Ochrona danych osobowych zgodnie z nowymi wymaganiami GDPR/RODO

PODSTAWOWE INFORMACJE

RODO (GDPR) wprowadza zmianę podejścia w obszarze ochrony danych osobowych polegającą na narzuceniu obowiązku aktywnego zabiegania przez każdy podmiot o ochronę prywatności na każdym etapie przetwarzania oraz projektowania procesów przetwarzania (Privacy by Design oraz Privacy by Default). Dodatkowo, według nowych wymagań administratorzy danych osobowych oraz wszystkie podmioty przetwarzające dane są zobowiązane do przeprowadzania oceny ryzyka oraz podejmowania samodzielnych decyzji o rodzaju oraz zakresie środków technicznych i organizacyjnych wpływających na bezpieczeństwo danych osobowych. W świetle zaktualizowanych przepisów polityka organizacji powinna być dostosowana do jej specyfiki, tzn. przedmiotu działania, sposobu interakcji z odbiorcami, stosowanej technologii etc. Kluczem spełnienia ww. wymagań będzie zastosowanie adekwatnych środków do zagrożeń - RODO nie reguluje precyzyjnie wytycznych organizacyjnych ani technologicznych. Szkolenie ma na celu dostarczenie wiedzy jak spełnić ww. wymagania.

Istnieje możliwość uczestnictwa w szkoleniu 2-dniowym lub wybierając jeden, dowolny dzień szkoleniowy.

PROGRAM SZKOLENIA

CZAS TRWANIA: 2 DNI

DZIEŃ 1 Omówienie wymagań RODO

  • Wprowadzenie do RODO
    • definicja danych osobowych,
    • definicja przetwarzania danych osobowych,
    • neutralność technologiczna - założenia,
    • role w organizacji związane z wypełnieniem obowiązków RODO,
    • prawda przysługujące podmiotowi danych,
    • obowiązki administratorów danych,
    • inspektor ochrony danych: zadania i sytuacje, w których jego wyznaczenie jest obligatoryjne,
    • podmiot przetwarzający (procesor),
    • sankcje za nieprzestrzeganie przepisów rozporządzenia: administracyjne karty pieniężne, warunki ich nakładania i wysokosć, odszkodowanie za poniesioną szkodę,
    • przekazywanie danych do państw trzecich: zasada przekazywania danych,
    • co się smienia?
  • Legalność
    • zasady przetwarzania danych,
    • przesłanki przetwarzania danych na gruncie RODO,
    • powierzenie przetwarzania danych,
    • czym jest profilowanie,
  • Provacy by design
    • wyjaśnienie pojęcia,
    • jak realizować w ramach funkcjonującej organizacji?
    • ograniczenia technologiczne,
    • ograniczenia organizacyjne,
  • Privacy by default
    • wyjanienie pojęcia,
    • jak tworzyć rozwiązania technologiczne przetwarzające dane osobowe?
    • zadania towarzyszące projektowaniu rozwiązań technologicznych,
  • Podejście oparte na ocenie ryzyka (risk base approach)
    • wy jaki sposób uwzględniać i szacować ryzyko - zależne od rozmiarów i profilu organizacji?
    • ocena skutków naruszenia prywatności danych osobowych (DPIA),
    • rejestr aktywów informacyjnych,
    • klasyfikacja informacji,
    • jak przeprowadzić ocenę ryzyka?
    • zabezpieczenia vs podatności,
    • dobre praktyki: Norma PN-ISO/IEC 27005:2014-01 - Zarządzanie ryzykiem w bezpieczeństwie informacji
    • Zasady definiowania "stanu wiedzy technicznej"
  • Monitorowanie systemów
    • obsługa incydentów - zasady,
    • obowiązki notyfikacyjne,
  • Zabezpieczenia systemów informatycznych
    • wymagania zabezpieczenia a adekwatne zabezpieczenia,
    • wymagania wynikające bezpośrednio z RODO,
    • anonimizacja, pseudonimizacja i kryptografia,
  • Wymagania dokumentacyjne
    • polityka bezpieczeństwa i Instrukcja Zarządzania systemami informatycznymi - czy nadal obowiązuje?
    • nowa dokumentacja - jaka?
  • Certyfikacja - jako narzędzie do realizacji obowiązków RODO?
    • kodeksy postępowania i certyfikacja: rola funkcjonowania kodeksów postępowań, okreslenie procedur certyfikacji podmiotów dokonujących operacji przetwarzania przez podmioty certyfikujące, które uzyskały uprzdnio akredytację w trybie art. 43 rozporządzenia.
  • RODO jako katalizator outsourcingu
    • zasady oceny stanu bezpieczeństwa usług świadczonych w ramach outsourcingu,
    • zakres i treść umowy z procesorem, obowiązki procesora,
  • Transgraniczne przetwarzanie danych i powierzenie
    • chmura obliczeniowa a RODO,
    • RODO w międzynarodowych organizacjach,

DZIEŃ 2 Realizacja wybranych procesów

  • Inwentaryzacja aktywów
    • kategorie aktywów informacyjnych,
    • komonenty infrastruktury ICT,
  • Grupowanie i klasyfikacja danych
    • grupy danych osobowych,
    • metodyka klasyfikacji danych,
  • Analiza zbiorów danych
    • opis poszczególnych rekordów w bazie danych,
  • Analiza przepływu danych
    • podejście do modelowania danych,
    • metodyka mapowania przepływu danych,
  • Ocena skutków naruszenia prywatności danych DPiA
    • metodyka DPiA
  • Ocena ryzyka
    • definiowanie procesu zarządzania ryzykiem,
    • identyfikacja ryzyka (przykładowy katalog zagrożeń),
    • identyfikacja podatności i zabezpieczeń (przykładowy katalog),
    • analiza ryzyka,
    • ewaluacja ryzyka,
    • plany postępowania z ryzykiem,
  • Zarządzanie incydentami
    • zaprojektowanie modelowej procedury zarządzania incydentami, w tym powiadamiania o naruszeniu prywatności danych

ADRESACI SZKOLENIA

  • ABI / Inspektorzy Ochrony Danych, prawnicy chcący pozyskać wiedzę o aspektach organizacyjno– technicznych związanych z ochroną danych osobowych
  • Osoby odpowiedzialne za przeprowadzenie analizy ryzyka lub oceny skutków naruszenia prywatności danych
  • Oficerowie bezpieczeństwa odpowiedzialni za wdrażanie polityk bezpieczeństwa informacji
  • Pełnomocnicy ds. systemów zarządzania bezpieczeństwem informacji wg. ISO 27001 / Krajowych Ram Interoperacyjności

Formularz zgłoszeniowy

* - pola wymagane