O szkoleniu
Szkolenie dotyczy praktycznej obsługi naruszeń ochrony danych osobowych w jednostkach sektora publicznego i u podmiotów realizujących zadania publiczne. Program obejmuje obowiązki ADO i podmiotu przetwarzającego, rolę IOD, progi zgłoszeniowe, dokumentowanie i komunikację z Prezesem UODO oraz najnowsze decyzje i orzecznictwo, w tym odniesienie do Wytycznych EDPB 9/2022 i aktualnych stanowisk UODO z 2025 r.
Usystematyzowanie definicji i progów: „naruszenie ochrony danych” vs „naruszenie RODO”, warunki zgłoszenia do UODO i zawiadomienia osób.
Wyjaśnienie obowiązków i podział ról: ADO, procesor, IOD, wraz z ograniczeniami i ryzykiem konfliktu interesów.
Przećwiczenie oceny ryzyka i decyzji o notyfikacji na podstawie matrycy ryzyka i przykładów incydentów.
Ustalenie standardów dokumentowania: rejestr naruszeń, zgłoszenie do UODO, komunikat do osób, dowody działań naprawczych.
Omówienie bieżącej praktyki nadzorczej: wnioski z decyzji Prezesa UODO 2025 i orzecznictwa krajowego oraz TSUE (art. 82 RODO).
Zdolność samodzielnej kwalifikacji zdarzeń i liczenia „72 godzin” od stwierdzenia incydentu według EDPB 9/2022.
Gotowe wzorce: lista kontrolna oceny ryzyka, wymagane pola rejestru naruszeń, elementy zgłoszenia do UODO i zawiadomienia osób.
Mniejsze ryzyko sankcji dzięki kompletności dokumentacji i współpracy z organem nadzorczym zgodnie z aktualną praktyką UODO.
Jasny podział odpowiedzialności ADO–procesor–IOD oraz ograniczenie konfliktów ról.
Aktualna interpretacja linii orzeczniczej dotyczącej szkody i odpowiedzialności odszkodowawczej z art. 82 RODO.
Szkolenie jest skierowane do specjalistów i pracowników zajmujących się ochroną danych osobowych, takich jak inspektorzy ochrony danych (IOD), administratorzy danych i ich podmioty przetwarzające, a także do osób odpowiedzialnych za bezpieczeństwo informacji, ryzyko oraz obsługę naruszeń. Mogą w nim uczestniczyć również osoby zarządzające i kadra menedżerska zainteresowana tematyką ochrony danych i zapobieganiem naruszeniom.
Program szkolenia
1. Podstawy prawne i aktualne stanowiska UODO:
a. Art. 4 pkt 12, art. 33–34 RODO; ustawa o ochronie danych.
b. Stan aktualny wg zaktualizowanego poradnika UODO (2025): doprecyzowanie progu zgłoszenia, przykłady typowych naruszeń, rekomendacje współpracy z organem, wzory komunikatów do osób, wskazówki dot. oceny ryzyka.
c. Wytyczne EDPB 9/2022 (wersja finalna 04.04.2023) jako punkt odniesienia.
2. „Naruszenie ochrony danych” a „naruszenie RODO”:
a. Różnice: zdarzenie bezpieczeństwa vs. każde złamanie przepisu; kiedy naruszenie bezpieczeństwa nie rodzi obowiązku zgłoszenia.
b. Wątek odszkodowawczy: samo naruszenie przepisów nie wystarcza do roszczeń z art. 82 RODO; konieczna szkoda. Orzecznictwo TSUE 2024.
3. Obowiązki ADO i podmiotu przetwarzającego na przykładzie:
a. Scenariusz: wysyłka listy wnioskodawców przez PP do niewłaściwego adresata (innej gminy).
b. PP: niezwłoczne zgłoszenie ADO, wsparcie, logi.
c. ADO: żądane informacje, wyjaśnienia od PP, ocena ryzyka, decyzja o zgłoszeniu do UODO w 72 h, treść zgłoszenia, środki naprawcze, zawiadomienia osób.
d. Wymogi dokumentacyjne z poradnika UODO + EDPB 9/2022, w tym matryca ryzyka i dowody działań.
4. Rola IOD przy obsłudze naruszeń + konflikt interesów:
a. Zadania: doradztwo, monitorowanie, weryfikacja oceny ryzyka, wzór zawiadomienia, wnioski poincydentowe.
b. Ograniczenia: IOD nie decyduje zamiast ADO; unikanie konfliktu interesów przy jednoczesnym pełnieniu funkcji operacyjnych IT/HR. Podparcie stanowiskami UODO z poradnika 2025.
5. Dokumentowanie i zgłaszanie:
a. Rejestr naruszeń: wymagane pola, retencja, spójność z procedurą.
b. Zgłoszenie do PUODO: kiedy, jak, jakie załączniki; komunikat do osób.
c. Praktyka UODO: nacisk na współpracę, kompletność danych, adekwatność środków.
6. Wykrywanie i stwierdzanie naruszeń:
a. Źródła sygnałów: SIEM/DLP, skrzynki „incydent@…”, błędne adresowania, zgłoszenia klientów, alerty.
b. Kryteria „stwierdzenia” zdarzenia, clock start 72 h, rule of reason wg EDPB 9/2022.
7. Zapobieganie + ocena ryzyka:
a. Matryca oceny ryzyka dla naruszeń: prawdopodobieństwo x skutek, czynniki redukujące (szyfrowanie, szybkie odzyskanie kontroli), decyzja o zawiadomieniach.
b. Wnioski z decyzji i kar: waga współpracy z organem, kompletności dowodów, naruszenia na styku zadań publicznych.
8. Najnowsze decyzje i orzecznictwo (40 min – omówienie case law):
a. Omówienie najnowszych decyzji Prezesa UODO z 2025 r. prawomocnych oraz nieprawomocnych orzeczeń sądów.
b. Orzecznictwo sądów krajowych w 2025 r..
c. TSUE i linia odszkodowawcza (art. 82 RODO).
d. Kary za brak współpracy z UODO oraz ataki ransomware.
Czas trwania
09:00 - 14:00
Prelegenci
Trener 1 - nieetatowy współpracownik Wyższej Szkoły Nauk Pedagogicznych w Warszawie, audytor w zakresie realizacji wymagań zgodnych z KRI oraz audytor wiodący ISO 27001, obecnie zatrudniony jako inspektor ochrony danych w jednostkach samorządu terytorialnego, prelegent z wieloletnim doświadczeniem na szkoleniach z zakresu ochrony danych osobowych w jednostkach sektora publicznego. Wykładowca ceniony i polecany przez członków Forum Ochrony Danych działającego przy FRDL.
Trener 2 - audytor wewnętrzny bezpieczeństwa informacji normy IOS27001, absolwent studiów podyplomowych na kierunku Inspektor Ochrony Danych. Aktywny członek stowarzyszenia inspektorów ochrony danych (SABI). Posiada doświadczenie w zakresie współpracy z administracją publiczną pełniąc funkcję inspektora ochrony danych oraz obsługując naruszenia ochrony danych. Prowadzi audyty ochrony danych osobowych, audyty bezpieczeństwa systemów informatycznych oraz szkolenia dla pracowników, których tematyka związana jest z danymi osobowymi, prywatnością a także bezpieczeństwem informacji.
Terminy i miejsca
Zapoznaj się z aktualnymi terminami tego szkolenia bądź zapisz na powiadomienia o nowych terminach.
Rejestracja
- udział w zajęciach
- materiały szkoleniowe w wersji elektronicznej
- certyfikat uczestnictwa
- bezpłatne anulowanie zgłoszenia do 7 dni przed terminem
- konsultacje indywidualne
Brak miejsc. Wypełnij formularz, aby zapytać o nowe terminy.
Termin nieaktualny. Wybierz inny termin powyżej, bądź wypełnij formularz, aby zapytać o planowane nowe terminy.
Najczęściej zadawane pytania
- Nazwa firmy: Fundacja Rozwoju Demokracji Lokalnej im. Jerzego Regulskiego
- Ulica i nr: Jelinka 6
- Kod pocztowy: 01-646
- Miejscowość: Warszawa
- Numer NIP: 5220001895
Masz pytania? Napisz do nas
Wypełnij formularz
Dane kontaktowe
Organizator
