Warsztaty RODO z prowadzenia rejestru czynności, określania retencji (czasu przechowywania) i transferu danych poza granice Polski.

I. Zasada ograniczonego przechowywania i retencja danych.

• Minimalizacja czasu przechowywania i zakresu danych osobowych jako podstawa RODO.
• Po jakim czasie należy usuwać dane osobowe?
• Terminy przetwarzania danych osobowych, wynikające z obowiązujących przepisów prawa. Case study – tworzymy wykaz okresów retencji danych.
• W jaki sposób należy określać terminy przetwarzania danych osobowych w przypadku, gdy wprost nie określają tego przepisy prawa? Case study – tworzymy wykaz okresów retencji danych.
• Instrukcja kancelaryjna i jednolity rzeczowy wykaz akt.
• Relacja pomiędzy zasadą retencji a obowiązkiem informacyjnym RODO.
• Zasadą retencji a wykonywanie kopii bezpieczeństwa przetwarzanych danych osobowych – uwagi praktyczne.
• Jak i gdzie należy zamieścić informacje o planowanych terminach usunięcia danych osobowych?
• Praktyczne rozwiązania związane z wdrażaniem zasady ograniczonego przechowywania

II. Rejestr czynności przetwarzania (rejestr administratora) i kategorii czynności przetwarzania (rejestr podmiotu przetwarzającego).

• Cele i praktyczne znaczenie rejestrów.
• Obowiązkowe i fakultatywne elementy rejestrów.
• Jakie dodatkowe elementy rejestru czynności warto stosować, w celu ułatwienia zarządzania systemem przetwarzania danych osobowych?
• Jak ocenić, czy sporządzenie rejestru czynności i rejestru kategorii przetwarzań jest wymagane? Wyłączenia wskazane w RODO.
• Jak wyróżniać i identyfikować „czynności” i „kategorie czynności” przetwarzania, podlegające uwzględnieniu w rejestrach.
• Jak formułować cele przetwarzania danych i jaka jest ich relacja względem zdefiniowanych czynności?
• Opis kategorii danych osobowych oraz kategorii osób, których dotyczą przetwarzane dane.
• Jak uwzględniać odbiorców danych oraz diagnozować, czy dane osobowe są przekazywane poza EOG?
• Jak oceniać zasadność stosowania dodatkowych zabezpieczeń, w przypadku przekazywania danych osobowych do krajów spoza EOG.
• Formułowanie opisu technicznych i organizacyjnych środków bezpieczeństwa, stosowanych przy przetwarzaniu danych osobowych.
• Monitorowanie aktualności rejestru czynności na danych – jak praktycznie sobie z tym poradzić?

III. Warsztat.

• Konstruowanie rejestrów na podstawie konkretnego stanu faktycznego, przy wykorzystaniu autorskich wzorów: rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzanie.

IV. Problematyka transferu danych do państw trzecich.

• Czy rzeczywiście nie przekazujemy danych do państw trzecich? Oprogramowanie, narzędzia, usługi, na które musimy w szczególności zwrócić uwagę.
• Kiedy legalnie można przekazywać dane do państwa trzeciego?
• Jak sprawdzić, czy państwo do którego organizacja transferuje dane osobowe znajduje się na liście “krajów bezpiecznych”.
• Transfer danych do Stanów Zjednoczonych – analiza problematyki oraz omówienie jak krok po kroku sprawdzić czy podmiot do którego transferujemy dane osobowe jest “bezpieczny”.
• Dodatkowe środki zabezpieczeń, stosowane w przypadku przekazywania danych osobowych do krajów spoza listy “krajów bezpiecznych”.
• Konsekwencje transferu danych poza EOG w zakresie dokumentacji i obowiązku informacyjnego.

V. Urząd Ochrony Danych Osobowych (UODO).

• Status Prezesa Urzędu Ochrony Danych Osobowych.
• Zadania i kompetencje organu nadzorczego.
• Postępowanie kontrolne i procedury z nim związane.
• Jak wyglądają kontrole w praktyce?
• Jak przygotować się na kontrolę?
• Zakres odpowiedzialności i administracyjne kary pieniężne.

VI. Głos publiczności.

• Pytania uczestników.
• Dyskusja.