Ochrona danych osobowych

Kompendium
Inspektorów Ochrony Danych

Poziom: Średni

Cel szkolenia

Celem kompleksowego 4-dniowego Kompendium IOD jest uzyskanie praktycznej wiedzy dotyczącej nowych zasad ochrony danych osobowych określonych w RODO w zestawieniu z obecnymi przepisami prawa, a przede wszystkim uzyskanie praktycznego przygotowania do samodzielnego wykonywania obowiązków Inspektora Ochrony Danych.

Adresaci

Kompendium IOD skierowane jest do obecnych i przyszłych Inspektorów Ochrony Danych, kadry kierowniczej oraz osób odpowiedzialnych za bezpieczeństwo informacji w swoich organizacjach.

Metodyka

Wykład, prezentacja multimedialna, indywidualne i grupowe zajęcia warsztatowe oparte o studium przypadku. Uczestnicy warsztatów identyfikują kluczowe problemy oraz analizują możliwe rozwiązania sytuacji przedstawionych w studium. Zajęcia prowadzone są m.in. z wykorzystaniem autorskiego zestawu materiałów (ponad 100 stronnicowy zeszyt ćwiczeń i zadań warsztatowych, studium przypadku oraz pomocnicze materiały dodatkowe), które zawierają m.in. formularze, ćwiczenia, instrukcje rozwiązania problemów, arkusze kalkulacyjne. Warsztaty prowadzone są w małych grupach, aby w pełni wykorzystać możliwość wymiany doświadczeń.

Zakładane efekty kursu

  • Uzyskanie wiedzy, jak realizować zadania przypisane IOD/DPO
  • Umiejętność zaprojektowania systemu ochrony danych osobowych
  • Umiejętność przystosowania istniejącego systemu bezpieczeństwa do wymagań RODO
  • Uzyskanie wiedzy, jak przygotować organizację do zmian w przepisach
  • Umiejętność identyfikowania zbiorów danych osobowych w organizacji
  • Uzyskanie wiedzy, jak opracować i wdrożyć dokumentację zgodnie z przepisami i standardami
  • Poznanie metodologii przeprowadzania analizy ryzyka
  • Umiejętność dobrania adekwatnych zabezpieczeń technicznych i organizacyjnych
  • Uzyskanie wiedzy, jak efektywnie rozwiązywać problemy związane z przetwarzaniem danych
  • Poznanie zasad analizy i zgłaszania incydentów związanych z naruszeniami bezpieczeństwa informacji
  • Umiejętność opracowania i wdrożenia procedur bezpieczeństwa IT
  • Kompetencje społeczne
  • Praca zespołowa w zakresie rozwiązywania problemów związanych z ochroną danych osobowych

Wymagania

Podstawowa znajomość obecnych przepisów prawa dotycząca ochrony danych osobowych będzie dodatkowo pomocna.

Pozostałe informacje

  • Cena szkolenia obejmuje: uczestnictwo w szkoleniu, materiały szkoleniowe, piśmiennicze, przerwy kawowe, obiad, certyfikat.
  • Szkolenie zakończone jest egzaminem kompetencji zawodowych.
  • Każdy z uczestników (po zaliczonym egzaminie) otrzymuje imienny certyfikat potwierdzający zdobycie kompetencji w zakresie pełnienia funkcji Inspektora Ochrony Danych.
  • Każdy z uczestników otrzymuje dodatkowo imienny certyfikat potwierdzający udział w szkoleniu.
  • Uczestnicy otrzymują dostęp do materiałów szkoleniowych oraz szablonów dokumentacji w wersji elektronicznej.
  • Po szkoleniu zapewniamy bezpłatne, 30 dniowe konsultacje poszkoleniowe.
  • Każdy kolejny uczestnik zgłoszony na szkolenie z tego samego podmiotu otrzyma 5% rabat.

Najbliższe terminy


26-29 listopada 2018 r.Termin:
Gdańsk, ul. Czarny Dwór 4Miejsce:
2199 zł nettoCena:
do 20 listopada 2018 r. Termin rejestracji:
10-13 grudnia 2018 r.Termin:
Poznań, ul. Dąbrowskiego 79AMiejsce:
2199 zł nettoCena:
do 11 grudnia 2018 r. Termin rejestracji:
17-20 grudnia 2018 r.Termin:
Katowice, ul. Szybowcowa 1AMiejsce:
2199 zł nettoCena:
do 4 grudnia 2018 r. Termin rejestracji:
8-11 stycznia 2019 r.Termin:
Warszawa, Al. Jerozolimskie 81Miejsce:
2199 zł nettoCena:
do 2 stycznia 2019 r. Termin rejestracji:
17-20 grudnia 2018 r.Termin:
Katowice, ul. Szybowcowa 1AMiejsce:
2199 zł nettoCena:
do 4 grudnia 2018 r. Termin rejestracji:
10-13 grudnia 2018 r.Termin:
Poznań, ul. Dąbrowskiego 79AMiejsce:
2199 zł nettoCena:
do 11 grudnia 2018 r.Termin rejestracji:
8-11 stycznia 2019 r.Termin:
Warszawa, Al. Jerozolimskie 81Miejsce:
2199 zł nettoCena:
do 2 stycznia 2019 r.Termin rejestracji:
26-29 listopada 2018 r.Termin:
Gdańsk, ul. Czarny Dwór 4Miejsce:
2199 zł nettoCena:
do 20 listopada 2018 r.Termin rejestracji:

Ramowy program Kompendium IOD/DPO

I DZIEŃ

9:00

Blok I:
Co to jest RODO ?

1.   Reforma ram prawnych ochrony danych osobowych w UE
2.   RODO - Kluczowe zmiany
3.   Terytorialny zakres stosowania RODO

Blok II:
Podstawowe pojęcia z zakresu ochrony danych osobowych

1.   Dane osobowe
      a) Co jest, a co nie daną osobową ?
      b) Dane wrażliwe/szczególna kategoria danych.
2.   Przetwarzanie danych
3.   Profilowanie danych
4.   Pseudonimizacja i anonimizacja danych
5.   Zbiór danych
      a) Jak wyodrębnić zbiór danych osobowych ?
      b) Omówienie przykładowych zbiorów danych osobowych.
6.   Administrator danych i współadministratorzy
7.   Odbiorca danych
8.   Inspektor ochrony danych (DPO/IOD)

Blok III:
Zasady dotyczące przetwarzania danych osobowych

1.   Ogólne zasady
      a) Zgodność z prawem, rzetelność i przejrzystość
      b) Ograniczenie celu
      c) Minimalizacja danych
      d) Prawidłowość
      e) Ograniczenie przechowywania
      f) Poufność i integralność danych
      g) Rozliczalność
2.   Podstawy prawne przetwarzania danych osobowych
3.   Nowe zasady wyrażania zgody na przetwarzanie danych

10:30

Przerwa kawowa

10:45

Blok IV:
Realizacja obowiązku informacyjnego

1.   O czym informować ?
2.   Wyjątki

Blok V:
Uprawnienia osób, których dane dotyczą

1.   Prawo do przejrzystości danych
2.   Prawo dostępu do danych
3.   Prawo do sprostowania i usunięcia danych
4.   Prawo do ograniczenia przetwarzania
5.   Prawo do przenoszenia danych
6.   Prawo do sprzeciwu
7.   Prawa związane z profilowaniem danych

12:45

Przerwa obiadowa

13:30

Blok VI:
Obowiązki Administratora Danych

1.   Stosowanie mechanizmów ochrony danych - privacy by design, privacy         by default
2.   Rejestrowanie czynności przetwarzania danych
3.   Zgłaszanie naruszeń ochrony danych do organu nadzorczego
4.   Zawiadamianie osób, których dane dotyczą o naruszeniach
5.   Zabezpieczenie danych osobowych
      a) stosowanie wewnętrznych polityk
      b) wdrożenie technicznych i organizacyjnych środków ochrony danych
      c) zapewnienie poufności, integralności, dostępności i odporności                   systemów i usług
      d) zapewnienie ciągłości działania
      e) testowanie, mierzenie i ocena skuteczności ochrony danych
6.   Ocena skutków dla ochrony danych
7.   Szacowanie ryzyka

Blok VII:
Przetwarzanie danych w imieniu administratora danych

1.   Warunki powierzenia danych osobowych
2.   Obowiązki podmiotu przetwarzającego dane
3.   Odpowiedzialność podmiotu przetwarzającego dane
4.   Rejestrowanie wszystkich kategorii czynności przetwarzania

Blok VIII:
Odpowiedzialność za naruszenie przepisów

1.   Administracyjne kary pieniężne
2.   Odpowiedzialność cywilna
3.   Odpowiedzialność karna

Blok IX:
Nowa ustawa o ochronie danych osobowych - wybrane zagadnienia

1.   Inspektor Ochrony Danych
2.   Nowy organ nadzorczy
3.   Akredytacja i certyfikacja

15:45

Podsumowanie pierwszego dnia szkolenia. Dyskusja.



II DZIEŃ

9:00

Powtórka materiału z poprzedniego dnia szkolenia.

9:15

Blok X: Inspektor ochrony danych (DPO/IOD) w świetle Rozporządzenia

1.   Czy inspektor ochrony danych to ABI ?
2.   Status inspektora ochrony danych
      a) organizacyjna autonomiczność
      b) tajemnica zawodowa
3.   Kto może zostać DPO/IOD ?
4.   Kiedy należy wyznaczyć inspektora ochrony danych ?
5.   DPO/IOD w grupie kapitałowej
6.   Zadania inspektora
      a) informowanie o obowiązkach wynikających z przepisów prawa
      b) nadzór nad przestrzeganiem przepisów prawa
      c) szkolenia
      d) audyty
      e) współpraca z organem nadzorczym
      f) pełnie funkcji punktu kontaktowego
      g) konsultacje w zakresie oceny skutków dla ochrony danych
7.   Odpowiedzialność inspektora ochrony danych

10:30

Przerwa kawowa

10:45

Blok XI: Bezpieczeństwo danych osobowych

1.   Bezpieczeństwo danych osobowych a bezpieczeństwo informacji
2.   Zagrożenia związane z bezpieczeństwem danych osobowych
      a) Co to jest zagrożenie ?
      b) Rodzaje zagrożeń i sposoby przeciwdziałania
      c) Zarządzanie incydentami związanymi z bezpieczeństwem danych
          osobowych
3.   Bezpieczeństwo fizyczne i środowiskowe
4.   Bezpieczeństwo osobowe
5.   Bezpieczeństwo teleinformatyczne
6.   Wewnętrzne polityki bezpieczeństwa
      a) Wskazówki dot. przygotowania i wdrożenia wewnętrznych polityk
      b) Omówienie przykładowych polityk:
          - Polityka stosowania urządzeń mobilnych
          - Polityka czystego biurka i czystego ekranu
          - Polityka zarządzania nośnikami wymiennymi
          - Polityka kontroli dostępu do danych osobowych
          - Polityka stosowania zabezpieczeń kryptograficznych
          - Polityka przesyłania danych osobowych
      c) Pozostała dokumentacja z zakresu ochrony danych
          - Upoważnienia
          - Ewidencje
          - Oświadczenia
7.   Aspekty bezpieczeństwa danych osobowych w ciągłości działania

12:45

Przerwa obiadowa

13:30

Blok XII: Szacowanie ryzyka

1.   Jak szacować ryzyko związane z przetwarzaniem danych osobowych
2.   Identyfikacja ryzyka
3.   Analiza ryzyka
4.   Ocena ryzyka
5.   Postępowanie z ryzykiem szczątkowym

15:45

Podsumowanie drugiego dnia szkolenia. Dyskusja.



III DZIEŃ

8:00

Blok XIII: Wprowadzenie do części warsztatowej szkolenia

1.   Omówienie celów i agendy warsztatów.
2.   Omówienie spraw organizacyjnych.

8:20

Blok XIV: Projektowanie procesu ochrony danych osobowych

1.   Budowanie kontekstu prawnego organizacji.
2.   Podstawowe definicje RODO.
3.   Identyfikowanie Administratora Danych.
4.   Reprezentacja Administratora Danych.
5.   Inspektor Ochrony Danych – analiza przesłanek prawnych wyznaczenia IOD w organizacji.
6.   Identyfikacja stanowisk, których współdzielenie z funkcją IOD może generować konflikt interesów.
7.   Wskazywanie ról i odpowiedzialności w procesie zarządzania bezpieczeństwem informacji.
8.   Ochrona danych osobowych w kontekście zarządzania bezpieczeństwem informacji – Model PDCA.

Przykładowe ćwiczenia: określanie otoczenia prawnego, budowanie słownika definicji, oznaczanie ADO – IOD, precyzyjne określanie obowiązków podmiotów, przypisywanie działań do poszczególnych etapów modelu PDCA.

10:00

Przerwa kawowa

10:15

Blok XV: Powierzenie przetwarzania danych osobowych

1.   Powierzenie przetwarzania czy udostepnienie danych – decyzja o konieczności zawarcia umowy powierzenia przetwarzania danych.
2.   Jak skonstruować skuteczną umowę powierzenia przetwarzania danych.
3.   Weryfikacja potencjalnego procesora pod kątem zapewnienia stosowania wymogów RODO.

Przykładowe ćwiczenia: ocena przypadków przetwarzania danych pod kątem podjęcia decyzji o zawarciu umowy powierzenia przetwarzania danych, konstruowanie umowy powierzenia przetwarzania danych

11:15

Blok XVI: Podejście oparte na ryzyku - część I

1.   Inwentaryzacja aktywów mających wpływ na przetwarzanie informacji.
2.   Identyfikacja obszarów przetwarzania danych osobowych.
3.   Konstruowanie rejestru czynności przetwarzania.

12:30

Przerwa obiadowa

13:15

Blok XVI: Podejście oparte na ryzyku - część II

1.   Identyfikowanie zagrożeń i podatności aktywów.
2.   Wskazywanie następstw zmaterializowania się zagrożeń.
3.   Szacowanie poziomu ryzyka.
4.   Ocena ryzyka.
5.   Plan postępowania z ryzykiem.

Przykładowe ćwiczenia: Identyfikowanie aktywów, określanie obszarów przetwarzania danych, prowadzenie rejestru czynności przetwarzania, identyfikowanie zagrożeń i podatności, analiza i ocena ryzyka, postępowanie z ryzykiem.

15:00

Przerwa kawowa

15:15

Blok XVII: Projektowanie i prowadzenie szkoleń dotyczących ochrony danych osobowych

1.   Znaczenie profilaktyki w procesie ochrony danych osobowych.
2.   Metodyka prowadzenia szkoleń.
3.   Sekret skutecznego szkolenia z ochrony danych osobowych.
4.   Sampling wystąpień szkoleniowych.

Przykładowe ćwiczenia: przygotowanie i przeprowadzenie krótkiego szkolenia z ochrony danych osobowych.

16:45

Podsumowanie dnia warsztatów.



IV DZIEŃ

8:00

Krótkie przypomnienie treści poprzedniego dnia warsztatów.


8:20

Blok XVIII: Ocena skutków dla ochrony danych (DPIA)

1.   Przypadki wymagające przeprowadzenia DPIA.
2.   Role i odpowiedzialność za przeprowadzenie DPIA w organizacji.
3.   Udzielanie zaleceń co do oceny skutków dla ochrony danych.

Przykładowe ćwiczenia: wskazywanie ról i odpowiedzialności w procesie realizowania DPIA.

8:45

Blok XIX: Wewnętrzne procedury bezpieczeństwa informacji

1.   Czym są procedury i jaki jest cel ich tworzenia.
2.   Elementy procedur.
3.   Uproszczony proces pisania procedury.

Przykładowe ćwiczenia: identyfikowanie i kompletowanie elementów wybranych procedur, tworzenie procedury nadawania uprawnień do systemu informatycznego.

9:45

Przerwa kawowa

10:00

Blok XX: Zarządzanie incydentami

1.   Incydent bezpieczeństwa informacji a incydent dot. naruszenia ochrony danych.
2.   Charakter incydentu z punktu widzenia naruszenia poufności, integralności i dostępności i integralności danych.
3.   Obsługa incydentów w organizacji – wewnętrzny tryb procedowania.
4.   Postępowanie wyjaśniające.
5.   Przesłanki notyfikowania incydentów do organu nadzorczego.
6.   Informowanie o incydencie osoby, której dane dotyczą.
7.   Ewidencja incydentów.

Przykładowe ćwiczenia: ocena incydentów pod kątem notyfikacji do organu nadzorczego, praktyczna obsługa incydentu, wypełnianie zgłoszenia naruszenia ochrony danych, zgłaszanie incydentu do organu nadzorczego, informowanie o incydencie osoby, której dane dotyczą.

11:00

Blok XXI: Monitorowanie przestrzegania przepisów dot. ODO - część I

1.   Metody audytowania.
2.   Cel, zakres i kryteria audytu.
3.   Fazy czynności audytowych - część I.

12:30

Przerwa obiadowa

13:15

Blok XXI: Monitorowanie przestrzegania przepisów dot. ODO - część II

1.   Fazy czynności audytowych - część II.
2.   Gromadzenie środków dowodowych.
3.   Dokumentowanie faktów kontrolnych.
4.   Sprawozdanie z przeprowadzonych czynności audytowych.

Przykładowe ćwiczenia: wskazywanie faz czynności audytowych i przyporządkowanie im wskazanych działań, badanie wybranych dokumentów pod kątem zgodności z RODO (klauzula zgody, klauzula informacyjna, upoważnienie do przetwarzania danych, wniosek o udostępnienie danych, procedura ewidencji nośników danych), wizja lokalna w pomieszczeniach służbowych, wypełnianie protokołu po audytowego

15:00

Przerwa kawowa.

15:15

Podsumowanie warsztatów

1.   Pytania
2.   Wydanie certyfikatów ukończenia szkolenia

15:45

Blok XXII: Egzamin kompetencji IOD

1.   Wprowadzenie, uwagi techniczne do egzaminu.
2.   Egzamin
      a) Część teoretyczna – test: czas 20 minut.
      b) Część praktyczna – zadania: czas 40 minut.

Prowadzący szkolenie

Robert Zgarda - Inspektor Ochrony Danych, audytor wiodący ISO/IEC 27001, szkoleniowiec, specjalista w zakresie przepisów prawnych dotyczących ochrony danych osobowych, informatyk. Absolwent Studiów Podyplomowych Wyższej Szkoły Zarządzania i Bankowości w Krakowie - "Ochrona danych osobowych i informacji prawnie chronionych w administracji i biznesie". Wyróżnia go nie tylko doświadczenie zawodowe, ale także metodyczne przygotowanie do prowadzenia szkoleń. Praktyk, z wieloletnim doświadczeniem w zakresie tworzenia i wdrażania systemów zarządzania bezpieczeństwem danych osobowych w podmiotach publicznych i prywatnych. Jego zaletą jest multidyscyplinarność, zdobyta podczas kilkuset godzin konsultacji i szkoleń prowadzonych dla przedstawicieli różnych firm i instytucji.

Jacek Siwek - Inspektor Ochrony Danych, doświadczony trener z zakresu ochrony danych osobowych i bezpieczeństwa systemów informatycznych, certyfikowany administrator systemów Red Hat Linux (RHCSA), specjalista w dziedzinie zarządzania projektami informatycznymi (certyfikat PRINCE2 Practitioner) oraz bezpieczeństwa teleinformatycznego. Posiada wieloletnie doświadczenie w zakresie współpracy z jednostkami samorządu terytorialnego w dziedzinach: ochrona danych osobowych, bezpieczeństwo informacji, administracja oraz wdrażanie systemów informatycznych.

Paweł Czapnik - audytor wewnętrzny, wieloletni Administrator Bezpieczeństwa Informacji, obecnie Inspektor Ochrony Danych. Szkoleniowiec/wykładowca, audytor wewnętrzny SZBI zgodnego z PN-ISO/IEC 27001. Posiada wieloletnie doświadczenie w zakresie wdrażania Systemów Zarządzania Bezpieczeństwem Informacji, ze szczególnym uwzględnieniem zasad ochrony danych osobowych oraz audytowania w/w obszarów. Tematyką bezpieczeństwa informacji i ochrony danych osobowych zajmuje się od 2008 r. Wykładowca studiów podyplomowych z zakresu ochrony danych osobowych. Realizuje audyty z zakresu ochrony danych osobowych, bezpieczeństwa informacji oraz KRI. Współpracuje w tym zakresie między innymi z przedsiębiorstwami, j.s.t. i fundacjami realizującymi projekty dofinansowane z UE. W wolnych chwilach publikuje teksty branżowe z zakresu wpływu RODO na różne dziedziny życia.

Radosław Konopka - certyfikowany trener oraz audytor normy ISO 27001, specjalista w zakresie bezpieczeństwie informacji oraz incydentów w ochronie danych. Pełnomocnik ds. ochrony informacji niejawnych. Praktyk z wieloletnim stażem w sektorze publicznym wcześniej jako Administrator Bezpieczeństwa Informacji, teraz jako Inspektor Ochrony Danych. Absolwent Uniwersytetu Mikołaja Kopernika w Toruniu, Wyższej Szkoły Informatyki Stosowanej i Zarządzania w Warszawie na kierunku „Zarządzanie Bezpieczeństwem Informacji”.

Zapewniamy

  • komfort zajęć – dogodna lokalizacja sal szkoleniowych, catering
  • optymalne warunki do nauki – małe grupy, jasne, wyposażone w sprzęt multimedialny sale szkoleniowe
  • Certyfikat Ukończenia Szkolenia - potwierdzający zdobyte kompetencje i umiejętności
  • niezbędne materiały szkoleniowe
  • wzory dokumentacji przetwarzania danych osobowych
  • dostęp do opieki poszkoleniowej

Z naszych usług skorzystali m.in.:

  • 11 Wojskowy Oddział Gospodarczy
  • Polska Agencja Kosmiczna
  • Narodowe Centrum Kultury
  • Starostwo Powiatowe w Krakowie
  • Akademia Obrony Narodowej
  • Wojewódzki Urząd Pracy w Lublinie
  • Izba Skarbowa w Krakowie
  • Hispano-Suiza Polska Sp. z o.o.
  • Bartolini Air Sp z o.o.
  • Union Knopf Polska Sp.z o.o.
  • Polski Tabor Szynowy Sp. z o.o.
  • Związek Komunalny "Komunikacja Międzygminna" w Chrzanowie
  • Wyższa Szkoła Oficerska Wojsk Lądowych we Wrocławiu
  • Krakowskie Biuro Geodezji i Terenów Rolnych w Krakowie
  • Ogólnopolskie Towarzystwo Ochrony Zwierząt OTOZ ANIMALS
  • KW S.A. Oddział KWK "Pokój"
  • Rudzka Agencja Rozwoju "Inwestor" Sp. z o.o.
  • Górnośląskie Przedsiębiorstwo Wodociągów S.A.
  • Wojewódzki Inspektorat Transportu Drogowego w Krakowie
  • Walcownia Metali "DZIEDZICE" S.A.
  • Teatr "Łaźnia Nowa" w Krakowie
  • Prokuratura Okręgowa we Wrocławiu
  • KGHM Metraco S.A.
  • Operator Logistyczny Paliw Płynnych Sp. z o.o.
  • Spółdzielnia Mieszkaniowa "BRÓDNO"
  • Zakład Utylizacji Odpadów w Katowicach
  • Zakład Komunikacji Publicznej Suchy Las Sp. z o. o.
  • OPTIDATA Sp. z o.o.
  • Port Lotniczy Łódź im. Wł. Reymonta
  • Polskie Sieci Elektroenergetyczne S.A.