Szacowanie ryzyka zgodnie z RODO i przeprowadzenie oceny skutków dla ochrony danych zgodnie z normą ISO/IEC 29134

Część wykładowa (prezentacje, przewidywany czas ok. 2 godziny, z uwzględnieniem krótkiej przerwy na życzenie uczestników).

1. Szacowanie ryzyka i ocena skutków wg RODO:
a) Wymagania RODO w zakresie szacowania ryzyka – art. 24, 25, 32
b) Dobór odpowiednich zabezpieczeń dotyczących ochrony danych
osobowych
c) Wymagania RODO w zakresie oceny skutków dla ochrony danych (DPIA) – art. 35
d) Przykłady metodyk:

• Normy ISO: 27005 oraz 29134
• Metodyka francuskiego organu nadzoru (CNIL)
• Metodyka brytyjskiego organu nadzoru (ICO)

e) Ogólne schematy postępowania:

• Szacowanie ryzyka – schemat postępowania wg PN- ISO/IEC 27005
• DPIA – schemat postępowania wg wytycznych GR 29 (WP 248 rev.1)

2. Analiza ryzyka bezpieczeństwa informacji na bazie normy PN-ISO/IEC 27005:
a) Pojęcia podstawowe
b) Proces zarządzania ryzykiem
c) Schemat postępowania
d) Metody analizy ryzyka
e) Postępowanie z ryzykiem
f) Dokumentowanie zarządzania ryzykiem

3. Ocena skutków wg normy PN-ISO/IEC 29134:2018:
a) Różnica pomiędzy pojęciami PIA (Privacy Impact Assessment) a DPIA (Data Protection Impact Assessment)
b) Ustalenie konieczności wykonania PIA
c) Przygotowania do PIA

• opisanie przedmiotu PIA
• działania organizacyjne
• planowanie zadań

d) Wykonanie PIA:

• identyfikacja przepływów danych
• ustalenie wymogów w zakresie ochrony prywatności
• szacowanie ryzyka dla prywatności
• przygotowanie planu postępowania z ryzykami dla prywatności

e) Działania po PIA

Część warsztatowa – Ocena skutków dla ochrony danych zgodnie z RODO dla wybranego procesu przetwarzania danych osobowych
(przewidywany czas: ok. 4 godziny z krótkimi przerwami na życzenie uczestników).

Warsztat jest realizowany w oparciu o przykładowy scenariusz operacji przetwarzania danych. Scenariusz ten służy wyłącznie do zilustrowania toku postępowania i zapoznania uczestnika z techniką wykonywania oceny skutków, w tym szacowania ryzyka naruszenia praw lub wolności osób fizycznych.
Prezentowane przykłady w żadnym przypadku nie mogą być traktowane jako gotowe/zalecane rozwiązania dla podobnych operacji przetwarzania ze względu na poczynienie wielu założeń dotyczących kontekstu przetwarzania, stosowanych technologii i rozwiązań organizacyjnych posiadanych przez przykładową organizację.

Warsztat polega na:

• Wypełnianiu dostarczonych wzorów formularzy w formie plików Word i Excel
• Konsultowaniu online wykonania ćwiczenia z prowadzącym warsztat
• Omawianiu i prezentowaniu przez prowadzącego warsztat przykładów rozwiązań wykonywanych ćwiczeń

1. Opisanie zakresu oceny – określenie kontekstu
2. Określenie konieczności wykonania oceny skutków (DPIA)
3. Opisanie operacji przetwarzania z uwzględnieniem poszczególnych faz cyklu życia danych (od zebrania do usunięcia)
4. Identyfikacja Interesariuszy, określenie potrzeb w zakresie konsultacji i sporządzenie ich planu
5. Wykonanie oceny niezbędności i proporcjonalności przetwarzania oraz określenie sposobu realizacji praw osób których dane dotyczą
   a. Ustalenie środków mających na celu zapewnienie zgodności operacji przetwarzania z wymaganiami RODO i minimalizujących możliwe ryzyka dla prywatności
   b. Ustalenie sposobu realizacji praw osób których dane dotyczą i określenie środków zapewniających realizację tych praw
6. Wykonanie szacowania ryzyka:
   a. Zidentyfikowanie aktywów
   b. Zidentyfikowanie zagrożeń dla aktywów
   c. Zidentyfikowanie istniejących lub planowanych zabezpieczeń
   d. Zidentyfikowanie podatności
   e. Zidentyfikowanie następstw (skutków dla osoby fizycznej)
   f. Oszacowanie wartości następstw
   g. Oszacowanie prawdopodobieństwa incydentu
   h. Określenie poziomu ryzyka
   i. Ocena ryzyka i ustalenie planu postępowania z ryzykiem
7. Weryfikacja kompletności raportu z oceny skutków (DPIA)