Czterodniowy, zaawansowany Kurs RODO (Kurs dla Inspektorów Ochrony Danych + 2 dni warsztatów)

DZIEŃ 1

I. Wstęp i źródła prawa.

• Reforma ochrony danych osobowych – z czego wynika, jakie jest jej znaczenie?
• Jak czytać RODO?
• Ustawa o ochronie danych osobowych. z 10 maja 2018 r.
• Ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679.
• Zmiany sektorowe – gdzie odnaleźć sektorowe przepisy o ochronie danych osobowych?

II. Dział kadr a RODO.

• Zmiany w kodeksie pracy – w jaki sposób przygotować do nich firmę/instytucję?
• Rekrutacja zgodna z RODO.
• Kwestionariusze osobowe, akta osobowe, listy obecności, układy zbiorowe i regulaminy pracy – jak pozostać w zgodności z nowymi przepisami?
• Kiedy potrzebna jest zgoda pracownika na przetwarzanie jego danych osobowych?
• Wdrażanie monitoringu wizyjnego – obowiązki względem pracowników i osób zewnętrznych.
• Inne formy monitoringu.

III. Podstawowe pojęcia i informacje.

• Kto i kiedy ma obowiązek stosować przepisy RODO.
• Najważniejsze definicje w RODO – jak je rozumieć?
• Czym są “dane osobowe”, “przetwarzanie”  – case study.
• W jakich sytuacjach „przetwarzamy dane osobowe”?

IV. Obowiązki Administratora i Podmiotu przetwarzającego, współadministrowanie danymi osobowymi.

• Administrator danych, procesor i osoba upoważniona do przetwarzania danych – role w procesie przetwarzania danych osobowych, a zmiany z RODO.
• Obowiązki Administratora danych.
• Obowiązki Podmiotu przetwarzającego (procesora).
• Zmiany w umowach powierzenia danych osobowych.
• Współadministrowanie danymi osobowych – nowa instytucja RODO.

V. Kiedy przetwarzamy dane osobowe zgodnie z prawem?

• Rodzaje danych osobowych – dane “zwykłe” oraz “szczególne kategorie danych”, w tym biometryczne.
• Kiedy możemy przetwarzać dane osobowe “zwykłe”, a kiedy “szczególne kategorie danych”?
• Wymogi dotyczące przetwarzania danych osobowych dzieci.
• Kiedy jest wymagana zgoda na przetwarzanie danych osobowych?
• Warunki wyrażenia zgody na przetwarzanie danych osobowych wg RODO.

VI. Zasady przetwarzania danych osobowych.

• Legalność przetwarzania danych osobowych – praktyczne aspekty kryteriów prawnych.
• Celowość i minimalizm w przetwarzaniu danych osobowych wg RODO.
• Poprawność merytoryczna przetwarzanych danych.
• Zasada ograniczonego przechowywania (retencja danych) – omówienie najważniejszych przykładów, praktyczne rozwiązania.
• Integralność i poufność przetwarzania danych osobowych.
• Rozliczalność – nadrzędna zasada RODO, jej konsekwencje dla IT.
• Nowe zasady “privacy by design oraz “privacy by default” i ich praktyczne zastosowanie.

 VII. Prawa osób, których dane osobowe są przetwarzane.

• Prawo dostępu do danych oraz prawo uzyskania kopii danych osobowych.
• Prawo do sprostowania danych.
• Prawo do bycia zapomnianym.
• Prawo do ograniczenia przetwarzania.
• Prawo do przenoszenia danych osobowych.
• Prawo do sprzeciwu.
• Prawa osób profilowanych.
• Jak postępować z żądaniami osób, których dane dotyczą?

VIII. Obowiązek informacyjny (klauzule informacyjne dotyczące przetwarzania).

• Obowiązek informacyjny przy przetwarzaniu danych osobowych – ustawy krajowe oraz RODO.
• Wymogi formalne z praktycznym omówieniem.
• Obowiązek informacyjny przy uzyskaniu zgody na przetwarzanie danych osobowych.
• Obowiązek informacyjny przy wyznaczeniu IOD.
• Obowiązek informacyjny przy przekazaniu danych osobowych poza EOG.
• Praktyczny przykład klauzuli informacyjnej z omówieniem.
• Obowiązek informacyjny w przypadku zbierania danych nie od osoby, której te dane dotyczą.
• Chwila powstania obowiązków informacyjnych.

IX. Rejestr czynności przetwarzania oraz rejestr kategorii czynności przetwarzania.

• Obowiązkowe elementy rejestrów przetwarzania.
• Jak prowadzić rejestr czynności przetwarzania (rejestr administratora), wymagany przez RODO?
• Praktyczny przykład rejestru czynności przetwarzania na danych wraz z omówieniem.
• Kiedy i jak prowadzić rejestr kategorii czynności przetwarzania (rejestr procesora)?
• Praktyczna forma rejestrów, różnice pomiędzy nimi.

X. Bezpieczeństwo przetwarzania danych osobowych – przykładowe aspekty praktyczne w kontekście RODO.

• Organizacyjne środki zabezpieczenia danych osobowych – ich wybór i dostosowanie zgodnie z RODO, w ujęciu praktycznym.
• Techniczne środki bezpieczeństwa, ze szczególnym uwzględnieniem wymaganego przez RODO zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, pseudonimizacji oraz szyfrowania.
• Analiza ryzyka przy przetwarzaniu danych osobowych – przykłady praktyczne.
• Ocena skutków dla ochrony danych osobowych – kiedy jest wymagana.
• Uprzednie konsultacje z organem nadzorczym.

XI. Naruszenia ochrony danych osobowych

• Identyfikacja naruszeń bezpieczeństwa danych osobowych.
• Co robić w przypadku naruszenia?
• Obowiązek zgłaszania incydentów z danymi, wynikający z RODO (zasada 72 godzin).
• Obowiązek powiadamiania osób, których dane osobowe podlegają naruszeniu.
• Rejestr naruszeń ochrony danych osobowych.

XII. Tworzenie dokumentacji przetwarzania i ochrony danych osobowych.

• Dotychczasowa dokumentacja – Polityka bezpieczeństwa i Instrukcja Zarządzania Systemem Informatycznym w perspektywie aktualnych wymogów RODO.
• Obowiązki dokumentacyjne w RODO – Polityka Ochrony Danych.
• Upoważnienie do przetwarzania danych osobowych w kontekście RODO.
• Budowanie procedur wewnętrznego systemu zapewniającego bezpieczeństwo danych osobowych w kontekście nowych wymogów RODO.

XIII. Inspektor Ochrony Danych (Data Protection Officer).

• Kiedy istnieje obowiązek powołania Inspektora Ochrony Danych?
• Inspektor Ochrony Danych – rola w firmie/instytucji.

XIV. Odpowiedzialność związana z przetwarzaniem danych osobowych.

• Kary finansowe do 4% rocznego obrotu / 20 000 000 EUR  – czy to jedyna forma działania organu nadzorczego, czy należy się ich spodziewać?
• Odpowiedzialność odszkodowawcza.
• Jak postępować, aby zmniejszyć wymiar potencjalnej kary za naruszenie ochrony danych, w przypadku jego wystąpienia.
• Sankcje dla podmiotów publicznych.

XV. Podsumowanie.

• Jak podzielić prace wdrożeniowe?
• Na czym skupić się w pierwszej kolejności?
• Jak wdrożyć RODO w 6-ciu krokach, w oparciu o wiedzę ze szkolenia oraz materiały szkoleniowe?

XVI. Głos publiczności

Pytania uczestników.

• Dyskusja.

DZIEŃ 2

I. Inspektor Ochrony Danych (IOD/DPO) - zagadnienia wstępne.

• Powołanie IOD – obowiązek czy uprawnienie?
• Kto może zostać IOD?
• Jakie zadania IOD wskazane zostały w RODO, a jakie zwykle wykonuje w praktyce? IOD w perspektywie wytycznych Grupy Roboczej art. 29 (Europejskiej Rady Ochrony Danych).
• Współpraca IOD z działem IT.
• Pełnienie roli punktu kontaktowego – tak dla osób, których dane dotyczą, jak i organu nadzorczego – w praktyce.
• Konsultacje w zakresie oceny skutków dla ochrony danych.
• Status IOD, jego kompetencje i zakres odpowiedzialności.
• Odpowiedzialność administratora i osób upoważnionych do przetwarzania danych w perspektywie powołania IOD.
• Formalne powołanie IOD wewnątrz organizacji.
• Forma zatrudnienia / współpracy z IOD.
• IOD w grupie kapitałowej.
• Zgłoszenie powołania IOD do organu nadzorczego – wypełnianie formularza oraz zgłoszenia poprzez platformę ePUAP.
• Ubezpieczenia dla IOD i administratora – czy warto z nich korzystać? Analiza umów ubezpieczeniowych – na jakie wyłączenia w szczególności należy zwrócić uwagę.
• Zlecanie funkcji IOD – jakie zapisy w umowie / powołaniu powinny się znaleźć?
• Przyjmowanie funkcji IOD – zalecane postanowienia umowne – okiem prawnika.

II. Realizacja bieżących obowiązków IOD.

OBOWIĄZKI INFORMACYJNE.

• Poprawne definiowanie podstaw przetwarzania danych osobowych – art. 6, art. 9 i art. 10 RODO w praktyce – case study.
• Dodatkowe obowiązki informacyjne w przypadku współadministrowania danymi – wyzwania płynące z art. 26 RODO.
• Obowiązki informacyjne – wdrażanie w praktyce. Zalecane formy oraz miejsca ich spełniania. Dobre praktyki.
• Strona internetowa, BIP – ważne źródło wiedzy o tym, w jaki sposób przetwarzamy dane osobowe.
• Konstruowanie obowiązków informacyjnych – warsztat.

KONTROLA PRZEPŁYWU DANYCH.

• Powierzenie a udostępnienie danych osobowych – jak odróżnić te dwie formy przekazywania danych “na zewnątrz”.
• Najczęstsze przypadki powierzania danych osobowych.
• Na jakiej podstawie możemy udostępniać dane osobowe?
• Udostępnienie danych – przykłady praktyczne.
• Obowiązkowe i fakultatywne elementy umowy powierzenia.
• Konstruowanie oraz weryfikacja umów powierzenia – warsztat.
• Przepływ danych między współadministratorami.
• Rejestry powierzeń i udostępnień.

POSTĘPOWANIA ZWIĄZANE Z REALIZACJĄ UPRAWNIEŃ OSÓB, KTÓRYCH DANE DOTYCZĄ.

• Forma składania żądań przez osoby, których dane dotyczą.
• Z jakimi żądaniami w praktyce spotykamy się najczęściej?
• Jak przygotować firmę / instytucję do realizacji uprawnień osób, których dane dotyczą, w aspekcie organizacyjnym oraz informatycznym? Główne praktyczne problemy.
• W jaki sposób realizować uprawnienia osób, których dane dotyczą? Jak poprawnie prowadzić korespondencję?
• Analiza zasadności roszczeń – case study.

POSTĘPOWANIE Z NARUSZENIAMI.

• Procedura wewnętrznego zgłaszania naruszeń / incydentów. Forma komunikacji z osobami upoważnionymi do przetwarzania danych osobowych.
• Prowadzenie wewnętrznego rejestru naruszeń – case study.
• Zgłaszanie naruszeń do organu nadzorczego – kiedy jest obowiązkowe? Czy termin 72 godzin jest nieprzekraczalny?
• Wypełnianie formularza zgłoszeniowego oraz zgłaszanie naruszeń poprzez e-PUAP – warsztat.
• Obowiązek zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych. W jakich przypadkach i w jakiej formie informować o naruszeniach?

III. Bezpieczeństwo danych osobowych.

• Co o środkach ochrony danych mówi RODO?
• Analiza art. 32 RODO i praktyczne następstwa tak ogólnej regulacji.
• Rodzaje zagrożeń i sposoby przeciwdziałania im.
• Pseudonimizacja i szyfrowanie – kiedy jest niezbędne?
• Szczególnie zalecane organizacyjne środki bezpieczeństwa.
• Szczególnie zalecane fizyczne i techniczne środki bezpieczeństwa.
• Kodeksy postępowania i certyfikacja.

IV. Wdrażanie RODO.

• Przygotowanie planu wdrożenia.
• Uwzględnianie ochrony danych w fazie projektowania (zasada “privacy by design” w praktyce).
• Wdrażanie domyślnej ochrony danych (zasada “privacy by default” w praktyce”).
• Polityka Ochrony Danych – w jakim zakresie jest obowiązkowa? Praktyczne rady, w jaki sposób konstruować wewnętrzną dokumentację oraz system przetwarzania danych osobowych w organizacji.
• Formułowanie wewnętrznych procedur w zakresie przetwarzania i bezpieczeństwa danych osobowych – warsztat; analiza wzorcowych procedur, udostępnionych przez organizatora.
• W jaki sposób skonstruować upoważnienia do przetwarzania danych osobowych?
• Przydatne pod kątem rozliczalności ewidencje i rejestry.

V. Wizerunek a RODO.

• Definicja “wizerunku”. W jakim zakresie  wizerunek to dane osobowe?
• Rozpowszechnianie wizerunku w perspektywie art. 81 ustawy o prawie autorskim i prawach pokrewnych – case study w oparciu o orzecznictwo.
• Czy zgodę na rozpowszechnianie wizerunku można cofnąć w dowolnym momencie?
• Jak powinna wyglądać zgoda na utrwalenie i upowszechnianie wizerunku – case study, w oparciu o orzecznictwo.
• Uzasadniony interes administratora jako podstawa prawna przetwarzania wizerunku pracownika.
• Odpowiedzialność za niezgodne z prawem przetwarzanie wizerunku na gruncie RODO, prawa autorskiego oraz kodeksu cywilnego.

VI. Głos publiczności

• Pytania uczestników.
• Dyskusja.

DZIEŃ 3

I. Wykonywanie audytów systemów przetwarzania danych osobowych.

• Podstawowe pojęcia związane z przeprowadzaniem audytów.
• Główne problemy audytorów –  jak przygotować się do tej roli?
• Zadanie audytów w procesie wdrażania i stosowania RODO.
• Czym różni się audyt przedwdrożeniowy od audytu walidacyjnego – jakie są ich cele i jakie zadania spoczywają na audytorze?
• Jak sporządzić plan audytu, z uwzględnieniem jego celu i docelowego zakresu? Warsztat.
• Pozyskiwanie materiału źródłowego do audytu. Forma jego dokumentacji w perspektywie dowodowości.
• Jakie środki bezpieczeństwa przy przetwarzaniu danych osobowych są najczęściej stosowane, a jakich wymaga organ nadzorczy? Case study w oparciu o analizę dotychczasowych decyzji i opinii organu nadzorczego.
• Jak badać fizyczne środki bezpieczeństwa, w tym w zakresie infrastruktury budynków i pomieszczeń?
• Jak badać techniczne środki bezpieczeństwa, w tym w zakresie infrastruktury informatycznej?
• Organizacyjne środki bezpieczeństwa – analiza jakie procedury są kluczowe oraz w jaki sposób badać świadomość obowiązków spoczywających na osobach upoważnionych.
• Badanie, czy organizacja jest przygotowana do realizacji uprawnień osób, których dotyczą przetwarzane dane osobowe.
• Jaki powinien być efekt audytu, aby był on użyteczny. W  jaki sposób sporządzić raport z audytu systemu przetwarzania danych osobowych?
• Zalecenia pokontrolne – jakie treści powinny zawierać?.

II. Analiza ryzyka.

• Podejście oparte na ryzyku (risk-based approach) jako fundament RODO.
• Identyfikacja aktywów i zasobów niezbędnych w procesie szacowania ryzyka.
• Parametry analizy ryzyka – skutek i prawdopodobieństwo wystąpienia – jak rozumieć, oceniać i jakie wartości należy im przypisać.
• Jak diagnozować zagrożenia naruszeń ochrony danych osobowych, wynikające z używania konkretnych zasobów?
• Na jakie podatności należy zwrócić uwagę, przy diagnozowaniu konkretnych ryzyk?
• Sposoby oceny ryzyka związanego z wystąpieniem konkretnych zagrożeń.
• Przeprowadzanie szczegółowej analizy na matrycach zaproponowanych przez organizatora – zajęcia warsztatowe..

• Kontynuacja warsztatu z użyciem elektronicznych matryc ryzyk, na konkretnym przykładzie podmiotu przetwarzającego dane osobowe.
• Jak postępować ze zdiagnozowanym ryzykiem.
• Jak sporządzać plany działań, zmierzające do minimalizacji ryzyka – obniżanie ryzyka, transfer ryzyka.

III. Ocena skutków dla ochrony danych (Data Protection Impact Assessment, OSOD/DPIA).

• Jaki jest cel DPIA?
• Jak ocenić, czy przeprowadzenie DPIA jest wymagane?
• Niezbędne elementy procesu DPIA – art. 35 RODO.
• Formułowanie informacji dotyczących planowanych działań, mogących spowodować skutek dla ochrony danych osobowych.
• Definiowanie interesu administratora, celów oraz podstaw prawnych przetwarzania, mogącego spowodować skutek dla ochrony danych osobowych.
• Jak oceniać niezbędność i proporcjonalność planowanych operacji przetwarzania danych osobowych, względem praw osób, których te dane dotyczą?
• Jak diagnozować zakres danych osobowych, przetwarzanych w ramach planowanych operacji przetwarzania?
• Ocena zdolności do realizacji uprawnień osób, których dotyczą dane przetwarzane w ramach planowanych operacji przetwarzania.
• Jak wybrać i opisać środki bezpieczeństwa, wdrażane w celu ograniczenia ryzyka naruszenia praw i wolności osób, których dane dotyczą?
• Jaka zależność zachodzi pomiędzy przeprowadzeniem DPIA a analizą ryzyka?
• Przygotowywanie DPIA – warsztat. Formuła case studies na wzorcu  DPIA.
• Rola Inspektora Ochrony Danych w DPIA.
• Uprzednie konsultacje z organem nadzorczym:

• • zakres informacji, która należy przedłożyć organowi nadzorczemu,
  • uprawnienia organu nadzorczego.

IV. Głos publiczności

• Pytania uczestników.
• Dyskusja.

DZIEŃ 4

I. Zasada ograniczonego przechowywania i retencja danych.

• Minimalizacja czasu przechowywania i zakresu danych osobowych jako podstawa RODO.
• Po jakim czasie należy usuwać dane osobowe?
• Terminy przetwarzania danych osobowych, wynikające z obowiązujących przepisów prawa. Case study – tworzymy wykaz okresów retencji danych.
• W jaki sposób należy określać terminy przetwarzania danych osobowych w przypadku, gdy wprost nie określają tego przepisy prawa? Case study – tworzymy wykaz okresów retencji danych.
• Instrukcja kancelaryjna i jednolity rzeczowy wykaz akt.
• Relacja pomiędzy zasadą retencji a obowiązkiem informacyjnym RODO.
• Zasadą retencji a wykonywanie kopii bezpieczeństwa przetwarzanych danych osobowych – uwagi praktyczne.
• Jak i gdzie należy zamieścić informacje o planowanych terminach usunięcia danych osobowych?
• Praktyczne rozwiązania związane z wdrażaniem zasady ograniczonego przechowywania

II. Rejestr czynności przetwarzania (rejestr administratora) i kategorii czynności przetwarzania (rejestr podmiotu przetwarzającego).

• Cele i praktyczne znaczenie rejestrów.
• Obowiązkowe i fakultatywne elementy rejestrów.
• Jakie dodatkowe elementy rejestru czynności warto stosować, w celu ułatwienia zarządzania systemem przetwarzania danych osobowych?
• Jak ocenić, czy sporządzenie rejestru czynności i rejestru kategorii przetwarzań jest wymagane? Wyłączenia wskazane w RODO.
• Jak wyróżniać i identyfikować „czynności” i „kategorie czynności” przetwarzania, podlegające uwzględnieniu w rejestrach.
• Jak formułować cele przetwarzania danych i jaka jest ich relacja względem zdefiniowanych czynności?
• Opis kategorii danych osobowych oraz kategorii osób, których dotyczą przetwarzane dane.
• Jak uwzględniać odbiorców danych oraz diagnozować, czy dane osobowe są przekazywane poza EOG?
• Jak oceniać zasadność stosowania dodatkowych zabezpieczeń, w przypadku przekazywania danych osobowych do krajów spoza EOG.
• Formułowanie opisu technicznych i organizacyjnych środków bezpieczeństwa, stosowanych przy przetwarzaniu danych osobowych.
• Monitorowanie aktualności rejestru czynności na danych – jak praktycznie sobie z tym poradzić?

III. Warsztat.

• Konstruowanie rejestrów na podstawie konkretnego stanu faktycznego, przy wykorzystaniu autorskich wzorów: rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzanie.

IV. Problematyka transferu danych do państw trzecich.

• Czy rzeczywiście nie przekazujemy danych do państw trzecich? Oprogramowanie, narzędzia, usługi, na które musimy w szczególności zwrócić uwagę.
• Kiedy legalnie można przekazywać dane do państwa trzeciego?
• Jak sprawdzić, czy państwo do którego organizacja transferuje dane osobowe znajduje się na liście “krajów bezpiecznych”.
• Transfer danych do Stanów Zjednoczonych – analiza problematyki oraz omówienie jak krok po kroku sprawdzić czy podmiot do którego transferujemy dane osobowe jest “bezpieczny”.
• Dodatkowe środki zabezpieczeń, stosowane w przypadku przekazywania danych osobowych do krajów spoza listy “krajów bezpiecznych”.
• Konsekwencje transferu danych poza EOG w zakresie dokumentacji i obowiązku informacyjnego.

V. Urząd Ochrony Danych Osobowych (UODO).

• Status Prezesa Urzędu Ochrony Danych Osobowych.
• Zadania i kompetencje organu nadzorczego.
• Postępowanie kontrolne i procedury z nim związane.
• Jak wyglądają kontrole w praktyce?
• Jak przygotować się na kontrolę?
• Zakres odpowiedzialności i administracyjne kary pieniężne.

VI. Głos publiczności

• Pytania uczestników.
• Dyskusja.