Program kursu

PROGRAM NAUCZANIA KURS ABI
Dzień 1
Podstawy pełnienia funkcji ABI
SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA
MODUŁ I
I.
Wyjaśnienie najważniejszych pojęć pojawiających się w ustawie o ochronie danych
osobowych
1)
2)
3)
4)
5)
6)
7)
8)
9)
10)
11)
II.
dane osobowe,
przetwarzanie danych,
zbiór danych osobowych,
administrator danych,
administrator bezpieczeństwa informacji (inspektor ochrony danych),
generalny inspektor ochrony danych osobowych,
osoba upoważniona do przetwarzania danych osobowych,
procesor danych osobowych,
odbiorca danych,
system informatyczny służący do przetwarzania danych osobowych,
państwo trzecie.
120 min.
Organizacja ochrony danych osobowych
1)
2)
3)
4)
5)
6)
7)
8)
9)
możliwe warianty funkcjonowania systemu ochrony danych osobowych,
podmioty obowiązane do wyznaczenia inspektora ochrony danych po 25.05.2018 r.,
organizacja systemu ochrony danych osobowych,
struktura zarządzania w systemie ochrony danych osobowych,
analiza wpływu na działalność (business impact analysis - BIA),
zarządzanie ryzykiem w ochronie danych osobowych,
dokumentacja przetwarzania danych osobowych,
zastosowanie cyklu PDCA w odniesieniu do doskonalenia systemu ochrony danych,
gdzie w tym wszystkim jest miejsce dla ABI?
MODUŁ II
III.
Administrator bezpieczeństwa informacji
1)
2)
3)
4)
5)
6)
wymagania kwalifikacyjne do pełnienia funkcji ABI,
umocowanie ABI w strukturze organizacji – niezależność funkcji,
zastępcy ABI,
uprawnienia, sposób wyznaczenia i rejestracji ABI,
najczęstsze błędy w procesie rejestracji ABI,
obowiązki ABi związane z zapewnianiem przestrzegania przepisów o ochronie
danych,
7) outsourcing funkcji administratora bezpieczeństwa informacji
8) odpowiedzialność ABi,
9) możliwe kierunki rozwoju zawodowego ABI.
120 min.
IV.
Filary zgodnego z prawem przetwarzania danych osobowych – obowiązki
administratora danych
1) przetwarzanie danych zgodnie z prawem – podstawy prawne przetwarzania danych,
2) dopełnienie obowiązku informacyjnego względem osób, których dane dotyczą,
3) dołożenie szczególnej staranności w celu ochrony interesów osób, których dane
dotyczą ,
4) stosowanie środków technicznych i organizacyjnych zapewniających ochronę
przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych
objętych ochroną,
5) rejestracja zbiorów danych osobowych w GIODO.
V.
Organizacyjne środki ochrony danych osobowych
1)
2)
3)
4)
5)
6)
7)
bezpieczeństwo danych osobowych – przymioty,
przyczyny naruszeń przepisów o ochronie danych osobowych,
bezpieczeństwo osobowe,
dokumentacja przetwarzania danych osobowych,
nadawanie upoważnień do przetwarzania danych osobowych,
prowadzenie ewidencji osób upoważnionych,
zapewnianie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do
zbioru wprowadzone oraz komu są przekazywane.
Moduł III
VI.
Techniczne środki ochrony danych osobowych
1)
2)
3)
4)
5)
6)
7)
8)
9)
10)
11)
12)
13)
14)
VII.
wybór technicznych środków ochrony danych osobowych,
kontrola dostępu i zabezpieczenie obszaru przetwarzania,
zabezpieczenia obszarów specjalnych,
przechowywanie dokumentacji papierowej,
wymagania dla systemów informatycznych,
dobre praktyki w zakresie procedury logowania,
dobre praktyki w zakresie zarządzania hasłami,
ochrona przed szkodliwym oprogramowaniem,
zabezpieczenia kryptograficzne,
urządzenia mobilne,
zarządzanie elektronicznymi nośnikami informacji,
telepraca,
kopie bezpieczeństwa,
zabezpieczenia przed awarią zasilania,
120 min.
Uprawnienia GIODO oraz odpowiedzialność za naruszenie przepisów
o ochronie danych osobowych
1)
2)
3)
4)
5)
kontrole GIODO
przebieg kontroli
uprawnienia inspektorów GIODO
skutki kontroli
odpowiedzialność karna, cywilna i administracyjna za naruszenie przepisów o
ochronie danych osobowych
6) niemierzalne konsekwencje uchybienia przepisom o ochronie danych osobowych
RAZEM: 6 godz.
Strona 2 z 9
Dzień 2
Przygotowanie dokumentacji ochrony danych
osobowych
SZCZEGÓŁOWY HARMONOGRAM WARSZTATÓW
MODUŁ I
I.
1.
2.
3.
4.
II.
1.
2.
3.
4.
5.
6.
Środowisko prawne systemu ochrony danych osobowych
ogólne przepisy o ochronie danych osobowych
branżowe przepisy o ochronie danych osobowych
wymagania zainteresowanych stron (kontrahenci, podmioty dominujące,
jednostki nadrzędne)
zalecenia i wystąpienia Generalnego Inspektora Ochrony Danych
Osobowych
Organizacja systemu ochrony danych osobowych
90 min.
wybór właściwego wariantu funkcjonowania systemu ochrony danych
osobowych
struktura zarządzania w systemie ochrony danych osobowych
zespół wdrożeniowy systemu ochrony danych osobowych
rola administratora danych
przypisanie obowiązków, uprawnień oraz odpowiedzialności personelowi
organizacji
formalne ustanowienie systemu ochrony danych osobowych –
dokumentacja przetwarzania danych
MODUŁ II
III.
1.
2.
3.
4.
5.
Polityka bezpieczeństwa – elementy składowe, sposób prowadzenia i
aktualizowania - ćwiczenia
wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar,
w którym przetwarzane są dane osobowe
wykaz zbiorów danych osobowych wraz ze wskazaniem programów
zastosowanych do przetwarzania tych danych
opis struktury zbiorów danych wskazujący zawartość poszczególnych pól
informacyjnych i powiązania między nimi
sposób przepływu danych pomiędzy poszczególnymi systemami
określenie środków technicznych i organizacyjnych niezbędnych dla
zapewnienia poufności, integralności i rozliczalności przetwarzanych
danych
120 min.
Strona 3 z 9
MODUŁ III
IV.
1.
2.
3.
4.
5.
6.
Opracowywanie, aktualizowanie oraz nadzór nad pozostałymi
dokumentami funkcjonującymi w systemie ochrony danych osobowych –
ćwiczenie
nadawanie, modyfikowanie oraz odbieranie upoważnień do przetwarzania
danych osobowych
prowadzenie ewidencji osób upoważnionych do przetwarzania danych
osobowych
tworzenie klauzul zgody oraz dopełnianie obowiązku informacyjnego
opracowywanie oraz opiniowanie umów o powierzeniu przetwarzania
danych osobowych
prowadzenie rejestru zbiorów danych osobowych
dokumentowanie procesu zapoznawania z przepisami o ochronie danych
osobowych
90 min.
MODUŁ IV
V.
1.
2.
3.
4.
5.
Rejestracja zbiorów danych osobowych oraz administratora
bezpieczeństwa informacji - ćwiczenia
Sposób zgłaszania zbioru oraz administratora bezpieczeństwa informacji do
rejestracji GIODO
Ogólnokrajowy rejestr zbiorów danych osobowych i administratorów
bezpieczeństwa informacji
Dokonywanie zmian w rejestrze zbiorów danych osobowych oraz
administratorów bezpieczeństwa informacji
Wykreślenie zbioru oraz administratora bezpieczeństwa informacji z
rejestru GIODO
Zwolnienia z obowiązku rejestracji zbiorów danych osobowych
Indywidualne konsultacje
120 min.
60 min.
RAZEM: 8 godz.
Strona 4 z 9
Dzień 3
Przygotowanie dokumentacji ochrony danych
osobowych
SZCZEGÓŁOWY HARMONOGRAM WARSZTATÓW
MODUŁ V
VI.
Weryfikacja wymagań w zakresie ochrony danych osobowych dla
systemów informatycznych
1.
2.
3.
4.
5.
6.
7.
zapewnienie kontroli dostępu do systemu informatycznego,
zapewnienie rozliczalności działań wykonywanych na danych osobowych
odnotowywanie daty pierwszego wprowadzenia danych do systemu
odnotowywanie identyfikatora użytkownika wprowadzającego dane
osobowe do systemu
odnotowywanie źródła danych, w przypadku zbierania danych, nie od
osoby, której one dotyczą
odnotowywanie informacji o odbiorcach, którym dane osobowe zostały
udostępnione, dacie i zakresie tego udostępnienia
odnotowywanie sprzeciwu wobec przetwarzania danych w celach
marketingowych
60 min.
MODUŁ VI
VIII.
Instrukcja Zarządzania Systemem Informatycznym – elementy składowe,
sposób prowadzenia i aktualizowania - ćwiczenia
1. procedura nadawania uprawnień do systemu informatycznego
2. stosowanie mechanizmów kontroli dostępu do systemów informatycznych
3. metody i środki uwierzytelnienia oraz procedury związane z ich
zarządzaniem i użytkowaniem
4. zasady nadawania identyfikatorów oraz haseł
5. procedura rozpoczęcia, zawieszenia i zakończenia pracy
6. zasady korzystania z poczty służbowej
7. zasady korzystania z Internetu
8. procedury tworzenia kopii zapasowych
9. zasady korzystania z urządzeń mobilnych
10. zasady korzystania z nośników wymiennych
11. sposoby zabezpieczania systemu informatycznego przed skutkami
działania szkodliwego oprogramowania
12. zasady zabezpieczenia i użytkowania sprzętu komputerowego
13. środki ochrony kryptograficznej zasady postępowania z komputerowymi
nośnikami informacji
14. procedury przeglądów i konserwacji
60 min.
MODUŁ VII
IX.
1.
2.
3.
4.
5.
6.
Techniczne środki ochrony danych osobowych
zabezpieczania fizyczne serwerowni
kontrola dostępu do obszarów z infrastrukturą informatyczną
zabezpieczenia sieci teleinformatycznej
zabezpieczenia urządzeń serwerowych
zabezpieczenie przed awarią zasilania
zabezpieczenia systemu wydruku
60 min.
Strona 5 z 9
7. zasady postępowania z podmiotami współpracującymi w zakresie
informatycznym
Indywidualne konsultacje
30 min
MODUŁ VII
I.
1.
2.
3.
4.
5.
6.
Wstęp do sprawdzenia (audytu) systemu ochrony danych osobowych
Zasady przeprowadzania sprawdzeń planowych oraz doraźnych
Określanie przedmiotu i zakresu sprawdzenia oraz przygotowywanie planu
Określanie kryteriów sprawdzenia
Zbieranie dowodów audytowych
Przygotowanie sprawozdania ze sprawdzenia oraz jego dystrybucja
Symulacja rozmowy audytowej – odebranie ustnych wyjaśnień
60 min.
MODUŁ VIII
II.
1.
2.
3.
4.
5.
6.
7.
III.
1.
2.
3.
4.
5.
Przebieg kontroli GIODO
Zakres przedmiotowy uprawnień kontrolnych Generalnego Inspektora
Rodzaje kontroli
Uprawnienia inspektora ochrony danych osobowych
Organizacja kontroli
Przebieg kontroli
Dokumentowanie czynności kontrolnych
Uprawnienia pokontrolne
60 min.
Konsekwencje kontroli GIODO
Rodzaje decyzji administracyjnych wydawane przez GIODO
Zawiadomienie o podejrzeniu popełnienia przestępstwa
Środki odwoławcze od decyzji GIODO
Postępowania sądowo administracyjne
Niemierzalne konsekwencje kontroli GIODO
30 min.
Indywidualne konsultacje
60 min.
RAZEM: 7 godz.
Dzień 4
Audytor wewnętrzny systemu ochrony danych
osobowych
Strona 6 z 9
SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA
MODUŁ I
I.
Wyjaśnienie najważniejszych pojęć związanych z audytem systemu ochrony danych
osobowych
1)
2)
3)
4)
5)
6)
7)
8)
9)
10)
11)
12)
13)
Audyt
Audytor
Dowód z audytu
Ekspert techniczny
Kompetencje
Kryteria audytu
Plan sprawdzenia (audytu)
System ochrony danych osobowych
Ustalenia z audytu
Wnioski z audytu
Zakres audytu
Zespół audytujący
Zgodność/niezgodność
90 min.
II.
Administrator bezpieczeństwa informacji (inspektor ochrony danych) – rola w
organizacji
1) Wymagania kwalifikacyjne do pełnienia funkcji ABI
2) Umocowanie ABI w strukturze organizacji – niezależność funkcji
3) Uprawnienia, sposób wyznaczenia i rejestracji administratora bezpieczeństwa
informacji
4) Obowiązki ABI związane z zapewnianiem przestrzegania przepisów o ochronie danych
osobowych:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie
danych osobowych
b) nadzorowanie opracowania i aktualizowania dokumentacji przetwarzania danych
osobowych
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych
z przepisami o ochronie danych osobowych
d) prowadzenie rejestru zbiorów danych osobowych
5) Obowiązki i uprawnienie inspektora ochrony danych – Ogólne Rozporządzenie o
Ochronie Danych
6) Administrator bezpieczeństwa informacji – audytor wewnętrzny?
Strona 7 z 9
MODUŁ II
III.
Audyt systemu ochrony danych osobowych – przygotowanie (ćwiczenie)
1) Rodzaje audytów (sprawdzeń)
a) pierwszej strony - sprawdzenie wewnętrzne (planowe i doraźne)
b) drugiej strony – sprawdzanie u procesora danych na żądanie GIODO
c) trzeciej strony – sprawdzenie na żądanie GIODO
2) Ustalanie celów i zakresu audytów
3) Kompetencje audytorskie administratora bezpieczeństwa informacji
4) Wybór członków zespołu audytowego
5) Identyfikowanie i szacowanie ryzyk związanych z programem audytów
6) Identyfikowanie zasobów dla programu audytu
IV.
Wymogi formalne dotyczące w zakresie realizacji sprawdzeń (ćwiczenie)
1)
2)
3)
4)
5)
V.
Zasady przygotowywania planu sprawdzeń
Terminy realizacji sprawdzeń
Zawiadomienie o rozpoczęciu sprawdzenia oraz o zakresie planowanych czynności
Zasady dokumentowania sprawdzeń
Zasady przygotowywania sprawozdania ze sprawdzenia
135 min.
Metodyka prowadzenia audytu oraz analiza zebranych dowodów (ćwiczenie)
1)
2)
3)
4)
5)
6)
7)
8)
9)
Zbieranie i weryfikowanie informacji
Przeprowadzanie przeglądu dokumentów
Pobieranie próbek audytowych
Wybór źródeł informacji
Przygotowywanie dokumentów roboczych
Prowadzenie rozmów audytowych
Odnotowywanie stwierdzonych zgodności lub niezgodności
Opracowanie ustaleń z audytu
Przygotowywanie wniosków z audytu
MODUŁ III (ĆWICZENIA PRAKTYCZNE)
VI.
Przeprowadzenie sprawdzenia w podejściu procesualnym (ćwiczenie)
1) Ustalenie podstaw prawnych przetwarzania danych osobowych
2) Weryfikacja dopełnienia obowiązku informacyjnego
3) Weryfikacja dopełnienia obowiązku dochowania szczególnej staranności w celu ochrony
interesów osób, których dane dotyczą
4) Weryfikacja zapisów dotyczących powierzenia przetwarzania danych osobowych
5) Ustalenie sposobu realizacji praw osób, których dane dotyczą
6) Weryfikacja adekwatności organizacyjno-technicznych środków ochrony danych
osobowych
7) Weryfikacja zasad przekazywania danych do państw trzecich
8) Weryfikacja dopełnienia obowiązku rejestracji zbiorów danych osobowych
VII.
120 min.
Przygotowanie sprawozdania ze sprawdzenia oraz jego dystrybucja (ćwiczenie)
1) Przygotowanie sprawozdania ze sprawdzenia
2) Dystrybucja sprawozdania ze sprawdzenia
3) Realizacja działań korygujących i korekcyjnych
RAZEM: 5 godz. 45 min.
Strona 8 z 9
Dzień 5
Praktyczne aspekty Europejskiego Rozporządzenia
o ochronie danych osobowych
SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA
MODUŁ I
I.
Organ nadzorczy (GIODO)
1) nowa rola,
2) status,
3) zadania i uprawienia,
II.
Sankcje za nieprzestrzeganie przepisów rozporządzenia.
1) administracyjne kary pieniężne - warunki ich nakładania i wysokość,
2) odszkodowanie za poniesioną szkodę,
III.
Przetwarzanie danych osobowych.
1) ogólne zasady przetwarzania danych osobowych,
2) przetwarzanie danych osobowych szczególnych kategorii,
3) zgoda na przetwarzanie danych dzieci.
90 min.
MODUŁ II
IV.
Prawa przysługujące osobie, której dane dotyczą
prawo do bycia zapomnianym,,
prawo do przenoszenia danych,
prawo do niepodlegania profilowaniu,,
zasada przejrzystości i inne.
V.
Obowiązki administratora danych
1) obowiązek rejestrowania czynności przetwarzania danych osobowych,
2) obowiązek zgłaszania naruszeń ochrony danych osobowych,
3) wdrożenie mechanizmów „privacy by design” i „privacy by default i inne.
1)
2)
3)
4)
120 min.
MODUŁ III
VI.
Inspektor ochrony danych
1) zadania inspektora ochrony danych,
2) sytuacje, w których jego wyznaczenie jest obligatoryjne.
VII.
Podmiot przetwarzający (procesor):
1) zakres i treść umowy z procesorem,
2) obowiązki procesora.
60 min.
MODUŁ IV
VIII.
Przekazywanie danych do państw trzecich:
1) zasady przekazywania danych.
IX.
Kodeksy postępowania i certyfikacja:
1) rola funkcjonowania kodeksów postępowań,
2) określenie procedur certyfikacji podmiotów dokonujących operacji przetwarzania
przez podmioty certyfikujące, które uzyskały uprzednio akredytację w trybie art.
43 rozporządzenia
60 min.
RAZEM: 5 godz. 30 min.
TOTAL: 32 godz. 15 min.
Strona 9 z 9