4-DNIOWY AKREDYTOWANY KURS dla Administratorów Bezpieczeństwa Informacji

• wymagane ustawowo kompetencje do pełnienia funkcji (Administratora Bezpieczeństwa Informacji) ABI
• zasady podległości służbowej Administratora Bezpieczeństwa Informacji w ramach organizacji
• zakaz powierzania Administratorowi Bezpieczeństwa Informacji dodatkowych zadań, które utrudniają lub uniemożliwiają prawidłowe pełnienie obowiązków na gruncie ochrony danych osobowych
• obowiązek zapewnienia środków niezbędnych do niezależnego wypełniania zadań przez ABI
• możliwość wyznaczenia zastępców Administratora Bezpieczeństwa Informacji – zasady powoływania
• obowiązek zgłoszenia Administratora Bezpieczeństwa Informacji przez Administratora Danych do rejestru prowadzonego przez GIODO – ćwiczenie, opracowanie projektu wniosku zgłaszającego ABI do rejestru

• podstawy powołania Inspektora Ochrony Danych
  • obowiązkowe lub dobrowolne powołanie Inspektora Ochrony Danych (IOD)
  • ćwiczenie: przeprowadzenie procedury w zakresie obowiązku lub braku obowiązku wyznaczenia IOD
  • IOD dla administratora danych czy procesora? Relacje Inspektorów Ochrony Danych
  • powołanie IOD dla kilku podmiotów
  • wykonywanie zadań IOD przez pracownika lub podmiot zewnętrzny na podstawie umowy o świadczenie usług
•  powołanie Inspektora Ochrony Danych
  • kwalifikacje zawodowe Inspektora Ochrony Danych - wykazanie wiedzy na temat prawa i praktyk, w tym w zakresie RODO oraz umiejętności dotyczących wypełniania zadań
  • formalne wyznaczenie Inspektora Ochrony Danych i obowiązki informacyjne
  • organizacja stanowiska Inspektora Ochrony Danych
  • status Inspektora Ochrony Danych
  • zasoby Inspektora Ochrony Danych, powołanie zespołu IOD – czas, narzędzia, ludzie, procedury
  • „łatwa dostępność” Inspektora Ochrony Danych

• konflikt interesów oraz tajemnica zawodowa Inspektora Ochrony Danych
  • opracowanie i wdrożenie „Polityki przeciwdziałania konfliktowi interesów”
  • zakres tajemnicy zawodowej Inspektora Ochrony Danych i związana z tym organizacja pracy
• obowiązki informacyjne
  • publikacja danych i zawiadomienie GIODO
  • formy i zakres realizacji obowiązku informacyjnego o powołaniu IOD wewnątrz i na zewnątrz organizacji

• podobieństwa i różnice w formalnym wyznaczeniu
• porównanie kwalifikacji zawodowych; wykazanie kwalifikacji
• organizacja stanowiska pracy ABI i IOD – modelowanie stanowisk – podobieństwa i różnice
• przejście z roli Administratora Bezpieczeństwa Informacji do roli Inspektora Ochrony Danych

• sprawdzanie zgodności przetwarzania danych osobowych z wymogami prawa, rodzaje sprawdzeń
• opracowywanie sprawozdań z przeprowadzonych sprawdzeń
• nadzorowanie opracowania i aktualizowania dokumentacji z zakresu ochrony danych osobowych
• przeprowadzanie szkoleń i instruktaży z zakresu ochrony danych osobowych
• inne obowiązki ABI wynikające z aktualnych przepisów prawa

• Inspektor Ochrony Danych jako „punkt kontaktowy” dla podmiotów danych
• Inspektor Ochrony Danych jako „punkt kontaktowy” dla organu nadzorczego  - Generalnego Inspektora Ochrony Danych oraz współpraca z organem nadzorczym
• informowanie i monitorowanie zgodności z RODO min.:
  • szkolenia, zwiększanie świadomości
  • doradztwo w zakresie ochrony danych osobowych we wszelkich procesach przetwarzania danych
  • audyty zgodności z RODO
• rola IOD w ocenie skutków dla ochrony danych
• rola IOD w procedurach informowania o naruszeniu oraz reagowania na naruszenia ochrony danych osobowych
• rola IOD w implementacji RODO /wsparcie w implementacji RODO, w tym zasad przetwarzania danych osobowych, praw osób, których dane dotyczą, ochrony danych w fazie projektowania oraz domyślnej ochrony danych, rejestru czynności przetwarzania, wymogów bezpieczeństwa przetwarzania i zgłoszenia naruszeń zgodnie z wytycznymi Grupy Roboczej art. 29 ds. Ochrony Danych/
• rola IOD w prowadzeniu rejestru czynności przetwarzania lub rejestru wszystkich kategorii czynności przetwarzania

• podobieństwa i różnice w zakresie obowiązków

• prace równoległe, jak zaplanować swoje działania aby nie uchybiając aktualnym obowiązkom przygotować się na nadchodzące zmiany
• jak wykorzystać obecne reguły i rozwiązania związane z pełnieniem funkcji ABI i przystosować je do pełnienia funkcji Inspektora Ochrony Danych

• legalność przetwarzania danych
  • podstawy prawne przetwarzania danych zwykłych
  • podstawy prawne przetwarzania szczególnych kategorii danych
• obowiązki informacyjne:
  • pierwotne i wtórne
  • czynne i bierne obowiązki informacyjne
• powierzenie przetwarzania danych – umowa o powierzeniu przetwarzania danych osobowych
• udostępnianie danych – podstawy i sposoby udostępniania danych oraz realizacja obowiązku odnotowywania udostępnień
• realizacja praw osób których dane dotyczą
• zabezpieczenie danych osobowych – formalne, organizacyjne i techniczne
• obowiązek rejestracji zbiorów danych w rejestrze Generalnego Inspektora Ochrony Danych Osobowych
• przekazywanie danych do państw trzecich – podstawy i warunki

• zasady prowadzenia sprawdzeń planowych
  • obowiązek realizacji sprawdzeń planowych na podstawie opracowanego planu sprawdzeń
• zasady i przypadki obligatoryjnego przeprowadzenia sprawdzenia pozaplanowego
• przeprowadzenie sprawdzenia na żądanie GIODO – zasady prawidłowego postępowania
• wymagany zakres sprawdzeń planowych i pozaplanowych
• opracowanie, wdrożenie i realizacja okresowych planów sprawdzeń przez ABI – ćwiczenie
• przedstawienie planu sprawdzeń do wiadomości Administratora Danych
• opracowanie programu konkretnego sprawdzenia przez Administratora Bezpieczeństwa Informacji – ćwiczenie
• ustalenie zakresu czynności do realizacji podczas planowanego sprawdzenia
• zakres uprawnień audytorskich i kontrolnych Administratora Bezpieczeństwa Informacji w ramach prowadzonego sprawdzenia
  • zbieranie ustnych i pisemnych wyjaśnień od osób objętych sprawdzeniem
  • przeprowadzenie oględzin miejsc objętych sprawdzeniem
  • uzyskiwanie dostępu do urządzeń, nośników i systemów informatycznych służących do przetwarzania danych osobowych
  • analizowanie dokumentów dotyczących przetwarzania danych osobowych
  • inne uprawnienia
• powiadamianie pracowników Administratora Danych o objęciu ich czynnościami sprawdzenia – reguły właściwego postępowania
• wymagania prawne odnośnie przeprowadzania sprawdzenia przez ABI w systemach i infrastrukturze informatycznej
• zasady dokumentowania czynności podejmowanych przez Administratora Bezpieczeństwa Informacji podczas poszczególnych działań sprawdzających
  • sporządzanie notatek z przeprowadzonych czynności - wzór
  • protokoły odebrania ustnych wyjaśnień - wzór
  • protokoły z przeprowadzonych oględzin - wzór
  • sporządzanie kopii otrzymanych do analizy dokumentów – zasady bezpiecznego kopiowania
  • tworzenie kopii obrazów z monitora komputera – zasady postępowania
  • sporządzanie kopii logów i rejestrów systemów informatycznych, w których są przetwarzane dane osobowe – zasady współpracy ze służbami informatycznymi
  • inne możliwe sposoby dokumentowania podjętych czynności przez ABI
• prawo żądania przez Administratora Bezpieczeństwa Informacji wydania opinii w przedmiocie sprawdzenia przez zewnętrznego eksperta
• zasady i okres przechowywania dokumentacji z przeprowadzonych sprawdzeń

• wymagany ustawowo zakres Sprawozdania
• zasady opracowywania Sprawozdania w formie papierowej i elektronicznej
• terminy opracowania przez ABI treści Sprawozdania, określone w przepisach prawa:
  • termin opracowania Sprawozdania ze sprawdzenia planowego
  • termin opracowania Sprawozdania ze sprawdzenia pozaplanowego
  • wymagany czas na opracowanie Sprawozdania ze sprawdzenia zrealizowanego na żądanie GIODO
• opracowanie przykładowej treści Sprawozdania – ćwiczenie
• obowiązek okresowego przechowywania treści opracowanych przez ABI Sprawozdań

• rodzaje dokumentów obligatoryjnych z zakresu ochrony danych osobowych, które należy wdrożyć
  w firmie/instytucji
• dokumenty fakultatywne, których wdrożenie nie jest obwarowane przepisami lecz wynika z dobrych praktyk działalności Administratora Bezpieczeństwa Informacji
• relacja Polityki bezpieczeństwa oraz Instrukcji zarządzania systemami informatycznymi do innych regulacji dotyczących ochrony danych osobowych
• zasady przeprowadzania weryfikacji przez Administratora Bezpieczeństwa Informacji opracowania
  i kompletności dokumentacji przetwarzania danych – badanie formalnej zgodności dokumentacji
  z wymaganiami przepisów prawa
• reguły przeprowadzania oceny zgodności dokumentacji z aktualnymi przepisami prawa – prowadzenie monitoringu przepisów prawa przez ABI
• kryteria przeprowadzania oceny stanu faktycznego w zakresie przetwarzania danych osobowych opisanego w dokumentacji – przeglądy aktualności opracowanej dokumentacji
• badanie poziomu przestrzegania zasad i wytycznych określonych w dokumentacji przez osoby upoważnione do przetwarzania danych osobowych – czynności kontrolne ABI
• obowiązek przeprowadzania weryfikacji dokumentacji przetwarzania danych w ramach sprawdzeń planowych i pozaplanowych realizowanych przez ABI
• udział Administratora Bezpieczeństwa Informacji w realizacji procedur określonych w dokumentacji przetwarzania danych osobowych i wynikające z tego konsekwencje w kontekście przeprowadzanych okresowych weryfikacji dokumentacji
• zasady postępowania ABI w przypadku wykrycia nieprawidłowości w dokumentacji przetwarzania danych
  • obowiązek zawiadomienia Administratora Danych o wykrytych nieprawidłowościach lub brakach
    w dokumentacji
  • przedstawienie propozycji działań naprawczych oraz projektów zmian w dokumentacji
  • pouczenie lub poinstruowanie osób nieprzestrzegających zasad określonych w dokumentacji przetwarzania danych
• zawiadomienie Administratora Danych o osobach, które dopuściły się naruszeń zasad określonych w dokumentacji przetwarzania danych

• rodzaje zbiorów danych jakie powinny znaleźć się w rejestrze prowadzonym przez ABI
• wymagany zakres informacji jakie musi znaleźć się w  rejestrze zbiorów danych
• zasady pozyskiwania informacji niezbędnych do prowadzenia rejestru zbiorów danych
• możliwe sposoby aktualizowania treści rejestru, prowadzenie wykazu zmian
• zasady prowadzenia rejestru zbiorów w formie papierowej i elektronicznej
• zasady ujawniania treści rejestru zbiorów w zależności formy w jakiej jest prowadzony (papierowa, elektroniczna)
• opracowanie wzorcowego rejestru zbiorów danych osobowych przez ABI – ćwiczenie

• ustawowy obowiązek zapewnienia przez ABI zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych
• możliwe sposoby realizacji kompetencji szkoleniowych przez ABI:
  • bezpośrednie szkolenia
  • instruktaże i wytyczne prawidłowego postępowania
  • prezentacje multimedialne i e-learning
  • pisemne rekomendacje i wskazówki dla osób upoważnionych
  • inne
• moment spełnienia obowiązku szkoleniowego wobec osób upoważnionych do przetwarzania danych
• minimalny zakres informacji jaki powinien być przekazywany osobom upoważnionym w ramach działań szkoleniowych ABI – propozycja tematyczna
• uprawnienie ABI do organizowania szkoleń z zakresu ochrony danych osobowych przy wsparciu zewnętrznego podmiotu

• redagowanie pism urzędowych:
  • sporządzenie pisma urzędowego, zgodnie z wymogami Kodeksu Postępowania Administracyjnego
• praktyka prowadzenia korespondencji z GIODO:
  • przygotowanie wniosku o udzielenie interpretacji przepisów prawa z zakresu ochrony danych osobowych przez Generalnego Inspektora Ochrony Danych Osobowych – ćwiczenie
  • udzielanie odpowiedzi na zapytania skierowane przez GIODO – ćwiczenie

• zasady przeprowadzania kontroli
• rodzaje kontroli
• przykłady obszarów i zagadnień najczęściej obejmowanych kontrolą
• kompetencje inspektora ochrony danych osobowych
• zasady przygotowania firmy/instytucji przez ABI do kontroli GIODO
• przebieg kontroli:
  • zawiadomienie o wszczęciu kontroli
  • wskazanie osoby reprezentującej podmiot kontrolowany podczas czynności kontrolnych
  • sposób przeprowadzenia kontroli przez inspektorów GIODO
  • prawa i obowiązki administratora danych podczas kontroli
  • protokół z kontroli
  • rola ABI podczas czynności kontrolnych
• odpowiedzialność karna za utrudnianie inspektorowi wykonania czynności kontrolnych
• zasady dokumentowania czynności kontrolnych
• składanie zastrzeżeń i uwag do protokołu
• uprawnienia pokontrolne GIODO

• zwiększenie zakresu podmiotowego – kogo dotyczy RODO
• zgoda na przetwarzanie danych i nowe uwarunkowania dotyczące jej udzielania
• legalność przetwarzania danych
  • podstawy prawne przetwarzania danych zwykłych
  • podstawy prawne przetwarzania szczególnych kategorii danych
• prawo do bycia zapomnianym i realizacja tego prawa przez administratora danych
• obowiązki informacyjne po nowemu
  • nowy zakres obowiązków informacyjnych
  • terminy realizacji obowiązków informacyjnych
  • pierwotne i wtórne oraz czynne i bierne obowiązki informacyjne
• prawo do przenoszenia danych
• profilowanie i automatyzacja decyzji
• powierzenie przetwarzania danych zgodnie z nowymi zasadami

• kim są współadministratorzy i jak wyglądają ich obowiązki
• rejestr czynności przetwarzania czyli rejestr zbiorów po nowemu
  • kto będzie zobowiązany do prowadzenia rejestru
  • zakres i sposób prowadzenia rejestru
• zgłaszanie naruszeń ochrony danych osobowych do GIODO i podmiotom danych
  • przypadki i termin zgłaszania naruszeń
  • zakres informowania
  • wyłączenia z informowania
  • odpowiedzialność
• czym jest ocena skutków dla ochrony danych osobowych
  • co obejmuje
  • czy zawsze należy ją przeprowadzać
  • konsultacje z GIODO, kiedy należy je przeprowadzać
• kodeksy postępowania i certyfikacja
  • jak mogą pomóc administratorom danych
  • jak do nich przystąpić
  • zasady weryfikacji zgodności działania z kodeksami i RODO

• od czego rozpocząć wdrażanie RODO
• inwentaryzacja procesów przetwarzania danych
  • zakres inwentaryzacji procesów przetwarzania
  • jak przeprowadzić inwentaryzację procesów - ćwiczenie
• szacowanie i ocena ryzyka bezpieczeństwa danych osobowych
  • identyfikacja i ocena zagrożeń
  • ocena prawdopodobieństwa wystąpienia i wagi zagrożeń
  • postępowanie z ryzykiem nieakceptowalnym
  • monitorowanie ryzyka
• wytyczne Grupy Roboczej ds. art. 29 i Europejskiej Rady Ochrony Danych i znaczenie wytycznych i zaleceń w procesie wdrażania RODO

• rodzaje odpowiedzialności za naruszenie RODO
• zasady nakładania administracyjnych kar pieniężnych zgodnie z Rozporządzeniem
• wysokość nakładanych kar
• możliwe rodzaje odpowiedzialności podmiotów na gruncie RODO

• odpowiedzialność ABI a odpowiedzialność Administratora danych
• rodzaje odpowiedzialności ABI
  • odpowiedzialność dyscyplinarna
  • odpowiedzialność administracyjna
  • odpowiedzialność cywilno-prawna
  • odpowiedzialność karna
• zasady bezpiecznego pełnienia funkcji ABI
• inne osoby, ponoszące odpowiedzialność prawną w obszarze ochrony danych osobowych a odpowiedzialność ABI – przykłady transferu zakresu odpowiedzialności

• podstawa i zakres odpowiedzialności
• czy możliwe jest odwołanie lub ukaranie DPO za wykonywanie przez niego zadań

• prowadzenie oceny zapotrzebowania i doboru zewnętrznych dostawców profesjonalnych usług wspomagających funkcjonowanie ABI/IOD
  • określenie potrzeb, celu i zakresu działań wspierających funkcjonowanie ABI/IOD możliwych do przeprowadzenia przez podmioty zewnętrzne
  • przygotowanie wytycznych do realizacji zadania przez podmioty zewnętrzne
  • poszukiwanie odpowiednich do potrzeb dostawców usług, w oparciu o dostępne źródła informacji
• dobór i użytkowanie narzędzi służących do pozyskiwania informacji:
  • potencjalne źródła informacji do wykorzystania w pracy ABI/IOD
• dobieranie skutecznych narzędzi służących do pozyskiwania informacji

- zaświadczeń o ukończeniu Kursu dla Administratorów Bezpieczeństwa Informacji

- certyfikatu znajomości przepisów RODO w zakresie wymaganym do pełnienia funkcji Inspektora Ochrony Danych