zamierzonych zmianach dotyczących dodatnia lub zastąpienia podmiotów przetwarzających dane
-
prawo sprzeciwu administratora wobec ww. zmian
-
obowiązek rejestrowania wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu administratora
-
Umowa powierzenia danych osobowych a inne instrumenty prawne – warsztat umiejętności konstruowania umowy powierzenia danych osobowych
z uwzględnieniem wymogów wynikających z Rozporządzenia ogólnego oraz praktycznego zastosowania innych instrumentów prawnych w tym zakresie
-
Współadministratorzy i grupy przedsiębiorstw – zakresy praw, obowiązków i odpowiedzialności, warunki wyznaczania IDO
-
Raportowanie naruszenia bezpieczeństwa danych do GIODO zgodnie z art. 33 Rozporządzenia ogólnego – okoliczności i terminy składania raportów, dokumentacja naruszeń a obowiązek składania raportu
-
Obowiązek administratora informowania osoby, której dane dotyczą o wysokim ryzyku naruszenia bezpieczeństwa jej danych (art. 34 ust. 1 i 2 RODO)
-
Katalog danych szczególnych kategorii – nowa terminologia danych, rozszerzenie katalogu
-
Profilowanie danych osobowych – przesłanki, aspekty praktyczne zagadnienia, obowiązek informowania o profilowaniu
-
Rozszerzony obowiązek informacyjny wobec osób, których dane są przetwarzane
-
Przetwarzanie danych dzieci – granica wiekowa, zgoda dziecka, zgoda rodziców lub opiekunów dziecka – analiza przypadków
-
Podsumowanie pierwszego dnia szkolenia, dyskusja, konsultacje z trenerem
Drugi dzień szkolenia – część I
Dokumentacja z zakresu ochrony danych osobowych w jednostkach organizacyjnych – warsztaty tworzenia i wdrażania polityki bezpieczeństwa informacji oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Analiza zagrożeń i ryzyka bezpieczeństwa danych osobowych.
Polityka Bezpieczeństwa Informacji (PBI) – samodzielne tworzenie i techniki wdrażania dokumentu w jednostce organizacyjnej krok po kroku
-
Czym jest polityka bezpieczeństwa i jaki jest cel jej tworzenia w jednostce organizacyjnej – informacje i narzędzia niezbędne do stworzenia dokumentu dla potrzeb danej jednostki organizacyjnej
-
Regulacje prawne i ich praktyczne zastosowanie w tworzeniu dokumentacji polityki bezpieczeństwa informacji
-
Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. z 2016 roku, poz. 922 z późn. zm.)
-
wytyczne GIODO określające sposób przygotowania dokumentacji opisującej politykę bezpieczeństwa w zakresie odnoszącym się do sposobu przetwarzania danych osobowych oraz środków ich ochrony określonych w rozporządzeniu Ministra Spraw Wewnętrznych
i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.
z 2004 roku, Nr 100, poz. 1024 z późn. zm.)
-
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – Rozporządzenie ogólne (RODO)
-
Zakres podmiotowy polityki bezpieczeństwa informacji w świetle aktualnych regulacji prawnych z uwzględnieniem wytycznych i obowiązującego terminu zastosowania rozporządzenia ogólnego (RODO) o ochronie danych osobowych
-
Zakres przedmiotowy polityki bezpieczeństwa – omówienie konstrukcji
i niezbędnych treści, które powinien zawierać dokument określający politykę bezpieczeństwa informacji w jednostce organizacyjnej
-
Dokumentacja polityki bezpieczeństwa informacji w jednostce organizacyjnej (załączniki do PBI) – warsztat samodzielnego tworzenia poszczególnych dokumentów, zgodnie z obowiązującymi wytycznymi oraz trening umiejętności ich praktycznego zastosowania w jednostce organizacyjnej
-
obszar przetwarzania danych osobowych – konstrukcja
i zawartość merytoryczna dokumentu
-
rejestr zbiorów danych osobowych przetwarzanych w jednostce organizacyjnej, zgodnie z wytycznymi Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z 2015 roku, poz. 719 z późn. zm.)
-
wykaz oraz struktura zbiorów danych osobowych wskazujące zawartość poszczególnych pól informacyjnych i powiązania między nimi wraz
z programami zastosowanymi do ich przetwarzania
-
upoważnienie do przetwarzania danych osobowych – zakres merytoryczny i termin obowiązywania dokumentu, obowiązki osoby upoważnionej
-
oświadczenie o zachowaniu poufności w świetle ustawy o ochronie danych osobowych - zakres merytoryczny i przesłanki tworzenia oświadczenia
-
upoważnienie dla ABI
-
wykaz osób upoważnionych do przetwarzania danych osobowych
-
wykaz udostępnień danych osobowych innym podmiotom
-
wykaz podmiotów, którym powierzono przetwarzanie danych osobowych
-
wykaz udostępnień danych osobowych osobom, których dane dotyczą
-
protokół zagrożenia, uchybienia, dziennik uchybień
-
umowa powierzenia przetwarzania danych osobowych
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (IZSI) – samodzielne tworzenie i techniki wdrażania dokumentu
w jednostce organizacyjnej
-
Cel i podstawy tworzenia IZSI w jednostce organizacyjnej
-
Regulacje prawne w zakresie tworzenia instrukcji oraz ich praktyczne zastosowanie w jednostce organizacyjnej
-
Zakres podmiotowy i przedmiotowy dokumentu
-
wskazanie systemów informatycznych w których przetwarzane będą dane osobowe, ich lokalizacji, metod dostępu do systemu
-
procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności
-
stosowane metody i środki uwierzytelnienia oraz procedury związane
z ich zarządzaniem i użytkowaniem
-
procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu
-
procedury tworzenia kopii zapasowych zbiorów danych oraz programów
i narzędzi programowych służących do ich przetwarzania oraz sposób
i miejsce ich przechowywania
-
sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
-
sposób obowiązku odnotowania informacji dla każdej osoby, której dane są przetwarzane w systemie
-
procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych
-
Wdrażanie IZSI w jednostce organizacyjnej krok po kroku, z uwzględnieniem przypadku funkcjonowania więcej, niż jednego systemu informatycznego służącego do przetwarzania danych osobowych
-
Podsumowanie pierwszego dnia szkolenia, dyskusja, konsultacje z trenerem
Drugi dzień szkolenia – część II
Analiza zagrożeń i ryzyka przy przetwarzaniu danych osobowych w jednostce organizacyjnej, sprawozdanie ze sprawdzenia jako obowiązek ABI, zgodnie
z Rozporządzeniem MAiC z dnia 11 maja 2015 roku, audyt bezpieczeństwa informacji – warsztat umiejętności przeprowadzania analizy, sprawdzenia i audytu oraz tworzenia dokumentacji w tym zakresie
Analiza zagrożeń i ryzyka jako główny element procesu zarządzania ryzykiem bezpieczeństwa informacji
-
Cel i wymogi dotyczące terminów przeprowadzania analizy i oceny ryzyka bezpieczeństwa danych osobowych w jednostce organizacyjnej
-
Wymogi ogólne bezpieczeństwa danych osobowych, omówienie pojęć
-
Obszary ryzyka bezpieczeństwa danych osobowych
-
Zasoby i zagrożenia systemu przetwarzania danych osobowych w jednostce organizacyjnej
-
Co oznacza i z czego wynika podatność systemu przetwarzania danych osobowych na zagrożenia
-
Stopień ważności informacji jako element determinujący wysokość strat
w systemie informatycznym po zaistnieniu incydentu
-
Rodzaje zagrożeń dla systemu przetwarzania danych osobowych w jednostce organizacyjnej
-
Wymagania techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzanych lub przechowywanych informacji zawierających dane osobowe
-
Identyfikacja i szacowanie zidentyfikowanych ryzyk w praktyce – warsztaty umiejętności identyfikacji i szacowania ryzyka oraz dokumentowania tego procesu
-
Formułowanie wniosków do analizy zagrożeń i ryzyka bezpieczeństwa informacji – warsztat umiejętności interpretacji uzyskanych danych
-
Analiza zagrożeń i ryzyka bezpieczeństwa danych osobowych – zawartość merytoryczna i konstrukcja dokumentu – warsztaty praktycznych umiejętności tworzenia dokumentu w oparciu o uzyskane dane
-
Sprawozdanie ze sprawdzenia – warsztat praktycznych umiejętności tworzenia sprawozdania ze sprawdzenia
-
Audyt bezpieczeństwa informacji – cel, istota i dokumentacja – warsztat praktycznych umiejętności tworzenia dokumentacji audytu
-
Podsumowanie szkolenia, dyskusja, konsultacje