Ochrona danych osobowych

Start -> Szkolenia -> Warsztaty IOD

NOWOŚĆ!
Warsztaty Inspektorów Ochrony Danych

Poziom: Średnio – zaawansowany / zaawansowany

Cel warsztatu

Nadrzędny cel warsztatów to usystematyzowanie wiedzy z zakresu ochrony danych osobowych i ukierunkowanie jej na właściwie zapoczątkowany proces budowania zgodnego z RODO systemu bezpieczeństwa informacji w organizacji. Zwieńczeniem warsztatu jest ugruntowana, praktyczna wiedza umożliwiająca od podstaw, samodzielne stworzenie a następnie nadzór i rozwój, niezbędnej dokumentacji ochrony danych osobowych zgodnej z aktualnymi przepisami krajowymi oraz nadchodzącymi regulacjami unijnymi.

Adresaci

Warsztaty skierowane są do przyszłych Inspektorów Ochrony Danych oraz obecnych Administratorów Bezpieczeństwa Informacji, kadry kierowniczej oraz osób odpowiedzialnych za bezpieczeństwo informacji w swoich organizacjach.

Metodyka

Wykład, prezentacja multimedialna, indywidualne i grupowe zajęcia warsztatowe oparte o studium przypadku. Uczestnicy warsztatów identyfikują kluczowe problemy oraz analizują możliwe rozwiązania sytuacji przedstawionych w studium. Zajęcia prowadzone są z wykorzystaniem autorskiego zestawu materiałów (ponad 100 stronnicowy zeszyt ćwiczeń i zadań warsztatowych, studium przypadku oraz pomocnicze materiały dodatkowe), które zawierają m.in. formularze, ćwiczenia, instrukcje rozwiązania problemów, arkusze kalkulacyjne. Warsztaty prowadzone są w małych grupach, aby w pełni wykorzystać możliwość wymiany doświadczeń.

Zakładane efekty warsztatu

  • Umiejętność zaprojektowania systemu ochrony danych osobowych.
  • Umiejętność przystosowania istniejącego systemu bezpieczeństwa do wymagań RODO.
  • Przygotowanie organizacji do zmian w przepisach.
  • Umiejętność identyfikowania zbiorów danych osobowych w organizacji.
  • Uzyskanie wiedzy, jak opracować i wdrożyć dokumentację zgodnie z przepisami i standardami.
  • Umiejętność przeprowadzania analizy ryzyka.
  • Umiejętność dobrania adekwatnych zabezpieczeń technicznych i organizacyjnych.
  • Uzyskanie wiedzy, jak efektywnie rozwiązywać problemy związane z przetwarzaniem danych.
  • Umiejętność analizy i zgłaszania incydentów związanych z naruszeniami bezpieczeństwa informacji.
  • Umiejętność opracowania i wdrożenia procedur bezpieczeństwa IT.

Wymagania

Wstępna znajomość krajowych przepisów dot. ochrony danych osobowych oraz projektowanych zmian. Znajomość regulacji unijnych będzie dodatkowo pomocna.

Pozostałe informacje

  • Każdy z uczestników otrzymuje imienny certyfikat potwierdzający ukończenie warsztatów.
  • Uczestnicy otrzymują dostęp do materiałów szkoleniowych oraz szablonów dokumentacji w wersji elektronicznej.
  • Uczestnicy szkolenia posiadają bezpłatny dostęp do eksperckiego bloga.
  • Po szkoleniu zapewniamy bezpłatne, 30 dniowe konsultacje poszkoleniowe.
  • Każdy kolejny uczestnik zgłoszony na szkolenie z tego samego podmiotu otrzyma 5% rabat.
  • Zgłaszając się na szkolenie min. 15 dni roboczych przed terminem szkolenia oferujemy 10% rabatu.
  • Rabaty nie podlegają sumowaniu.
Jesteśmy członkiem PIFS





Najbliższe terminy


28-29 września 2017 r.Termin:
Kraków, ul. Chmieleniec 39Miejsce:
1299 zł nettoCena:
do 22 września 2017 r. Termin rejestracji:
19-20 października 2017 r.Termin:
Gdańsk, ul. Czarny Dwór 4Miejsce:
1299 zł nettoCena:
do 10 października 2017 r. Termin rejestracji:
26-27 października 2017 r.Termin:
Poznań, ul. Dąbrowskiego 79AMiejsce:
1299 zł nettoCena:
do 17 października 2017 r. Termin rejestracji:
15-16 listopada 2017 r.Termin:
Katowice, ul. Szybowcowa 1AMiejsce:
1299 zł nettoCena:
do 7 listopada 2017 r. Termin rejestracji:
22-23 listopada 2017 r.Termin:
Warszawa, Al. Jerozolimskie 81Miejsce:
1299 zł nettoCena:
do 14 listopada 2017 r. Termin rejestracji:
19-20 października 2017 r.Termin:
Gdańsk, ul. Czarny Dwór 4Miejsce:
1299 zł nettoCena:
do 10 października 2017 r.Termin rejestracji:
15-16 listopada 2017 r.Termin:
Katowice, ul. Szybowcowa 1AMiejsce:
1299 zł nettoCena:
do 7 listopada 2017 r. Termin rejestracji:
28-29 września 2017 r.Termin:
Kraków, ul. Chmieleniec 39Miejsce:
1299 zł nettoCena:
do 22 września 2017 r.Termin rejestracji:
26-27 października 2017 r.Termin:
Poznań, ul. Dąbrowskiego 79AMiejsce:
1299 zł nettoCena:
do 17 października 2017 r.Termin rejestracji:
22-23 listopada 2017 r.Termin:
Warszawa, Al. Jerozolimskie 81Miejsce:
1299 zł nettoCena:
do 14 listopada 2017 r.Termin rejestracji:
7-8 grudnia 2017 r.Termin:
Wrocław, ul. Kwiska 1/3Miejsce:
1299 zł nettoCena:
do 29 listopada 2017 r.Termin rejestracji:

Ramowy program szkolenia

Pobierz szczegółowy program szkolenia: plik PDF


I DZIEŃ

8:00

Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie metodyki przeprowadzenia zajęć oraz pracy podczas ćwiczeń.


8:15

Blok I: Wprowadzenie

1.   Podstawy prawne
      a) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679.
      b) Ustawa o ochronie danych osobowych – obecnie i projekt.
      c) Inne przepisy.
2.   Normy, standardy i dobre praktyki
      a) ISO 27001:2014 - szeroki model SZBI.
      b) ISO 27005: - analiza ryzyka.
      c) Cobit 5.
      d) Dobre praktyki PUODO.
      e) Certyfikaty i Kodeksy Postępowania.
3.   Administrator Bezpieczeństwa Informacji vs Inspektor Ochrony Danych
      a) Rola, zakres obowiązków i usytuowanie w strukturze organizacji.
      b) Powołanie ABI i prawidłowe zgłoszenie do rejestru GIODO.
4.   Przypomnienie podstawowych definicji i nowe pojęcia z zakresu ochrony       danych osobowych
      a) Dane osobowe.
      b) Przetwarzanie danych osobowych.
      c) Zbiór danych osobowych.
      d) Dane osobowe wrażliwe i zwykłe.
      e) Dane biometryczne.
      f) Pseudonimizacja.
      g) Profilowanie.

Przykładowe ćwiczenia:
1. Budowanie słownika pojęć i definicji na potrzeby dokumentacji
    przetwarzania.
2. Identyfikacja Administratora Danych Osobowych.
3. Precyzyjne określenie zakresu obowiązków ADO, IOD oraz osób
    zaangażowanych w proces przetwarzania.
4. Zgłoszenie IOD, zgłoszenie ABI do rejestru – różnice i praktyka.

10:15

Przerwa kawowa

10:30

Blok II: System Zarządzania Bezpieczeństwem Informacji

1.   Model PDCA.
      a) Dane biometryczne.
2.   Zasady tworzenia i dystrybucji Dokumentacji Przetwarzania
    w organizacji.
      a) Wymagania UODO i RODO.
      b) Konstrukcja dokumentacji.
      c) Zatwierdzenie dokumentacji.
      d) Osoby odpowiedzialne.
      e) Zakres obowiązywania.
      f) Struktura i forma dokumentacji.
      g) Dystrybucja procedur.
3.   Odpowiedzialność w SZBI.
4.   Podstawowe wymagania dot. funkcjonalności SI.
      a) Definicja Systemu Informatycznego.
      b) Privacy by design.
      c) Privacy by default.
      d) Kontrola dostępu do danych.
      e) Poziomy wymaganych zabezpieczeń.
      f) Obowiązek informacyjny (§ 7 ust. 1 pkt 4.).

Przykładowe ćwiczenia:
1. Dyskusja otwarta na bazie doświadczeń uczestników warsztatów,
    określenie metod dystrybucji najlepszych dla organizacji, które
    reprezentują.
2. Planowanie działań z użyciem modelu PDCA.
3. Zakres obowiązków ADO, ABI (IOD), ASI (opcjonalnie LASI) oraz osób
    upoważnionych.
4. Projektowanie wdrożenia zabezpieczeń aplikacji z uwzględnieniem
    wymagań RODO w oparciu o studium przypadku.

12:30

Przerwa obiadowa

13:15

Blok III: Podejście oparte na ryzyku (Risk Based Approach

1.   Szacowanie ryzyka
      a) Przegląd procesu zarządzania ryzykiem w bezpieczeństwie informacji.
      b) Dostępne narzędzia.
      c) Czym jest Risk Based Approach w rozumieniu RODO.
2.   Analiza ryzyka w praktyce
      a) Identyfikacja aktywów podstawowych.
          - Zbiory danych osobowych
          - Proces profilowania.
      b) Identyfikacja zasobów i wdrożonych zabezpieczeń.
          - Systemy IT w procesie przetwarzania.
          - Modele współpracy systemów informatycznych ze zbiorami danych.
          - Struktura i przepływ danych.
      c) Identyfikacja zagrożeń i podatności.
      d) Metoda jakościowa – szacowanie prawdopodobieństwa, wyznaczanie
          poziomu ryzyka.
      e) Postępowanie z ryzykiem.

Przykładowe ćwiczenia:
1. Identyfikacja zbiorów danych osobowych w oparciu o studium przypadku.
2. Omówienie podstaw prawnych do przetwarzania danych osobowych
    w rozpoznanych zbiorach.
3. Zapoznanie się z katalogami potencjalnych zagrożeń – uzupełnienie
    przykładów w oparciu o dyskusję.
4. Zapoznanie się z katalogiem przykładowych podatności.
5. Przykłady zidentyfikowanych aktywów – sesja „burzy mózgów”.
6. Przykłady typowych zagrożeń.
7. Analiza przypadku oszacowania ryzyka jakościowego dla potrzeb
    bezpieczeństwa systemu teleinformatycznego, w którym przetwarzane
    są dane osobowe wrażliwe.

15:00

Przerwa kawowa

15:15

Blok IV: Monitorowanie, utrzymanie i doskonalenie systemu bezpieczeństwa

1.   Rejestracja i procedowanie naruszeń
      a) Raportowanie incydentów.
      b) Instrukcja alarmowa.
      c) Dzienniki zdarzeń.
      d) Zgłaszanie naruszeń do organu nadzorczego (72h).
      e) Automatyzacja procesu.
2.   Ocena skutków przetwarzania
      a) Mechanizmy kontroli ryzyka.
      b) Kontrole inspektorów GIODO (PUODO).

Przykładowe ćwiczenia:
1. Praca w grupie, opracowanie i omówienie przykładowych zdarzeń
    stanowiących incydenty bezpieczeństwa

16:45

Podsumowanie pierwszego dnia warsztatów. Dyskusja.



II DZIEŃ

8:00

Powitanie uczestników, krótkie podsumowanie poprzedniego dnia szkolenia


8:15

Blok V: Opracowanie i wdrożenie polityk ochrony danych

1.   Bezpieczeństwo osobowe
      a) W trakcie rekrutacji, podczas i po ustaniu zatrudnienia.
      b) Szkolenia osób upoważnionych.
      c) Upoważnienie do przetwarzania danych osobowych.
      d) Oświadczenie o zachowaniu tajemnicy i właściwej realizacji
          przepisów.
      e) Umowy z podmiotami zewnętrznymi.
      f) Udostępnianie danych.
2.   Bezpieczeństwo fizyczne i środowiskowe
      a) Środki ochrony budowlane i mechaniczne.
3.   Codzienne zadania IOD
      a) Rejestr Czynności Przetwarzania.

Przykładowe ćwiczenia:
1. Analiza treści upoważnienia oraz oświadczenia osób upoważnionych
2. Przygotowanie upoważnień adekwatnych do zakresu obowiązków
    pracownika – analiza przypadku
3. Przygotowanie ewidencji osób upoważnionych do przetwarzania danych
    osobowych
4. Ewidencja a rejestr zbiorów – różnice.
5. Analiza przypadku udostępnienia danych osobowych na wniosek
6. Analiza przypadku powierzenia danych osobowych
7. Analiza przypadku zgłoszenia zbioru danych osobowych

10:15

Przerwa kawowa

10:30

Blok VI: Opracowanie i wdrożenie procedur bezpieczeństwa IT

1.   Wstęp – przypomnienie definicji i podstawowych pojęć
2.   Tworzenie procedur
      a) Czym są procedury i jaki jest cel ich tworzenia.
      b) Praca z procedurami – czyli co, kto i kiedy.
      c) Uproszczony proces pisania procedury.
3.   Bezpieczeństwo eksploatacji systemów informatycznych
      a) Bezpieczeństwo użytkowników i stacji roboczych.
      b) Profilaktyka antywirusowa.
      c) Kopie zapasowe.
      d) Kryptografia.
4.   Zarządzanie bezpieczeństwem sieci
      a) Usługi sieciowe – zabezpieczenie i dostęp.
      b) Szyfrowanie ruchu sieciowego.
      c) Poczta elektroniczna.
5.   Współpraca z firmami zewnętrznymi
      a) Udostępnianie danych osobowych.
      b) Nadzorowanie prac.

Przykładowe ćwiczenia:
1. Prawidłowe i nieprawidłowe procedury wykonywania kopii zapasowych
    – analiza przypadków.
2. Przygotowanie procedury – praca w zespołach.
3. Zarządzanie hasłami.

12:30

Przerwa obiadowa

13:15

Blok VII: Wewnętrzny audyt zgodności

1.   Obowiązek zapewnienia okresowego audytu
      a) Podstawy prawne.
      b) Wybór osób lub podmiotów prowadzących audyt.
2.   Metody audytowania
3.   Cel, zakres i kryteria audytu
4.   Proces audytu
      a) Przygotowanie działań.
      b) Przeprowadzenie działań.
      c) Przygotowanie raportu.
      d) Zakończenie.
      e) Działania po audytowe.
5.   Sprawozdania i raporty
      a) Plan i zakres sprawdzenia.
      b) Sprawozdanie ze sprawdzenia (dla GIODO, dla ADO).

Przykładowe ćwiczenia:
1. Przygotowanie planu audytu
2. Przygotowania planu, programu i sprawozdania ze sprawdzenia
3. Przygotowanie dokumentów roboczych
4. Pobieranie dowodów z audytu - w oparciu o dostarczone scenariusze
    audytowe oraz wywiad z prowadzącym szkolenie

15:00

Przerwa kawowa.

15:15

Blok VIII: Podsumowanie

1.   Podsumowanie zagadnień omawianych w trakcie warsztatów
2.   Dyskusja, pytania
3.   Wydanie certyfikatów ukończenia szkolenia

15:45

Blok VIII: Egzamin kompetencji ABI/IOD

1.   Wprowadzenie, uwagi techniczne do egzaminu.
2.   Egzamin
      a) Część teoretyczna – test: czas 20 minut.
      b) Część praktyczna – zadania: czas 40 minut.

Prowadzący szkolenie

Jacek Siwek - Doświadczony trener z zakresu ochrony danych osobowych i bezpieczeństwa systemów informatycznych, certyfikowany administrator systemów Red Hat Linux (RHCSA), specjalista w dziedzinie zarządzania projektami informatycznymi (certyfikat PRINCE2 Practitioner) oraz bezpieczeństwa teleinformatycznego. Posiada wieloletnie doświadczenie w zakresie współpracy z jednostkami samorządu terytorialnego w dziedzinach: ochrona danych osobowych, bezpieczeństwo informacji, administracja oraz wdrażanie systemów informatycznych.

Robert Zgarda - Administrator bezpieczeństwa informacji, audytor wiodący ISO/IEC 27001, szkoleniowiec, specjalista w zakresie przepisów prawnych dotyczących ochrony danych osobowych, informatyk. Absolwent Studiów Podyplomowych Wyższej Szkoły Zarządzania i Bankowości w Krakowie - "Ochrona danych osobowych i informacji prawnie chronionych w administracji i biznesie". Wyróżnia go nie tylko doświadczenie zawodowe, ale także metodyczne przygotowanie do prowadzenia szkoleń. Praktyk, z wieloletnim doświadczeniem w zakresie tworzenia i wdrażania systemów zarządzania bezpieczeństwem danych osobowych w podmiotach publicznych i prywatnych. Jego zaletą jest multidyscyplinarność, zdobyta podczas kilkuset godzin konsultacji i szkoleń prowadzonych dla przedstawicieli różnych firm i instytucji.

Zapewniamy

  • komfort zajęć – dogodna lokalizacja sal szkoleniowych, catering
  • optymalne warunki do nauki – małe grupy, jasne, wyposażone w sprzęt multimedialny sale szkoleniowe
  • Certyfikat Ukończenia Szkolenia - potwierdzający zdobyte kwalifikacje i umiejętności
  • niezbędne materiały szkoleniowe
  • wzory dokumentacji przetwarzania danych osobowych
  • dostęp do opieki poszkoleniowej

Z naszych usług skorzystali m.in.:

  • REAC Poland Sp. z o.o.
  • NZOZ GRO-MEDICUS SP. z o.o.
  • Neptis S.A.
  • Centrozłom Wrocław S.A.
  • IFAS SP. Z O.O. SK
  • Mr Hamburger S.A.
  • NYSAGAZ Sp. z o.o.
  • KW S.A. Oddział KWK "Pokój"
  • Okręgowa Komisja Egzaminacyjna we Wrocławiu
  • PZU Pomoc S.A.
  • Zakłady Chemiczne "ORGANIKA-AZOT" SA
  • Gmina Miejska Kraków
  • Starostwo Powiatowe w Chrzanowie
  • "ALWERNIA" S.A.
  • Fabryka Elementów Złącznych S.A.
  • Narodowe Centrum Kultury
  • Poznańskie Zakłady Zielarskie Herbapol S.A.
  • Centrum Ratownictwa Gliwice
  • Stowarzyszenie Pomocy Dzieciom i Młodzieży "DOM ANIOŁÓW STRÓŻÓW"
  • Zarząd Mienia Komunalnego - Lewin Brzeski Sp. z o.o.
  • FORTUNATO S.A.
  • Narodowy Fundusz Zdrowia
  • Armatoora S.A.
  • Walcownia Metali "DZIEDZICE" S.A.
  • Ogólnopolskie Towarzystwo Ochrony Zwierząt OTOZ ANIMALS
  • Oddział Zabezpieczenia Żandarmerii Wojskowej
  • Rettig Heating Sp. z o.o.
  • Polski Związek Motorowy
  • Powiatowy Ośrodek Interwencji Kryzysowej
  • Agencja Mienia Wojskowego