Kurs dla Inspektorów Ochrony Danych

DZIEŃ 1

I. Wstęp i źródła prawa.

• Reforma ochrony danych osobowych – z czego wynika, jakie jest jej znaczenie?
• Jak czytać RODO?
• Ustawa o ochronie danych osobowych. z 10 maja 2018 r.
• Ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679.
• Zmiany sektorowe – gdzie odnaleźć sektorowe przepisy o ochronie danych osobowych?

II. Dział kadr a RODO.

• Zmiany w kodeksie pracy – w jaki sposób przygotować do nich firmę/instytucję?
• Rekrutacja zgodna z RODO.
• Kwestionariusze osobowe, akta osobowe, listy obecności, układy zbiorowe i regulaminy pracy – jak pozostać w zgodności z nowymi przepisami?
• Kiedy potrzebna jest zgoda pracownika na przetwarzanie jego danych osobowych?
• Wdrażanie monitoringu wizyjnego – obowiązki względem pracowników i osób zewnętrznych.
• Inne formy monitoringu.

III. Podstawowe pojęcia i informacje.

• Kto i kiedy ma obowiązek stosować przepisy RODO.
• Najważniejsze definicje w RODO – jak je rozumieć?
• Czym są “dane osobowe”, “przetwarzanie”  – case study.
• W jakich sytuacjach „przetwarzamy dane osobowe”?

IV. Obowiązki Administratora i Podmiotu przetwarzającego, współadministrowanie danymi osobowymi.

• Administrator danych, procesor i osoba upoważniona do przetwarzania danych – role w procesie przetwarzania danych osobowych, a zmiany z RODO.
• Obowiązki Administratora danych.
• Obowiązki Podmiotu przetwarzającego (procesora).
• Zmiany w umowach powierzenia danych osobowych.
• Współadministrowanie danymi osobowych – nowa instytucja RODO.

V. Kiedy przetwarzamy dane osobowe zgodnie z prawem?

• Rodzaje danych osobowych – dane “zwykłe” oraz “szczególne kategorie danych”, w tym biometryczne.
• Kiedy możemy przetwarzać dane osobowe “zwykłe”, a kiedy “szczególne kategorie danych”?
• Wymogi dotyczące przetwarzania danych osobowych dzieci.
• Kiedy jest wymagana zgoda na przetwarzanie danych osobowych?
• Warunki wyrażenia zgody na przetwarzanie danych osobowych wg RODO.

VI. Zasady przetwarzania danych osobowych.

• Legalność przetwarzania danych osobowych – praktyczne aspekty kryteriów prawnych.
• Celowość i minimalizm w przetwarzaniu danych osobowych wg RODO.
• Poprawność merytoryczna przetwarzanych danych.
• Zasada ograniczonego przechowywania (retencja danych) – omówienie najważniejszych przykładów, praktyczne rozwiązania.
• Integralność i poufność przetwarzania danych osobowych.
• Rozliczalność – nadrzędna zasada RODO, jej konsekwencje dla IT.
• Nowe zasady “privacy by design oraz “privacy by default” i ich praktyczne zastosowanie.

 VII. Prawa osób, których dane osobowe są przetwarzane.

• Prawo dostępu do danych oraz prawo uzyskania kopii danych osobowych.
• Prawo do sprostowania danych.
• Prawo do bycia zapomnianym.
• Prawo do ograniczenia przetwarzania.
• Prawo do przenoszenia danych osobowych.
• Prawo do sprzeciwu.
• Prawa osób profilowanych.
• Jak postępować z żądaniami osób, których dane dotyczą?

VIII. Obowiązek informacyjny (klauzule informacyjne dotyczące przetwarzania).

• Obowiązek informacyjny przy przetwarzaniu danych osobowych – ustawy krajowe oraz RODO.
• Wymogi formalne z praktycznym omówieniem.
• Obowiązek informacyjny przy uzyskaniu zgody na przetwarzanie danych osobowych.
• Obowiązek informacyjny przy wyznaczeniu IOD.
• Obowiązek informacyjny przy przekazaniu danych osobowych poza EOG.
• Praktyczny przykład klauzuli informacyjnej z omówieniem.
• Obowiązek informacyjny w przypadku zbierania danych nie od osoby, której te dane dotyczą.
• Chwila powstania obowiązków informacyjnych.

IX. Rejestr czynności przetwarzania oraz rejestr kategorii czynności przetwarzania.

• Obowiązkowe elementy rejestrów przetwarzania.
• Jak prowadzić rejestr czynności przetwarzania (rejestr administratora), wymagany przez RODO?
• Praktyczny przykład rejestru czynności przetwarzania na danych wraz z omówieniem.
• Kiedy i jak prowadzić rejestr kategorii czynności przetwarzania (rejestr procesora)?
• Praktyczna forma rejestrów, różnice pomiędzy nimi.

X. Bezpieczeństwo przetwarzania danych osobowych – przykładowe aspekty praktyczne w kontekście RODO.

• Organizacyjne środki zabezpieczenia danych osobowych – ich wybór i dostosowanie zgodnie z RODO, w ujęciu praktycznym.
• Techniczne środki bezpieczeństwa, ze szczególnym uwzględnieniem wymaganego przez RODO zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, pseudonimizacji oraz szyfrowania.
• Analiza ryzyka przy przetwarzaniu danych osobowych – przykłady praktyczne.
• Ocena skutków dla ochrony danych osobowych – kiedy jest wymagana.
• Uprzednie konsultacje z organem nadzorczym.

XI. Naruszenia ochrony danych osobowych

• Identyfikacja naruszeń bezpieczeństwa danych osobowych.
• Co robić w przypadku naruszenia?
• Obowiązek zgłaszania incydentów z danymi, wynikający z RODO (zasada 72 godzin).
• Obowiązek powiadamiania osób, których dane osobowe podlegają naruszeniu.
• Rejestr naruszeń ochrony danych osobowych.

XII. Tworzenie dokumentacji przetwarzania i ochrony danych osobowych.

• Dotychczasowa dokumentacja – Polityka bezpieczeństwa i Instrukcja Zarządzania Systemem Informatycznym w perspektywie aktualnych wymogów RODO.
• Obowiązki dokumentacyjne w RODO – Polityka Ochrony Danych.
• Upoważnienie do przetwarzania danych osobowych w kontekście RODO.
• Budowanie procedur wewnętrznego systemu zapewniającego bezpieczeństwo danych osobowych w kontekście nowych wymogów RODO.

XIII. Inspektor Ochrony Danych (Data Protection Officer).

• Kiedy istnieje obowiązek powołania Inspektora Ochrony Danych?
• Inspektor Ochrony Danych – rola w firmie/instytucji.

XIV. Odpowiedzialność związana z przetwarzaniem danych osobowych.

• Kary finansowe do 4% rocznego obrotu / 20 000 000 EUR  – czy to jedyna forma działania organu nadzorczego, czy należy się ich spodziewać?
• Odpowiedzialność odszkodowawcza.
• Jak postępować, aby zmniejszyć wymiar potencjalnej kary za naruszenie ochrony danych, w przypadku jego wystąpienia.
• Sankcje dla podmiotów publicznych.

XV. Podsumowanie.

• Jak podzielić prace wdrożeniowe?
• Na czym skupić się w pierwszej kolejności?
• Jak wdrożyć RODO w 6-ciu krokach, w oparciu o wiedzę ze szkolenia oraz materiały szkoleniowe?

XVI. Głos publiczności

Pytania uczestników.

• Dyskusja.

DZIEŃ 2

I. Inspektor Ochrony Danych (IOD/DPO) - zagadnienia wstępne.

• Powołanie IOD – obowiązek czy uprawnienie?
• Kto może zostać IOD?
• Jakie zadania IOD wskazane zostały w RODO, a jakie zwykle wykonuje w praktyce? IOD w perspektywie wytycznych Grupy Roboczej art. 29 (Europejskiej Rady Ochrony Danych).
• Współpraca IOD z działem IT.
• Pełnienie roli punktu kontaktowego – tak dla osób, których dane dotyczą, jak i organu nadzorczego – w praktyce.
• Konsultacje w zakresie oceny skutków dla ochrony danych.
• Status IOD, jego kompetencje i zakres odpowiedzialności.
• Odpowiedzialność administratora i osób upoważnionych do przetwarzania danych w perspektywie powołania IOD.
• Formalne powołanie IOD wewnątrz organizacji.
• Forma zatrudnienia / współpracy z IOD.
• IOD w grupie kapitałowej.
• Zgłoszenie powołania IOD do organu nadzorczego – wypełnianie formularza oraz zgłoszenia poprzez platformę ePUAP.
• Ubezpieczenia dla IOD i administratora – czy warto z nich korzystać? Analiza umów ubezpieczeniowych – na jakie wyłączenia w szczególności należy zwrócić uwagę.
• Zlecanie funkcji IOD – jakie zapisy w umowie / powołaniu powinny się znaleźć?
• Przyjmowanie funkcji IOD – zalecane postanowienia umowne – okiem prawnika.

II. Realizacja bieżących obowiązków IOD.

OBOWIĄZKI INFORMACYJNE.

• Poprawne definiowanie podstaw przetwarzania danych osobowych – art. 6, art. 9 i art. 10 RODO w praktyce – case study.
• Dodatkowe obowiązki informacyjne w przypadku współadministrowania danymi – wyzwania płynące z art. 26 RODO.
• Obowiązki informacyjne – wdrażanie w praktyce. Zalecane formy oraz miejsca ich spełniania. Dobre praktyki.
• Strona internetowa, BIP – ważne źródło wiedzy o tym, w jaki sposób przetwarzamy dane osobowe.
• Konstruowanie obowiązków informacyjnych – warsztat.

KONTROLA PRZEPŁYWU DANYCH.

• Powierzenie a udostępnienie danych osobowych – jak odróżnić te dwie formy przekazywania danych “na zewnątrz”.
• Najczęstsze przypadki powierzania danych osobowych.
• Na jakiej podstawie możemy udostępniać dane osobowe?
• Udostępnienie danych – przykłady praktyczne.
• Obowiązkowe i fakultatywne elementy umowy powierzenia.
• Konstruowanie oraz weryfikacja umów powierzenia – warsztat.
• Przepływ danych między współadministratorami.
• Rejestry powierzeń i udostępnień.

POSTĘPOWANIA ZWIĄZANE Z REALIZACJĄ UPRAWNIEŃ OSÓB, KTÓRYCH DANE DOTYCZĄ.

• Forma składania żądań przez osoby, których dane dotyczą.
• Z jakimi żądaniami w praktyce spotykamy się najczęściej?
• Jak przygotować firmę / instytucję do realizacji uprawnień osób, których dane dotyczą, w aspekcie organizacyjnym oraz informatycznym? Główne praktyczne problemy.
• W jaki sposób realizować uprawnienia osób, których dane dotyczą? Jak poprawnie prowadzić korespondencję?
• Analiza zasadności roszczeń – case study.

POSTĘPOWANIE Z NARUSZENIAMI.

• Procedura wewnętrznego zgłaszania naruszeń / incydentów. Forma komunikacji z osobami upoważnionymi do przetwarzania danych osobowych.
• Prowadzenie wewnętrznego rejestru naruszeń – case study.
• Zgłaszanie naruszeń do organu nadzorczego – kiedy jest obowiązkowe? Czy termin 72 godzin jest nieprzekraczalny?
• Wypełnianie formularza zgłoszeniowego oraz zgłaszanie naruszeń poprzez e-PUAP – warsztat.
• Obowiązek zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych. W jakich przypadkach i w jakiej formie informować o naruszeniach?

III. Bezpieczeństwo danych osobowych.

• Co o środkach ochrony danych mówi RODO?
• Analiza art. 32 RODO i praktyczne następstwa tak ogólnej regulacji.
• Rodzaje zagrożeń i sposoby przeciwdziałania im.
• Pseudonimizacja i szyfrowanie – kiedy jest niezbędne?
• Szczególnie zalecane organizacyjne środki bezpieczeństwa.
• Szczególnie zalecane fizyczne i techniczne środki bezpieczeństwa.
• Kodeksy postępowania i certyfikacja.

IV. Wdrażanie RODO.

• Przygotowanie planu wdrożenia.
• Uwzględnianie ochrony danych w fazie projektowania (zasada “privacy by design” w praktyce).
• Wdrażanie domyślnej ochrony danych (zasada “privacy by default” w praktyce”).
• Polityka Ochrony Danych – w jakim zakresie jest obowiązkowa? Praktyczne rady, w jaki sposób konstruować wewnętrzną dokumentację oraz system przetwarzania danych osobowych w organizacji.
• Formułowanie wewnętrznych procedur w zakresie przetwarzania i bezpieczeństwa danych osobowych – warsztat; analiza wzorcowych procedur, udostępnionych przez organizatora.
• W jaki sposób skonstruować upoważnienia do przetwarzania danych osobowych?
• Przydatne pod kątem rozliczalności ewidencje i rejestry.

V. Wizerunek a RODO.

• Definicja “wizerunku”. W jakim zakresie  wizerunek to dane osobowe?
• Rozpowszechnianie wizerunku w perspektywie art. 81 ustawy o prawie autorskim i prawach pokrewnych – case study w oparciu o orzecznictwo.
• Czy zgodę na rozpowszechnianie wizerunku można cofnąć w dowolnym momencie?
• Jak powinna wyglądać zgoda na utrwalenie i upowszechnianie wizerunku – case study, w oparciu o orzecznictwo.
• Uzasadniony interes administratora jako podstawa prawna przetwarzania wizerunku pracownika.
• Odpowiedzialność za niezgodne z prawem przetwarzanie wizerunku na gruncie RODO, prawa autorskiego oraz kodeksu cywilnego.

VI. Głos publiczności

• Pytania uczestników.
• Dyskusja.