O szkoleniu
Dwudniowy zaawansowany kurs, przygotowujący do pełnienia funkcji IOD, a także samodzielnego wdrażania i stosowania unijnego rozporządzenia RODO. Prowadzony w formie teoretycznej i ćwiczeniowej, której efektem jest przedstawienie zaawansowanych zagadnień, związanych z przetwarzaniem danych osobowych. Podczas kursu pracujemy na wzorcowej: polityce ochrony danych, umowie powierzenia i procedurach przetwarzania danych zgodnie z RODO.
Kurs IOD to nie tylko kurs dla Inspektorów Ochrony Danych. Kurs IOD jest odpowiedni również dla administratorów danych i kadrowych, poszukujących zaawansowanego szkolenia jak wdrażać RODO i je stosować. Kurs IOD jest także znakomitym szkoleniem dla osób odpowiedzialnych za procesy przetwarzania danych osobowych w tych organizacjach, które nie zdecydowały się na powołanie IOD.
Program szkolenia
DZIEŃ 1
I. Wstęp i źródła prawa.
- Reforma ochrony danych osobowych – z czego wynika, jakie jest jej znaczenie?
- Jak czytać RODO?
- Ustawa o ochronie danych osobowych. z 10 maja 2018 r.
- Ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679.
- Zmiany sektorowe – gdzie odnaleźć sektorowe przepisy o ochronie danych osobowych?
II. Dział kadr a RODO.
- Zmiany w kodeksie pracy – w jaki sposób przygotować do nich firmę/instytucję?
- Rekrutacja zgodna z RODO.
- Kwestionariusze osobowe, akta osobowe, listy obecności, układy zbiorowe i regulaminy pracy – jak pozostać w zgodności z nowymi przepisami?
- Kiedy potrzebna jest zgoda pracownika na przetwarzanie jego danych osobowych?
- Wdrażanie monitoringu wizyjnego – obowiązki względem pracowników i osób zewnętrznych.
- Inne formy monitoringu.
III. Podstawowe pojęcia i informacje.
- Kto i kiedy ma obowiązek stosować przepisy RODO.
- Najważniejsze definicje w RODO – jak je rozumieć?
- Czym są “dane osobowe”, “przetwarzanie” – case study.
- W jakich sytuacjach „przetwarzamy dane osobowe”?
IV. Obowiązki Administratora i Podmiotu przetwarzającego, współadministrowanie danymi osobowymi.
- Administrator danych, procesor i osoba upoważniona do przetwarzania danych – role w procesie przetwarzania danych osobowych, a zmiany z RODO.
- Obowiązki Administratora danych.
- Obowiązki Podmiotu przetwarzającego (procesora).
- Zmiany w umowach powierzenia danych osobowych.
- Współadministrowanie danymi osobowych – nowa instytucja RODO.
V. Kiedy przetwarzamy dane osobowe zgodnie z prawem?
- Rodzaje danych osobowych – dane “zwykłe” oraz “szczególne kategorie danych”, w tym biometryczne.
- Kiedy możemy przetwarzać dane osobowe “zwykłe”, a kiedy “szczególne kategorie danych”?
- Wymogi dotyczące przetwarzania danych osobowych dzieci.
- Kiedy jest wymagana zgoda na przetwarzanie danych osobowych?
- Warunki wyrażenia zgody na przetwarzanie danych osobowych wg RODO.
VI. Zasady przetwarzania danych osobowych.
- Legalność przetwarzania danych osobowych – praktyczne aspekty kryteriów prawnych.
- Celowość i minimalizm w przetwarzaniu danych osobowych wg RODO.
- Poprawność merytoryczna przetwarzanych danych.
- Zasada ograniczonego przechowywania (retencja danych) – omówienie najważniejszych przykładów, praktyczne rozwiązania.
- Integralność i poufność przetwarzania danych osobowych.
- Rozliczalność – nadrzędna zasada RODO, jej konsekwencje dla IT.
- Nowe zasady “privacy by design oraz “privacy by default” i ich praktyczne zastosowanie.
VII. Prawa osób, których dane osobowe są przetwarzane.
- Prawo dostępu do danych oraz prawo uzyskania kopii danych osobowych.
- Prawo do sprostowania danych.
- Prawo do bycia zapomnianym.
- Prawo do ograniczenia przetwarzania.
- Prawo do przenoszenia danych osobowych.
- Prawo do sprzeciwu.
- Prawa osób profilowanych.
- Jak postępować z żądaniami osób, których dane dotyczą?
VIII. Obowiązek informacyjny (klauzule informacyjne dotyczące przetwarzania).
- Obowiązek informacyjny przy przetwarzaniu danych osobowych – ustawy krajowe oraz RODO.
- Wymogi formalne z praktycznym omówieniem.
- Obowiązek informacyjny przy uzyskaniu zgody na przetwarzanie danych osobowych.
- Obowiązek informacyjny przy wyznaczeniu IOD.
- Obowiązek informacyjny przy przekazaniu danych osobowych poza EOG.
- Praktyczny przykład klauzuli informacyjnej z omówieniem.
- Obowiązek informacyjny w przypadku zbierania danych nie od osoby, której te dane dotyczą.
- Chwila powstania obowiązków informacyjnych.
IX. Rejestr czynności przetwarzania oraz rejestr kategorii czynności przetwarzania.
- Obowiązkowe elementy rejestrów przetwarzania.
- Jak prowadzić rejestr czynności przetwarzania (rejestr administratora), wymagany przez RODO?
- Praktyczny przykład rejestru czynności przetwarzania na danych wraz z omówieniem.
- Kiedy i jak prowadzić rejestr kategorii czynności przetwarzania (rejestr procesora)?
- Praktyczna forma rejestrów, różnice pomiędzy nimi.
X. Bezpieczeństwo przetwarzania danych osobowych – przykładowe aspekty praktyczne w kontekście RODO.
- Organizacyjne środki zabezpieczenia danych osobowych – ich wybór i dostosowanie zgodnie z RODO, w ujęciu praktycznym.
- Techniczne środki bezpieczeństwa, ze szczególnym uwzględnieniem wymaganego przez RODO zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, pseudonimizacji oraz szyfrowania.
- Analiza ryzyka przy przetwarzaniu danych osobowych – przykłady praktyczne.
- Ocena skutków dla ochrony danych osobowych – kiedy jest wymagana.
- Uprzednie konsultacje z organem nadzorczym.
XI. Naruszenia ochrony danych osobowych
- Identyfikacja naruszeń bezpieczeństwa danych osobowych.
- Co robić w przypadku naruszenia?
- Obowiązek zgłaszania incydentów z danymi, wynikający z RODO (zasada 72 godzin).
- Obowiązek powiadamiania osób, których dane osobowe podlegają naruszeniu.
- Rejestr naruszeń ochrony danych osobowych.
XII. Tworzenie dokumentacji przetwarzania i ochrony danych osobowych.
- Dotychczasowa dokumentacja – Polityka bezpieczeństwa i Instrukcja Zarządzania Systemem Informatycznym w perspektywie aktualnych wymogów RODO.
- Obowiązki dokumentacyjne w RODO – Polityka Ochrony Danych.
- Upoważnienie do przetwarzania danych osobowych w kontekście RODO.
- Budowanie procedur wewnętrznego systemu zapewniającego bezpieczeństwo danych osobowych w kontekście nowych wymogów RODO.
XIII. Inspektor Ochrony Danych (Data Protection Officer).
- Kiedy istnieje obowiązek powołania Inspektora Ochrony Danych?
- Inspektor Ochrony Danych – rola w firmie/instytucji.
XIV. Odpowiedzialność związana z przetwarzaniem danych osobowych.
- Kary finansowe do 4% rocznego obrotu / 20 000 000 EUR – czy to jedyna forma działania organu nadzorczego, czy należy się ich spodziewać?
- Odpowiedzialność odszkodowawcza.
- Jak postępować, aby zmniejszyć wymiar potencjalnej kary za naruszenie ochrony danych, w przypadku jego wystąpienia.
- Sankcje dla podmiotów publicznych.
XV. Podsumowanie.
- Jak podzielić prace wdrożeniowe?
- Na czym skupić się w pierwszej kolejności?
- Jak wdrożyć RODO w 6-ciu krokach, w oparciu o wiedzę ze szkolenia oraz materiały szkoleniowe?
XVI. Głos publiczności
Pytania uczestników.
- Dyskusja.
DZIEŃ 2
I. Inspektor Ochrony Danych (IOD/DPO) - zagadnienia wstępne.
- Powołanie IOD – obowiązek czy uprawnienie?
- Kto może zostać IOD?
- Jakie zadania IOD wskazane zostały w RODO, a jakie zwykle wykonuje w praktyce? IOD w perspektywie wytycznych Grupy Roboczej art. 29 (Europejskiej Rady Ochrony Danych).
- Współpraca IOD z działem IT.
- Pełnienie roli punktu kontaktowego – tak dla osób, których dane dotyczą, jak i organu nadzorczego – w praktyce.
- Konsultacje w zakresie oceny skutków dla ochrony danych.
- Status IOD, jego kompetencje i zakres odpowiedzialności.
- Odpowiedzialność administratora i osób upoważnionych do przetwarzania danych w perspektywie powołania IOD.
- Formalne powołanie IOD wewnątrz organizacji.
- Forma zatrudnienia / współpracy z IOD.
- IOD w grupie kapitałowej.
- Zgłoszenie powołania IOD do organu nadzorczego – wypełnianie formularza oraz zgłoszenia poprzez platformę ePUAP.
- Ubezpieczenia dla IOD i administratora – czy warto z nich korzystać? Analiza umów ubezpieczeniowych – na jakie wyłączenia w szczególności należy zwrócić uwagę.
- Zlecanie funkcji IOD – jakie zapisy w umowie / powołaniu powinny się znaleźć?
- Przyjmowanie funkcji IOD – zalecane postanowienia umowne – okiem prawnika.
II. Realizacja bieżących obowiązków IOD.
OBOWIĄZKI INFORMACYJNE.
- Poprawne definiowanie podstaw przetwarzania danych osobowych – art. 6, art. 9 i art. 10 RODO w praktyce – case study.
- Dodatkowe obowiązki informacyjne w przypadku współadministrowania danymi – wyzwania płynące z art. 26 RODO.
- Obowiązki informacyjne – wdrażanie w praktyce. Zalecane formy oraz miejsca ich spełniania. Dobre praktyki.
- Strona internetowa, BIP – ważne źródło wiedzy o tym, w jaki sposób przetwarzamy dane osobowe.
- Konstruowanie obowiązków informacyjnych – warsztat.
KONTROLA PRZEPŁYWU DANYCH.
- Powierzenie a udostępnienie danych osobowych – jak odróżnić te dwie formy przekazywania danych “na zewnątrz”.
- Najczęstsze przypadki powierzania danych osobowych.
- Na jakiej podstawie możemy udostępniać dane osobowe?
- Udostępnienie danych – przykłady praktyczne.
- Obowiązkowe i fakultatywne elementy umowy powierzenia.
- Konstruowanie oraz weryfikacja umów powierzenia – warsztat.
- Przepływ danych między współadministratorami.
- Rejestry powierzeń i udostępnień.
POSTĘPOWANIA ZWIĄZANE Z REALIZACJĄ UPRAWNIEŃ OSÓB, KTÓRYCH DANE DOTYCZĄ.
- Forma składania żądań przez osoby, których dane dotyczą.
- Z jakimi żądaniami w praktyce spotykamy się najczęściej?
- Jak przygotować firmę / instytucję do realizacji uprawnień osób, których dane dotyczą, w aspekcie organizacyjnym oraz informatycznym? Główne praktyczne problemy.
- W jaki sposób realizować uprawnienia osób, których dane dotyczą? Jak poprawnie prowadzić korespondencję?
- Analiza zasadności roszczeń – case study.
POSTĘPOWANIE Z NARUSZENIAMI.
- Procedura wewnętrznego zgłaszania naruszeń / incydentów. Forma komunikacji z osobami upoważnionymi do przetwarzania danych osobowych.
- Prowadzenie wewnętrznego rejestru naruszeń – case study.
- Zgłaszanie naruszeń do organu nadzorczego – kiedy jest obowiązkowe? Czy termin 72 godzin jest nieprzekraczalny?
- Wypełnianie formularza zgłoszeniowego oraz zgłaszanie naruszeń poprzez e-PUAP – warsztat.
- Obowiązek zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych. W jakich przypadkach i w jakiej formie informować o naruszeniach?
III. Bezpieczeństwo danych osobowych.
- Co o środkach ochrony danych mówi RODO?
- Analiza art. 32 RODO i praktyczne następstwa tak ogólnej regulacji.
- Rodzaje zagrożeń i sposoby przeciwdziałania im.
- Pseudonimizacja i szyfrowanie – kiedy jest niezbędne?
- Szczególnie zalecane organizacyjne środki bezpieczeństwa.
- Szczególnie zalecane fizyczne i techniczne środki bezpieczeństwa.
- Kodeksy postępowania i certyfikacja.
IV. Wdrażanie RODO.
- Przygotowanie planu wdrożenia.
- Uwzględnianie ochrony danych w fazie projektowania (zasada “privacy by design” w praktyce).
- Wdrażanie domyślnej ochrony danych (zasada “privacy by default” w praktyce”).
- Polityka Ochrony Danych – w jakim zakresie jest obowiązkowa? Praktyczne rady, w jaki sposób konstruować wewnętrzną dokumentację oraz system przetwarzania danych osobowych w organizacji.
- Formułowanie wewnętrznych procedur w zakresie przetwarzania i bezpieczeństwa danych osobowych – warsztat; analiza wzorcowych procedur, udostępnionych przez organizatora.
- W jaki sposób skonstruować upoważnienia do przetwarzania danych osobowych?
- Przydatne pod kątem rozliczalności ewidencje i rejestry.
V. Wizerunek a RODO.
- Definicja “wizerunku”. W jakim zakresie wizerunek to dane osobowe?
- Rozpowszechnianie wizerunku w perspektywie art. 81 ustawy o prawie autorskim i prawach pokrewnych – case study w oparciu o orzecznictwo.
- Czy zgodę na rozpowszechnianie wizerunku można cofnąć w dowolnym momencie?
- Jak powinna wyglądać zgoda na utrwalenie i upowszechnianie wizerunku – case study, w oparciu o orzecznictwo.
- Uzasadniony interes administratora jako podstawa prawna przetwarzania wizerunku pracownika.
- Odpowiedzialność za niezgodne z prawem przetwarzanie wizerunku na gruncie RODO, prawa autorskiego oraz kodeksu cywilnego.
VI. Głos publiczności
- Pytania uczestników.
- Dyskusja.
Czas trwania
2 dni, 8.00-16.00
Terminy i miejsca
To szkolenie nie ma aktualnych terminów. Wyślij zapytanie o nowe terminy bądź zapisz na powiadomienia o nowych terminach.
Rejestracja
- udział w zajęciach
- materiały szkoleniowe
- certyfikat uczestnictwa (zobacz wzór )
Wydarzenie nieaktualne. Wypełnij formularz, aby zapytać o nowe terminy.
Najczęściej zadawane pytania
Płatność na podstawie proformy lub faktury VAT wystawionej po realizacji Kursu IOD przez uczestnika.
- Nazwa firmy: Instytut Odpowiedzialnego Biznesu
- Ulica i nr: ul. Mickiewicza 33/41
- Kod pocztowy: 60-837
- Miejscowość: Poznań
- Numer NIP: 6182098969