3-miesięczny program, w którym krok po kroku budujesz analizę ryzyka dla swojej organizacji – zgodnie z logiką decyzji UODO
RODO nie narzuca konkretnych zabezpieczeń. Nakłada natomiast odpowiedzialność za decyzje. Organ nadzorczy pyta: „Dlaczego tak?”, „Na jakiej podstawie?”, „Jak oceniliście ryzyko?” - i oczekuje logicznego, udokumentowanego procesu.
Ta seria spotkań nie będzie teoretycznym omawianiem przepisów. To praktyczne przejście całego procesu krok po kroku, dokładnie w logice, jakiej oczekuje UODO. Celem jest, abyś na koniec miał/miała gotową analizę ryzyka dla swojej organizacji, rozumiał(a) jej sens biznesowy i potrafił(a) ją aktualizować w kolejnych latach.
Bez analizy ryzyka decyzje dotyczące zabezpieczeń stają się decyzjami „na wyczucie”.
Niewystarczające zabezpieczenia zwiększają ryzyko kar i incydentów, a nadmiarowe generują koszty i paraliż operacyjny
Spotkanie otwierające: Jak przeprowadzić analizę ryzyka? Metodyka na bazie decyzji UODO.
Rok 2025 okazał się przełomowy w praktyce egzekwowania RODO w Polsce. Choć liczba decyzji Prezesa UODO nie była wysoka, łączna wartość nałożonych kar wzrosła niemal pięciokrotnie, osiągając rekordowy poziom ponad 64 mln zł. Pojedyncze sprawy pokazały, że organ nadzorczy sięga dziś po sankcje o realnym, dotkliwym wymiarze finansowym, koncentrując się na najpoważniejszych i systemowych naruszeniach
W trakcie wystąpienia pokażemy, jak w praktyce wygląda odpowiedzialność za naruszenia ochrony danych osobowych, bez teorii, za to na podstawie konkretnych decyzji, liczb i rzeczywistych błędów organizacji.
Wysokość kary za naruszenie RODO nie jest efektem swobodnego uznania organu, a wynikiem uporządkowanej metodyki. Europejska Rada Ochrony Danych w Wytycznych 04/2022 wprowadziła ujednolicony, wieloetapowy model wyliczania administracyjnych kar pieniężnych, który ma być stosowany przez organy nadzorcze w całej Unii Europejskiej. Oznacza to, że proces ustalania kary ma swoją logikę i da się go przeanalizować.
Podczas spotkania pokażemy, jak wygląda ten mechanizm w praktyce. Wyjaśnimy, jak organ przechodzi od stwierdzenia naruszenia do ustalenia kwoty wyjściowej, a następnie koryguje ją w zależności od okoliczności sprawy. Kluczowe znaczenie ma ocena powagi naruszenia oraz obrót przedsiębiorstwa, który wpływa na maksymalne widełki finansowe. Omówimy także, jak traktowany jest zbieg naruszeń oraz kiedy organ może nałożyć jedną karę łączną, a kiedy kilka odrębnych. Zatrzymamy się przy czynnikach, które realnie wpływają na ostateczną wysokość kary, takich jak charakter i skala naruszenia, wcześniejsza historia zgodności, reakcja organizacji czy stopień współpracy z organem. Wyjaśnimy również, jak rozumiane jest pojęcie „przedsiębiorstwa” w kontekście grup kapitałowych oraz dlaczego może to mieć kluczowe znaczenie dla maksymalnego pułapu sankcji.
Minęło już 8 lat od wejścia w życie RODO. W tym czasie Urząd Ochrony Danych Osobowych wydał dziesiątki decyzji, poradników i oficjalnych wyjaśnień, które jasno pokazują, jak powinna wyglądać prawidłowa analiza ryzyka, czego realnie oczekuje organ nadzorczy oraz za jakie błędy nakładane są kary. Dziś problemem nie jest brak wytycznych, lecz ich skuteczne przełożenie na konkretny, działający proces w organizacji.
Dlatego przeanalizowaliśmy wszystkie decyzje UODO dotyczące art. 32 RODO, aktualne poradniki, publikacje i newsletter urzędu, a na tej podstawie opracowaliśmy kompletną metodykę przeprowadzania i dokumentowania analizy ryzyka. Otrzymasz ją w formie gotowych materiałów do wdrożenia – PDF oraz praktycznych narzędzi roboczych. Pokażemy pełny schemat analizy ryzyka według podejścia UODO, rozpiszemy etapy od identyfikacji zagrożeń po ocenę zabezpieczeń, omówimy obowiązki administratora oraz realny czas i zasoby potrzebne do przeprowadzenia procesu. Wskażemy też najczęstsze błędy, które kończą się decyzjami i karami.
Mapa danych w organizacji: Identyfikacja kluczowych zasobów i procesów przetwarzania danych osobowych
Rzetelna analiza ryzyka zaczyna się od jednego etapu: dokładnego poznania procesów przetwarzania danych i zasobów, na których one działają. To właśnie ten moment, nazywany w podejściu Urząd Ochrony Danych Osobowych ustalaniem kontekstu, decyduje, czy cała dalsza analiza ma sens, czy będzie tylko „papierowa”. To spotkanie jest w całości nastawione na praktyczne przejście przez identyfikację procesów, inwentaryzację zasobów i ich mapowanie, dokładnie w logice, jakiej oczekuje UODO.
W trakcie spotkania otrzymasz gotowe listy procesów przetwarzania oraz kompletne listy zasobów (aktywa podstawowe i wspierające), a także struktury dokumentów do ich mapowania i opisu cyklu życia danych. To materiały, na których od razu zbudujesz własną analizę ryzyka.
Co nam realnie zagraża: Skuteczna identyfikacja zagrożeń dla danych osobowych.
Na tym etapie analizy ryzyka przestajemy mówić o zasobach i zaczynamy odpowiadać na kluczowe pytanie: co złego może się z nimi wydarzyć – gdzie, kiedy i dlaczego. W metodyce rekomendowanej przez Urząd Ochrony Danych Osobowych jest to trzeci, krytyczny krok całego procesu szacowania ryzyka.
Ten webinar pokaże Ci w praktyce, jak łączyć zmapowane wcześniej procesy i zasoby z realnymi zagrożeniami tak, aby nie zgadywać ryzyka „na oko”, tylko identyfikować je w sposób kompletny i logiczny. W trakcie spotkania otrzymasz gotowe katalogi zagrożeń dopasowane do procesów przetwarzania, listy scenariuszy ryzyka oraz struktury dokumentów do ich przypisywania do konkretnych zasobów i etapów cyklu życia danych. To materiały, które od razu wypełnisz dla swojej organizacji.
Co naprawdę nas chroni: Identyfikacja stosowanych zabezpieczeń
Po zmapowaniu procesów i zasobów oraz zidentyfikowaniu realnych zagrożeń przychodzi kluczowy moment analizy ryzyka: sprawdzenie, jakie zabezpieczenia faktycznie działają w organizacji i czy realnie ograniczają ryzyko. W metodyce rekomendowanej przez Urząd Ochrony Danych Osobowych to etap, który bezpośrednio decyduje o tym, czy spełniasz wymogi art. 32 RODO, czy tylko deklarujesz „odpowiedni poziom bezpieczeństwa”.
Ten webinar pokaże w praktyce, jak identyfikować i porządkować środki techniczne oraz organizacyjne przypisane do konkretnych procesów, zasobów i scenariuszy ryzyka — bez ogólników typu „mamy politykę bezpieczeństwa”. W trakcie spotkania otrzymasz gotowe listy zabezpieczeń (technicznych, organizacyjnych i ludzkich), wzory tabel do ich mapowania na zagrożenia oraz struktury dokumentów pokazujących, które ryzyka są realnie ograniczane, a które pozostają „gołe”.
Ryzyko pod lupą: Praktyczne metody szacowania i oceny poziomu ryzyka
To etap, w którym analiza ryzyka przestaje być opisem zagrożeń, a zaczyna być konkretnym procesem decyzyjnym. W metodyce rekomendowanej przez Urząd Ochrony Danych Osobowych właśnie tutaj łączymy zagrożenia z ich realnym wpływem na prawa i wolności osób fizycznych oraz z prawdopodobieństwem ich wystąpienia.Ten webinar pokaże Ci w praktyce, jak przejść od intuicyjnego „wydaje się bezpiecznie” do mierzalnej, udokumentowanej oceny poziomu ryzyka, którą można obronić podczas kontroli. W trakcie spotkania otrzymasz gotowe skale oceny skutków i prawdopodobieństwa, wzory macierzy ryzyka (map ciepła) oraz struktury tabel do wyliczania ryzyka wstępnego i szczątkowego. To narzędzia, które bezpośrednio zastosujesz do zagrożeń zidentyfikowanych w poprzednich etapach.
Efektem webinaru będzie kompletna, policzona analiza poziomu ryzyka dla Twoich procesów przetwarzania, gotowa do decyzji zarządczych i dalszego doskonalenia zabezpieczeń.
Jedna analiza, wiele wymagań: Jak połączyć RODO, ISO 27001 i NIS2 w spójny model zarządzania ryzykiem
W wielu organizacjach analiza ryzyka prowadzona jest osobno na potrzeby RODO, osobno dla bezpieczeństwa informacji i osobno pod kolejne regulacje. Efekt? Dublowanie pracy, niespójne dokumenty i chaos decyzyjny. Tymczasem podejście rekomendowane m.in. przez Urząd Ochrony Danych Osobowych jasno pokazuje, że jedna spójna metodyka może jednocześnie spełniać wymagania RODO, ISO 27001 i NIS2. Ten webinar pokaże Ci w praktyce, jak zbudować jeden model zarządzania ryzykiem, który obejmuje bezpieczeństwo danych osobowych, bezpieczeństwo informacji oraz ciągłość działania, bez mnożenia procedur i analiz.
W trakcie spotkania otrzymasz zintegrowany schemat analizy ryzyka, wspólny inwentarz zasobów, połączone modele oceny skutków oraz katalog zabezpieczeń technicznych i organizacyjnych, który realizuje jednocześnie wymagania wszystkich trzech reżimów. To gotowa struktura do wdrożenia w organizacji. Pokażemy, jak w tym samym procesie uruchamiać DPIA, jak integrować środki bezpieczeństwa oraz jak prowadzić jedną spójną dokumentację zgodności.
AI jako wsparcie eksperta: Wykorzystanie narzędzi sztucznej inteligencji w analizie ryzyka
Sztuczna inteligencja coraz częściej pojawia się w pracy specjalistów od bezpieczeństwa i ochrony danych, jako narzędzie przyspieszające analizę, ale jednocześnie jako nowe źródło ryzyk. W podejściu zgodnym z oczekiwaniami organów nadzorczych, w tym Urząd Ochrony Danych Osobowych, AI nie zastępuje eksperta, lecz ma go realnie wspierać, pod warunkiem świadomego i bezpiecznego użycia. Ten webinar pokaże Ci praktycznie, jak wykorzystać narzędzia sztucznej inteligencji do usprawnienia analizy ryzyka, a jednocześnie jak identyfikować i kontrolować nowe zagrożenia, które AI sama wprowadza do organizacji.
W trakcie spotkania otrzymasz gotowe źródła wiedzy i biblioteki zagrożeń dla systemów AI, scenariusze ryzyka związane z użyciem narzędzi opartych na LLM oraz schemat bezpiecznego modelu „human-in-the-loop”, który możesz wdrożyć w swoich procesach analizy ryzyka.
Spotkanie zamykające - od analizy do decyzji: Jak jasno i przekonująco zaprezentować wyniki analizy ryzyka zarządowi
Nawet najlepiej przeprowadzona analiza ryzyka nie ma wartości, jeśli nie kończy się konkretną decyzją biznesową. Z perspektywy podejścia oczekiwanego przez Urząd Ochrony Danych Osobowych to właśnie zarząd powinien świadomie akceptować, redukować lub odrzucać ryzyko, a rolą specjalisty jest przedstawić je w sposób jasny, zrozumiały i możliwy do rozstrzygnięcia.
Ten webinar pokaże Ci, jak przełożyć techniczne wyniki analizy ryzyka na język wpływu na biznes, reputację i odpowiedzialność prawną, tak aby zarząd mógł realnie podjąć decyzje i żeby były one właściwie udokumentowane. W trakcie spotkania otrzymasz gotowy schemat raportu z analizy ryzyka dla zarządu, wizualne modele prezentacji poziomu ryzyka (macierz, „światła drogowe”) oraz wzór karty akceptacji ryzyka, która formalnie zamyka cały proces i realizuje zasadę rozliczalności.
Gotowa analiza ryzyka przygotowana w sposób, który minimalizuje ryzyka po stronie Twojej organizacji.
Hybrydowy format, praca na realnych przypadkach, a na start - spotkanie na żywo w Warszawie, które buduje wspólny warsztat i relacje w wąskim gronie.
EDYCJA JESIENNA
Merytoryczne otwarcie programu + warsztat oparty na decyzjach UODO oraz networking — okazja do poznania się, wymiany doświadczeń i omówienia najtrudniejszych przypadków uczestników.
Teoria, warsztaty, case studies, zadania i materiały do pracy własnej - z jasnym tempem i strukturą. Po każdym spotkaniu podsumowanie przesyłamy e-mailem.
Masz do dyspozycji sesje z ekspertem – dwie sesje po godzinie lub jedna sesja dwugodzinna.
Otrzymasz komplet aktualnych dokumentów i checklist, które zabezpieczą Twoje potrzeby w zakresie analizy ryzyka.
GRATIS - Warsztaty dla IOD - „DPIA i analiza ryzyka (8h)” lub 50% rabatu na „Praktyczny kurs dla IOD (32h)” dodatkowo 25% rabatu na dowolne inne nasze szkolenia otwarte.
Prezentacja wyników analizy ryzyka zarządowi, sesja Q&A, test wiedzy / rozdanie certyfikatów.
Gotową, zweryfikowaną
analizę ryzyka
dla swojej organizacji
Większą pewność
decyzyjną
w roli IOD / specjalisty
Wiedzę i certyfikat
potwierdzający
kompetencje
Po ukończeniu Akademii uczestnicy otrzymują imienny certyfikat potwierdzający nabycie praktycznych kompetencji w zakresie analizy ryzyka na gruncie RODO.
Certyfikat dokumentuje zakres zdobytych umiejętności (m.in. identyfikację zagrożeń, ocenę ryzyka, przygotowanie raportów i planów działań) i może być wykorzystywany jako potwierdzenie kompetencji zarówno wewnętrznie (przed Zarządem), jak i zewnętrznie (wobec klientów lub partnerów biznesowych).
Tak, otrzymane narzędzia są w pełni edytowalne i przeznaczone do trwałego użytku w Twojej organizacji. W ramach Akademii otrzymujesz pakiet materiałów podzielony na wiedzę (PDF) oraz praktyczne narzędzia robocze, które zostały zaprojektowane specjalnie do edycji i bezpośredniego wdrożenia. Są to m.in.:
Model Akademii zakłada, że w trakcie kursu wypełniasz te narzędzia przygotowując dokumentację, która będzie dedykowana dla Twojej organizacji. Po zakończeniu szkolenia Twoja organizacja może korzystać z dokumentów w oparciu licencję, która nie ma ograniczeń terytorialnych i czasowych, traktując je jako fundament swojego systemu zarządzania ryzykiem.
Tak, standardowo na nasze szkolenia otwarte oferujemy 10% upustu dla każdego kolejnego uczestnika z tego samego podmiotu
Tak, przez okres 12 miesięcy od ukończenia Akademii
Szkolenie "Akademia analizy ryzyka" organizowane przez ODO 24 ma formę cyklu spotkań. Zaczyna się stacjonarnym spotkaniem otwierającym w Warszawie a kolejne odbywają się webinariów odbywających się online na żywo.
Nie, nie jest potrzebne specjalistyczne oprogramowanie. Wystarczy standardowy pakiet biurowy (np. MS Office). Materiały są udostępniane w PDF oraz w edytowalnych formatach (tabele, macierze, szablony dokumentów), gotowych do bezpośredniego użycia.
W pakiecie znajdują się m.in.:
Całość pozwala przeprowadzić pełną analizę ryzyka bez wdrażania dodatkowych systemów IT.
Tak, każdy uczestnik ma do dyspozycji 2 godziny indywidualnych konsultacji z trenerem. Konsultacje te odbywają się w trakcie trwania Akademii, tak abyś na jej zakończenie posiadał/a gotową analizę ryzyka dla swojej organizacji.
Tak, katalogi zagrożeń są w pełni dostosowane do hybrydowego środowiska pracy.
Narzędzia Akademii nie ograniczają się do tradycyjnej infrastruktury lokalnej („serwer w szafie”), lecz obejmują nowoczesne środowiska IT. Otrzymujesz gotowe katalogi zagrożeń przypisane do konkretnych zasobów, co pozwala od razu analizować ryzyka charakterystyczne dla chmury, usług SaaS oraz pracy zdalnej, takie jak przejęcie kont, błędy konfiguracji środowisk chmurowych czy zagrożenia dla urządzeń końcowych.
Listy zasobów przygotowane na bazie ISO 27005 traktują usługi zewnętrzne i sprzęt mobilny jako kluczowe aktywa, dla których zdefiniowano dedykowane scenariusze ryzyka (np. utrata dostępu do usługi chmurowej czy kradzież niezabezpieczonego laptopa).
Całość opiera się na praktycznym podejściu i skupia się na realnych zagrożeniach występujących we współczesnych organizacjach, w tym na ryzykach związanych z dostawcami IT oraz codziennymi nawykami pracowników pracujących zdalnie.
Poprzez zastąpienie intuicji (wydaje mi się, że ryzyko jest duże) precyzyjną matematyką i jednolitym standardem dla całej organizacji.
Akademia dostarcza gotowe skale ocen oraz wzory macierzy ryzyka (mapy ciepła), które działają jak wspólna linijka dla wszystkich departamentów. Eliminacja subiektywizmu odbywa się dzięki trzem mechanizmom wbudowanym w te narzędzia:
Akademia nie zachęca do bezrefleksyjnego wklejania dokumentów do publicznych chatbotów. Zamiast tego dostarcza gotowy schemat bezpiecznego modelu pracy z AI, który gwarantuje zgodność z zasadą rozliczalności i oczekiwaniami UODO.
Bezpieczeństwo procesu zapewniają trzy filary omawiane na szkoleniu:
Tak, raport został zaprojektowany właśnie w tym celu, aby mówić językiem zarządu.
Wzór raportu oraz towarzysząca mu prezentacja nie ograniczają się do technicznych opisów zagrożeń. Zgodnie z programem Akademii, narzędzia te pomagają przełożyć wyniki analizy ryzyka na język wpływu na biznes, reputację i odpowiedzialność prawną.
Dokumentacja ta wspiera Cię w uzyskaniu budżetu poprzez:
Analizujemy ryzyko dla konkretnych zasobów (aktywów), ale zawsze w ścisłym powiązaniu z procesami biznesowymi, które one wspierają. Nasza metodyka unika ogólników, schodząc do poziomu konkretów, ale zachowuje kontekst biznesowy.
Zgodnie z modelem mapowania przyjętym w Akademii, praca przebiega dwuetapowo:
Dzięki temu zagrożenia i zabezpieczenia oceniasz precyzyjnie dla każdego zasobu (zgodnie z ISO 27005), ale skutki incydentu szacujesz przez pryzmat całego procesu i wagi danych, które mogą zostać naruszone. Pozwala to uniknąć analizowania systemów IT w oderwaniu od ich realnej roli w organizacji
Tak. Otrzymujemy potwierdzenia, że dokumentacja przygotowana według naszego standardu skutecznie broni się podczas kontroli i audytów. Opracowując naszą metodykę i narzędzia, przeanalizowaliśmy wszystkie decyzje Prezesa Urzędu Ochrony Danych Osobowych dotyczące art. 32 RODO oraz aktualne poradniki, aby upewnić się, że model ten adresuje dokładnie te elementy, które są weryfikowane przez organ nadzorczy (ostatnio przez pryzmat 18 wymagań zawartych w styczniowym newsletterze UODO).
Tak, planujemy uruchomienie zamkniętej grupy na portalu LinkedIn lub Facebook. Będzie ona służyć jako platforma kontaktu oraz wymiany doświadczeń i myśli pomiędzy uczestnikami Akademii.
Tak, analiza błędów (fuck-upów) innych podmiotów jest istotnym elementem procesu dydaktycznego Akademii.
W trakcie spotkań będziemy szeroko odnosić się do błędów popełnionych przez inne organizacje, szczególnie w krytycznym kontekście identyfikowania zagrożeń i podatności. Program Akademii nie opiera się na teorii, lecz na analizie decyzji Prezesa UODO wydanych w ciągu ostatnich 8 lat. Przeanalizowaliśmy, za jakie konkretnie uchybienia w analizie ryzyka organ nakładał kary. Dzięki temu:
Dostajesz więc wiedzę opartą na realnych przypadkach rynkowych, co pozwoli Ci uniknąć powielania cudzych pomyłek.
Tak, wszyscy uczestnicy naszych szkoleń otwartych są objęci merytorycznym wsparciem poszkoleniowym. W przypadku pytań dotyczących konkretnych procesów, zapraszamy do kontaktu poprzez naszą platformę wsparcia: Pomoc ODO 24
Tak, nasze narzędzia są w pełni elastyczne.
Dostarczane arkusze kalkulacyjne i macierze są otwartymi narzędziami roboczymi, a nie zamkniętymi aplikacjami. Choć w ramach kursu otrzymujesz gotowe, sprawdzone propozycje skal opartych na ISO 27005 i wytycznych UODO, konstrukcja narzędzi (Excel) pozwala na ich swobodną modyfikację.
Możesz bez problemu:
Celem Akademii jest dostarczenie uniwersalnej metodyki, którą wdrożysz u siebie, a nie sztywnego schematu, który wymuszałby zmianę Twoich dotychczasowych, działających standardów.
Podczas spotkania uczestnicy mają zapewniony serwis kawowy, słodkie przekąski oraz lunch serwowany w formie bufetu. Spotkanie odbędzie się w Restauracji PaTaThai Powiśle znajdującej się w kompleksie Elektrownia Powiśle, wynajętej na wyłączność.
Dostępne dla: lista oczekujących
+ klienci ODO24.
Dostępne dla pozostałych
Dostępne dla pozostałych
Mam na imię Dominik. Koordynuję II edycję Akademii ODO 24 więc z chęcią odpowiem na Twoje każde pytanie.
Wkrótce się z Tobą skontaktujemy.
W międzyczasie możesz zapoznać się z referencjami od naszych klientów.
Potwierdź adres e-mail i pobierz przewodnik
Kliknij w link w e-mailu – od razu pobierzesz przewodnik
„Jak skutecznie wdrożyć NIS2".
Nie widzisz wiadomości? Sprawdź folder SPAM i oznacz ją jako wiadomość pożądaną.
Zapisz się na biuletyn ODO 24
Biuletyn z nowościami z obszaru ochrony danych osobowych i bezpieczeństwa informacji wysyłamy raz w miesiącu.
Potwierdź swój adres e-mail
Kliknij w link w e-mailu – od razu pobierzesz przewodnik „Jak skutecznie wdrożyć NIS2". Nie widzisz wiadomości? Sprawdź folder SPAM i oznacz ją jako wiadomość pożądaną.
