Szkolenie Zawodowe dla Administratorów Bezpieczeństwa Informacji – VIII EDYCJA (4 dni)

• sprawdzanie zgodności przetwarzania danych osobowych z wymogami prawa
• opracowywanie sprawozdań z przeprowadzonych sprawdzeń
• nadzorowanie opracowania i aktualizowania dokumentacji z zakresu ochrony danych osobowych
• przeprowadzanie szkoleń i instruktaży z zakresu ochrony danych osobowych
• inne obowiązki ABI wynikające z aktualnych przepisów prawa
• porównanie dotychczasowych obowiązków ABI z kompetencjami ustawowymi wprowadzonymi nowelizacją
• jak zmienił się sposób realizacji zadań przez ABI od momentu wejścia w życie nowelizacji ustawy?

• wymagane ustawowo kompetencje do pełnienia funkcji ABI
• nowe zasady podległości służbowej Administratora Bezpieczeństwa Informacji w ramach organizacji
• zakaz powierzania Administratorowi Bezpieczeństwa Informacji dodatkowych zadań, które utrudniają lub uniemożliwiają prawidłowe pełnienie obowiązków na gruncie ochrony danych osobowych
• obowiązek zapewnienia środków niezbędnych do niezależnego wypełniania zadań przez ABI
• możliwość wyznaczenia zastępców Administratora Bezpieczeństwa Informacji – zasady powoływania
• obowiązek zgłoszenia Administratora Bezpieczeństwa Informacji przez Administratora Danych do rejestru prowadzonego przez GIODO – ćwiczenie, opracowanie projektu wniosku zgłaszającego ABI do rejestru

• sposoby powołania Administratora Bezpieczeństwa Informacji w organizacji
• modelowanie stanowiska Administratora Bezpieczeństwa Informacji w strukturze organizacyjnej
• możliwy udział Administratora Bezpieczeństwa Informacji we wdrożonych systemach bezpieczeństwa w organizacji
• zasady podległości służbowej przy wykonywaniu zadań ABI
• wewnętrzne procedury umożliwiające realizację przez Administratora Bezpieczeństwa Informacji nowych obowiązków ustawowych:
  • sprawdzenia planowe i pozaplanowe
  • sprawozdawczość dla Administratora Danych i GIODO
  • nadzór nad opracowaniem i aktualizacją dokumentacji z zakresu ochrony danych osobowych
  • zapewnianie odpowiedniej znajomości przepisów ustawy o ochronie danych osobowych przez osoby upoważnione do przetwarzania danych
  • prowadzenie rejestru zbiorów danych osobowych i upublicznianie jego treści
  • pełnienie roli „punktu kontaktowego” dla obywateli i organu kontrolnego
• prezentacja zmienionego stanowiska ABI w organizacji - ćwiczenie
  • komunikacja wewnętrzna ABI z Zarządem i kadrą kierowniczą firmy/instytucji
  • spotkanie prezentujące kadrze kierowniczej zmiany w sposobie funkcjonowania ABI i płynących z tego korzyściach
• opracowanie prezentacji multimedialnej mającej na celu „przedstawienie” nowej roli Administratora Bezpieczeństwa Informacji w organizacji

• zasady prowadzenia sprawdzeń planowych
  • obowiązek realizacji sprawdzeń planowych na podstawie opracowanego planu sprawdzeń
• zasady i przypadki obligatoryjnego przeprowadzenia sprawdzenia pozaplanowego
• przeprowadzenie sprawdzenia na żądanie GIODO – zasady prawidłowego postępowania
• wymagany zakres sprawdzeń planowych i pozaplanowych
• opracowanie, wdrożenie i realizacja okresowych planów sprawdzeń przez ABI – ćwiczenie
• przedstawienie planu sprawdzeń do wiadomości Administratora Danych
• opracowanie programu konkretnego sprawdzenia przez Administratora Bezpieczeństwa Informacji – ćwiczenie
• ustalenie zakresu czynności do realizacji podczas planowanego sprawdzenia
• zakres uprawnień audytorskich i kontrolnych Administratora Bezpieczeństwa Informacji w ramach prowadzonego sprawdzenia
  • zbieranie ustnych i pisemnych wyjaśnień od osób objętych sprawdzeniem
  • przeprowadzenie oględzin miejsc objętych sprawdzeniem
  • uzyskiwanie dostępu do urządzeń, nośników i systemów informatycznych służących do przetwarzania danych osobowych
  • analizowanie dokumentów dotyczących przetwarzania danych osobowych
  • inne uprawnienia
• powiadamianie pracowników Administratora Danych o objęciu ich czynnościami sprawdzenia – reguły właściwego postępowania
• wymagania prawne odnośnie przeprowadzania sprawdzenia przez ABI w systemach i infrastrukturze informatycznej
• zasady dokumentowania czynności podejmowanych przez Administratora Bezpieczeństwa Informacji podczas poszczególnych działań sprawdzających
  • sporządzanie notatek z przeprowadzonych czynności - wzór
  • protokoły odebrania ustnych wyjaśnień - wzór
  • protokoły z przeprowadzonych oględzin - wzór
  • sporządzanie kopii otrzymanych do analizy dokumentów – zasady bezpiecznego kopiowania
  • tworzenie kopii obrazów z monitora komputera – zasady postępowania
  • sporządzanie kopii logów i rejestrów systemów informatycznych, w których są przetwarzane dane osobowe – zasady współpracy ze służbami informatycznymi
  • inne możliwe sposoby dokumentowania podjętych czynności przez ABI
• prawo żądania przez Administratora Bezpieczeństwa Informacji wydania opinii w przedmiocie sprawdzenia przez zewnętrznego eksperta
• zasady i okres przechowywania dokumentacji z przeprowadzonych sprawdzeń

• rodzaje dokumentów obligatoryjnych z zakresu ochrony danych osobowych, które należy wdrożyć
  w firmie/instytucji
• dokumenty fakultatywne, których wdrożenie nie jest obwarowane przepisami lecz wynika z dobrych praktyk działalności Administratora Bezpieczeństwa Informacji
• relacja Polityki bezpieczeństwa oraz Instrukcji zarządzania systemami informatycznymi do innych regulacji dotyczących ochrony danych osobowych
• zasady przeprowadzania weryfikacji przez Administratora Bezpieczeństwa Informacji opracowania
  i kompletności dokumentacji przetwarzania danych – badanie formalnej zgodności dokumentacji
  z wymaganiami przepisów prawa
• reguły przeprowadzania oceny zgodności dokumentacji z aktualnymi przepisami prawa – prowadzenie monitoringu przepisów prawa przez ABI
• kryteria przeprowadzania oceny stanu faktycznego w zakresie przetwarzania danych osobowych opisanego w dokumentacji – przeglądy aktualności opracowanej dokumentacji
• badanie poziomu przestrzegania zasad i wytycznych określonych w dokumentacji przez osoby upoważnione do przetwarzania danych osobowych – czynności kontrolne ABI
• obowiązek przeprowadzania weryfikacji dokumentacji przetwarzania danych w ramach sprawdzeń planowych i pozaplanowych realizowanych przez ABI
• udział Administratora Bezpieczeństwa Informacji w realizacji procedur określonych w dokumentacji przetwarzania danych osobowych i wynikające z tego konsekwencje w kontekście przeprowadzanych okresowych weryfikacji dokumentacji
• zasady postępowania ABI w przypadku wykrycia nieprawidłowości w dokumentacji przetwarzania danych
  • obowiązek zawiadomienia Administratora Danych o wykrytych nieprawidłowościach lub brakach
    w dokumentacji
  • przedstawienie propozycji działań naprawczych oraz projektów zmian w dokumentacji
  • pouczenie lub poinstruowanie osób nieprzestrzegających zasad określonych w dokumentacji przetwarzania danych
  • zawiadomienie Administratora Danych o osobach, które dopuściły się naruszeń zasad określonych w dokumentacji przetwarzania danych

• ustalenie zasobów podlegających ochronie na gruncie ustawy o ochronie danych osobowych – zbiory danych osobowych
• zasady prawidłowej inwentaryzacji zbiorów danych osobowych:
  • kryteria inwentaryzacji zbiorów danych
  • zakres informacji niezbędny do inwentaryzacji zbiorów
  • określenie sposobu przetwarzania danych w zbiorach
  • zakres przetwarzanych danych w zbiorze
  • badanie obowiązku rejestracji zbioru w rejestrze GIODO
• nadzór nad legalnością przetwarzania danych osobowych w poszczególnych zbiorach:
  • podstawy prawne umożliwiające przetwarzanie danych „zwykłych”
  • wybrane podstawy prawne umożliwiające przetwarzanie danych wrażliwych

• obowiązki Administratora Bezpieczeństwa Informacji związane ze wstępnym badaniem procesów związanych z przekazywaniem danych osobowych podmiotom trzecim:
  • ustalenie statusu prawnego na gruncie ustawy o ochronie danych osobowych podmiotu, który przekazuje dane oraz podmiotu, który je otrzymuje
  • ustalenie statusu prawnego przekazania danych – udostępnienie lub powierzenie danych osobowych do przetwarzania
  • identyfikacja podstawy prawnej przekazania danych
  • opiniowanie umów, na mocy których następuje przekazanie danych osobowych do podmiotów trzecich
• powierzenie danych osobowych do przetwarzania jako jedna z form prawnych przekazania danych osobowych:
  • wymogi prawne związane z powierzeniem danych osobowych do przetwarzania
  • umowa powierzenia danych osobowych:
    • niezbędne elementy umowy powierzenia danych osobowych do przetwarzania
    • forma zawarcia umowy powierzenia danych
    • zasady negocjacji i zawierania umów związanych z powierzaniem danych osobowych do przetwarzania
•  udostępnianie danych osobowych innym podmiotom pełniącym funkcję administratorów danych:
  • badanie podstaw prawnych udostępnienia danych osobowych
  • udostępnianie danych osobowych podmiotom upoważnionym na podstawie szczególnych przepisów prawa – przykłady
  • udostępnianie danych osobowych podmiotom nieupoważnionym na podstawie szczególnych przepisów prawa
• jak w praktyce odróżnić proces powierzenia danych osobowych od procesu udostępniania danych?
  • istota pojęcia „udostępnienia” danych
  • różnice prawne pomiędzy udostępnieniem i powierzeniem do przetwarzania danych osobowych
  • konsekwencje prawne zastosowania poszczególnych form przekazania danych
• znowelizowane zasady przekazywania danych osobowych do państw trzecich i związane z tym konsekwencje prawne:
  • pojęcie „państwa trzeciego” na gruncie ustawy o ochronie danych osobowych
  • przykłady przekazywania danych osobowych do państw trzecich w ramach codziennego funkcjonowania organizacji
  • podstawy prawne przekazania danych osobowych do państw trzecich – przykłady zastosowania
    w praktyce
  • problemy ze stosowaniem wybranych podstaw prawnych w kontekście funkcjonowania organizacji
  • alternatywne rozwiązania prawne zapewniające legalność przekazywania danych osobowych do państw trzecich – umowa o transfer danych, wiążące reguły korporacyjne, zgoda GIODO na transfer danych

• zasady prawidłowego stosowania klauzul informacyjnych określonych w art. 24 i 25 ustawy o ochronie danych osobowych:
  • rozróżnienie przypadków, w których należy dopełnić obowiązek informacyjny określony w art. 24 oraz 25 ustawy o ochronie danych osobowych
  • ustalenie kręgu osób, wobec których należy spełnić obowiązek informacyjny
  • ustalenie momentu, w którym należy dopełnić obowiązku
  • ustalenie sposobu spełnienia klauzuli informacyjnej i związane z tym możliwości wykazania faktu spełnienia obowiązku od strony dowodowej:
    • forma ustna a forma elektroniczna oraz pisemna realizacji obowiązku – wady i zalety zastosowania
    • procedury wewnętrzne związane ze sposobem spełnienia obowiązku informacyjnego jako  rozwiązanie zapewniające dodatkowy materiał dowodowy na wypadek kontroli GIODO
    • praktyczne formy wypełniania obowiązku informacyjnego
    • przykłady klauzul informacyjnych
    • badanie prawidłowości konstrukcji klauzuli - ĆWICZENIE
• nadzór nad realizacją obowiązków informacyjnych oraz korekcyjnych na żądanie osoby, której dane są przetwarzane:
  • możliwy zakres żądania osoby, której dane są przetwarzane w organizacji
  • forma zgłaszanego żądania
  • zalecane sposoby rozpatrywania żądania
  • zasady pozyskiwania informacji niezbędnych do udzielenia odpowiedzi na żądanie
  • możliwe formy i zakres udzielanej odpowiedzi
  • zasady realizacji zgłoszonych żądań w zakresie obowiązków korekcyjnych:
    • ustosunkowanie się do żądania uzupełnienia, uaktualnienia lub sprostowania danych osobowych, a także czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia
    • reagowanie na żądanie zaprzestania przetwarzania danych ze względu na szczególną sytuację osoby, której dane są przetwarzane
    • przypadki zaistnienia obowiązku uwzględnienia sprzeciwu na przetwarzanie danych i związane z nimi konsekwencje prawne

• zasady właściwego postępowania przy ocenie obowiązku rejestracji konkretnych zbiorów danych:
• ustalenie katalogu zbiorów danych osobowych podlegających obowiązkowi rejestracji
• najczęstsze przypadki zwolnienia zbioru danych osobowych z obowiązku rejestracji – przykłady zastosowania ustawowych zwolnień w praktyce
• zwolnienie z obowiązku rejestracji zbiorów danych nie zawierających tzw. danych wrażliwych
• aktualne wymagania prawne odnośnie postępowania w przypadku zbiorów danych zawierających dane wrażliwe
• zakres informacji niezbędnych do wypełnienia wniosku rejestracyjnego oraz sposoby ich pozyskiwania
• zasady składania wniosków do rejestracji, a także wniosków aktualizacyjnych i o wykreślenie zbioru danych
• sposób rozpatrywania przez GIODO zgłoszonych wniosków oraz możliwe decyzje wydane w tym zakresie
• sposoby wypełniania wniosku rejestracyjnego, wypełnienie przykładowego wniosku – ĆWICZENIE

• ocena poziomu spełnienia wymogów prawnych w zakresie stosowanych środków bezpieczeństwa
  w strukturze informatycznej:
  • zabezpieczenia stacji roboczych, laptopów oraz serwerów
  • zarządzanie dostępem do zasobów sieciowych organizacji
  • komunikowanie się z zasobami sieciowymi organizacji na odległość i związane z tym wymogi techniczne
  • zarządzanie nośnikami danych w przypadku ich awarii oraz ustania przydatności
  • tworzenie kopii baz danych zasobów informatycznych
  • korzystanie ze wsparcia zewnętrznych podmiotów wyspecjalizowanych w obsłudze obszaru IT
• weryfikacja zabezpieczenia danych osobowych przetwarzanych przez użytkowników systemów informatycznych:
  • zabezpieczenia stosowane wobec przetwarzanych danych osobowych w systemach informatycznych
  • sposoby uwierzytelniania użytkowników w systemach informatycznych
  • wymogi prawne w zakresie odnotowywania przeprowadzanych operacji na danych osobowych w systemach informatycznych
  • inne środki bezpieczeństwa obligatoryjnie wymagane do zastosowania wobec systemów informatycznych

• stosowane metody zabezpieczenia danych osobowych w obszarze organizacyjnym:
  • określenie procesu nadawania dostępu do danych osobowych poszczególnym osobom – upoważnienia do przetwarzania danych osobowych
  • prowadzenie ewidencji osób przetwarzających dane osobowe
  • omówienie praktycznych wskazówek, w jaki sposób prowadzić ewidencję wydanych upoważnień
    bez nadmiernego wysiłku administracyjnego
  • procedura nadawania uprawnień w systemach informatycznych a procedura nadawania upoważnień do przetwarzania danych osobowych – określenie wzajemnej zależności i stopnia powiązania
  • wymogi prawne w zakresie stosowania klauzul związanych z obowiązkiem zachowania tajemnicy
  • szkolenia z zakresu ochrony danych osobowych oraz instruktaże stanowiskowe
• fizyczne środki ochrony danych osobowych:
  • najczęściej stosowane środki ochrony fizycznej w praktyce
  • rodzaje zabezpieczeń fizycznych wymaganych obligatoryjnie na podstawie przepisów prawa
    z zakresu ochrony danych osobowych
  • sposoby weryfikacji zabezpieczeń fizycznych w organizacji
  • podstawowe zasady ochrony, których stosowania należy wymagać od osób upoważnionych
    do przetwarzania danych osobowych          

• wymagany ustawowo zakres Sprawozdania
• zasady opracowywania Sprawozdania w formie papierowej i elektronicznej
• terminy opracowania przez ABI treści Sprawozdania, określone w przepisach prawa:
  • termin opracowania Sprawozdania ze sprawdzenia planowego
  • termin opracowania Sprawozdania ze sprawdzenia pozaplanowego
  • wymagany czas na opracowanie Sprawozdania ze sprawdzenia zrealizowanego na żądanie GIODO
• opracowanie przykładowej treści Sprawozdania – ćwiczenie
• obowiązek okresowego przechowywania treści opracowanych przez ABI Sprawozdań

• zasady udziału ABI w procedurze nadawania, zmiany i odbierania upoważnień do przetwarzania danych osobowych oraz procedurze nadawania, zmiany i cofania uprawnień w systemach informatycznych służących do przetwarzania danych osobowych:
  • możliwe obowiązki ABI w ramach procedury nadawania, zmiany i odbierania upoważnień do przetwarzania danych osobowych
  • jak zrealizować w praktyce funkcję nadzoru ABI w procedurze nadawania, zmiany i odbierania uprawnień do systemów informatycznych?

• rodzaje zbiorów danych jakie powinny znaleźć się w rejestrze prowadzonym przez ABI
• wymagany zakres informacji jakie musi znaleźć się w  rejestrze zbiorów danych
• zasady pozyskiwania informacji niezbędnych do prowadzenia rejestru zbiorów danych
• możliwe sposoby aktualizowania treści rejestru, prowadzenie wykazu zmian
• zasady prowadzenia rejestru zbiorów w formie papierowej i elektronicznej
• zasady ujawniania treści rejestru zbiorów w zależności formy w jakiej jest prowadzony (papierowa, elektroniczna)
• opracowanie wzorcowego rejestru zbiorów danych osobowych przez ABI - ćwiczenie

• ustawowy obowiązek zapewnienia przez ABI zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych
• możliwe sposoby realizacji kompetencji szkoleniowych przez ABI:
  • bezpośrednie szkolenia
  • instruktaże i wytyczne prawidłowego postępowania
  • prezentacje multimedialne i e-learning
  • pisemne rekomendacje i wskazówki dla osób upoważnionych
  • inne
• moment spełnienia obowiązku szkoleniowego wobec osób upoważnionych do przetwarzania danych
• minimalny zakres informacji jaki powinien być przekazywany osobom upoważnionym w ramach działań szkoleniowych ABI – propozycja tematyczna
• uprawnienie ABI do organizowania szkoleń z zakresu ochrony danych osobowych przy wsparciu zewnętrznego podmiotu

• incydent i zdarzenie w obszarze bezpieczeństwa – czym są i jak je rozróżnić
• obowiązek niezwłocznego reagowania na zauważone niebezpieczeństwa na swoim stanowisku pracy
• zasady współpracy osób upoważnionych z innymi osobami uczestniczącymi w strukturze ochrony danych osobowych:
  • obowiązek niezwłocznego zgłoszenia incydentu Administratorowi Bezpieczeństwa Informacji
  • zasady współpracy ABI z kierownikami komórek organizacyjnych oraz Administratorem Systemu Informatycznego w sytuacjach wystąpienia incydentu w strukturze informatycznej
• wymóg przeprowadzenia przez ABI sprawdzenia pozaplanowego w przypadku otrzymania informacji o naruszeniu ochrony danych osobowych lub uzasadnionym podejrzeniu takiego naruszenia
• obowiązek niezwłocznego opracowania przez ABI sprawozdania ze sprawdzenia pozaplanowego

• redagowanie pism urzędowych:
  • sporządzenie pisma urzędowego, zgodnie z wymogami Kodeksu Postępowania Administracyjnego
• praktyka prowadzenia korespondencji z GIODO:
  • przygotowanie wniosku o udzielenie interpretacji przepisów prawa z zakresu ochrony danych osobowych przez Generalnego Inspektora Ochrony Danych Osobowych
  • udzielanie odpowiedzi na zapytania skierowane przez GIODO

CASE STUDY

• ABI jako „punkt kontaktowy” dla wszystkich obywateli po nowelizacji ustawy o ochronie danych osobowych – możliwość kontaktowania się z ABI za pomocą danych kontaktowych zawartych w jawnym rejestrze Administratorów Bezpieczeństwa Informacji
• przygotowanie odpowiedzi na pismo skierowane bezpośrednio do ABI
• przygotowanie odpowiedzi przez Administratora Bezpieczeństwa Informacji w przypadku skargi złożonej do GIODO na firmę/instytucję

• zasady przeprowadzania kontroli
• rodzaje kontroli
• przykłady obszarów i zagadnień najczęściej obejmowanych kontrolą
• kompetencje inspektora ochrony danych osobowych
• zasady przygotowania firmy/instytucji przez ABI do kontroli GIODO
• przebieg kontroli:
  • zawiadomienie o wszczęciu kontroli
  • wskazanie osoby reprezentującej podmiot kontrolowany podczas czynności kontrolnych
  • sposób przeprowadzenia kontroli przez inspektorów GIODO
  • prawa i obowiązki administratora danych podczas kontroli
  • protokół z kontroli
  • rola ABI podczas czynności kontrolnych
• odpowiedzialność karna za utrudnianie inspektorowi wykonania czynności kontrolnych
• zasady dokumentowania czynności kontrolnych
• składanie zastrzeżeń i uwag do protokołu
• uprawnienia pokontrolne GIODO

• odpowiedzialność ABI a odpowiedzialność Administratora danych
• rodzaje odpowiedzialności ABI:
  • odpowiedzialność dyscyplinarna
  • odpowiedzialność administracyjna
  • odpowiedzialność cywilno-prawna
  • odpowiedzialność karna
• zasady bezpiecznego pełnienia funkcji ABI
• inne osoby, ponoszące odpowiedzialność prawną w obszarze ochrony danych osobowych a odpowiedzialność ABI – przykłady transferu zakresu odpowiedzialności

• prowadzenie oceny zapotrzebowania i doboru zewnętrznych dostawców profesjonalnych usług wspomagających funkcjonowanie ABI:
  • określenie potrzeb, celu i zakresu działań wspierających funkcjonowanie ABI możliwych do przeprowadzenia przez podmioty zewnętrzne
  • przygotowanie wytycznych do realizacji zadania przez podmioty zewnętrzne
  • poszukiwanie odpowiednich do potrzeb dostawców usług, w oparciu o dostępne źródła informacji
• dobór i użytkowanie narzędzi służących do pozyskiwania informacji:
  • potencjalne źródła informacji do wykorzystania w pracy Administratora Bezpieczeństwa Informacji
  • dobieranie skutecznych narzędzi służących do pozyskiwania informacji