Zobacz program szkolenia

ABI, ASI I ADO –KOMPLEKSOWE
WARSZTATY
SPRAWDZENIA, SPRAWOZDANIA, AUDYTY WEWNĘTRZNE,
JAWNY REJESTR – NOWE ZADANIA ABI, ASI I ADO W
KONTEKŚCIE ZMIANY USTAWY O OCHRONIE DANYCH
OSOBOWYCH ZE SZCZEGÓLNYM UWZGLĘDNIENIEM
NOWYCH REGULACJI DOTYCZĄCYCH ZADAŃ
INSPEKTORA OCHRONY DANYCH (DATA PROTECTION
OFICER), KTÓRE BĘDĘ OBOWIĄZYWAĆ OD 2018r.
Warsztaty mają za zadanie w sposób kompleksowy i praktyczny wprowadzić uczestników w
tematykę ochrony danych osobowych ze szczególnym uwzględnieniem nowych zadań jakie
spoczywają na Administratorze Bezpieczeństwa Informacji. Warsztaty pozwolą uczestnikom
samodzielnie przeprowadzić sprawdzenie (kontrolę wewnętrzną) zgodności przetwarzania
danych osobowych z przepisami prawa w aspekcie prawnym oraz opracować w tym zakresie
sprawozdanie dla administratora danych. Poruszone zostaną także zagadnienia związane z
nowym obowiązkiem ABI-ego dotyczącym zapewnienia zapoznania osób przetwarzających
danych osobowych z przepisami w zakresie ochrony danych osobowych (szkolenia).
Znaczną część zajęć poświęcona zostanie zagadnieniom nadzoru nad systemem ochrony
danych osobowych.
Podczas zajęć omówione zostaną także REWOLUCYJNE ZMIANY DOTYCZĄCE
NOWYCH ZADAŃ ABI (INSPEKTORA DS. OCHRONY DANYCH OSOBOWYCH),
które wejdą w życie w 2018 roku.
Główne zalety naszego szkolenia:

skupienie się na konkretach – przekażemy Ci praktyczną wiedzę umożliwiającą
samodzielne pełnie funkcji ABI w ciągu dwóch intensywnych dni szkoleń,

poszkoleniowe wsparcie – możesz liczyć na naszą wiedzę i doświadczenie także po
ukończeniu kursu. Dajemy Ci wsparcie bezpłatnych konsultacji do wykorzystania w
dowolnej formie (mail, telefon, Skype, mail) w ciągu 6 miesięcy od uczestnictwa w
kursie,

NOWOŚĆ! Rozporządzenie UE o ochronie danych osobowych– zaprezentujemy
Ci najważniejsze zmiany oraz porady jak rozpocząć proces adaptacji do nowych
regulacji,

praktyczny charakter kursu – nasz trener sprawuje funkcję ABI u klientów
z różnych branż. Dlatego podczas szkolenia nie teoretyzujemy – każdy przepis prawa
konfrontujemy z praktyką i oferujemy Ci rozwiązania, a nie kolejne wątpliwości,

warsztaty – nasz kurs to nie wykład, a interaktywne szkolenie. Podczas kursu
kilkukrotnie będziesz mieć okazję samodzielnie zweryfikować zdobytą wiedzę z
praktyką np. tworząc Jawny Rejestr Zbiorów, szkic Polityki Bezpieczeństwa, czy
planu sprawdzeń,

certyfikat – po szkoleniu otrzymasz certyfikat potwierdzający uczestnictwo w kursie.
Certyfikat jest jedną z podstaw do legitymowania się przez ABI odpowiednią wiedzą z
zakresu ochrony danych osobowych, zgodnie z art. 39a znowelizowanej ustawy.,

wzory dokumentacji – otrzymasz wzory prawem wymaganej dokumentacji.
Otrzymasz: Politykę bezpieczeństwa, Instrukcję zarządzania systemami
informatycznymi, klauzule informacyjne, umowy powierzenia, upoważnienia,
klauzule zgód na przetwarzanie danych osobowych, Jawny Rejestr Zbiorów ABI,
szkolenie dla pracowników w formie prezentacji, formularz zgłoszenia oraz odwołania
ABI i ASI, wykaz obowiązków ABI, sprawozdanie, plan sprawdzeń.
Uczestnicy warsztatów otrzymają w formie elektronicznej wszystkie nowe,
niezbędne wzory prawem wymaganej dokumentacji oraz wzory planu
sprawdzeń, sprawozdań, wewnętrznego rejestru, przykładowe wystąpienia
GIODO do ABI-ego i wielu innych.
I DZIEŃ
I.
WPROWADZENIE
1. Czym są dane osobowe
2. Co to jest zbiór danych osobowych?
3. Różnica między danymi zwykłymi a danymi wrażliwymi,
4. Przesłanki legalności przetwarzania danych osobowych,
5. Podział obowiązków – ADO,ABI,ASI.
II.
USYTUOWANIE ABI W ORGANIZACJI W KONTEKŚCIE
NOWYCH UREGULOWAŃ PRAWNYCH
1. Jak przekonać administratora danych, że ABI to zysk dla firmy? Przed czym uchroni
profesjonalny ABI, co oraz ile zyskamy.
2. Kto może pełnić funkcję ABI. Prawnik czy informatyk a może zupełnie kto inny?
3. Czy ASI może być ABI?
4. ABI w hierarchii organizacji. Pierwsze problemy po wejściu w życie zmienionych
przepisów. (komu i na jakich zasadach podlegać będzie ABI w ramach organizacji)
III.
CZY WARTO POWOŁYWAĆ ABI-ego?
1. Wady i zalety posiadania ABI lub braku ABI
2. Alternatywa: powołanie innej funkcji związanej z ochroną danych osobowych np.
pełnomocnika lub koordynatora ds. ochrony danych osobowych
Warsztaty- jak należy powołać i wskazać zakres obowiązków koordynatora ds.
ochrony danych osobowych
IV.
ABI, ZASTĘPCA ABI A OSOBA NIE WPISANA DO REJESTRU
1. Czy administrator danych, który nie powołał ABI przeprowadza sprawdzenie
czy audytuje? Jakie przepisy mają zastosowanie?
2. Jak powołać zastępcę ABI-ego.
V.
OBOWIĄZKI DLA ADO, KTÓRE NIE POWOŁAŁ ABI-ego
VI.
POWOŁANIE ABI IMPLIKUJĄCE OGRANICZENIE
W ZGŁASZANIU ZBIORÓW DO GIODO,
VII.
ZADANIA ADMINISTRATORA BEZPIECZEŃSTWA
INFORMACJI
1. Ocena legalności przetwarzania danych osobowych klientów i pracowników. (Kiedy
należy pytać o zgodę na przetwarzanie danych osobowych, a kiedy takiej zgody
unikać? W jaki sposób ewidencjonować zebrane zgody i sprzeciwy? Jak należy
wypełnić obowiązek informacyjny?)
Warsztat: opracowanie przykładowego obowiązku informacyjnego.
2. Powierzenie przetwarzania danych osobowych. (Kiedy należy podpisać umowę
powierzenia przetwarzania danych osobowych. Udział ABI i jego rola w negocjacjach
– na co zwracać uwagę. Czy różni się powierzenie od udostępnienia danych
osobowych?
3. Przesłanki legalności przetwarzania danych osobowych
VIII. ZADANIA ABI-ego NA GRUNCIE ZNOWELIZOWANEJ
USTAWY
1. Nadzór nad prawidłowością przetwarzania danych i dokumentacją – jak to robić?
2. Zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych
z przepisami o ochronie danych osobowych – szkolenie, czy inne formy? Jeśli tak, to
jak i kogo szkolić? Przykładowe testy do szkoleń
3. Prowadzenie rejestru zbiorów danych osobowych.
4. Prowadzenie regularnych audytów wewnętrznych (sprawdzeń). Plan sprawdzeń, jak
go przygotować i na co zwrócić uwagę?
5. Raportowanie o nieprawidłowościach do zarządzających organizacją oraz do GIODO
(zasady przygotowania sprawozdań)
6. Przygotowanie odpowiedzi na pismo GIODO
Warsztat: tworzenie wewnętrznego rejestru.
Warsztat: przygotowywanie wzoru kwartalnego/rocznego planu audytów.
Przygotowywanie sprawozdania z przeprowadzanego audytu.
Warsztat: ustalenie zakresu obowiązków ABI.
IX.
REALIZACJA OBOWIĄZKÓW ABI-ego.
1. Sprawdzenia (Audyty) procesorów. Co i jak sprawdzać?
2. Pierwszy plan - od kiedy?
3. Wewnętrzne dokumentowanie przez ABI jego zaleceń – wskazywanie ryzyka
prawnego, czy decyzja ABI jest ostateczna?
4. Co tak naprawdę ABI wie o organizacji? Czy powinien zostać dopuszczony do
wszystkich tajemnic?
5. Zróżnicowanie zadań Administratora Bezpieczeństwa Informacji w zależności od
branży.
6. Współpraca z ASI.
7. ZMIANY W ZAKRESIE POWIERZENIA PRZETWARZANIA
DANYCH OSOBOWYCH OD 1 KWIETNIA 2016 ROKU
8. OBOWIĄZEK INFORMACYJNY. PROBLEMY Z
PRZYGOTOWANIEM KLAUZUL OBOWIĄZKÓW
INFORMACYJNYCH OKREŚLONYCH W ART. 24 I 25 UODO
9. UMOWY POWIERZENIA A PRAWO DO KONTROLI PROCESORA
TERAZ I W GPR
10. ODPOWIEDŹ NA WNIOSEK ZŁOŻONY W TRYBIE ART. 33 UST. 1
UODO- PRAKTYCZNE ĆWICZENIA
II DZIEŃ
I. JAK SKUTECZNIE ZABEZPIECZAĆ DANE OSOBOWE
W ZBIORACH NIEINFORMATYCZNYCH?
II. WYMAGANIA BEZPIECZEŃSTWA W ZAKRESIE
ZABEZPIECZENIA DANYCH OSOBOWYCH W SYSTEMACH
INFORMATYCZNYCH I WYTYCZNE DO ICH REALIZACJI
III.
DODATKOWE ELEMENTY SYSTEMU ZARZĄDZANIA
BEZPIECZEŃSTWEM DANYCH OSOBOWYCH DO
WYKORZYSTANIA W PLANIE SPRAWDZEŃ ABI-ego:
1. Polityka haseł.
2. Polityka czystego biurka
3. Procedura zarządzania kluczami
4. Zasady dostępu do pomieszczeń
5. Komputery przenośne i "praca na odległość"
6. Komputerowe nośniki informacji
7. Kopie bezpieczeństwa
8. Zabezpieczenia przed szkodliwym oprogramowaniem,
9.
Zabezpieczenia kryptograficzne,
10. Procedury reagowania na incydenty
IV.
PRZYKŁADOWA DOKUMENTACJA (UCZESTNICY
OTRZYMAJĄ WZORCOWĄ DOKUMENTACJĘ). (JAK JĄ
SPORZĄDZIĆ I NA CO ZWRÓCIĆ SZCZEGÓLNĄ UWAGĘ. WYMOGI
USTAWY A PRAKTYKA KORPORACYJNA – CZY DA SIĘ TO POGODZIĆ?)
Warsztat: Obligatoryjne i fakultatywne elementy dokumentacji
V. ROLA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI
W KONTAKTACH Z GIODO.
1. Jak przygotować się do kontroli GIODO?
2. Jak prowadzić korespondencję z GIODO.
Warsztat: symulacja poszczególnych etapów.
VI. PODSTAWOWE WYMAGANIA DOTYCZĄCE FUNKCJONALNOŚCI
SYSTEMU INFORMATYCZNEGO
1. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych
uprawnień w systemie informatycznym
2. Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej
3. Poziomy bezpieczeństwa
VII.
PRZETWARZANIE DANYCH PRACOWNIKÓW
1. Obowiązki pracodawcy jako administratora danych osobowych pracownika.
2. Czy pracodawca musi dopełnić obowiązku informacyjnego względem pracownika?
Czy zbiory kadrowe należy rejestrować?
3. Jakie dane może posiadać pracodawca? Wykorzystywanie zaawansowanych
systemów do ewidencjonowania pracy, identyfikatory służbowe, książki adresowe ze
zdjęciami, witryny intranetowe.
4. W jakiej formie pracodawca może przetwarzać dane? Czy pracodawca może kserować
dokumenty (dowód osobisty, prawo jazdy, aktu urodzenia dziecka, itd.) pracowników?
5. Ochrona wizerunku pracownika w kontekście ustawy o ochronie danych osobowych.
6. Zdjęcia na identyfikatorach
7. Pracodawca użytkownik – prawa i obowiązki w obszarze ochrony danych osobowych.
8. Wykorzystywanie danych pracowniczych do celów ustalania przestępstw
popełnionych w ramach stosunku pracy
9. Komu i na jakich zasadach wolno udostępnić dane osobowe pracownika?
10. Postępowanie z wnioskami Policji, Prokuratury, urzędów, banków, rodziny
o udostępnienie danych osobowych.
11. Przetwarzanie danych osobowych pracowników i ich rodzin w związku ze
świadczeniami jakie przysługują u Pracodawcy (ZFŚS).
12. Dane osobowe a ZFŚS,czy dopuszczalne jest żądanie od pracownika przedłożenia
rocznego zeznania podatkowego (PIT) w celu wykazania wysokości dochodu, na
potrzeby Zakładowego Funduszu Świadczeń Socjalnych?
13. Udzielanie informacji drogą telefoniczną na temat pracowników- najnowsze wytyczne
GIODO,
14. Przekazywanie danych osobowych do podmiotów zewnętrznych realizujących
świadczenia dodatkowe (prywatna opieka zdrowotna, karty sportowe – powierzenie
czy udostępnienie danych osobowych).
15. Czy komornik może żądać od pracodawcy nr rachunkowego dłużnika?
VIII.
OGÓLNE ROZPORZĄDZENIE
DANYCH OSOBOWYCH
UNIJNE
O
OCHRONIE
1. Kiedy rozporządzenie stanie się wiążące i jak się do tego przygotować?
2. Bezpośrednie stosowanie ogólnego rozporządzenia do krajowych porządków
prawnych,
3. Nowe kategorie danych – identyfikatory sieciowe, dane biometryczne
w rozporządzeniu unijnym,
4. Nowe instytucje dotyczące przetwarzania danych osobowych. Notyfikacja incydentów
do GIODO. Prywatność w ustawieniach domyślnych. Nowe formy certyfikacji i oceny
zgodności.
5. Nowe przesłanki przetwarzania danych osobowych zwykłych oraz wrażliwych,
6. Nowe zasady realizacji obowiązku informacyjnego
7. Obowiązek informacyjny – porównanie treści obowiązku informacyjnego
z ustawy o ochronie danych osobowych oraz w rozporządzeniu,
8. Zasada ochrony danych osobowych na etapie projektowania tzw. privacy by design
9. Obowiązek informacyjny – porównanie treści obowiązku informacyjnego
z ustawy o ochronie danych osobowych oraz w rozporządzeniu
Warsztaty- prawidłowa treść obowiązku informacyjnego,
10. Współadministratorzy czyli wspólne operacje przetwarzania danych osobowych przez
kilku administratorów,
11. Nowe kompetencje GIODO w GDPR, w tym w szczególności możliwość nakładania
kar finansowych
IX.
DATA PROTECTION OFICER (DPO) CZYLI INSPEKTOR
OCHRONY DANYCH OSOBOWYCH PO ZMIANACH
1. Status prawny inspektora ochrony danych
1. Fakultatywność oraz obligatoryjność powołania Inspektora (DPO)
2. Powołanie oraz odwołanie inspektora ochrony danych
3. Nowe zadania inspektora ochrony danych
4. Profilowanie
5. Współpraca w sprawach ochrony danych osobowych
X. PRZYKŁADY ORZECZNICTWA I DOBRE PRZYKŁADY
XI.
PRZEPISY SEKTOROWE W PYTANIACH I
ODPOWIEDZIACH:
1. Czy rozsyłanie "rozdzielników" do uczestników postępowań administracyjnych nie
narusza przepisów ustawy o ochronie danych osobowych?
2. Czy komornik jest uprawniony do tego, aby otrzymać numer rachunku bankowego
dłużnika od jego pracodawcy?
3. Czy gońcy, czyli pracownicy urzędu miasta doręczający korespondencję urzędową
muszą posiadać, nadane przez administratora, upoważnienie do przetwarzania danych
osobowych?
4. Czy urząd stanu cywilnego, powołując się na ochronę danych osobowych, może
odmówić mi wydania odpisów z aktów stanu cywilnego dotyczących członków
mojej rodziny, jeśli swoją prośbę uzasadniam potrzebą załączenia ich do akt
sprawy sądowej?
5. Czy szkoła posiadająca rejestr uczniów realizujących obowiązek szkolny w innych
szkołach powinna zgłosić taki zbiór danych do rejestracji Generalnemu Inspektorowi
Ochrony Danych Osobowych?
6. Czy dyrektor przedszkola ma obowiązek zgłaszać Generalnemu Inspektorowi
Ochrony Danych Osobowych zbiory danych rodziców przedszkolaków?
7. Czy biblioteki prowadzone przez szkoły podlegają obowiązkowi zgłoszenia
zbiorów do rejestracji Generalnego Inspektora Ochrony Danych Osobowych?
8. Czy, ze względu na fakt, że w zbiorze danych pracowników znajdują się, poza
danymi osobowymi pracowników, również informacje dotyczące członków ich rodzin
(małżonków i dzieci), pracodawca ma obowiązek zgłoszenia do rejestracji
Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osób u niego
zatrudnionych?
9. Czy obowiązek rejestracji dotyczy administratorów wykorzystujących dane
pracowników (obecnych i byłych), a także kandydatów do pracy i innych osób
świadczących na rzecz administratora usługi na podstawie umów zlecenia, czy umów
o dzieło?
10. Czy gmina powinna zgłosić zbiór danych prowadzony w ramach Elektronicznego
Krajowego Systemu Monitoringu Orzekania o Niepełnosprawności?
11. Czy zgodne z ustawą jest wywieszanie w budynku sądu wokand, zawierających
dane osobowe osób biorących udział w postępowaniu sądowym?
12. Czy dopuszczalne jest żądanie od pracownika przedłożenia rocznego zeznania
podatkowego (PIT) w celu wykazania wysokości dochodu, na potrzeby Zakładowego
Funduszu Świadczeń Socjalnych?
13. Czy spółka jest zobowiązana do zarejestrowania księgi udziałów oraz księgi
akcyjnej?
14. Czy pracownicy urzędów gmin i starostw powiatowych mogą udzielać
instytucjom, firmom i osobom prywatnym takich informacji dotyczących danych
osobowych radnych, jak: imię, nazwisko, adres, telefon kontaktowy radnego? Czy
urzędnicy mogą pobierać opłaty za udzielanie tych informacji?
15. Czy dostawca usług telekomunikacyjnych oraz bank może kserować dowody
osobiste swoich klientów oraz potencjalnych klientów?
16. Czy starosta może odmówić udostępnienia z prowadzonej ewidencji pojazdów
numeru rejestracyjnego i numeru VIN pojazdu należącego do konkretnej osoby na
potrzeby złożenia wniosku o zabezpieczenie roszczenia w postępowaniu cywilnym?
17. Czy pracownicy urzędów gmin i starostw powiatowych mogą udzielać
instytucjom, firmom i osobom prywatnym takich informacji dotyczących danych
osobowych radnych, jak: imię, nazwisko, adres, telefon kontaktowy radnego? Czy
urzędnicy mogą pobierać opłaty za udzielanie tych informacji?
18. Czy w Biuletynie Informacji Publicznej (BIP) można opublikować oświadczenia
majątkowe radnych zawierające adresy ich zamieszkania?
19. Czy wynikający z art. 27 c ustawy o samorządzie województwa obowiązek
złożenia oświadczenia majątkowego wraz z kopią zeznania o wysokości osiągniętego
dochodu (PIT), w sytuacji, gdy opodatkowaniu podlegały łącznie dochody obojga
małżonków, a powyższy obowiązek spoczywa jedynie na jednym z nich, nie narusza
przepisów ustawy o ochronie danych osobowych?
20. Czy jednostka wykonujących zadania pomocy społecznej może udostępnić
kuratorowi sądowemu dane osobowe osób korzystających z ich opieki?
21. Czy zbiory danych zawierające podania o pracę powinny zostać zarejestrowane u
Generalnego Inspektora Ochrony Danych Osobowych?
XII.
REKAPITULACJA I KONSULTACJE PRAWNE
Uczestnicy szkolenia otrzymają w formie elektronicznej wszystkie nowe, niezbędne
wzory prawem wymaganej dokumentacji oraz wzory planu sprawdzeń, sprawozdań,
wewnętrznego rejestru, przykładowe wystąpienia GIODO do ABI-ego i wielu innych.