Kurs IOD kompleksowy kurs z nowych zasad przetwarzania danych osobowych (2 dniowe wykłady)

DZIEŃ 1 - “RODO W PIGUŁCE”

ROZPOCZĘCIE SZKOLENIA - GODZ. 9:00

I. Wstęp i źródła prawa.
- Reforma ochrony danych osobowych – z czego wynika, jakie jest jej znaczenie?
- Jak czytać RODO?
- Ustawa o ochronie danych osobowych. z 10 maja 2018 r.
- Ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679.
- Zmiany sektorowe – gdzie odnaleźć sektorowe przepisy o ochronie danych osobowych?

II. Dział kadr a RODO.
- Zmiany w kodeksie pracy - w jaki sposób przygotować do nich firmę/instytucję?
- Rekrutacja zgodna z RODO.
- Kwestionariusze osobowe, akta osobowe, listy obecności, układy zbiorowe i regulaminy pracy - jak pozostać w zgodności z nowymi przepisami?
- Kiedy potrzebna jest zgoda pracownika na przetwarzanie jego danych osobowych?
- Wdrażanie monitoringu wizyjnego - obowiązki względem pracowników i osób zewnętrznych.
- Inne formy monitoringu.

PRZERWA KAWOWA 10:45 - 11:00 (zapewniona przez organizatora)

III. Podstawowe pojęcia i informacje.
- Kto i kiedy ma obowiązek stosować przepisy RODO.
- Najważniejsze definicje w RODO - jak je rozumieć?
- Czym są “dane osobowe”, “przetwarzanie” – case study.
- W jakich sytuacjach „przetwarzamy dane osobowe”?

IV. Obowiązki Administratora i Podmiotu przetwarzającego, współadministrowanie danymi osobowymi.
- Administrator danych, procesor i osoba upoważniona do przetwarzania danych – role w procesie przetwarzania danych osobowych, a zmiany z RODO.
- Obowiązki Administratora danych.
- Obowiązki Podmiotu przetwarzającego (procesora).
- Zmiany w umowach powierzenia danych osobowych.
- Współadministrowanie danymi osobowych – nowa instytucja RODO.

V. Kiedy przetwarzamy dane osobowe zgodnie z prawem?
- Rodzaje danych osobowych – dane “zwykłe” oraz “szczególne kategorie danych”, w tym biometryczne.
- Kiedy możemy przetwarzać dane osobowe “zwykłe”, a kiedy “szczególne kategorie danych”?
- Wymogi dotyczące przetwarzania danych osobowych dzieci.
- Kiedy jest wymagana zgoda na przetwarzanie danych osobowych?
- Warunki wyrażenia zgody na przetwarzanie danych osobowych wg RODO.

VI. Zasady przetwarzania danych osobowych.
- Legalność przetwarzania danych osobowych – praktyczne aspekty kryteriów prawnych.
- Celowość i minimalizm w przetwarzaniu danych osobowych wg RODO.
- Poprawność merytoryczna przetwarzanych danych.
- Zasada ograniczonego przechowywania (retencja danych) – omówienie najważniejszych przykładów, praktyczne rozwiązania.
- Integralność i poufność przetwarzania danych osobowych.
- Rozliczalność - nadrzędna zasada RODO, jej konsekwencje dla IT.
- Nowe zasady “privacy by design oraz “privacy by default” i ich praktyczne zastosowanie.

PRZERWA OBIADOWA 12:45 - 13:30 (we własnym zakresie)

VII. Prawa osób, których dane osobowe są przetwarzane.
- Prawo dostępu do danych oraz prawo uzyskania kopii danych osobowych.
- Prawo do sprostowania danych.
- Prawo do bycia zapomnianym.
- Prawo do ograniczenia przetwarzania.
- Prawo do przenoszenia danych osobowych.
- Prawo do sprzeciwu.
- Prawa osób profilowanych.
- Jak postępować z żądaniami osób, których dane dotyczą?

VIII. Obowiązek informacyjny (klauzule informacyjne dotyczące przetwarzania).
- Obowiązek informacyjny przy przetwarzaniu danych osobowych – ustawy krajowe oraz RODO.
- Wymogi formalne z praktycznym omówieniem.
- Obowiązek informacyjny przy uzyskaniu zgody na przetwarzanie danych osobowych.
- Obowiązek informacyjny przy wyznaczeniu IOD.
- Obowiązek informacyjny przy przekazaniu danych osobowych poza EOG.
- Praktyczny przykład klauzuli informacyjnej z omówieniem.
- Obowiązek informacyjny w przypadku zbierania danych nie od osoby, której te dane dotyczą.
- Chwila powstania obowiązków informacyjnych.

IX. Rejestr czynności przetwarzania oraz rejestr kategorii czynności przetwarzania.
- Obowiązkowe elementy rejestrów przetwarzania.
- Jak prowadzić rejestr czynności przetwarzania (rejestr administratora), wymagany przez RODO?
- Praktyczny przykład rejestru czynności przetwarzania na danych wraz z omówieniem.
- Kiedy i jak prowadzić rejestr kategorii czynności przetwarzania (rejestr procesora)?
- Praktyczna forma rejestrów, różnice pomiędzy nimi.

PRZERWA KAWOWA 14:45 - 15:00 (zapewniona przez organizatora)

X. Bezpieczeństwo przetwarzania danych osobowych – przykładowe aspekty praktyczne w kontekście RODO.
- Organizacyjne środki zabezpieczenia danych osobowych – ich wybór i dostosowanie zgodnie z RODO, w ujęciu praktycznym.
- Techniczne środki bezpieczeństwa, ze szczególnym uwzględnieniem wymaganego przez RODO zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, pseudonimizacji oraz szyfrowania.
- Analiza ryzyka przy przetwarzaniu danych osobowych – przykłady praktyczne.
- Ocena skutków dla ochrony danych osobowych – kiedy jest wymagana.
- Uprzednie konsultacje z organem nadzorczym.

XI. Naruszenia ochrony danych osobowych
- Identyfikacja naruszeń bezpieczeństwa danych osobowych.
- Co robić w przypadku naruszenia?
- Obowiązek zgłaszania incydentów z danymi, wynikający z RODO (zasada 72 godzin).
- Obowiązek powiadamiania osób, których dane osobowe podlegają naruszeniu.
- Rejestr naruszeń ochrony danych osobowych.

XII. Tworzenie dokumentacji przetwarzania i ochrony danych osobowych.
- Dotychczasowa dokumentacja - Polityka bezpieczeństwa i Instrukcja Zarządzania Systemem Informatycznym w perspektywie aktualnych wymogów RODO.
- Obowiązki dokumentacyjne w RODO - Polityka Ochrony Danych.
- Upoważnienie do przetwarzania danych osobowych w kontekście RODO.
- Budowanie procedur wewnętrznego systemu zapewniającego bezpieczeństwo danych osobowych w kontekście nowych wymogów RODO.

XIII. Inspektor Ochrony Danych (Data Protection Officer).
- Kiedy istnieje obowiązek powołania Inspektora Ochrony Danych?
- Inspektor Ochrony Danych - rola w firmie/instytucji.

XIV. Odpowiedzialność związana z przetwarzaniem danych osobowych.
- Kary finansowe do 4% rocznego obrotu / 20 000 000 EUR – czy to jedyna forma działania organu nadzorczego, czy należy się ich spodziewać?
- Odpowiedzialność odszkodowawcza.
- Jak postępować, aby zmniejszyć wymiar potencjalnej kary za naruszenie ochrony danych, w przypadku jego wystąpienia.
- Sankcje dla podmiotów publicznych.

XV. Podsumowanie.
- Jak podzielić prace wdrożeniowe?
- Na czym skupić się w pierwszej kolejności?
- Jak wdrożyć RODO w 6-ciu krokach, w oparciu o wiedzę ze szkolenia oraz materiały szkoleniowe?

XVI. Głos publiczności (30 min).
- Pytania uczestników.
- Dyskusja.

ZAKOŃCZENIE SZKOLENIA - GODZ. 17:00

------------------------------------------------------------

DZIEŃ 2 - KURS IOD

ROZPOCZĘCIE KURSU - GODZ. 9:00

I. Inspektor Ochrony Danych (IOD/DPO) - zagadnienia wstępne.
- Powołanie IOD - obowiązek czy uprawnienie?
- Kto może zostać IOD?
- Jakie zadania IOD wskazane zostały w RODO, a jakie zwykle wykonuje w praktyce? IOD w perspektywie wytycznych Grupy Roboczej art. 29 (Europejskiej Rady Ochrony Danych).
- Współpraca IOD z działem IT.
- Pełnienie roli punktu kontaktowego - tak dla osób, których dane dotyczą, jak i organu nadzorczego - w praktyce.
- Konsultacje w zakresie oceny skutków dla ochrony danych.
- Status IOD, jego kompetencje i zakres odpowiedzialności.
- Odpowiedzialność administratora i osób upoważnionych do przetwarzania danych w perspektywie powołania IOD.
- Formalne powołanie IOD wewnątrz organizacji.
- Forma zatrudnienia / współpracy z IOD.
- IOD w grupie kapitałowej.
- Zgłoszenie powołania IOD do organu nadzorczego - wypełnianie formularza oraz zgłoszenia poprzez platformę ePUAP.
- Ubezpieczenia dla IOD i administratora - czy warto z nich korzystać? Analiza umów ubezpieczeniowych - na jakie wyłączenia w szczególności należy zwrócić uwagę.
- Zlecanie funkcji IOD - jakie zapisy w umowie / powołaniu powinny się znaleźć?
- Przyjmowanie funkcji IOD - zalecane postanowienia umowne - okiem prawnika.

PRZERWA KAWOWA 10:45 - 11:00 (zapewniona przez organizatora)

II. Realizacja bieżących obowiązków IOD.

A. OBOWIĄZKI INFORMACYJNE.
Poprawne definiowanie podstaw przetwarzania danych osobowych - art. 6, art. 9 i art. 10 RODO w praktyce - case study.
Dodatkowe obowiązki informacyjne w przypadku współadministrowania danymi - wyzwania płynące z art. 26 RODO.
Obowiązki informacyjne - wdrażanie w praktyce. Zalecane formy oraz miejsca ich spełniania. Dobre praktyki.
Strona internetowa, BIP - ważne źródło wiedzy o tym, w jaki sposób przetwarzamy dane osobowe.
Konstruowanie obowiązków informacyjnych - warsztat.

B. KONTROLA PRZEPŁYWU DANYCH.
Powierzenie a udostępnienie danych osobowych - jak odróżnić te dwie formy przekazywania danych “na zewnątrz”.
Najczęstsze przypadki powierzania danych osobowych.
Na jakiej podstawie możemy udostępniać dane osobowe?
Udostępnienie danych - przykłady praktyczne.
Obowiązkowe i fakultatywne elementy umowy powierzenia.
Konstruowanie oraz weryfikacja umów powierzenia - warsztat.
Przepływ danych między współadministratorami.
Rejestry powierzeń i udostępnień.

C. POSTĘPOWANIA ZWIĄZANE Z REALIZACJĄ UPRAWNIEŃ OSÓB, KTÓRYCH DANE DOTYCZĄ.
Forma składania żądań przez osoby, których dane dotyczą.
Z jakimi żądaniami w praktyce spotykamy się najczęściej?
Jak przygotować firmę / instytucję do realizacji uprawnień osób, których dane dotyczą, w aspekcie organizacyjnym oraz informatycznym? Główne praktyczne problemy.
W jaki sposób realizować uprawnienia osób, których dane dotyczą? Jak poprawnie prowadzić korespondencję?
Analiza zasadności roszczeń - case study.

PRZERWA OBIADOWA 12:45 - 13:30 (we własnym zakresie)

II. Realizacja bieżących obowiązków IOD - ciąg dalszy.

D. POSTĘPOWANIE Z NARUSZENIAMI.
Procedura wewnętrznego zgłaszania naruszeń / incydentów. Forma komunikacji z osobami upoważnionymi do przetwarzania danych osobowych.
Prowadzenie wewnętrznego rejestru naruszeń - case study.
Zgłaszanie naruszeń do organu nadzorczego - kiedy jest obowiązkowe? Czy termin 72 godzin jest nieprzekraczalny?
Wypełnianie formularza zgłoszeniowego oraz zgłaszanie naruszeń poprzez e-PUAP - warsztat.
Obowiązek zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych. W jakich przypadkach i w jakiej formie informować o naruszeniach?

III. Bezpieczeństwo danych osobowych.
- Co o środkach ochrony danych mówi RODO?
- Analiza art. 32 RODO i praktyczne następstwa tak ogólnej regulacji.
- Rodzaje zagrożeń i sposoby przeciwdziałania im.
- Pseudonimizacja i szyfrowanie - kiedy jest niezbędne?
- Szczególnie zalecane organizacyjne środki bezpieczeństwa.
- Szczególnie zalecane fizyczne i techniczne środki bezpieczeństwa.
- Kodeksy postępowania i certyfikacja.

PRZERWA KAWOWA 14:45 - 15:00 (zapewniona przez organizatora)

IV. Wdrażanie RODO.
- Przygotowanie planu wdrożenia.
- Uwzględnianie ochrony danych w fazie projektowania (zasada “privacy by design” w praktyce).
- Wdrażanie domyślnej ochrony danych (zasada “privacy by default” w praktyce”).
- Polityka Ochrony Danych - w jakim zakresie jest obowiązkowa? Praktyczne rady, w jaki sposób konstruować wewnętrzną dokumentację oraz system przetwarzania danych osobowych w organizacji.
- Formułowanie wewnętrznych procedur w zakresie przetwarzania i bezpieczeństwa danych osobowych - warsztat; analiza wzorcowych procedur, udostępnionych przez organizatora.
- W jaki sposób skonstruować upoważnienia do przetwarzania danych osobowych?
- Przydatne pod kątem rozliczalności ewidencje i rejestry.

V. Wizerunek a RODO.
- Definicja “wizerunku”. W jakim zakresie wizerunek to dane osobowe?
- Rozpowszechnianie wizerunku w perspektywie art. 81 ustawy o prawie autorskim i prawach pokrewnych - case study w oparciu o orzecznictwo.
- Czy zgodę na rozpowszechnianie wizerunku można cofnąć w dowolnym momencie?
- Jak powinna wyglądać zgoda na utrwalenie i upowszechnianie wizerunku - case study, w oparciu o orzecznictwo.
- Uzasadniony interes administratora jako podstawa prawna przetwarzania wizerunku pracownika.
- Odpowiedzialność za niezgodne z prawem przetwarzanie wizerunku na gruncie RODO, prawa autorskiego oraz kodeksu cywilnego.

VI. Głos publiczności (30 min).
- Pytania uczestników.
- Dyskusja.

ZAKOŃCZENIE KURSU - GODZ. 17:00

Profil uczestników
Dla Inspektorów Ochrony Danych, a także osób wyznaczonych na to stanowisko. Dla administratorów danych i kadrowych, poszukujących zaawansowanej wiedzy o RODO. Dla osób odpowiedzialnych w organizacji za prowadzenie korespondencji z podmiotami danych osobowych.

Praktyczna wiedza i umiejętności:
W oparciu o przeprowadzone wykłady dowiesz się w jaki sposób wdrażać RODO, w jaki sposób realizować bieżące obowiązki IOD, poznasz specjalistyczne zagadnienia dodatkowe

Wzorcowa dokumentacja:
Otrzymasz pakiet wzorcowej dokumentacji RODO, o wartości 299 zł: polityka ochrony danych, przykładowe obowiązki informacyjne, analiza ryzyka z przykładową matrycą ryzyk (ponad 20 zasobów), rejestr czynności przetwarzań (ponad 20), zbiór przykładowych procedur, związanych z przetwarzaniem danych (ponad 20), akty prawne i wytyczne, wzór umowy powierzenia danych osobowych, nadto wiele użytecznych dokumentów.

Materiały szkoleniowe:
W zakres materiałów szkoleniowych wchodzą: kolorowa broszura z przedstawioną na szkoleniu prezentacją, książeczka z RODO w kieszonkowym formacie, notatnik oraz długopis.

Certyfikaty RODO:
Po szkoleniu, otrzymasz imienny certyfikat uczestnictwa w szkoleniu z RODO. Opatrzony hologramem oraz podpisany przez trenera prowadzącego, pozwoli Ci pokazać światu swoje kwalifikacje!

Darmowe wsparcie prawne:
Możesz skorzystać z mailowych konsultacji (do 3 przez 30 dni) w zakresie omówionych zagadnień (wsparcie nie obejmuje przygotowania dokumentacji). Otrzymasz także aktualne akty prawne i wytyczne PUODO oraz Grupy Roboczej art. 29.

Plan Optimum w niezbednikrodo pl:
Dostęp do narzędzia zarządzania systemem ochrony danych osobowych online przez 3 miesiące. Umożliwia ono m. in. generowanie powierzeń, prowadzenie elektronicznego rejestru czynności, czy przyjmowanie zgłoszeń naruszeń ochrony danych online. Stworzone z myślą o maksymalnym ułatwieniu wdrożenia RODO.

Zdobyta wiedza
Szukasz profesjonalnego kursu dla Inspektora Ochrony Danych? Zapraszamy na 16 godzin zaawansowanych wykładów z realizacji wdrożeń RODO oraz bieżącego wykonywania obowiązków IOD. Pamiętaj, że w przypadku braku IOD, jego obowiązki spoczywają na kierownictwie administratora danych.

W jaki sposób wdrażać RODO w warstwie dokumentowej:
- jak definiować podstawy przetwarzania danych,
- jak formułować treści obowiązku informacyjnego RODO,
- jak sporządzać umowy powierzenia, w oparciu o szablon SzkolenieRODO pl, a także jak odróżnić powierzenie przetwarzania danych od ich udostępnienia innemu administratorowi,
- jak sporządzić politykę ochrony danych osobowych, w oparciu o szablony SzkolenieRODO pl,
- jak sformułować procedury związane z przetwarzaniem danych osobowych, w oparciu o szablony Szkolenie RODO pl.

W jaki sposób realizować bieżące obowiązki IOD:
- kto może pełnić funkcję IOD,
- jakie uprawnienia i obowiązki dotyczą IOD,
- na co w szczególności zwrócić uwagę, pełniąc funkcję IOD,
- w jaki sposób reagować na żądania podmiotów danych,
- jak postępować z naruszeniami ochrony danych,
- jak zgłaszać naruszenia do PUODO,
- jak powiadamiać o naruszeniu podmioty danych.
Wiele z wymienionych zagadnień omawiamy w oparciu o udostępnione Tobie szablony dokumentacji SzkolenieRODO pl, a także w formule ćwiczeń, pozwalających na praktyczne zastosowanie omawianej tematyki.

Poznasz specjalistyczne zagadnienia dodatkowe:
- na jakich zasadach przetwarzać wizerunek, traktowany jako dane osobowe,
- NOWOŚĆ - jak dostosować organizację do zmian wynikających z Ustawy wprowadzającej RODO.