Kurs ABI

Grupa docelowa

  • Kandydaci do pełnienia funkcji administratorów bezpieczeństwa informacji
  • Osoby odpowiadające za bezpieczeństwo IT
  • Właściciele małych i średnich firm chcący poznać wymogi w zakresie ochrony danych osobowych
  • Pracownicy, którym powierzono zadanie opracowania polityki bezpieczeństwa i innych dokumentów wymaganych przez przepisy prawa

Cele

  • Umiejętność wypełniania wniosków rejestracyjnych (aktualizacyjnych) do GIODO
  • Nabycie wiedzy do samodzielnego przeprowadzania sprawdzenia (audytu) zgodności z przepisami w zakresie ochrony danych osobowych
  • Zrozumienie zasad wdrożenia polityki bezpieczeństwa danych osobowych oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
  • Wiedza na temat zasad przetwarzania danych osobowych (zgody, obowiązki informacyjne, umowy powierzenia)
  • Zdobycie informacji na temat sposobów prowadzenia postępowania administracyjnego przed GIODO (odpowiedzi na wnioski, kontrola)
  • Przygotowania się na zmiany wynikające z zakończenia prac nad rozporządzeniem UE o ochronie danych osobowych

Zapisz się na szkolenie

* - Pola wymagane

Administratorem danych jest Mobilesec Sp. z o.o.
z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 202. Dane zawarte w formularzu przetwarzane będą w celach związanych z przeprowadzeniem warsztatów oraz szkoleń, a także w celach przesyłania informacji handlowych drogą elektroniczną (pod warunkiem wyrażenia zgody). Mają Państwo prawo dostępu do treści swoich danych oraz ich poprawiania. Podanie danych jest dobrowolne, ale niezbędne do realizacji ww. celów

Agenda

DZIEŃ 1

  • Wprowadzenie
    • Gdzie znaleźć obowiązujące nas wymogi? - najważniejsze akty prawne krajowe i unijne, regulujące tematykę ochrony danych osobowych
    • Przegląd kluczowych pojęć z zakresu ochrony danych osobowych
  • Przegląd obowiązków administratora danych osobowych wynikających z ustawy o ochronie danych osobowych
  • Ocena legalności, czyli wybór właściwych podstaw prawnych przetwarzania danych w instytucji
    • Dane kandydatów do pracy: jak je legalnie zebrać, dalej przetwarzać w toku rekrutacji, przechować bądź usunąć po zakończonym procesie?
    • Dane pracowników: realizacja obowiązków wynikających z przepisów prawa, świadczenia i benefity socjalne, upublicznianie danych pracownika, wizerunek pracownika
    • Dane wykorzystywane dla celów marketingowych: kierowanie ofert – tradycyjnie, telemarketing, e-mail marketing, nabycie danych od podmiotów zewnętrznych
    • Dane klientów, kontrahentów i ich reprezentantów
    • Inne przykłady przetwarzania danych osobowych, w zależności od specyfiki branży uczestników warsztatów
  • Udostępnianie danych osobowych: zasady udostępniania danych osobowych organom państwowym oraz innym instytucjom, np. w obrębie grupy kapitałowej, na żądanie związków zawodowych
  • Zasada szczególnej staranności: adekwatności, celowości i czasowości przetwarzania danych
  • Obowiązek informacyjny przy zbieraniu danych osobowych – jak skutecznie go wypełnić?
    • Zakres i moment spełnienia obowiązku informacyjnego
    • Oceniamy prawidłowość klauzul, tworzymy samodzielnie klauzule informacyjne - ćwiczeniePrzykłady zastosowania klauzul informacyjnych w praktyce
  • Wymogi formalno – prawne przy przetwarzaniu danych osobowych w procesie outsourcingu:
    • Pojęcie powierzenia i umowy powierzenia przetwarzania danych osobowych
    • Elementy umowy powierzenia przetwarzania danych
    • Strony umowy powierzenia przetwarzania danych
    • Odpowiedzialność i obowiązki stron umowy powierzenia
    • Ćwiczenie – tworzymy umowy powierzenia przetwarzania danych osobowych
  • Przekazanie danych osobowych do państwa trzeciego
    • Przypadki przekazania i ocena dopuszczalności przekazania danych do państwa trzeciego
    • Udostępnienie i powierzenie danych a ich przekazanie do państwa trzeciego – jak prawidłowo ocenić te procesy, aby uniknąć ryzyka prawnego i odpowiedzialności?
  • Prawa osób, których dane osobowe dotyczą
    • Obowiązek udzielenia odpowiedzi, gdy podmiot danych realizuje prawo do kontroli ich przetwarzania: w jakim zakresie, terminie i trybie ustosunkować się do pytania?
    • Sprzeciw wobec przetwarzania danych osobowych, żądanie usunięcia danych, odwołanie zgody, żądanie zaprzestania przetwarzania danych – jakie podjąć kroki, aby działać zgodnie z przepisami?
  • Obowiązek rejestracji zbiorów danych
    • Jak dokonać inwentaryzacji zbiorów danych przetwarzanych przez administratora danych?
    • Kiedy obowiązek zgłoszenia zbioru do rejestru GIODO spoczywa na administratorze danych?
    • Zmiany w przepisach – nowe podstawy wyłączające obowiązek rejestracyjny
    • Wypełnienie wniosku zgłaszając zbiór do rejestru prowadzonego przez GIODO – ćwiczenie
  • Dokumentacja ochrony danych osobowych – wprowadzenie do tematu
    • Polityka bezpieczeństwa
    • Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
    • Upoważnienia do przetwarzania danych
    • Ewidencja osób upoważnionych
    • Inne procedury, instrukcje, regulaminy wynikające z dobrych praktyk
  • Konsekwencje nieprzestrzegania ochrony danych osobowych
    • Omówienie poszczególnych rodzajów odpowiedzialności: administracyjna, cywilna, dyscyplinarna, karna
  • Konsultacje z uczestnikami szkolenia
DZIEŃ 2

  • Generalny Inspektor Ochrony Danych Osobowych (GIODO) i jego zadania
    • Zakres dotychczasowych kompetencji i nowych uprawnień: prowadzenie rejestru ABI, zwrócenie się do ABI o dokonanie sprawdzenia
    • Skarga złożona do GIODO przez podmiot danych i przeprowadzenie postępowania w sprawie – jakie działania podjąć, aby zminimalizować negatywne konsekwencje?
    • Kontrola GIODO w praktyce: przygotowanie do niej i udział ABI w jej przebieguMożliwe sposoby zakończenia kontroli i decyzje GIODO w tym zakresie
  • Rola administratora bezpieczeństwa informacji (ABI) – omówienie najważniejszych zadań i zmian:
    • Kwalifikacje do pełnienia funkcji
    • Niezależność przy wykonywaniu obowiązków – jak ją zapewnić w praktyce?
    • Powołanie ABI i zgłoszenie ABI do rejestru GIODO - ćwiczenie
    • Ustawowe obowiązki oraz możliwe rozbudowanie kompetencji: nadzór nad ochroną danych a czynności do wykonania w praktyce
    • Nowy obowiązek prowadzenia jawnego rejestru zbiorów danych
    • Nowy obowiązek sprawozdawczości – sprawdzenia dla GIODO
  • Nowy obowiązek: sprawdzenie i sprawozdanie dla administratora danych, czyli audyt realizowany przez ABI
    • Jak się przygotować do dokonania sprawdzenia (audytu) ochrony danych osobowych?
    • Plan sprawdzeń do opracowania przez ABI – czego wymagają znowelizowane przepisy?
    • Jak przeprowadzić sprawdzenie, aby wykonać obowiązek zgodnie z przepisami?
    • Sprawozdanie ze sprawdzenia – przećwiczymy opracowanie końcowego dokumentu na wybranym przykładzie
  • Dokumentacja wymagana przepisami z zakresu ochrony danych osobowych - warsztaty:
    • Polityka bezpieczeństwa – podpowiadamy, jakie informacje są potrzebne ABI-emu i z kim współpracować, aby nadzorować opracowanie i aktualność dokumentu
    • Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych – podpowiadamy, jakie informacje są potrzebne ABI-emu i z kim współpracować, aby nadzorować opracowanie i aktualność dokumentu
    • Upoważnienia do przetwarzania danych - ćwiczenia
    • Ewidencja osób upoważnionych – ćwiczenia
    • Opisanie procesów niewymaganych przepisami, które uszczelniają system ochrony danych osobowych: jakie dokumenty warto wdrożyć i co w nich wskazać?
    • Procedura nadawania upoważnień do przetwarzania danych i zobowiązania osób upoważnionych do zachowania tajemnicy - ćwiczenie
  • Zabezpieczenia fizyczne i organizacyjne danych osobowych
    • Wskazanie środków zabezpieczeń obligatoryjnych i fakultatywnych
    • Ocena doboru środków zabezpieczeń do rodzaju zagrożeń
  • Zabezpieczenia techniczne i logiczne danych osobowych - omówienie najważniejszych wymaganych zabezpieczeń
    • Wymagane przepisami środki bezpieczeństwa dla zapewnienia ochrony przetwarzanych danych
    • Podstawowe warunki techniczne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
  • Szczególne wymogi prawne odnoszące się do systemów informatycznych służących do przetwarzania danych osobowych
    • Wymagania dla systemów dotyczące uwierzytelniania i odnotowywania operacji na danych osobowych
    • Przygotowanie do przeprowadzenia oględzin systemu informatycznego w firmie/instytucji
  • Konsultacje z uczestnikami szkolenia

Trenerzy

Katarzyna Ułasiuk

Michał Sztąberek