ODO24 Logo
ODO24 Logo
ODO24 Logo

Praktyczny kurs dla IOD (32h)

Kompleksowo przygotujemy Cię do pełnienia funkcji inspektora ochrony danych osobowych (IOD)

Praktyczny kurs IOD ma zapewnić Ci gruntowną wiedzę i dostarczyć praktyczne rozwiązania, dzięki którym będziesz móc skutecznie sprawować funkcję Inspektora Ochrony Danych. Plan zajęć zaprojektowaliśmy tak, aby każdego dnia skupiać Twoją uwagę wokół innego zagadnienia.

zarejestruj się
Praktyczny kurs dla IOD - uczestnik szkolenia

Jaką wiedzę zdobędziesz podczas kursu?

CheckJak krok po kroku możesz zbudować system ochrony danych osobowych?
CheckJak skutecznie i rzetelnie wywiązać się z powierzonych Ci obowiązków?
CheckJak wdrożyć i stosować RODO, aby przepisy o ochronie danych osobowych przyczyniły się do rozwoju Twojej organizacji?
CheckJak przeprowadzić audyt zgodności z przepisami o ochronie danych osobowych?
CheckJakie polityki ochrony danych osobowych powinna zastosować Twoja organizacja?
CheckJak zabezpieczyć system informatyczny?
CheckJak szacować ryzyko i ocenić skutki ochrony danych?
Nowości 2025
CheckCzym jest AI Act i kiedy ma zastosowanie?
CheckJak łączą się przepisy RODO i AI Act?
CheckJak zadbać o jakość i bezpieczeństwo systemów AI?
CheckJakie kary grożą za nieprzestrzeganie AI Act?
CheckJak w praktyce wdrażać AI, dbając o ochronę danych – studia przypadków z różnych branż?
CheckJak bezpiecznie przekazywać dane współpracownikom i zewnętrznym firmom?
CheckJak, poprzez warsztaty i ćwiczenia, przećwiczyć ocenę zgodności, analizę ryzyka w realistycznych scenariuszach?

Jaki jest szczegółowy harmonogram szkolenia IOD?

Dzień 1

RODO od podstaw

Cel

Pierwszy dzień kursu stanowi dynamiczne wprowadzenie do świata ochrony danych osobowych.

Tego dnia nauczą się Państwo "widzieć" dane osobowe w swojej organizacji, poznają zasady ich przetwarzania, dowiedzą się w jaki sposób organizować ich skuteczną ochronę oraz jakie procedury należy wdrożyć, aby móc wykazać przestrzeganie RODO.

Moduł 1
09:00 - 11:00
I. Zgodność z RODO - co to oznacza?
II. Wyjaśnienie najważniejszych pojęć m.in.
dane osoboweprzetwarzanieprofilowaniepseudominizacjaadministratorpodmiot przetwarzającyodbiorca danychstrona trzecia
III. Zasady przetwarzania danych osobowych i sposoby ich realizacji:
zgodność z prawem i przejrzystośćograniczenie celuminimalizacja danychprawidłowośćograniczenie przechowywaniaintegralność i poufnośćrozliczalność
Moduł 2
11:10 - 13:00
I. Status inspektora ochrony danych:
obligatoryjne wyznaczenie inspektora ochrony danych (IOD)pozycja IODzadania IODkonflikt interesów – jakich zadań nie powinien wykonywać IODodpowiedzialność IOD
II. Prawa osób, których dane dotyczą i sposoby ich realizacji:
prawo do uzyskania informacji (obowiązek informacyjny)prawo dostępu do danychprawo do sprostowania danychprawo do usunięcia danych („prawo do bycia zapomnianym")prawo do ograniczenia przetwarzaniaprawo do przenoszenia danychprawo do sprzeciwu
Moduł 3
13:30 - 15:30
I. Obowiązki administratora danych:
uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danychstatus i obowiązki współadministratorów danychprzetwarzanie danych z upoważnienia administratora lub podmiotu przetwarzającegorejestrowanie czynności przetwarzaniabezpieczeństwo przetwarzaniagłaszanie naruszeń ochrony danych do organu nadzorczego, w tym omówienie formularza powiadomienie Prezesa UODOzawiadamianie osób, których dane dotyczą o naruszeniachocena skutków dla ochrony danych (DPIA)
Moduł 4
15:45 - 17:15
I. Obowiązki podmiotu przetwarzającego:
II. Przekazywanie danych do państw trzecich i organizacji międzynarodowych
III. Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO)
status Prezesa UODOobowiązki Prezesa UODOkontrola i postępowanie w sprawie naruszenia ochrony danychuprawnienia naprawcze Prezesa UODOcertyfikacja i akredytacjaadministracyjne kary pieniężne, w tym kryteria ustalenia wysokości kar
IV. Konsultacje
Pobierz programWybierz termin
Dzień 2

IOD w praktyce

Dzień 3

DPIA i analiza ryzyka

Dzień 4

Dostosowanie IT

Opinie uczestników

Google

Tomasz G.

Google

2 lata temu

starstarstarstarstar

Chciałem podziękować za wspaniałe szkolenie, które odbyłem w Waszej firmie. Materiały były bardzo dobrze przygotowane, a prowadzący wykazał się ogromną wiedzą i doświadczeniem. Polecam wszystkim!

Google

Aleksandra P.

Google

2 lata temu

starstarstarstarstar

Szkolenie na bardzo wysokim poziomie, serdecznie polecam!!! Materiały szkoleniowe bardzo przydatne w codziennej pracy. Prowadzący z dużą wiedzą i doświadczeniem.

Google

Sławomir M.

Google

2 lata temu

starstarstarstarstar

Pani Mecenas, To był dla mnie zaszczyt, by móc uczestniczyć w tym szkoleniu. Bardzo dziękuję za profesjonalne podejście i cenne wskazówki praktyczne.

Google

Wacław T.

Google

3 lata temu

starstarstarstarstar

Kurs IOD organizowany przez ODO24 spełnił wszystkie moje oczekiwania. Bardzo praktyczne podejście, konkretne przykłady i profesjonalna obsługa. Gorąco polecam!

Google

Maria K.

Google

1 rok temu

starstarstarstarstar

Doskonała organizacja i bardzo merytoryczne treści. Szkolenie RODO było prowadzone w sposób zrozumiały nawet dla osób bez wcześniejszego doświadczenia w tej dziedzinie. Zdecydowanie polecam!

Google

Piotr N.

Google

10 miesięcy temu

starstarstarstarstar

Bardzo dobre szkolenie, dużo praktycznych przykładów. Trochę za mało czasu na pytania, ale ogólnie jestem zadowolony. Materiały pomocne w codziennej pracy.

Google

Anna W.

Google

8 miesięcy temu

starstarstarstarstar

Profesjonalne podejście, świetna atmosfera podczas szkolenia. Prowadzący odpowiadał wyczerpująco na wszystkie pytania. Bardzo polecam firmę ODO24!

Google

Jan K.

Google

1 rok temu

starstarstarstarstar

Najlepsze szkolenie z ochrony danych osobowych, w jakim uczestniczyłem. Konkretne przykłady z życia wzięte, nie tylko sucha teoria. Polecam każdemu, kto pracuje z RODO.

Google

Katarzyna J.

Google

6 miesięcy temu

starstarstarstarstar

Szkolenie spełniło moje oczekiwania. Dużo praktycznej wiedzy, dobre materiały. Jedyny minus to zbyt duża grupa, przez co mniej czasu na indywidualne konsultacje.

Google

Michał L.

Google

4 miesiące temu

starstarstarstarstar

Świetne szkolenie! Bardzo kompetentny prowadzący z ogromnym doświadczeniem. Wszystko wyjaśnione w sposób jasny i zrozumiały. Materiały szkoleniowe są bardzo przydatne.

Google

Joanna D.

Google

3 miesiące temu

starstarstarstarstar

Polecam szkolenia ODO24 wszystkim, którzy szukają rzetelnej wiedzy z zakresu RODO. Profesjonalna obsługa, doskonała organizacja i bardzo dobre zaplecze dydaktyczne.

Google

Andrzej S.

Google

2 miesiące temu

starstarstarstarstar

Dobre szkolenie, dużo przydatnych informacji. Czasami tempo było trochę za szybkie, ale prowadzący chętnie wracał do omówionych wcześniej zagadnień na prośbę uczestników.

Największą wartość stanowi zaufanie naszych klientów

Maciej Kaczmarski

Dołącz do grona praktyków IOD

W ciągu 10 lat przeszkoliliśmy ponad 6500 absolwentów w Polsce. W naszych kursach udział biorą zarówno liderzy, jak i specjaliści. Poznaj ich opinie i dowiedz się, dlaczego szkolenie ODO 24 jest właśnie dla Ciebie.

Uczestnicy szkolenia ODO24 - praktycy IOD

Co otrzymasz w ramach certyfikowanego kursu?

Certyfikat inspektora ochrony danych

Certyfikat inspektora
ochrony danych

Certyfikat inspektora
ochrony danych
Wzory dokumentów RODO icon

Wzory 31
dokumentów RODO

Wzory 31
dokumentów RODO
Pomoc merytoryczna po szkoleniu

Pomoc merytoryczna
po szkoleniu

Pomoc merytoryczna
po szkoleniu
Poradniki RODO i skrypty prezentacji

Poradniki RODO
i skrypty prezentacji

Poradniki RODO
i skrypty prezentacji
Baza webinarów icon

Dostęp do bazy
webinarów

Dostęp do bazy
webinarów
Dr RODO aplikacja icon

90 dniowy dostęp do
aplikacji Dr RODO

90 dniowy dostęp do
aplikacji Dr RODO
Ikona prezent - zniżki na szkolenia

Aby zdobyć najlepszą cenę, skorzystaj z naszych zniżek:

Jeśli wybierzesz materiały w wersji elektronicznej, oszczędzisz 200 zł.

Jeśli skorzystasz z promocji First minute, otrzymasz 200 zł opustu.

Jeśli jesteś uczestnikiem naszych poprzednich szkoleń, otrzymasz 25% opustu.

Każdy kolejny uczestnik z tej samej organizacji otrzyma 10% opustu.

Poznaj trenerów i wykładowców ODO 24

Trenerzy akredytowanego kursu IOD to praktycy z wieloletnim doświadczeniem, na co dzień pracujący przy projektach dla największych marek. Swoją wiedzą dzielą się w dziale wiedza, który jest kompleksowym zestawieniem artykułów, przewodników, poradników i narzędzi ze świata RODO.

Tomasz Ochocki

Tomasz Ochocki

Wiceprezes Zarządu

Katarzyna Szczypińska

Katarzyna
Szczypińska

Ekspert ds. ochrony danych

Arkadiusz Sadkowski

Arkadiusz Sadkowski

Specjalista ds. bezpieczeństwa IT

Przemysław Stasiak

Przemysław Stasiak

Specjalista ds. bezpieczeństwa IT

Radosław Radwan

Radosław Radwan

Specjalista ds. ochrony danych

Marta Bogusz

Marta Bogusz

Specjalista ds. ochrony danych

Magdalena Szymczak-Jas

Magdalena
Szymczak-Jas

Specjalista ds. ochrony danych

Karolina Kukielska

Karolina Kukielska

Specjalista ds. ochrony danych

Praktyczny kurs IOD

Kompleksowe przygotowanie do pełnienia funkcji
inspektora ochrony danych (IOD)

Co mówią nasi klienci o usługach

Marcin Wieczorek

Wojas

Branża produkcyjna

foto-lizard-media.jpg

Jestem pod dużym wrażeniem wysokiego poziomu merytorycznego kadry szkoleniowców"

W dniach 13 - 17 marca uczestniczyłem w "Kursie dla Administratorów Bezpieczeństwa Informacji" zorganizowanym przez firmę ODO 24 sp. z o.o. Jestem pod dużym wrażeniem wysokiego poziomu merytorycznego kadry szkoleniowców oraz rozbudowanego programu. Praca na stanowisku ABI wymaga znajomości nie tylko przepisów prawa ale również zagadnień informatycznych, co uwzględniło ODO 24. Godnym odnotowania jest program nauczania, który stopniowo wprowadza w coraz to bardziej zaawansowane niuanse ochrony danych osobowych. Zaczynając od podstaw prawnych a kończąc na praktycznych aspektach audytowania i pracy na dokumentach w firmie. Komplet materiałów, edytowalnych dokumentów i publikacji jakie otrzymałem ułatwią mi codzienną pracę na stanowisku ABI. Z całą pewnością mogę polecić firmę ODO 24 jako rzetelnego partnera oferującego usługi szkoleniowe na wysokim poziomie.

Zakres usług:
checkKurs IOD

Magdalena Węglewska

Mazda

Branża motoryzacyjna

foto-mazda.jpg

Z pełnym przekonaniem możemy polecić ODO 24 jako profesjonalnego i rzetelnego partnera"

Od wielu lat konsekwentnie przykładamy dużą wagę do ochrony danych osobowych naszych klientów jak i pracowników. Braliśmy czynny udział w tworzeniu "Kodeksu dobrych praktyk w zakresie ochrony danych osobowych klientów i potencjalnych klientów”, opracowanego wspólnie przez GIODO i Polski Związek Przemysłu Motoryzacyjnego. Z uwagi na złożoność i zmienność przepisów w zakresie ochrony danych osobowych, jak również dynamiczny rozwój Mazdy w Polsce i coraz większą liczbę danych, które przetwarzamy, zdecydowaliśmy się przekazać funkcję ABI wyspecjalizowanej w tym zakresie firmie. Na decyzję skorzystania z usług ODO 24 największy wpływ miały doświadczenie i kompetencja zespołu ekspertów, kompleksowość oferty oraz elastyczność jej dostosowania do naszej organizacji. Po roku współpracy możemy polecić ODO 24 jako profesjonalnego i rzetelnego partnera.

Tomasz Siwicki

Gefco

Branża motoryzacyjna

foto-gefco.jpg

Polecam Państwu firmę ODO 24, jako profesjonalnego partnera"

Od kilku lat w zakresie ochrony danych osobowych współpracujemy z firmą ODO 24. Profesjonalny zespół, który sprawnie pomógł nam również dostosować się do wymagań ,,RODO’’. Korzystamy nie tylko z wiedzy ekspertów, ale też z profesjonalnie przygotowanych e-szkoleń, dzięki temu udało nam się przeszkolić w bardzo krótkim czasie kilkuset pracowników. Zdecydowanie polecam Państwu firmę ODO 24, jako profesjonalnego partnera, dostarczającego usługi na najwyższym poziomie.

Agnieszka Karłowicz

Spiżarnia

Branża FMCG

foto-spizarnia.jpg

Praktyczne podejście, stała dostępność doradcza, fajne relacje"

Z ODO24 współpracujemy od ponad roku. To dla nas rok spokojnego oddechu i poczucia bezpieczeństwa: przynajmniej w kwestii ochrony danych osobowych :-) Ludzie z ODO to profesjonaliści mówiący zrozumiałym językiem o niezrozumiałych dla zwykłego śmiertelnika sprawach. Rozumieją nie tylko swoją profesją, ale co dla nas bardzo ważne, biznes i jego wymagania. Praktyczne podejście, stała dostępność doradcza, fajne relacje - wszystko to sprawia, że mogę polecić tę Firmę wszystkim, którzy chcą pracować i spać spokojnie.

Zobacz wszystkie referencje
PIOD Icon

Praktyczny kurs IOD - pytania i odpowiedzi

Jakie materiały otrzymam przed szkoleniem, a jakie po?

Zależy nam, aby nasi kursanci mogli zapoznać się z materiałami przed szkoleniem, dlatego przed jego realizacją udostępniamy prezentacje szkoleniowe oraz kompletną dokumentację RODO, zgodną z zakupionym szkoleniem.

Po szkoleniu chcemy być wsparciem dla naszych uczestników, dlatego też przesyłamy dostęp do porad prawnych, aplikacji ODO Nawigator, a w przypadku szkoleń "DPIA i analiza ryzyka" oraz "Praktyczny kurs IOD" – 90-dniowy dostęp do aplikacji Dr RODO i dodatkowo: komplet poradników, certyfikat potwierdzający udział w szkoleniu oraz polecane artykuły, które pomogą stawiać kolejne kroki w ochronie danych osobowych.

Czy po szkoleniu otrzymam certyfikat?

Tak, po zakończonym szkoleniu każdy uczestnik otrzymuje imienny certyfikat potwierdzający udział w szkoleniu.

Czy podczas szkolenia można zadawać pytania?

Tak, nawet jest to zalecane. 😊 Prowadząc szkolenia, nie chcemy, żeby był to wykład ex cathedra. Zależy nam na warsztatowej metodzie, aby jak najlepiej przygotować naszych kursantów do wyzwań, jakie stawia przed nimi ochrona danych osobowych.

Jak liczne są grupy uczestników?

Ze względu na formę warsztatową naszych kursów staramy się, aby grupa nie była liczniejsza niż 12 osób.

Jesteśmy instytucją publiczną, czy możemy być zwolnieni z VAT-u?

W przypadku, gdy szkolenie finansowane jest co najmniej w 70% ze środków publicznych, stanowi to podstawę do zwolnienia z podatku VAT. W takim przypadku w formularzu zgłoszeniowym w trzecim kroku (Faktura) prosimy o zaznaczenie opcji: "Oświadczam, że szkolenie finansowane jest co najmniej w 70% ze środków publicznych. W związku z tym proszę o zwolnienie z podatku VAT".

Jaki jest termin płatności za szkolenie?

Zgodnie z regulaminem naszych szkoleń wybraną usługę należy opłacić najpóźniej na dwa dni przed szkoleniem.

Jesteśmy instytucją publiczną, czy możemy zapłacić po szkoleniu?

Tak, w takim przypadku prosimy o informację w czwartym kroku naszego formularza, w polu "Dodatkowe uwagi".

Czy jako uczestnik szkolenia online potrzebuję pobrać jakąś aplikację?

Nie jest to konieczne. Szkolenia online prowadzimy poprzez aplikację Microsoft Teams, umożliwiającą również przesłanie przez nas linku, który można otworzyć za pomocą przeglądarki internetowej.

Czy jako uczestnik szkolenia online potrzebuję mieć dostęp do kamery i mikrofonu?

Nie jest to konieczne, jednak aby usprawnić proces zadawania pytań oraz wymiany doświadczeń, rekomendujemy używanie słuchawek z mikrofonem.

Czy na fakturze można uwzględnić również odbiorcę usługi?

Tak, w takim przypadku prosimy o informację w czwartym kroku naszego formularza, w polu "Dodatkowe uwagi".

Kiedy otrzymam potwierdzenie terminu szkolenia?

W większości przypadków szkolenie potwierdzamy na tydzień przed planowaną datą rozpoczęcia. Chcemy mieć pewność, że uczestnicy naszych szkoleń będą mieli możliwość wcześniejszego zapoznania się z materiałami.

Kiedy otrzymam gratisowe książki?

Gdy tylko zakończy się szkolenie, książki zostaną przesłane kurierem na adres podany w zgłoszeniu.

Chcę skorzystać z dofinansowania na szkolenie z KFS czy pomagacie w tym?

Zdajemy sobie sprawę, że pewne dokumenty mogą czasem przysparzać problemów, dlatego z chęcią pomożemy w wypełnieniu dokumentów. W takim przypadku prosimy o kontakt z naszym koordynatorem ds. szkoleń.

Z kim i jak można się kontaktować w sprawach organizacyjnych?

Nasz koordynator ds. szkoleń dostępny jest pod adresem e-mail: [email protected].

Zapraszamy również do kontaktu telefonicznego pod numerem: 22 740 99 99 lub +48 690 004 852

Czy firma, w której pracuję, musi mieć powołanego inspektora ochrony danych?

IOD musi powołać m.in. organizacja, której główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub której główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych czy też danych osobowych dotyczących wyroków skazujących i naruszeń prawa. Co oznacza „regularne i systematyczne monitorowanie", co to jest „duża skala" lub co oznacza „główna działalność", a nawet co to są „dane dotyczące naruszeń prawa", wyjaśnimy na szkoleniu.

Co muszę sprawdzić przeprowadzając audyt, o co pytać?

Uczestnicy szkolenia otrzymają arkusz audytowy, w którym będą punktowane wszystkie aspekty do zbadania przez audytora w trakcie audytu. Arkusz audytowy zostanie omówiony krok po kroku, przewidziane są również ćwiczenia praktycznie z wyszukiwania niezgodności w konkretnych zapisach czy stosowanych przy przetwarzaniu danych praktykach. Oprócz tego uczestnicy otrzymają gotowy szablon raportu z audytu. Wystarczy przekleić ustalenia z arkusza audytowego do szablonu raportu z audytu i raport gotowy!

Jak szkolić pracowników skutecznie?

Często (przynajmniej raz w roku – ćwiczenie czyni mistrza) oraz w związku z tym, czym zajmują się na co dzień. Pracownik obsługuje infolinię? Nie trzeba mu zatem szczegółowo wyjaśniać, jak przebiega kontrola UODO, a lepiej wyjaśnić, żeby sam nie podawał danych klienta przez telefon, z prośbą o ich potwierdzenie. Nastąpił incydent, o którym informacja zbyt późno dotarła do IOD, bo pracownik nie zorientował się w porę, że miał on miejsce? Najlepiej szybko rozesłać do wszystkich pracowników przykłady naruszeń w celu uświadomienia / przypomnienia.

Czy jako IOD odpowiadam finansowo za nieprawidłowe praktyki firmy, w której pracuję?

Absolutnie nie. Odpowiedzialność finansową za naruszenie przepisów dotyczących przetwarzania danych ponosi administrator, względnie procesor. IOD odpowiada wyłącznie za niedopełnienie swoich obowiązków, jasno wskazanych w art. 39 RODO. O tych obowiązkach będziemy szczegółowo opowiadać na szkoleniu.

Jakie kryteria musi spełniać IOD?

IOD jest wyznaczany na podstawie swoich kwalifikacji zawodowych. RODO jako istotne przykłady wskazuje wiedzę fachową na temat praktyk i prawa w dziedzinie ochrony danych. Dodatkowo istotne może być zrozumienie przepływów danych w organizacji, wiedza na temat zabezpieczeń i cyberbezpieczeństwa, znajomość kontekstu biznesowego i prawnego danej organizacji. Kurs ma na celu zbudowanie tych kompetencji.

Czy aby brać udział w kursie muszę mieć już jakieś doświadczenie w ochronie danych?

Nie, na kurs przychodzą osoby zaczynające swoją przygodę z ochrony danych, jak i osoby z większym doświadczeniem. Prowadzący przekazują wiedzę w sposób przystępny, z uwzględnieniem poziomu grupy.

Jestem członkiem zarządu. Czy mogę być IOD-em?

Nie, piastowanie takiej funkcji wiąże się z podejmowanie decyzji co do celów i sposobów przetwarzania. Taka sytuacja prowadzi do konfliktu interesu.

Czy zawsze muszę spełniać obowiązek informacyjny w stosunku do osób, których dane pozyskuję?

Co do zasady – tak. Ten obowiązek i sposób jego wykonania wynika z art. 13 i 14 RODO. Są jednak pewne sytuacje, w których obowiązek ten jest wyłączony, tj. dzieje się tak wówczas i w takim zakresie, w jakim osoba ta dysponuje już tymi informacjami (oznacza to, że jeśli np. pojawia się nowy cel przetwarzania, to musimy o tym nowym celu poinformować osobę, której dane dotyczą, nie ma jednak konieczności ponownego przekazywania całej klauzuli informacyjnej, jeśli została ona przekazana już wcześniej – wystarczy jedynie odesłanie do jej treści w pozostałym, niezmieniającym się zakresie). Dodatkowo – w przypadku, gdy dane pozyskiwane są z innego źródła niż od osoby, której dane dotyczą, obowiązek nie musi być spełniany w sytuacjach, o których mowa w art. 14 ust. 5 RODO, tj.:

  • udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;

  • pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;

  • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Każdorazowo jednak przed ewentualną rezygnacją ze spełniania obowiązku informacyjnego należy dokonać analizy konkretnego przypadku, czy mieści się on w którejś z powyższych sytuacji. Dla celów rozliczalności administrator powinien udokumentować taką analizę, by w razie potrzeby móc wykazać i uzasadnić przed organem nadzorczym przyjęte przez siebie stanowisko. Do rezygnacji ze spełniania obowiązku informacyjnego należy podchodzić bardzo ostrożnie, gdyż i na tym tle zapadła decyzja o ukaraniu administratora (decyzja UODO ZSPR.421.3.2018).

Co z transferem danych do USA, czy jest w pełni legalny?

Transfer danych do USA jest dużo łatwiejszy od czasu, kiedy Komisja Europejska wydała względem tego kraju tzw. decyzję o adekwatności. Oznacza to, że do wszystkich firm wpisanych na listę https://www.dataprivacyframework.gov/list można transferować dane, przy czym należy zwrócić uwagę, czy zamierzamy transferować "HR-data" czy "Non-HR-data", ponieważ w przypadku niektórych firm możemy na tej podstawie transferować jedynie "Non-HR-data". Jeśli danej firmy z USA w ogóle nie ma liście, transfer danych do takiej firmy będzie wymagał najczęściej zawarcia tzw. standardowych klauzul umownych, tj. dodatkowej umowy transferowej o z góry narzuconej treści.

Czy z każdą firmą, której przekazuje się dane osobowe, trzeba zawierać umowę powierzenia?

Nie. Przed przekazaniem danych jakiemukolwiek podmiotowi zewnętrznemu (uwaga: samo udzielenie dostępu do danych to również ich przekazanie) należy ustalić rolę tego podmiotu – czy będzie on odrębnym, samodzielnym administratorem danych osobowych (sam ustala cele i sposoby przetwarzania), czy też wykonuje on pewne czynności na danych tylko na nasze polecenie, nie będąc jednak decyzyjnym w tym zakresie. W praktyce należy przed każdym przekazaniem danych ustalić, z którą sytuacją mamy do czynienia. Jeśli przekazujemy dane do odrębnego administratora, musimy to zrobić na jednej z podstaw wskazanych art. 6 lub 9 RODO, jeśli do podmiotu przetwarzającego – musimy jedynie zawrzeć z nim umowę powierzenia, o której mowa w art. 28 RODO. Uwaga: bywają też inne konfiguracje – czasem to my jesteśmy podmiotem przetwarzającym dla innej firmy. Najważniejsze, żeby przed każdym nowym przepływem danych pomiędzy dwoma odrębnymi podmiotami najpierw ustalić, jakie są ich role. Jasność w tym przedmiocie rozwiązuje wiele problemów w sytuacjach krytycznych, takich jak naruszenie ochrony danych czy skarga osoby, której dane dotyczą.

Czy zawsze muszę weryfikować podmiot przetwarzający, któremu powierzam dane?

Tak, wymóg ten wynika bezpośrednio z art. 28 ust. 1 RODO, zgodnie z którym „jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą". Oznacza to, że zawarcie umowy powierzenia powinno być zawsze poprzedzone taką weryfikacją, np. za pomocą ankiety bezpieczeństwa, w której podmiot przetwarzający wskazuje, jakie środki stosuje / zastosuje, by ochronić dane osobowe. Taka ankieta pozwoli administratorowi na wydanie oceny co do tego, czy uważa te środki za wystarczające, czy może uzna za niezbędne podjęcie przez podmiot przetwarzający dodatkowych działań, by zapewnić danym odpowiednie bezpieczeństwo. Również Prezes Urzędu Ochrony Danych Osobowych zwraca uwagę na tę kwestię, np. w decyzji UODO 5131.31.2021, w której administrator został ukarany m.in. za fakt, że nie dokonał weryfikacji podmiotu przetwarzającego. Co równie ważne – taka weryfikacja powinna być ponawiana także w czasie trwania współpracy.

Czy zasada privacy by design dotyczy tylko programów komputerowych?

W czasie kursu zasada ta jest omawiana na przykładzie aplikacji mobilnej, ale dotyczy wszystkich operacji przetwarzania i procesów, które zachodzą w organizacji.

Czy możemy żądać od kandydata okazania do wglądu świadectw pracy z poprzednich miejsc zatrudnienia?

Tak, pracodawca ma prawo żądać od Kandydata okazania do wglądu świadectw pracy z poprzednich miejsc zatrudnienia. Zgodnie z art. 22(1) par. 1 KP Pracodawca żąda od Kandydata w szczególności danych osobowych obejmujących przebieg dotychczasowego zatrudnienia, zaś par. 3 przedmiotowego artykułu stanowi, że „Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 3, w zakresie niezbędnym do ich potwierdzenia."

Co to jest analiza ryzyka?

Analiza ryzyka to systematyczny proces oceny potencjalnych zagrożeń, które mogą negatywnie wpłynąć na realizację celów organizacji. Dotyczy to wszelkich aspektów działalności – od finansowych po operacyjne, techniczne i organizacyjne. W kontekście ochrony danych osobowych analiza ryzyka obejmuje między innymi:

  • identyfikację danych osobowych: określenie, jakie dane osobowe są przetwarzane, gdzie są przechowywane, i jak są wykorzystywane;

  • ocenę zagrożeń i podatności: ustalenie, jakie zagrożenia mogą wystąpić dla danych osobowych i jakie słabe punkty mogą być wykorzystane;

  • ocenę wpływu: określenie potencjalnych skutków dla osób, których dane dotyczą, gdyby doszło do naruszenia ochrony danych;

  • analizę prawdopodobieństwa: szacowanie szansy na wystąpienie każdego zidentyfikowanego ryzyka;

  • określenie środków zaradczych: planowanie działań mających na celu zmniejszenie prawdopodobieństwa wystąpienia zagrożenia oraz ograniczenie szkód w przypadku naruszenia.
Jakie techniczne umiejętności powinien posiadać IOD?
  • Zrozumienie technologii: IOD powinien mieć ogólne zrozumienie technologii informatycznych i systemów informatycznych, które są wykorzystywane w organizacji, w tym wiedzę na temat sieci komputerowych, baz danych, systemów operacyjnych i infrastruktury chmurowej.

  • Umiejętność zarządzania incydentami: IOD powinien być w stanie efektywnie zarządzać incydentami bezpieczeństwa danych, w tym reagować na naruszenia danych, prowadzić dochodzenia oraz podejmować działania naprawcze.

  • Świadomość zagrożeń i trendów: IOD powinien być świadomy aktualnych zagrożeń dla bezpieczeństwa danych oraz trendów w dziedzinie cyberbezpieczeństwa i ochrony danych osobowych, aby być w stanie podejmować odpowiednie działania prewencyjne.

  • Umiejętność audytowania: IOD powinien posiadać umiejętność przeprowadzania audytów bezpieczeństwa danych, w tym ocenę zgodności z wymaganiami prawno-ustrojowymi oraz skuteczność stosowanych środków ochrony danych.
Czy IOD musi mieć zastępcę?

Nie, zgodnie z art. 11 a ustawy o ochronie danych osobowych podmiot, który wyznaczył inspektora, może, ale nie musi, wyznaczyć osobę zastępującą inspektora w czasie jego nieobecności. Należy przy tym pamiętać, że każdy podmiot, który wyznaczył inspektora ma obowiązek udzielać mu wsparcia w wypełnianiu przez niego zadań, w tym zapewniać mu zasoby niezbędne do ich wykonywania. W zależności od rozmiaru i struktury organizacji przydatne może być powołanie nie tylko zastępcy na czas nieobecności, ale całego zespołu inspektora ochrony danych, w skład którego wchodzić może osoba zastępująca inspektora w czasie jego nieobecności. Proszę także pamiętać, że decydując się na wyznaczenie zastępcy zobowiązani jesteśmy zawiadomić o jego wyznaczeniu Prezesa UODO.

Jak często szkolić personel z zakresu ochrony danych osobowych?

Rekomendujemy regularnie, czyli co najmniej raz w roku, przeprowadzać szkolenia dla wszystkich osób, które w ramach organizacji uczestniczą w przetwarzaniu danych osobowych. Warto przy tym zapewnić sobie możliwość wykazania, że dana osoba uczestniczyła w przeprowadzonym szkoleniu (np. przez pobranie listy uczestników szkolenia online) oraz zapewnić ewaluację szkolenia (np. w formie testów na końcu szkolenia).

Jak wykonać analizę ryzyka na gruncie RODO?

Przeprowadzenie analizy ryzyka w kontekście RODO wymaga zrozumienia procesów przetwarzania danych osobowych w danej organizacji i identyfikacji możliwych zagrożeń dla ich bezpieczeństwa. Proces rozpoczyna się od mapowania zasobów wykorzystywanych do przetwarzania danych osobowych oraz procesów biznesowych, w których biorą udział. Należy następnie zidentyfikować ryzyka wewnętrzne i zewnętrzne, ocenić ich prawdopodobieństwo oraz potencjalny wpływ. Organizacja musi określić, czy ryzyko jest na tyle niskie, że można je zaakceptować, czy też wymaga podjęcia działań zaradczych. W sytuacji wysokiego ryzyka konieczne jest podjęcie działań zmierzających do jego zredukowania. Należy opracować plan postępowania z ryzykiem, wdrożyć wymagane środki bezpieczeństwa i udokumentować podjęte kroki. Na zakończenie procesu ważne jest regularne monitorowanie i aktualizowanie analizy ryzyka, aby dostosować się do ewentualnych nowych zagrożeń lub zmian w procesach przetwarzania danych.

Jak często powinienem przeprowadzać analizę ryzyka zgodnie z RODO?

Analiza ryzyka powinna być przeprowadzana regularnie, niemniej nie ma konkretnego harmonogramu, który określa, jak często należy przeprowadzać analizy ryzyka, ponieważ będzie to zależało od specyfiki organizacji, rodzajów danych, które przetwarza i sektora, w którym działa.

Dobre praktyki sugerują, że analizy ryzyka powinny być przeprowadzane co najmniej raz do roku lub częściej w zależności od specyfiki działalności. Ważne jest przy tym, aby przeprowadzać analizę ryzyka również wtedy, gdy następują istotne zmiany w organizacji, takie jak wprowadzenie nowych systemów, zmiana procesów przetwarzania danych, wprowadzenie nowych produktów lub usług, które mogą mieć wpływ na dane osobowe, lub w przypadku wystąpienia incydentu związanego z ochroną danych.

Wszystko to powinno być częścią ciągłego procesu zarządzania ryzykiem w organizacji.

Pełnię w firmie funkcję administratora systemów informatycznych. Czy mogę równolegle przyjąć funkcję IOD?

Nie jest to z góry wykluczone, choć może rodzić konflikt interesów, do którego administrator danych zobowiązany jest nie dopuścić. Zazwyczaj do głównych zadań administratora systemów informatycznych należy administrowanie serwerami, w ramach których przetwarzane są dane osobowe, wdrożenie odpowiednich zabezpieczeń systemów informatycznych czy identyfikacja zagrożeń. W związku z tym osoba odpowiadająca za bieżące przetwarzanie danych osobowych oraz za bezpieczeństwo tych danych w systemach informatycznych miałaby jednocześnie sprawować nadzór nad zgodnością z prawem wykonywanych przez siebie działań. Taka sytuacja może prowadzić do faktycznego braku nadzoru nad zgodnością przetwarzania danych z przepisami prawa i wyraźnego konfliktu interesów. Zdaniem UODO w tego typu sytuacjach ocena, czy w przypadku konkretnej osoby i wykonywanych przez nią zadań nie występuje wspomniany powyżej konflikt interesów, powinna być zawsze dokonywana indywidualnie, z uwzględnieniem konkretnych okoliczności.

Jakie wymogi dotyczące cyberbezpieczeństwa nakłada RODO na podmioty przetwarzające dane osobowe?

RODO mówi wiele o cyberbezpieczeństwie, ponieważ ma na celu ochronę danych osobowych oraz zapewnienie, że są one przetwarzane w sposób bezpieczny. Kilka kluczowych punktów dotyczących cyberbezpieczeństwa w kontekście RODO to:

  • Odpowiednie środki techniczne i organizacyjne: RODO wymaga, aby podmioty przetwarzające dane osobowe zastosowały odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych.

  • Ocena ryzyka: Administrator danych musi przeprowadzić ocenę ryzyka związanego z przetwarzaniem danych osobowych, obejmującą potencjalne zagrożenia dla bezpieczeństwa danych i sposoby ich minimalizacji.

  • Przetwarzanie przez podmioty zewnętrzne: RODO wymaga monitorowania podmiotów przetwarzających dane osobowe, takich jak dostawcy usług chmurowych, aby zapewnić, że spełniają one odpowiednie wymogi bezpieczeństwa danych.

Masz pytanie?

Mam na imię Dominik. Koordynuję szkolenia ODO 24
więc z chęcią odpowiem na Twoje każde pytanie.

Telefon+48 690 004 852
E-mail[email protected]
Dominik Kantorowicz - Koordynator ds. szkoleń
Praktyczny kurs dla IOD (32h) | ODO 24