Warsztaty RODO z przeprowadzania analizy ryzyka, wykonywania audytów oraz oceny skutków dla ochrony danych.

I. Wykonywanie audytów systemów przetwarzania danych osobowych.

• Podstawowe pojęcia związane z przeprowadzaniem audytów.
• Główne problemy audytorów –  jak przygotować się do tej roli?
• Zadanie audytów w procesie wdrażania i stosowania RODO.
• Czym różni się audyt przedwdrożeniowy od audytu walidacyjnego – jakie są ich cele i jakie zadania spoczywają na audytorze?
• Jak sporządzić plan audytu, z uwzględnieniem jego celu i docelowego zakresu? Warsztat.
• Pozyskiwanie materiału źródłowego do audytu. Forma jego dokumentacji w perspektywie dowodowości.
• Jakie środki bezpieczeństwa przy przetwarzaniu danych osobowych są najczęściej stosowane, a jakich wymaga organ nadzorczy? Case study w oparciu o analizę dotychczasowych decyzji i opinii organu nadzorczego.
• Jak badać fizyczne środki bezpieczeństwa, w tym w zakresie infrastruktury budynków i pomieszczeń?
• Jak badać techniczne środki bezpieczeństwa, w tym w zakresie infrastruktury informatycznej?
• Organizacyjne środki bezpieczeństwa – analiza jakie procedury są kluczowe oraz w jaki sposób badać świadomość obowiązków spoczywających na osobach upoważnionych.
• Badanie, czy organizacja jest przygotowana do realizacji uprawnień osób, których dotyczą przetwarzane dane osobowe.
• Jaki powinien być efekt audytu, aby był on użyteczny. W  jaki sposób sporządzić raport z audytu systemu przetwarzania danych osobowych?
• Zalecenia pokontrolne – jakie treści powinny zawierać?.

II. Analiza ryzyka.

• Podejście oparte na ryzyku (risk-based approach) jako fundament RODO.
• Identyfikacja aktywów i zasobów niezbędnych w procesie szacowania ryzyka.
• Parametry analizy ryzyka – skutek i prawdopodobieństwo wystąpienia – jak rozumieć, oceniać i jakie wartości należy im przypisać.
• Jak diagnozować zagrożenia naruszeń ochrony danych osobowych, wynikające z używania konkretnych zasobów?
• Na jakie podatności należy zwrócić uwagę, przy diagnozowaniu konkretnych ryzyk?
• Sposoby oceny ryzyka związanego z wystąpieniem konkretnych zagrożeń.
• Przeprowadzanie szczegółowej analizy na matrycach zaproponowanych przez organizatora – zajęcia warsztatowe..
• Kontynuacja warsztatu z użyciem elektronicznych matryc ryzyk, na konkretnym przykładzie podmiotu przetwarzającego dane osobowe.
• Jak postępować ze zdiagnozowanym ryzykiem.
• Jak sporządzać plany działań, zmierzające do minimalizacji ryzyka – obniżanie ryzyka, transfer ryzyka.

III. Ocena skutków dla ochrony danych (Data Protection Impact Assessment, OSOD/DPIA).

• Jaki jest cel DPIA?
• Jak ocenić, czy przeprowadzenie DPIA jest wymagane?
• Niezbędne elementy procesu DPIA – art. 35 RODO.
• Formułowanie informacji dotyczących planowanych działań, mogących spowodować skutek dla ochrony danych osobowych.
• Definiowanie interesu administratora, celów oraz podstaw prawnych przetwarzania, mogącego spowodować skutek dla ochrony danych osobowych.
• Jak oceniać niezbędność i proporcjonalność planowanych operacji przetwarzania danych osobowych, względem praw osób, których te dane dotyczą?
• Jak diagnozować zakres danych osobowych, przetwarzanych w ramach planowanych operacji przetwarzania?
• Ocena zdolności do realizacji uprawnień osób, których dotyczą dane przetwarzane w ramach planowanych operacji przetwarzania.
• Jak wybrać i opisać środki bezpieczeństwa, wdrażane w celu ograniczenia ryzyka naruszenia praw i wolności osób, których dane dotyczą?
• Jaka zależność zachodzi pomiędzy przeprowadzeniem DPIA a analizą ryzyka?
• Przygotowywanie DPIA – warsztat. Formuła case studies na wzorcu  DPIA.
• Rola Inspektora Ochrony Danych w DPIA.
• Uprzednie konsultacje z organem nadzorczym:
• Zakres informacji, która należy przedłożyć organowi nadzorczemu
• Uprawnienia organu nadzorczego.

IV. Głos publiczności

• Pytania uczestników.
• Dyskusja.