WARSZTAT Z ANALIZY RYZYKA I DPIA
ROZPOCZĘCIE WARSZTATU - GODZ. 9:00
I. Wykonywanie audytów systemów przetwarzania danych osobowych.
- Podstawowe pojęcia związane z przeprowadzaniem audytów.
- Główne problemy audytorów - jak przygotować się do tej roli?
- Zadanie audytów w procesie wdrażania i stosowania RODO.
- Czym różni się audyt przedwdrożeniowy od audytu walidacyjnego - jakie są ich cele i jakie zadania spoczywają na audytorze?
- Jak sporządzić plan audytu, z uwzględnieniem jego celu i docelowego zakresu? Warsztat.
- Pozyskiwanie materiału źródłowego do audytu. Forma jego dokumentacji w perspektywie dowodowości.
- Jakie środki bezpieczeństwa przy przetwarzaniu danych osobowych są najczęściej stosowane, a jakich wymaga organ nadzorczy? Case study w oparciu o analizę dotychczasowych decyzji i opinii organu nadzorczego.
- Jak badać fizyczne środki bezpieczeństwa, w tym w zakresie infrastruktury budynków i pomieszczeń?
- Jak badać techniczne środki bezpieczeństwa, w tym w zakresie infrastruktury informatycznej?
- Organizacyjne środki bezpieczeństwa - analiza jakie procedury są kluczowe oraz w jaki sposób badać świadomość obowiązków spoczywających na osobach upoważnionych.
- Badanie, czy organizacja jest przygotowana do realizacji uprawnień osób, których dotyczą przetwarzane dane osobowe.
- Jaki powinien być efekt audytu, aby był on użyteczny. W jaki sposób sporządzić raport z audytu systemu przetwarzania danych osobowych?
- Zalecenia pokontrolne - jakie treści powinny zawierać?.
PRZERWA KAWOWA 10:45 - 11:00 (zapewniona przez organizatora)
II. Analiza ryzyka.
- Podejście oparte na ryzyku (risk-based approach) jako fundament RODO.
- Identyfikacja aktywów i zasobów niezbędnych w procesie szacowania ryzyka.
- Parametry analizy ryzyka – skutek i prawdopodobieństwo wystąpienia – jak rozumieć, oceniać i jakie wartości należy im przypisać.
- Jak diagnozować zagrożenia naruszeń ochrony danych osobowych, wynikające z używania konkretnych zasobów?
- Na jakie podatności należy zwrócić uwagę, przy diagnozowaniu konkretnych ryzyk?
- Sposoby oceny ryzyka związanego z wystąpieniem konkretnych zagrożeń.
- Przeprowadzanie szczegółowej analizy na matrycach zaproponowanych przez organizatora - zajęcia warsztatowe.
PRZERWA OBIADOWA 12:45 - 13:30 (we własnym zakresie)
II. Analiza ryzyka - ciąg dalszy.
- Kontynuacja warsztatu z użyciem elektronicznych matryc ryzyk, na konkretnym przykładzie podmiotu przetwarzającego dane osobowe.
- Jak postępować ze zdiagnozowanym ryzykiem.
- Jak sporządzać plany działań, zmierzające do minimalizacji ryzyka - obniżanie ryzyka, transfer ryzyka.
PRZERWA KAWOWA 14:45 - 15:00 (zapewniona przez organizatora)
III. Ocena skutków dla ochrony danych (Data Protection Impact Assessment, OSOD/DPIA).
- Jaki jest cel DPIA?
- Jak ocenić, czy przeprowadzenie DPIA jest wymagane?
- Niezbędne elementy procesu DPIA - art. 35 RODO.
- Formułowanie informacji dotyczących planowanych działań, mogących spowodować skutek dla ochrony danych osobowych.
- Definiowanie interesu administratora, celów oraz podstaw prawnych przetwarzania, mogącego spowodować skutek dla ochrony danych osobowych.
- Jak oceniać niezbędność i proporcjonalność planowanych operacji przetwarzania danych osobowych, względem praw osób, których te dane dotyczą?
- Jak diagnozować zakres danych osobowych, przetwarzanych w ramach planowanych operacji przetwarzania?
- Ocena zdolności do realizacji uprawnień osób, których dotyczą dane przetwarzane w ramach planowanych operacji przetwarzania.
- Jak wybrać i opisać środki bezpieczeństwa, wdrażane w celu ograniczenia ryzyka naruszenia praw i wolności osób, których dane dotyczą?
- Jaka zależność zachodzi pomiędzy przeprowadzeniem DPIA a analizą ryzyka?
- Przygotowywanie DPIA - warsztat. Formuła case studies na wzorcu DPIA.
- Rola Inspektora Ochrony Danych w DPIA.
- Uprzednie konsultacje z organem nadzorczym:
zakres informacji, która należy przedłożyć organowi nadzorczemu,
uprawnienia organu nadzorczego.
IV. Głos publiczności (30 min).
- Pytania uczestników.
- Dyskusja.
ZAKOŃCZENIE WARSZTATU - GODZ. 17:00
Profil uczestników
Dla Inspektorów Ochrony Danych, a także dla osób wyznaczonych na to stanowisko. Dla kierownictwa administratorów danych, samodzielnie wdrażających RODO w organizacji lub dla osób nadzorujących ten proces. Dla wszystkich, którzy poszukują zaawansowanych umiejętności wdrażania RODO.
Forma szkolenia
Maksymalnie praktyczny, jedno dniowy kurs w formie ćwiczeniowej. Praca na komputerach oraz na autorskich wzorach: analizy ryzyka i matrycy ryzyk oraz DPIA.
Praktyczna wiedza i umiejętności:
Poznasz praktyczne aspekty wykonywania audytów systemów przetwarzania danych osobowych oraz Nabędziesz umiejętności wykonywania obowiązkowej analizy ryzyka.
Wzorcowa dokumentacja:
Otrzymasz pakiet wzorcowej dokumentacji RODO, o wartości 379 zł: polityka ochrony danych, przykładowe obowiązki informacyjne, analiza ryzyka z przykładową matrycą ryzyk (ponad 20 zasobów), rejestr czynności przetwarzań (ponad 20), zbiór przykładowych procedur, związanych z przetwarzaniem danych (ponad 20), akty prawne i wytyczne, wzór umowy powierzenia danych osobowych, nadto wiele użytecznych dokumentów.
Materiały szkoleniowe:
W zakres materiałów szkoleniowych wchodzą: kolorowa broszura z przedstawioną na szkoleniu prezentacją, książeczka z RODO w kieszonkowym formacie, notatnik oraz długopis.
Certyfikaty RODO:
Po szkoleniu, otrzymasz imienny certyfikat uczestnictwa w szkoleniu z RODO. Opatrzony hologramem oraz podpisany przez trenera prowadzącego, pozwoli Ci pokazać światu swoje kwalifikacje!
Darmowe wsparcie prawne:
Możesz skorzystać z mailowych konsultacji (do 3 przez 30 dni) w zakresie omówionych zagadnień (wsparcie nie obejmuje przygotowania dokumentacji). Otrzymasz także aktualne akty prawne i wytyczne PUODO oraz Grupy Roboczej art. 29.
Plan Optimum w niezbednikrodo pl:
Dostęp do narzędzia zarządzania systemem ochrony danych osobowych online przez 3 miesiące. Umożliwia ono m. in. generowanie powierzeń, prowadzenie elektronicznego rejestru czynności, czy przyjmowanie zgłoszeń naruszeń ochrony danych online. Stworzone z myślą o maksymalnym ułatwieniu wdrożenia RODO.
Zdobyta wiedza
Zapraszamy na 8 godzin praktycznych ćwiczeń z realizacji wdrożeń RODO oraz bieżącego wykonywania obowiązków IOD. Pamiętaj, że w przypadku braku IOD, jego obowiązki spoczywają na kierownictwie administratora danych.
Poznasz praktyczne aspekty wykonywania audytów systemów przetwarzania danych osobowych oraz Nabędziesz umiejętności wykonywania obowiązkowej analizy ryzyka.