Tak, po zakończonym szkoleniu każdy uczestnik otrzymuje imienny certyfikat potwierdzający udział w szkoleniu.

Tak, nawet jest to zalecane. 😊 Prowadząc szkolenia, nie chcemy, żeby był to wykład ex cathedra. Zależy nam na warsztatowej metodzie, aby jak najlepiej przygotować naszych kursantów do wyzwań, jakie stawia przed nimi ochrona danych osobowych.

Ze względu na formę warsztatową naszych kursów staramy się, aby grupa nie była liczniejsza niż 12 osób.

W przypadku, gdy szkolenie finansowane jest co najmniej w 70% ze środków publicznych, stanowi to podstawę do zwolnienia z podatku VAT. W takim przypadku w formularzu zgłoszeniowym w trzecim kroku (Faktura) prosimy o zaznaczenie opcji: "Oświadczam, że szkolenie finansowane jest co najmniej w 70% ze środków publicznych. W związku z tym proszę o zwolnienie z podatku VAT".

Zgodnie z regulaminem naszych szkoleń wybraną usługę należy opłacić najpóźniej na dwa dni przed szkoleniem.

Tak, w takim przypadku prosimy o informację w czwartym kroku naszego formularza, w polu "Dodatkowe uwagi".

Nie jest to konieczne. Szkolenia online prowadzimy poprzez aplikację Microsoft Teams, umożliwiającą również przesłanie przez nas linku, który można otworzyć za pomocą przeglądarki internetowej.

Nie jest to konieczne, jednak aby usprawnić proces zadawania pytań oraz wymiany doświadczeń, rekomendujemy używanie słuchawek z mikrofonem.

Tak, w takim przypadku prosimy o informację w czwartym kroku naszego formularza, w polu "Dodatkowe uwagi".

W większości przypadków szkolenie potwierdzamy na tydzień przed planowaną datą rozpoczęcia. Chcemy mieć pewność, że uczestnicy naszych szkoleń będą mieli możliwość wcześniejszego zapoznania się z materiałami.

Gdy tylko zakończy się szkolenie, książki zostaną przesłane kurierem na adres podany w zgłoszeniu.

Zdajemy sobie sprawę, że pewne dokumenty mogą czasem przysparzać problemów, dlatego z chęcią pomożemy w wypełnieniu dokumentów. W takim przypadku prosimy o kontakt z naszym koordynatorem ds. szkoleń.

Nasz koordynator ds. szkoleń dostępny jest pod adresem e-mail: [email protected].

Zapraszamy również do kontaktu telefonicznego pod numerem: 22 740 99 99 lub +48 690 004 852

IOD musi powołać m.in. organizacja, której główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub której główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych czy też danych osobowych dotyczących wyroków skazujących i naruszeń prawa. Co oznacza „regularne i systematyczne monitorowanie", co to jest „duża skala" lub co oznacza „główna działalność", a nawet co to są „dane dotyczące naruszeń prawa", wyjaśnimy na szkoleniu.

Uczestnicy szkolenia otrzymają arkusz audytowy, w którym będą punktowane wszystkie aspekty do zbadania przez audytora w trakcie audytu. Arkusz audytowy zostanie omówiony krok po kroku, przewidziane są również ćwiczenia praktycznie z wyszukiwania niezgodności w konkretnych zapisach czy stosowanych przy przetwarzaniu danych praktykach. Oprócz tego uczestnicy otrzymają gotowy szablon raportu z audytu. Wystarczy przekleić ustalenia z arkusza audytowego do szablonu raportu z audytu i raport gotowy!

Często (przynajmniej raz w roku – ćwiczenie czyni mistrza) oraz w związku z tym, czym zajmują się na co dzień. Pracownik obsługuje infolinię? Nie trzeba mu zatem szczegółowo wyjaśniać, jak przebiega kontrola UODO, a lepiej wyjaśnić, żeby sam nie podawał danych klienta przez telefon, z prośbą o ich potwierdzenie. Nastąpił incydent, o którym informacja zbyt późno dotarła do IOD, bo pracownik nie zorientował się w porę, że miał on miejsce? Najlepiej szybko rozesłać do wszystkich pracowników przykłady naruszeń w celu uświadomienia / przypomnienia.

Absolutnie nie. Odpowiedzialność finansową za naruszenie przepisów dotyczących przetwarzania danych ponosi administrator, względnie procesor. IOD odpowiada wyłącznie za niedopełnienie swoich obowiązków, jasno wskazanych w art. 39 RODO. O tych obowiązkach będziemy szczegółowo opowiadać na szkoleniu.

IOD jest wyznaczany na podstawie swoich kwalifikacji zawodowych. RODO jako istotne przykłady wskazuje wiedzę fachową na temat praktyk i prawa w dziedzinie ochrony danych. Dodatkowo istotne może być zrozumienie przepływów danych w organizacji, wiedza na temat zabezpieczeń i cyberbezpieczeństwa, znajomość kontekstu biznesowego i prawnego danej organizacji. Kurs ma na celu zbudowanie tych kompetencji.

Nie, na kurs przychodzą osoby zaczynające swoją przygodę z ochrony danych, jak i osoby z większym doświadczeniem. Prowadzący przekazują wiedzę w sposób przystępny, z uwzględnieniem poziomu grupy.

Nie, piastowanie takiej funkcji wiąże się z podejmowanie decyzji co do celów i sposobów przetwarzania. Taka sytuacja prowadzi do konfliktu interesu.

Co do zasady – tak. Ten obowiązek i sposób jego wykonania wynika z art. 13 i 14 RODO. Są jednak pewne sytuacje, w których obowiązek ten jest wyłączony, tj. dzieje się tak wówczas i w takim zakresie, w jakim osoba ta dysponuje już tymi informacjami (oznacza to, że jeśli np. pojawia się nowy cel przetwarzania, to musimy o tym nowym celu poinformować osobę, której dane dotyczą, nie ma jednak konieczności ponownego przekazywania całej klauzuli informacyjnej, jeśli została ona przekazana już wcześniej – wystarczy jedynie odesłanie do jej treści w pozostałym, niezmieniającym się zakresie). Dodatkowo – w przypadku, gdy dane pozyskiwane są z innego źródła niż od osoby, której dane dotyczą, obowiązek nie musi być spełniany w sytuacjach, o których mowa w art. 14 ust. 5 RODO, tj.:

• •udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;

• •pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;

• •dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Każdorazowo jednak przed ewentualną rezygnacją ze spełniania obowiązku informacyjnego należy dokonać analizy konkretnego przypadku, czy mieści się on w którejś z powyższych sytuacji. Dla celów rozliczalności administrator powinien udokumentować taką analizę, by w razie potrzeby móc wykazać i uzasadnić przed organem nadzorczym przyjęte przez siebie stanowisko. Do rezygnacji ze spełniania obowiązku informacyjnego należy podchodzić bardzo ostrożnie, gdyż i na tym tle zapadła decyzja o ukaraniu administratora (decyzja UODO ZSPR.421.3.2018).

Transfer danych do USA jest dużo łatwiejszy od czasu, kiedy Komisja Europejska wydała względem tego kraju tzw. decyzję o adekwatności. Oznacza to, że do wszystkich firm wpisanych na listę https://www.dataprivacyframework.gov/list można transferować dane, przy czym należy zwrócić uwagę, czy zamierzamy transferować "HR-data" czy "Non-HR-data", ponieważ w przypadku niektórych firm możemy na tej podstawie transferować jedynie "Non-HR-data". Jeśli danej firmy z USA w ogóle nie ma liście, transfer danych do takiej firmy będzie wymagał najczęściej zawarcia tzw. standardowych klauzul umownych, tj. dodatkowej umowy transferowej o z góry narzuconej treści.

Nie. Przed przekazaniem danych jakiemukolwiek podmiotowi zewnętrznemu (uwaga: samo udzielenie dostępu do danych to również ich przekazanie) należy ustalić rolę tego podmiotu – czy będzie on odrębnym, samodzielnym administratorem danych osobowych (sam ustala cele i sposoby przetwarzania), czy też wykonuje on pewne czynności na danych tylko na nasze polecenie, nie będąc jednak decyzyjnym w tym zakresie. W praktyce należy przed każdym przekazaniem danych ustalić, z którą sytuacją mamy do czynienia. Jeśli przekazujemy dane do odrębnego administratora, musimy to zrobić na jednej z podstaw wskazanych art. 6 lub 9 RODO, jeśli do podmiotu przetwarzającego – musimy jedynie zawrzeć z nim umowę powierzenia, o której mowa w art. 28 RODO. Uwaga: bywają też inne konfiguracje – czasem to my jesteśmy podmiotem przetwarzającym dla innej firmy. Najważniejsze, żeby przed każdym nowym przepływem danych pomiędzy dwoma odrębnymi podmiotami najpierw ustalić, jakie są ich role. Jasność w tym przedmiocie rozwiązuje wiele problemów w sytuacjach krytycznych, takich jak naruszenie ochrony danych czy skarga osoby, której dane dotyczą.

Tak, wymóg ten wynika bezpośrednio z art. 28 ust. 1 RODO, zgodnie z którym „jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą". Oznacza to, że zawarcie umowy powierzenia powinno być zawsze poprzedzone taką weryfikacją, np. za pomocą ankiety bezpieczeństwa, w której podmiot przetwarzający wskazuje, jakie środki stosuje / zastosuje, by ochronić dane osobowe. Taka ankieta pozwoli administratorowi na wydanie oceny co do tego, czy uważa te środki za wystarczające, czy może uzna za niezbędne podjęcie przez podmiot przetwarzający dodatkowych działań, by zapewnić danym odpowiednie bezpieczeństwo. Również Prezes Urzędu Ochrony Danych Osobowych zwraca uwagę na tę kwestię, np. w decyzji UODO 5131.31.2021, w której administrator został ukarany m.in. za fakt, że nie dokonał weryfikacji podmiotu przetwarzającego. Co równie ważne – taka weryfikacja powinna być ponawiana także w czasie trwania współpracy.

W czasie kursu zasada ta jest omawiana na przykładzie aplikacji mobilnej, ale dotyczy wszystkich operacji przetwarzania i procesów, które zachodzą w organizacji.

Tak, pracodawca ma prawo żądać od Kandydata okazania do wglądu świadectw pracy z poprzednich miejsc zatrudnienia. Zgodnie z art. 22(1) par. 1 KP Pracodawca żąda od Kandydata w szczególności danych osobowych obejmujących przebieg dotychczasowego zatrudnienia, zaś par. 3 przedmiotowego artykułu stanowi, że „Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 3, w zakresie niezbędnym do ich potwierdzenia."

Analiza ryzyka to systematyczny proces oceny potencjalnych zagrożeń, które mogą negatywnie wpłynąć na realizację celów organizacji. Dotyczy to wszelkich aspektów działalności – od finansowych po operacyjne, techniczne i organizacyjne. W kontekście ochrony danych osobowych analiza ryzyka obejmuje między innymi:

• •identyfikację danych osobowych: określenie, jakie dane osobowe są przetwarzane, gdzie są przechowywane, i jak są wykorzystywane;

• •ocenę zagrożeń i podatności: ustalenie, jakie zagrożenia mogą wystąpić dla danych osobowych i jakie słabe punkty mogą być wykorzystane;

• •ocenę wpływu: określenie potencjalnych skutków dla osób, których dane dotyczą, gdyby doszło do naruszenia ochrony danych;

• •analizę prawdopodobieństwa: szacowanie szansy na wystąpienie każdego zidentyfikowanego ryzyka;

• •określenie środków zaradczych: planowanie działań mających na celu zmniejszenie prawdopodobieństwa wystąpienia zagrożenia oraz ograniczenie szkód w przypadku naruszenia.

• •Zrozumienie technologii: IOD powinien mieć ogólne zrozumienie technologii informatycznych i systemów informatycznych, które są wykorzystywane w organizacji, w tym wiedzę na temat sieci komputerowych, baz danych, systemów operacyjnych i infrastruktury chmurowej.

• •Umiejętność zarządzania incydentami: IOD powinien być w stanie efektywnie zarządzać incydentami bezpieczeństwa danych, w tym reagować na naruszenia danych, prowadzić dochodzenia oraz podejmować działania naprawcze.

• •Świadomość zagrożeń i trendów: IOD powinien być świadomy aktualnych zagrożeń dla bezpieczeństwa danych oraz trendów w dziedzinie cyberbezpieczeństwa i ochrony danych osobowych, aby być w stanie podejmować odpowiednie działania prewencyjne.

• •Umiejętność audytowania: IOD powinien posiadać umiejętność przeprowadzania audytów bezpieczeństwa danych, w tym ocenę zgodności z wymaganiami prawno-ustrojowymi oraz skuteczność stosowanych środków ochrony danych.

Nie, zgodnie z art. 11 a ustawy o ochronie danych osobowych podmiot, który wyznaczył inspektora, może, ale nie musi, wyznaczyć osobę zastępującą inspektora w czasie jego nieobecności. Należy przy tym pamiętać, że każdy podmiot, który wyznaczył inspektora ma obowiązek udzielać mu wsparcia w wypełnianiu przez niego zadań, w tym zapewniać mu zasoby niezbędne do ich wykonywania. W zależności od rozmiaru i struktury organizacji przydatne może być powołanie nie tylko zastępcy na czas nieobecności, ale całego zespołu inspektora ochrony danych, w skład którego wchodzić może osoba zastępująca inspektora w czasie jego nieobecności. Proszę także pamiętać, że decydując się na wyznaczenie zastępcy zobowiązani jesteśmy zawiadomić o jego wyznaczeniu Prezesa UODO.

Rekomendujemy regularnie, czyli co najmniej raz w roku, przeprowadzać szkolenia dla wszystkich osób, które w ramach organizacji uczestniczą w przetwarzaniu danych osobowych. Warto przy tym zapewnić sobie możliwość wykazania, że dana osoba uczestniczyła w przeprowadzonym szkoleniu (np. przez pobranie listy uczestników szkolenia online) oraz zapewnić ewaluację szkolenia (np. w formie testów na końcu szkolenia).

Przeprowadzenie analizy ryzyka w kontekście RODO wymaga zrozumienia procesów przetwarzania danych osobowych w danej organizacji i identyfikacji możliwych zagrożeń dla ich bezpieczeństwa. Proces rozpoczyna się od mapowania zasobów wykorzystywanych do przetwarzania danych osobowych oraz procesów biznesowych, w których biorą udział. Należy następnie zidentyfikować ryzyka wewnętrzne i zewnętrzne, ocenić ich prawdopodobieństwo oraz potencjalny wpływ. Organizacja musi określić, czy ryzyko jest na tyle niskie, że można je zaakceptować, czy też wymaga podjęcia działań zaradczych. W sytuacji wysokiego ryzyka konieczne jest podjęcie działań zmierzających do jego zredukowania. Należy opracować plan postępowania z ryzykiem, wdrożyć wymagane środki bezpieczeństwa i udokumentować podjęte kroki. Na zakończenie procesu ważne jest regularne monitorowanie i aktualizowanie analizy ryzyka, aby dostosować się do ewentualnych nowych zagrożeń lub zmian w procesach przetwarzania danych.

Analiza ryzyka powinna być przeprowadzana regularnie, niemniej nie ma konkretnego harmonogramu, który określa, jak często należy przeprowadzać analizy ryzyka, ponieważ będzie to zależało od specyfiki organizacji, rodzajów danych, które przetwarza i sektora, w którym działa.

Dobre praktyki sugerują, że analizy ryzyka powinny być przeprowadzane co najmniej raz do roku lub częściej w zależności od specyfiki działalności. Ważne jest przy tym, aby przeprowadzać analizę ryzyka również wtedy, gdy następują istotne zmiany w organizacji, takie jak wprowadzenie nowych systemów, zmiana procesów przetwarzania danych, wprowadzenie nowych produktów lub usług, które mogą mieć wpływ na dane osobowe, lub w przypadku wystąpienia incydentu związanego z ochroną danych.

Wszystko to powinno być częścią ciągłego procesu zarządzania ryzykiem w organizacji.

Nie jest to z góry wykluczone, choć może rodzić konflikt interesów, do którego administrator danych zobowiązany jest nie dopuścić. Zazwyczaj do głównych zadań administratora systemów informatycznych należy administrowanie serwerami, w ramach których przetwarzane są dane osobowe, wdrożenie odpowiednich zabezpieczeń systemów informatycznych czy identyfikacja zagrożeń. W związku z tym osoba odpowiadająca za bieżące przetwarzanie danych osobowych oraz za bezpieczeństwo tych danych w systemach informatycznych miałaby jednocześnie sprawować nadzór nad zgodnością z prawem wykonywanych przez siebie działań. Taka sytuacja może prowadzić do faktycznego braku nadzoru nad zgodnością przetwarzania danych z przepisami prawa i wyraźnego konfliktu interesów. Zdaniem UODO w tego typu sytuacjach ocena, czy w przypadku konkretnej osoby i wykonywanych przez nią zadań nie występuje wspomniany powyżej konflikt interesów, powinna być zawsze dokonywana indywidualnie, z uwzględnieniem konkretnych okoliczności.

RODO mówi wiele o cyberbezpieczeństwie, ponieważ ma na celu ochronę danych osobowych oraz zapewnienie, że są one przetwarzane w sposób bezpieczny. Kilka kluczowych punktów dotyczących cyberbezpieczeństwa w kontekście RODO to:

• •Odpowiednie środki techniczne i organizacyjne: RODO wymaga, aby podmioty przetwarzające dane osobowe zastosowały odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych.

• •Ocena ryzyka: Administrator danych musi przeprowadzić ocenę ryzyka związanego z przetwarzaniem danych osobowych, obejmującą potencjalne zagrożenia dla bezpieczeństwa danych i sposoby ich minimalizacji.

• •Przetwarzanie przez podmioty zewnętrzne: RODO wymaga monitorowania podmiotów przetwarzających dane osobowe, takich jak dostawcy usług chmurowych, aby zapewnić, że spełniają one odpowiednie wymogi bezpieczeństwa danych.