Szkolenie IOD w praktyce

Zależy nam, aby nasi kursanci mogli zapoznać się z materiałami przed szkoleniem, dlatego przed jego realizacją udostępniamy prezentacje szkoleniowe oraz kompletną dokumentację RODO, zgodną z zakupionym szkoleniem.

Po szkoleniu chcemy być wsparciem dla naszych uczestników, dlatego też przesyłamy dostęp do porad prawnych, aplikacji ODO Nawigator, a w przypadku szkoleń „DPIA i analiza ryzyka” oraz „Praktyczny kurs IOD” – 90-dniowy dostęp do aplikacji Dr RODO i dodatkowo: komplet poradników, certyfikat potwierdzający udział w szkoleniu oraz polecane artykuły, które pomogą stawiać kolejne kroki w ochronie danych osobowych.

Tak, po zakończonym szkoleniu każdy uczestnik otrzymuje imienny certyfikat potwierdzający udział w szkoleniu.

Tak, nawet jest to zalecane. 😊 Prowadząc szkolenia, nie chcemy, żeby był to wykład ex cathedra. Zależy nam na warsztatowej metodzie, aby jak najlepiej przygotować naszych kursantów do wyzwań, jakie stawia przed nimi ochrona danych osobowych.

Ze względu na formę warsztatową naszych kursów staramy się, aby grupa nie była liczniejsza niż 12 osób.

W przypadku, gdy szkolenie finansowane jest co najmniej w 70% ze środków publicznych, stanowi to podstawę do zwolnienia z podatku VAT. W takim przypadku w formularzu zgłoszeniowym w trzecim kroku (Faktura) prosimy o zaznaczenie opcji: „Oświadczam, że szkolenie finansowane jest co najmniej w 70% ze środków publicznych. W związku z tym proszę o zwolnienie z podatku VAT”.

Zgodnie z regulaminem naszych szkoleń wybraną usługę należy opłacić najpóźniej na dwa dni przed szkoleniem.

Tak, w takim przypadku prosimy o informację w czwartym kroku naszego formularza, w polu „Dodatkowe uwagi”.

Nie jest to konieczne. Szkolenia online prowadzimy poprzez aplikację Microsoft Teams, umożliwiającą również przesłanie przez nas linku, który można otworzyć za pomocą przeglądarki internetowej.

Nie jest to konieczne, jednak aby usprawnić proces zadawania pytań oraz wymiany doświadczeń, rekomendujemy używanie słuchawek z mikrofonem.

Tak, w takim przypadku prosimy o informację w czwartym kroku naszego formularza, w polu „Dodatkowe uwagi”.

W większości przypadków szkolenie potwierdzamy na tydzień przed planowaną datą rozpoczęcia. Chcemy mieć pewność, że uczestnicy naszych szkoleń będą mieli możliwość wcześniejszego zapoznania się z materiałami.

Gdy tylko zakończy się szkolenie, książki zostaną przesłane kurierem na adres podany w zgłoszeniu.

Zdajemy sobie sprawę, że pewne dokumenty mogą czasem przysparzać problemów, dlatego z chęcią pomożemy w wypełnieniu dokumentów. W takim przypadku prosimy o kontakt z naszym koordynatorem ds. szkoleń.

Nasz koordynator ds. szkoleń dostępny jest pod adresem e-mail: [email protected].

Zapraszamy również do kontaktu telefonicznego pod numerem: 22 740 99 99 lub +48 690 004 852

IOD musi powołać m.in. organizacja, której główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub której główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych czy też danych osobowych dotyczących wyroków skazujących i naruszeń prawa. Co oznacza „regularne i systematyczne monitorowanie”, co to jest „duża skala” lub co oznacza „główna działalność”, a nawet co to są „dane dotyczące naruszeń prawa”, wyjaśnimy na szkoleniu.

Uczestnicy szkolenia otrzymają arkusz audytowy, w którym będą punktowane wszystkie aspekty do zbadania przez audytora w trakcie audytu. Arkusz audytowy zostanie omówiony krok po kroku, przewidziane są również ćwiczenia praktycznie z wyszukiwania niezgodności w konkretnych zapisach czy stosowanych przy przetwarzaniu danych praktykach. Oprócz tego uczestnicy otrzymają gotowy szablon raportu z audytu. Wystarczy przekleić ustalenia z arkusza audytowego do szablonu raportu z audytu i raport gotowy!

Często (przynajmniej raz w roku – ćwiczenie czyni mistrza) oraz w związku z tym, czym zajmują się na co dzień. Pracownik obsługuje infolinię? Nie trzeba mu zatem szczegółowo wyjaśniać, jak przebiega kontrola UODO, a lepiej wyjaśnić, żeby sam nie podawał danych klienta przez telefon, z prośbą o ich potwierdzenie. Nastąpił incydent, o którym informacja zbyt późno dotarła do IOD, bo pracownik nie zorientował się w porę, że miał on miejsce? Najlepiej szybko rozesłać do wszystkich pracowników przykłady naruszeń w celu uświadomienia / przypomnienia.

Absolutnie nie. Odpowiedzialność finansową za naruszenie przepisów dotyczących przetwarzania danych ponosi administrator, względnie procesor. IOD odpowiada wyłącznie za niedopełnienie swoich obowiązków, jasno wskazanych w art. 39 RODO. O tych obowiązkach będziemy szczegółowo opowiadać na szkoleniu.

IOD jest wyznaczany na podstawie swoich kwalifikacji zawodowych. RODO jako istotne przykłady wskazuje wiedzę fachową na temat praktyk i prawa w dziedzinie ochrony danych. Dodatkowo istotne może być zrozumienie przepływów danych w organizacji, wiedza na temat zabezpieczeń i cyberbezpieczeństwa, znajomość kontekstu biznesowego i prawnego danej organizacji. Szkolenie ma na celu zbudowanie tych kompetencji.

Nie, na szkolenie przychodzą osoby zaczynające swoją przygodę z ochrony danych, jak i osoby z większym doświadczeniem. Prowadzący przekazują wiedzę w sposób przystępny, z uwzględnieniem poziomu grupy.

Nie, piastowanie takiej funkcji wiąże się z podejmowanie decyzji co do celów i sposobów przetwarzania. Taka sytuacja prowadzi do konfliktu interesu.

Co do zasady – tak. Ten obowiązek i sposób jego wykonania wynika z art. 13 i 14 RODO. Są jednak pewne sytuacje, w których obowiązek ten jest wyłączony, tj. dzieje się tak wówczas i w takim zakresie, w jakim osoba ta dysponuje już tymi informacjami (oznacza to, że jeśli np. pojawia się nowy cel przetwarzania, to musimy o tym nowym celu poinformować osobę, której dane dotyczą, nie ma jednak konieczności ponownego przekazywania całej klauzuli informacyjnej, jeśli została ona przekazana już wcześniej – wystarczy jedynie odesłanie do jej treści w pozostałym, niezmieniającym się zakresie). Dodatkowo – w przypadku, gdy dane pozyskiwane są z innego źródła niż od osoby, której dane dotyczą, obowiązek nie musi być spełniany w sytuacjach, o których mowa w art. 14 ust. 5 RODO, tj.:

• udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;
• pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;
• dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Każdorazowo jednak przed ewentualną rezygnacją ze spełniania obowiązku informacyjnego należy dokonać analizy konkretnego przypadku, czy mieści się on w którejś z powyższych sytuacji. Dla celów rozliczalności administrator powinien udokumentować taką analizę, by w razie potrzeby móc wykazać i uzasadnić przed organem nadzorczym przyjęte przez siebie stanowisko. Do rezygnacji ze spełniania obowiązku informacyjnego należy podchodzić bardzo ostrożnie, gdyż i na tym tle zapadła decyzja o ukaraniu administratora (decyzja UODO ZSPR.421.3.2018).

Transfer danych do USA jest dużo łatwiejszy od czasu, kiedy Komisja Europejska wydała względem tego kraju tzw. decyzję o adekwatności. Oznacza to, że do wszystkich firm wpisanych na listę https://www.dataprivacyframework.gov/list można transferować dane, przy czym należy zwrócić uwagę, czy zamierzamy transferować „HR-data” czy „Non-HR-data”, ponieważ w przypadku niektórych firm możemy na tej podstawie transferować jedynie „Non-HR-data”. Jeśli danej firmy z USA w ogóle nie ma liście, transfer danych do takiej firmy będzie wymagał najczęściej zawarcia tzw. standardowych klauzul umownych, tj. dodatkowej umowy transferowej o z góry narzuconej treści.

Nie. Przed przekazaniem danych jakiemukolwiek podmiotowi zewnętrznemu (uwaga: samo udzielenie dostępu do danych to również ich przekazanie) należy ustalić rolę tego podmiotu – czy będzie on odrębnym, samodzielnym administratorem danych osobowych (sam ustala cele i sposoby przetwarzania), czy też wykonuje on pewne czynności na danych tylko na nasze polecenie, nie będąc jednak decyzyjnym w tym zakresie. W praktyce należy przed każdym przekazaniem danych ustalić, z którą sytuacją mamy do czynienia. Jeśli przekazujemy dane do odrębnego administratora, musimy to zrobić na jednej z podstaw wskazanych art. 6 lub 9 RODO, jeśli do podmiotu przetwarzającego – musimy jedynie zawrzeć z nim umowę powierzenia, o której mowa w art. 28 RODO. Uwaga: bywają też inne konfiguracje – czasem to my jesteśmy podmiotem przetwarzającym dla innej firmy. Najważniejsze, żeby przed każdym nowym przepływem danych pomiędzy dwoma odrębnymi podmiotami najpierw ustalić, jakie są ich role. Jasność w tym przedmiocie rozwiązuje wiele problemów w sytuacjach krytycznych, takich jak naruszenie ochrony danych czy skarga osoby, której dane dotyczą.

Tak, wymóg ten wynika bezpośrednio z art. 28 ust. 1 RODO, zgodnie z którym „jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą”. Oznacza to, że zawarcie umowy powierzenia powinno być zawsze poprzedzone taką weryfikacją, np. za pomocą ankiety bezpieczeństwa, w której podmiot przetwarzający wskazuje, jakie środki stosuje / zastosuje, by ochronić dane osobowe. Taka ankieta pozwoli administratorowi na wydanie oceny co do tego, czy uważa te środki za wystarczające, czy może uzna za niezbędne podjęcie przez podmiot przetwarzający dodatkowych działań, by zapewnić danym odpowiednie bezpieczeństwo. Również Prezes Urzędu Ochrony Danych Osobowych zwraca uwagę na tę kwestię, np. w decyzji UODO 5131.31.2021, w której administrator został ukarany m.in. za fakt, że nie dokonał weryfikacji podmiotu przetwarzającego. Co równie ważne – taka weryfikacja powinna być ponawiana także w czasie trwania współpracy.

W czasie szkolenia zasada ta jest omawiana na przykładzie aplikacji mobilnej, ale dotyczy wszystkich operacji przetwarzania i procesów, które zachodzą w organizacji.

• Zrozumienie technologii: IOD powinien mieć ogólne zrozumienie technologii informatycznych i systemów informatycznych, które są wykorzystywane w organizacji, w tym wiedzę na temat sieci komputerowych, baz danych, systemów operacyjnych i infrastruktury chmurowej.
• Umiejętność zarządzania incydentami: IOD powinien być w stanie efektywnie zarządzać incydentami bezpieczeństwa danych, w tym reagować na naruszenia danych, prowadzić dochodzenia oraz podejmować działania naprawcze.
• Świadomość zagrożeń i trendów: IOD powinien być świadomy aktualnych zagrożeń dla bezpieczeństwa danych oraz trendów w dziedzinie cyberbezpieczeństwa i ochrony danych osobowych, aby być w stanie podejmować odpowiednie działania prewencyjne.
• Umiejętność audytowania: IOD powinien posiadać umiejętność przeprowadzania audytów bezpieczeństwa danych, w tym ocenę zgodności z wymaganiami prawno-ustrojowymi oraz skuteczność stosowanych środków ochrony danych.

Nie, zgodnie z art. 11 a ustawy o ochronie danych osobowych podmiot, który wyznaczył inspektora, może, ale nie musi, wyznaczyć osobę zastępującą inspektora w czasie jego nieobecności. Należy przy tym pamiętać, że każdy podmiot, który wyznaczył inspektora ma obowiązek udzielać mu wsparcia w wypełnianiu przez niego zadań, w tym zapewniać mu zasoby niezbędne do ich wykonywania. W zależności od rozmiaru i struktury organizacji przydatne może być powołanie nie tylko zastępcy na czas nieobecności, ale całego zespołu inspektora ochrony danych, w skład którego wchodzić może osoba zastępująca inspektora w czasie jego nieobecności. Proszę także pamiętać, że decydując się na wyznaczenie zastępcy zobowiązani jesteśmy zawiadomić o jego wyznaczeniu Prezesa UODO.