Program kursu
Transkrypt
Program kursu
PROGRAM NAUCZANIA KURS ABI Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I I. Wyjaśnienie najważniejszych pojęć pojawiających się w ustawie o ochronie danych osobowych 1) 2) 3) 4) 5) 6) 7) 8) 9) 10) 11) II. dane osobowe, przetwarzanie danych, zbiór danych osobowych, administrator danych, administrator bezpieczeństwa informacji (inspektor ochrony danych), generalny inspektor ochrony danych osobowych, osoba upoważniona do przetwarzania danych osobowych, procesor danych osobowych, odbiorca danych, system informatyczny służący do przetwarzania danych osobowych, państwo trzecie. 120 min. Organizacja ochrony danych osobowych 1) 2) 3) 4) 5) 6) 7) 8) 9) możliwe warianty funkcjonowania systemu ochrony danych osobowych, podmioty obowiązane do wyznaczenia inspektora ochrony danych po 25.05.2018 r., organizacja systemu ochrony danych osobowych, struktura zarządzania w systemie ochrony danych osobowych, analiza wpływu na działalność (business impact analysis - BIA), zarządzanie ryzykiem w ochronie danych osobowych, dokumentacja przetwarzania danych osobowych, zastosowanie cyklu PDCA w odniesieniu do doskonalenia systemu ochrony danych, gdzie w tym wszystkim jest miejsce dla ABI? MODUŁ II III. Administrator bezpieczeństwa informacji 1) 2) 3) 4) 5) 6) wymagania kwalifikacyjne do pełnienia funkcji ABI, umocowanie ABI w strukturze organizacji – niezależność funkcji, zastępcy ABI, uprawnienia, sposób wyznaczenia i rejestracji ABI, najczęstsze błędy w procesie rejestracji ABI, obowiązki ABi związane z zapewnianiem przestrzegania przepisów o ochronie danych, 7) outsourcing funkcji administratora bezpieczeństwa informacji 8) odpowiedzialność ABi, 9) możliwe kierunki rozwoju zawodowego ABI. 120 min. IV. Filary zgodnego z prawem przetwarzania danych osobowych – obowiązki administratora danych 1) przetwarzanie danych zgodnie z prawem – podstawy prawne przetwarzania danych, 2) dopełnienie obowiązku informacyjnego względem osób, których dane dotyczą, 3) dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą , 4) stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, 5) rejestracja zbiorów danych osobowych w GIODO. V. Organizacyjne środki ochrony danych osobowych 1) 2) 3) 4) 5) 6) 7) bezpieczeństwo danych osobowych – przymioty, przyczyny naruszeń przepisów o ochronie danych osobowych, bezpieczeństwo osobowe, dokumentacja przetwarzania danych osobowych, nadawanie upoważnień do przetwarzania danych osobowych, prowadzenie ewidencji osób upoważnionych, zapewnianie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Moduł III VI. Techniczne środki ochrony danych osobowych 1) 2) 3) 4) 5) 6) 7) 8) 9) 10) 11) 12) 13) 14) VII. wybór technicznych środków ochrony danych osobowych, kontrola dostępu i zabezpieczenie obszaru przetwarzania, zabezpieczenia obszarów specjalnych, przechowywanie dokumentacji papierowej, wymagania dla systemów informatycznych, dobre praktyki w zakresie procedury logowania, dobre praktyki w zakresie zarządzania hasłami, ochrona przed szkodliwym oprogramowaniem, zabezpieczenia kryptograficzne, urządzenia mobilne, zarządzanie elektronicznymi nośnikami informacji, telepraca, kopie bezpieczeństwa, zabezpieczenia przed awarią zasilania, 120 min. Uprawnienia GIODO oraz odpowiedzialność za naruszenie przepisów o ochronie danych osobowych 1) 2) 3) 4) 5) kontrole GIODO przebieg kontroli uprawnienia inspektorów GIODO skutki kontroli odpowiedzialność karna, cywilna i administracyjna za naruszenie przepisów o ochronie danych osobowych 6) niemierzalne konsekwencje uchybienia przepisom o ochronie danych osobowych RAZEM: 6 godz. Strona 2 z 9 Dzień 2 Przygotowanie dokumentacji ochrony danych osobowych SZCZEGÓŁOWY HARMONOGRAM WARSZTATÓW MODUŁ I I. 1. 2. 3. 4. II. 1. 2. 3. 4. 5. 6. Środowisko prawne systemu ochrony danych osobowych ogólne przepisy o ochronie danych osobowych branżowe przepisy o ochronie danych osobowych wymagania zainteresowanych stron (kontrahenci, podmioty dominujące, jednostki nadrzędne) zalecenia i wystąpienia Generalnego Inspektora Ochrony Danych Osobowych Organizacja systemu ochrony danych osobowych 90 min. wybór właściwego wariantu funkcjonowania systemu ochrony danych osobowych struktura zarządzania w systemie ochrony danych osobowych zespół wdrożeniowy systemu ochrony danych osobowych rola administratora danych przypisanie obowiązków, uprawnień oraz odpowiedzialności personelowi organizacji formalne ustanowienie systemu ochrony danych osobowych – dokumentacja przetwarzania danych MODUŁ II III. 1. 2. 3. 4. 5. Polityka bezpieczeństwa – elementy składowe, sposób prowadzenia i aktualizowania - ćwiczenia wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi sposób przepływu danych pomiędzy poszczególnymi systemami określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych 120 min. Strona 3 z 9 MODUŁ III IV. 1. 2. 3. 4. 5. 6. Opracowywanie, aktualizowanie oraz nadzór nad pozostałymi dokumentami funkcjonującymi w systemie ochrony danych osobowych – ćwiczenie nadawanie, modyfikowanie oraz odbieranie upoważnień do przetwarzania danych osobowych prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych tworzenie klauzul zgody oraz dopełnianie obowiązku informacyjnego opracowywanie oraz opiniowanie umów o powierzeniu przetwarzania danych osobowych prowadzenie rejestru zbiorów danych osobowych dokumentowanie procesu zapoznawania z przepisami o ochronie danych osobowych 90 min. MODUŁ IV V. 1. 2. 3. 4. 5. Rejestracja zbiorów danych osobowych oraz administratora bezpieczeństwa informacji - ćwiczenia Sposób zgłaszania zbioru oraz administratora bezpieczeństwa informacji do rejestracji GIODO Ogólnokrajowy rejestr zbiorów danych osobowych i administratorów bezpieczeństwa informacji Dokonywanie zmian w rejestrze zbiorów danych osobowych oraz administratorów bezpieczeństwa informacji Wykreślenie zbioru oraz administratora bezpieczeństwa informacji z rejestru GIODO Zwolnienia z obowiązku rejestracji zbiorów danych osobowych Indywidualne konsultacje 120 min. 60 min. RAZEM: 8 godz. Strona 4 z 9 Dzień 3 Przygotowanie dokumentacji ochrony danych osobowych SZCZEGÓŁOWY HARMONOGRAM WARSZTATÓW MODUŁ V VI. Weryfikacja wymagań w zakresie ochrony danych osobowych dla systemów informatycznych 1. 2. 3. 4. 5. 6. 7. zapewnienie kontroli dostępu do systemu informatycznego, zapewnienie rozliczalności działań wykonywanych na danych osobowych odnotowywanie daty pierwszego wprowadzenia danych do systemu odnotowywanie identyfikatora użytkownika wprowadzającego dane osobowe do systemu odnotowywanie źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą odnotowywanie informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia odnotowywanie sprzeciwu wobec przetwarzania danych w celach marketingowych 60 min. MODUŁ VI VIII. Instrukcja Zarządzania Systemem Informatycznym – elementy składowe, sposób prowadzenia i aktualizowania - ćwiczenia 1. procedura nadawania uprawnień do systemu informatycznego 2. stosowanie mechanizmów kontroli dostępu do systemów informatycznych 3. metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem 4. zasady nadawania identyfikatorów oraz haseł 5. procedura rozpoczęcia, zawieszenia i zakończenia pracy 6. zasady korzystania z poczty służbowej 7. zasady korzystania z Internetu 8. procedury tworzenia kopii zapasowych 9. zasady korzystania z urządzeń mobilnych 10. zasady korzystania z nośników wymiennych 11. sposoby zabezpieczania systemu informatycznego przed skutkami działania szkodliwego oprogramowania 12. zasady zabezpieczenia i użytkowania sprzętu komputerowego 13. środki ochrony kryptograficznej zasady postępowania z komputerowymi nośnikami informacji 14. procedury przeglądów i konserwacji 60 min. MODUŁ VII IX. 1. 2. 3. 4. 5. 6. Techniczne środki ochrony danych osobowych zabezpieczania fizyczne serwerowni kontrola dostępu do obszarów z infrastrukturą informatyczną zabezpieczenia sieci teleinformatycznej zabezpieczenia urządzeń serwerowych zabezpieczenie przed awarią zasilania zabezpieczenia systemu wydruku 60 min. Strona 5 z 9 7. zasady postępowania z podmiotami współpracującymi w zakresie informatycznym Indywidualne konsultacje 30 min MODUŁ VII I. 1. 2. 3. 4. 5. 6. Wstęp do sprawdzenia (audytu) systemu ochrony danych osobowych Zasady przeprowadzania sprawdzeń planowych oraz doraźnych Określanie przedmiotu i zakresu sprawdzenia oraz przygotowywanie planu Określanie kryteriów sprawdzenia Zbieranie dowodów audytowych Przygotowanie sprawozdania ze sprawdzenia oraz jego dystrybucja Symulacja rozmowy audytowej – odebranie ustnych wyjaśnień 60 min. MODUŁ VIII II. 1. 2. 3. 4. 5. 6. 7. III. 1. 2. 3. 4. 5. Przebieg kontroli GIODO Zakres przedmiotowy uprawnień kontrolnych Generalnego Inspektora Rodzaje kontroli Uprawnienia inspektora ochrony danych osobowych Organizacja kontroli Przebieg kontroli Dokumentowanie czynności kontrolnych Uprawnienia pokontrolne 60 min. Konsekwencje kontroli GIODO Rodzaje decyzji administracyjnych wydawane przez GIODO Zawiadomienie o podejrzeniu popełnienia przestępstwa Środki odwoławcze od decyzji GIODO Postępowania sądowo administracyjne Niemierzalne konsekwencje kontroli GIODO 30 min. Indywidualne konsultacje 60 min. RAZEM: 7 godz. Dzień 4 Audytor wewnętrzny systemu ochrony danych osobowych Strona 6 z 9 SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I I. Wyjaśnienie najważniejszych pojęć związanych z audytem systemu ochrony danych osobowych 1) 2) 3) 4) 5) 6) 7) 8) 9) 10) 11) 12) 13) Audyt Audytor Dowód z audytu Ekspert techniczny Kompetencje Kryteria audytu Plan sprawdzenia (audytu) System ochrony danych osobowych Ustalenia z audytu Wnioski z audytu Zakres audytu Zespół audytujący Zgodność/niezgodność 90 min. II. Administrator bezpieczeństwa informacji (inspektor ochrony danych) – rola w organizacji 1) Wymagania kwalifikacyjne do pełnienia funkcji ABI 2) Umocowanie ABI w strukturze organizacji – niezależność funkcji 3) Uprawnienia, sposób wyznaczenia i rejestracji administratora bezpieczeństwa informacji 4) Obowiązki ABI związane z zapewnianiem przestrzegania przepisów o ochronie danych osobowych: a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych b) nadzorowanie opracowania i aktualizowania dokumentacji przetwarzania danych osobowych c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych d) prowadzenie rejestru zbiorów danych osobowych 5) Obowiązki i uprawnienie inspektora ochrony danych – Ogólne Rozporządzenie o Ochronie Danych 6) Administrator bezpieczeństwa informacji – audytor wewnętrzny? Strona 7 z 9 MODUŁ II III. Audyt systemu ochrony danych osobowych – przygotowanie (ćwiczenie) 1) Rodzaje audytów (sprawdzeń) a) pierwszej strony - sprawdzenie wewnętrzne (planowe i doraźne) b) drugiej strony – sprawdzanie u procesora danych na żądanie GIODO c) trzeciej strony – sprawdzenie na żądanie GIODO 2) Ustalanie celów i zakresu audytów 3) Kompetencje audytorskie administratora bezpieczeństwa informacji 4) Wybór członków zespołu audytowego 5) Identyfikowanie i szacowanie ryzyk związanych z programem audytów 6) Identyfikowanie zasobów dla programu audytu IV. Wymogi formalne dotyczące w zakresie realizacji sprawdzeń (ćwiczenie) 1) 2) 3) 4) 5) V. Zasady przygotowywania planu sprawdzeń Terminy realizacji sprawdzeń Zawiadomienie o rozpoczęciu sprawdzenia oraz o zakresie planowanych czynności Zasady dokumentowania sprawdzeń Zasady przygotowywania sprawozdania ze sprawdzenia 135 min. Metodyka prowadzenia audytu oraz analiza zebranych dowodów (ćwiczenie) 1) 2) 3) 4) 5) 6) 7) 8) 9) Zbieranie i weryfikowanie informacji Przeprowadzanie przeglądu dokumentów Pobieranie próbek audytowych Wybór źródeł informacji Przygotowywanie dokumentów roboczych Prowadzenie rozmów audytowych Odnotowywanie stwierdzonych zgodności lub niezgodności Opracowanie ustaleń z audytu Przygotowywanie wniosków z audytu MODUŁ III (ĆWICZENIA PRAKTYCZNE) VI. Przeprowadzenie sprawdzenia w podejściu procesualnym (ćwiczenie) 1) Ustalenie podstaw prawnych przetwarzania danych osobowych 2) Weryfikacja dopełnienia obowiązku informacyjnego 3) Weryfikacja dopełnienia obowiązku dochowania szczególnej staranności w celu ochrony interesów osób, których dane dotyczą 4) Weryfikacja zapisów dotyczących powierzenia przetwarzania danych osobowych 5) Ustalenie sposobu realizacji praw osób, których dane dotyczą 6) Weryfikacja adekwatności organizacyjno-technicznych środków ochrony danych osobowych 7) Weryfikacja zasad przekazywania danych do państw trzecich 8) Weryfikacja dopełnienia obowiązku rejestracji zbiorów danych osobowych VII. 120 min. Przygotowanie sprawozdania ze sprawdzenia oraz jego dystrybucja (ćwiczenie) 1) Przygotowanie sprawozdania ze sprawdzenia 2) Dystrybucja sprawozdania ze sprawdzenia 3) Realizacja działań korygujących i korekcyjnych RAZEM: 5 godz. 45 min. Strona 8 z 9 Dzień 5 Praktyczne aspekty Europejskiego Rozporządzenia o ochronie danych osobowych SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I I. Organ nadzorczy (GIODO) 1) nowa rola, 2) status, 3) zadania i uprawienia, II. Sankcje za nieprzestrzeganie przepisów rozporządzenia. 1) administracyjne kary pieniężne - warunki ich nakładania i wysokość, 2) odszkodowanie za poniesioną szkodę, III. Przetwarzanie danych osobowych. 1) ogólne zasady przetwarzania danych osobowych, 2) przetwarzanie danych osobowych szczególnych kategorii, 3) zgoda na przetwarzanie danych dzieci. 90 min. MODUŁ II IV. Prawa przysługujące osobie, której dane dotyczą prawo do bycia zapomnianym,, prawo do przenoszenia danych, prawo do niepodlegania profilowaniu,, zasada przejrzystości i inne. V. Obowiązki administratora danych 1) obowiązek rejestrowania czynności przetwarzania danych osobowych, 2) obowiązek zgłaszania naruszeń ochrony danych osobowych, 3) wdrożenie mechanizmów „privacy by design” i „privacy by default i inne. 1) 2) 3) 4) 120 min. MODUŁ III VI. Inspektor ochrony danych 1) zadania inspektora ochrony danych, 2) sytuacje, w których jego wyznaczenie jest obligatoryjne. VII. Podmiot przetwarzający (procesor): 1) zakres i treść umowy z procesorem, 2) obowiązki procesora. 60 min. MODUŁ IV VIII. Przekazywanie danych do państw trzecich: 1) zasady przekazywania danych. IX. Kodeksy postępowania i certyfikacja: 1) rola funkcjonowania kodeksów postępowań, 2) określenie procedur certyfikacji podmiotów dokonujących operacji przetwarzania przez podmioty certyfikujące, które uzyskały uprzednio akredytację w trybie art. 43 rozporządzenia 60 min. RAZEM: 5 godz. 30 min. TOTAL: 32 godz. 15 min. Strona 9 z 9