PROGRAM SZKOLENIA Inspektor ochrony danych (25 godzin).

1. Prawne podstawy systemu ochrony danych osobowych w Polsce – regulacje ogólne oraz lex specialis:

a) RODO – czym jest Ogólne Rozporządzenie Unijne?

b) najważniejsze zmiany wdrożone przez RODO w Polsce,

c) adresat regulacji RODO – czyje dane osobowe podlegają ochronie i na jakim obszarze,

d) Administrator Danych Osobowych – kto nim jest i jakie są jego podstawowe obowiązki w zakresie ochrony danych osobowych.

2. Katalog pojęć związanych z ochroną danych osobowych obowiązujący od 25.05.2018 r.:

a) dane osobowe

b) przetwarzanie danych osobowych,

c) profilowanie,

d) pseudonimizacja a anonimizacja,

e) szyfrowanie,

f) nowe rodzaje danych osobowych- genetyczne, biometria, medyczne,

g) zbiór danych osobowych,

h) współadministrator, procesor,

i) odbiorca danych osobowych.

3. Zasady przetwarzania danych osobowych po 25.05.2018 r.:

zasada ogólna legalności, zasada ogólna przejrzystości, zasada ogólna rzetelności, zasada ogólna ograniczenia przetwarzania do celu, zasada ogólna adekwatności, zasada ogólna minimalizacji danych osobowych, zasada ogólna ograniczenia czasu przetwarzania, zasada ogólna rozliczalności, zasada ogólna poufności i integralności, zgoda jako podstawa legalizująca przetwarzanie danych osobowych, przepis prawa jako podstawa prawna legalizująca przetwarzanie danych osobowych, wyjątkowe okoliczności ( ochrona życia i zdrowia) jako podstawy legalizujące przetwarzanie danych osobowych.

4. Prawa podmiotów danych osobowych:

a) prawo do informacji- art.13 RODO i art.14 RODO – jak realizować prawo do informacji – formy, sposoby, klauzula warstwowa, jak dokumentować realizację prawa do informacji,

b) prawo dostępu do danych osobowych, prawo do pozyskania kopii,

c) prawo do sprostowania i usunięcia danych – w jaki sposób realizować, kiedy należy odmówić realizacji uprawnienia,

d) prawo do ograniczenia przetwarzania danych osobowych,

e) prawo do przenoszenia danych pomiędzy administratorami danych osobowych,

f) prawo do sprzeciwu przeciwko przetwarzaniu danych osobowych- jak realizować jak jego realizacja wpływa na temporalność, rozliczalność itd.,

g) prawa związane z profilowaniem danych osobowych.

5. Administrator Danych Osobowych:

a) obowiązki ADO: w zakresie informacji dla podmiotów danych osobowych,

b) privacy by designe i privacy by defoult,

c) wdrożenie dokumentacji – jak powinna wyglądać dokumentacja po 25.05.2018 r.,

d) prowadzenie Rejestrów Czynności przetwarzania i Rejestru Kategorii Czynności Przetwarzania,

e) powołanie IOD,

f) prowadzenie procedury DPIA z art. 35 RODO.,

g) obowiązki ADO wobec PUODO,

h) szacowanie ryzyka- informacje ogólne.

6. Zasady przy powierzaniu przetwarzania danych osobowych:

a) przesłanki wyboru Procesora,

b) podprocesor,

c) wzorcowa umowa powierzenia,

d) zasady współpracy ADO i Procesora oraz Podprocesora,

e) dokumentowanie powierzenia,

f) powierzenie jako sui generis pełnomocnictwo oraz w oparciu o inny tytuł prawny,

g) zamknięcie i rozliczenie stosunku powierzenia,

h) różnice pomiędzy powierzeniem a udostępnieniem danych osobowych.

7. Wiedza w zakresie udostępnienia danych osobowych:

a) uprawnione organy – podstawy udostępnienia, zasady realizacji obowiązku,

b) podmioty trzecie – podstawy udostępnienia, zasady realizacji obowiązku,

c) dokumentowanie udostępnienia.

8. Inspektor Ochrony Danych Osobowych:

a) obowiązek powołania IOD – jak to zrobić – dokumentacja, procedura,

b) umiejscowienie IOD w organizacji ADO,

c) jakie kwalifikacje winien posiadać IOD,

d) obowiązki IOD wynikające z art. 39 RODO, obowiązki wynikające z innych podstaw,

e) uprawnienia IOD,

f) ABI a IOD,

g) odpowiedzialność IOD.

9. Analiza ryzyka w organizacji:

a) kogo dotyczy procedura analizy ryzyka?

b) remanent aktywów – dokumentacja,

c) analiza zagrożeń – czym jest zagrożenie i jak je ustalić, dokumentacja,

d) analiza podatności – czym jest podatność i jak ją ustalić, dokumentacja,

e) analiza ryzyka – czym jest ryzyko i jak je ustalić, dokumentacja, czemu służy szacowanie ryzyka?

f) polityka zarządzania ryzykiem- czym jest, czy jest konieczność jej posiadania, jak ją opracować.

10. Bezpieczeństwo przetwarzania danych osobowych w organizacji:

a) różnice pomiędzy bezpieczeństwem danych osobowych a bezpieczeństwem informacji,

b) pojęcie incydentu,

c) rodzaje incydentu,

d) dokumentacja w zakresie przeciwdziałania i zapobiegania incydentom:

– instrukcja postępowania w wypadku wystąpienia incydentu,

– dokumentowanie zagrożenia, dokumentowanie uchybienia,

– zgłoszenie incydentu do PUOD,

e) polityka czystego biurka,

f) polityka czystej kopiarki, faksu,

g) polityka korzystania z poczty e-mail,

h) polityka korzystania z przenośnych urządzeń do przetwarzania danych osobowych,

i) polityka wysyłania korespondencji zawierającej dane osobowe,

j) obszary przetwarzania danych osobowych a możliwość wynoszenia dokumentacji,

k) polityka kontroli dostępu do danych osobowych.