Pierwszy dzień szkolenia – część I - dla zaawansowanych
- Źródła prawa i obowiązujące pojęcia
- omówienie uregulowań prawnych w zakresie ochrony danych osobowych
i bezpieczeństwa informacji na terenie Polski i Unii Europejskiej z uwzględnieniem zmian w roku 2017 i 2018 - omówienie obowiązków administratorów danych osobowych w świetle omawianych regulacji prawnych
- Dopuszczalność przetwarzania danych osobowych – podstawy prawne
i analiza pojęć:
- przepis prawny
- zgoda – zakres i zasady jej formułowania
- prawnie usprawiedliwiony cel
- realizacja umowy
- dobro publiczne
- Zasady przetwarzania danych osobowych
- zakres obowiązków i odpowiedzialności w zakresie powierzania i udostępniania danych osobowych:
- powierzanie a udostępnianie – podobieństwa i różnice
- zawieranie umów powierzania danych osobowych
- udostępnianie i powierzanie przetwarzania danych osobowych za granicę
- odpowiedzialność za naruszenie zasad ochrony danych osobowych
i bezpieczeństwa informacji
- Dostęp do informacji publicznej a względu na ochronę danych osobowych
- relacje między ustawą o ochronie danych osobowych a ustawią o dostępie do informacji publicznej w świetle orzecznictwa sądowego oraz stanowiska GIODO – zasada lex specialis derogat legi generali
- odmowa udzielenia do informacji publicznej
- niemożność udzielenia informacji publicznej
- informacja ustna a obowiązek jej udostępnienia
- bezczynność w zakresie dostępu do informacji publicznej
- publikowanie oświadczenia majątkowego zadłużonego posła
- publikowanie danych o reprezentantach skarbu państwa w Radach Nadzorczych
- publikowanie w BIP uchwał zawierających dane osobowe
- Rola administratora danych osobowych w strukturze ochrony danych osobowych
- regulacje prawne i warunki uprawniające administratora danych do ich przetwarzania
- rola kierownika jednostki jako administratora danych gromadzonych w związku
z wykonywaniem zadań publicznych - kto jest administratorem danych w spółce prawa handlowego: spółka, organy spółki, osoby zasiadające w organach spółki czy osoby pełniące funkcje kierownicze w spółce?
- podmiot inny niż osoba fizyczna jako administrator danych osobowych
- Przetwarzanie danych osobowych w kadrach – prawa i obowiązki pracodawcy
- komu można udostępnić akta osobowe pracowników?
- czy pracodawca ma obowiązek udostępnienia pracownikowi jego akt osobowych? Jeśli tak, to z jakich regulacji prawnych wynika ten obowiązek? Czy pracownik może wykonywać kserokopie zgromadzonych w tych aktach dokumentów?
- ochrona danych osobowych w przypadku prowadzenia szczegółowej listy obecności
- przetwarzanie danych osobowych kandydata do pracy i upoważnienie do podpisania świadectwa pracy
- stanowisko GIODO w sprawie przechowywania danych w aktach osobowych pracowników
- zakres danych osobowych, jakich może żądać pracodawca od kandydata do pracy i pracownika
- Administrator Bezpieczeństwa Informacji
- charakterystyka pracy w świetle uregulowań prawnych obowiązujących
w Polsce oraz w środowisku międzynarodowym - kategorie zagrożeń bezpieczeństwa danych i metody kradzieży danych
- Kto może pełnić rolę ABI?
- predyspozycje osobowościowe
- niezbędne kwalifikacje zawodowe
- usytuowanie ABI w strukturze jednostki organizacyjnej
- omówienie najczęściej występujących problemów administratorów bezpieczeństwa informacji
- Zasady powoływania i odwoływania ABI
- Obowiązek zgłoszenia ABI do GIODO – dokumentacja i terminy
- Uprawnienia i obowiązki ABI po nowelizacji ustawy
- nowe obowiązki kontrolne w zakresie sprawdzania zgodności przetwarzania danych z przepisami ustawy – zakres merytoryczny i terminy sprawdzenia według wytycznych GIODO, sprawozdania z kontroli
- prowadzenie rejestrów zbiorów danych przetwarzanych w danej jednostce organizacyjnej – zmiany w zakresie i obowiązku rejestracji zbiorów w GIODO
- obowiązek zapewnienia w jednostce organizacyjnej przestrzegania przepisów o ochronie danych osobowych w myśl art. 36a ust. 2 pkt 1 ustawy o odo
- sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych
- nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 ustawy oraz przestrzegania zasad określonych w tej ustawie
- zarządzanie ryzykiem w zakresie przetwarzania danych osobowych
- zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych
- Rejestr przetwarzania danych osobowych – rola i zadania ABI w tym zakresie
- kto jest zobowiązany do prowadzenia rejestru
- zakres danych zamieszczanych w rejestrze
- dopuszczalne formy prowadzenia rejestru
- zasady udostępniania rejestru; podobieństwa i różnice z dotychczasowym jawnym rejestrem zbiorów danych osobowych prowadzonym przez ABI
- Rejestrowanie zbiorów danych u GIODO
- Podstawa prawna obowiązku rejestracyjnego
- Zbiory danych osobowych zwolnione z obowiązku rejestracji
- Rejestracja zbiorów danych w praktyce
- Wypełnianie zgłoszenia rejestracyjnego do GIODO –warsztaty
- Procedury zabezpieczenia danych osobowych
- Zakres obowiązku zabezpieczenia danych osobowych
- Poziomy bezpieczeństwa danych osobowych
- Środki bezpieczeństwa danych osobowych
- Odpowiedzialność za naruszenie ustawy o ochronie danych osobowych
- Odpowiedzialność administracyjna
- Odpowiedzialność cywilna
- Odpowiedzialność karna
- Kompetencje kontrolne Generalnego Inspektora Ochrony Danych Osobowych
- Podsumowanie pierwszej części szkolenia, dyskusja, konsultacje z trenerem
Pierwszy dzień szkolenia – część II - dla zaawansowanych
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – RODO/Rozporządzenie ogólne
- Aspekty praktyczne wdrożenia RODO jako spójnego narzędzia do stosowania zasad ochrony danych osobowych we wszystkich państwach członkowskich Unii Europejskiej
- Wpływ regulacji Rozporządzenia ogólnego na przepisy prawa w zakresie ochrony danych osobowych obowiązujące w Polsce
- Zakres obowiązywania Rozporządzenia w praktyce – dopasowanie przepisów do rodzaju i wielkości jednostki organizacyjnej/przedsiębiorstwa – analiza porównawcza dotychczasowych przepisów z regulacjami wynikającymi
z Rozporządzenia ogólnego – dyskusja moderowana, analiza przypadków - Nowe sankcje za niezgodne z prawem przetwarzanie danych osobowych i ich dotkliwość dla administratorów danych osobowych
- Nowe obowiązki GIODO w przypadku naruszenia przepisów o ochronie danych osobowych oraz trybu składania i rozpatrywania skarg
- Data protection by design and by default - uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych bez konieczności podejmowania działań przez osoby, których dane dotyczą – analiza przypadków zastosowania zasady w praktyce ze szczególnym uwzględnieniem małych i średnich jednostek organizacyjnych, serwisów społecznościowych itp.
- Zasada uwzględniania ochrony danych w fazie projektowania i zasada domyślnej ochrony danych w przetargach publicznych
- Sankcje za naruszenie przez administratora danych osobowych lub procesora obowiązku uwzględniania ochrony danych osobowych w fazie projektowania
i ustawiania mechanizmów ochrony domyślnej - Inspektor Ochrony Danych (IOD) w miejsce Administratora Bezpieczeństwa Informacji – zakres kompetencji, kogo i kiedy obejmuje obowiązek wyznaczania IOD – analiza przypadków
- Obowiązek informacyjny i dostęp do IOD,
- Uwarunkowania możliwości powołania jednego inspektora dla kilku jednostek organizacyjnych
- Sankcje dla administratora danych za naruszenie obowiązku powołania IOD
- Obowiązek dokonywania oceny skutków przetwarzania danych przez administratora przed rozpoczęciem ich przetwarzania
- Nowe obowiązki i ograniczenia procesorów w zakresie przetwarzania danych osobowych
- wymóg zgody administratora na dalsze powierzanie przetwarzania danych
- obowiązek informowania administratora o wszelkich zamierzonych zmianach dotyczących dodatnia lub zastąpienia podmiotów przetwarzających dane
- prawo sprzeciwu administratora wobec ww. zmian
- obowiązek rejestrowania wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu administratora
- Umowa powierzenia danych osobowych a inne instrumenty prawne – warsztat umiejętności konstruowania umowy powierzenia danych osobowych
z uwzględnieniem wymogów wynikających z Rozporządzenia ogólnego oraz praktycznego zastosowania innych instrumentów prawnych w tym zakresie - Współadministratorzy i grupy przedsiębiorstw – zakresy praw, obowiązków i odpowiedzialności, warunki wyznaczania IDO
- Raportowanie naruszenia bezpieczeństwa danych do GIODO zgodnie z art. 33 Rozporządzenia ogólnego – okoliczności i terminy składania raportów, dokumentacja naruszeń a obowiązek składania raportu
- Obowiązek administratora informowania osoby, której dane dotyczą o wysokim ryzyku naruszenia bezpieczeństwa jej danych (art. 34 ust. 1 i 2 RODO)
- Katalog danych szczególnych kategorii – nowa terminologia danych, rozszerzenie katalogu
- Profilowanie danych osobowych – przesłanki, aspekty praktyczne zagadnienia, obowiązek informowania o profilowaniu
- Rozszerzony obowiązek informacyjny wobec osób, których dane są przetwarzane
- Przetwarzanie danych dzieci – granica wiekowa, zgoda dziecka, zgoda rodziców lub opiekunów dziecka – analiza przypadków
- Podsumowanie pierwszego dnia szkolenia, dyskusja, konsultacje z trenerem
Drugi dzień szkolenia – część I - dla zaawansowanych
Dokumentacja z zakresu ochrony danych osobowych w jednostkach organizacyjnych – warsztaty tworzenia i wdrażania polityki bezpieczeństwa informacji oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Analiza zagrożeń i ryzyka bezpieczeństwa danych osobowych.
Polityka Bezpieczeństwa Informacji (PBI) – samodzielne tworzenie i techniki wdrażania dokumentu w jednostce organizacyjnej krok po kroku
- Czym jest polityka bezpieczeństwa i jaki jest cel jej tworzenia w jednostce organizacyjnej – informacje i narzędzia niezbędne do stworzenia dokumentu dla potrzeb danej jednostki organizacyjnej
- Regulacje prawne i ich praktyczne zastosowanie w tworzeniu dokumentacji polityki bezpieczeństwa informacji
- Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. z 2016 roku, poz. 922 z późn. zm.)
- wytyczne GIODO określające sposób przygotowania dokumentacji opisującej politykę bezpieczeństwa w zakresie odnoszącym się do sposobu przetwarzania danych osobowych oraz środków ich ochrony określonych w rozporządzeniu Ministra Spraw Wewnętrznych
i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.
z 2004 roku, Nr 100, poz. 1024 z późn. zm.) - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – Rozporządzenie ogólne (RODO)
- Zakres podmiotowy polityki bezpieczeństwa informacji w świetle aktualnych regulacji prawnych z uwzględnieniem wytycznych i obowiązującego terminu zastosowania rozporządzenia ogólnego (RODO) o ochronie danych osobowych
- Zakres przedmiotowy polityki bezpieczeństwa – omówienie konstrukcji
i niezbędnych treści, które powinien zawierać dokument określający politykę bezpieczeństwa informacji w jednostce organizacyjnej - Dokumentacja polityki bezpieczeństwa informacji w jednostce organizacyjnej (załączniki do PBI) – warsztat samodzielnego tworzenia poszczególnych dokumentów, zgodnie z obowiązującymi wytycznymi oraz trening umiejętności ich praktycznego zastosowania w jednostce organizacyjnej
- obszar przetwarzania danych osobowych – konstrukcja
i zawartość merytoryczna dokumentu - rejestr zbiorów danych osobowych przetwarzanych w jednostce organizacyjnej, zgodnie z wytycznymi Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z 2015 roku, poz. 719 z późn. zm.)
- wykaz oraz struktura zbiorów danych osobowych wskazujące zawartość poszczególnych pól informacyjnych i powiązania między nimi wraz
z programami zastosowanymi do ich przetwarzania - upoważnienie do przetwarzania danych osobowych – zakres merytoryczny i termin obowiązywania dokumentu, obowiązki osoby upoważnionej
- oświadczenie o zachowaniu poufności w świetle ustawy o ochronie danych osobowych - zakres merytoryczny i przesłanki tworzenia oświadczenia
- upoważnienie dla ABI
- wykaz osób upoważnionych do przetwarzania danych osobowych
- wykaz udostępnień danych osobowych innym podmiotom
- wykaz podmiotów, którym powierzono przetwarzanie danych osobowych
- wykaz udostępnień danych osobowych osobom, których dane dotyczą
- protokół zagrożenia, uchybienia, dziennik uchybień
- umowa powierzenia przetwarzania danych osobowych
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (IZSI) – samodzielne tworzenie i techniki wdrażania dokumentu
w jednostce organizacyjnej
- Cel i podstawy tworzenia IZSI w jednostce organizacyjnej
- Regulacje prawne w zakresie tworzenia instrukcji oraz ich praktyczne zastosowanie w jednostce organizacyjnej
- Zakres podmiotowy i przedmiotowy dokumentu
- wskazanie systemów informatycznych w których przetwarzane będą dane osobowe, ich lokalizacji, metod dostępu do systemu
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności
- stosowane metody i środki uwierzytelnienia oraz procedury związane
z ich zarządzaniem i użytkowaniem - procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów
i narzędzi programowych służących do ich przetwarzania oraz sposób
i miejsce ich przechowywania - sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
- sposób obowiązku odnotowania informacji dla każdej osoby, której dane są przetwarzane w systemie
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych
- Wdrażanie IZSI w jednostce organizacyjnej krok po kroku, z uwzględnieniem przypadku funkcjonowania więcej, niż jednego systemu informatycznego służącego do przetwarzania danych osobowych
- Podsumowanie pierwszego dnia szkolenia, dyskusja, konsultacje z trenerem
Drugi dzień szkolenia – część II - dla zaawansowanych
Analiza zagrożeń i ryzyka przy przetwarzaniu danych osobowych w jednostce organizacyjnej, sprawozdanie ze sprawdzenia jako obowiązek ABI, zgodnie
z Rozporządzeniem MAiC z dnia 11 maja 2015 roku, audyt bezpieczeństwa informacji – warsztat umiejętności przeprowadzania analizy, sprawdzenia i audytu oraz tworzenia dokumentacji w tym zakresie
Analiza zagrożeń i ryzyka jako główny element procesu zarządzania ryzykiem bezpieczeństwa informacji
- Cel i wymogi dotyczące terminów przeprowadzania analizy i oceny ryzyka bezpieczeństwa danych osobowych w jednostce organizacyjnej
- Wymogi ogólne bezpieczeństwa danych osobowych, omówienie pojęć
- Obszary ryzyka bezpieczeństwa danych osobowych
- Zasoby i zagrożenia systemu przetwarzania danych osobowych w jednostce organizacyjnej
- Co oznacza i z czego wynika podatność systemu przetwarzania danych osobowych na zagrożenia
- Stopień ważności informacji jako element determinujący wysokość strat
w systemie informatycznym po zaistnieniu incydentu - Rodzaje zagrożeń dla systemu przetwarzania danych osobowych w jednostce organizacyjnej
- Wymagania techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzanych lub przechowywanych informacji zawierających dane osobowe
- Identyfikacja i szacowanie zidentyfikowanych ryzyk w praktyce – warsztaty umiejętności identyfikacji i szacowania ryzyka oraz dokumentowania tego procesu
- Formułowanie wniosków do analizy zagrożeń i ryzyka bezpieczeństwa informacji – warsztat umiejętności interpretacji uzyskanych danych
- Analiza zagrożeń i ryzyka bezpieczeństwa danych osobowych – zawartość merytoryczna i konstrukcja dokumentu – warsztaty praktycznych umiejętności tworzenia dokumentu w oparciu o uzyskane dane
- Sprawozdanie ze sprawdzenia – warsztat praktycznych umiejętności tworzenia sprawozdania ze sprawdzenia
- Audyt bezpieczeństwa informacji – cel, istota i dokumentacja – warsztat praktycznych umiejętności tworzenia dokumentacji audytu
- Podsumowanie szkolenia, dyskusja, konsultacje