Samodzielne audyty RODO - jak przygotować się na „twardą” weryfikację?Prawne

Samodzielne audyty RODO - jak przygotować się na „twardą” weryfikację?

paź24
2 dni
paź25
Warszawa
Zobacz inne dostępne terminy
Do 17 października 2019
1250zł+ 23% VAT
Po 17 października 2019
1390zł+ 23% VAT
Zapisz sięZobacz program

Opis szkolenia

Audyt rodo szkolenie

W ostatnich miesiącach nasiliły się kontrole Prezesa Urzędu Ochrony Danych Osobowych. Organ nadzoru rozpoczął weryfikację przedsiębiorstw pod kątem spełniania przez nie wymagań unijnego rozporządzenia o ochronie danych (RODO). Jednocześnie kontrole związane z wybranymi aspektami przetwarzania danych osobowych prowadzi Państwowa Inspekcja Pracy (dane pracownicze, stosowanie monitoringu wizyjnego). Tymczasem nadal duża grupa przedsiębiorstw nie podjęła działań związanych z prawidłową implementacją wymagań RODO lub też działania te podejmowała w sposób bardzo ogólny, a niekiedy również niedokładny. Problem ten głównie związany jest z brakiem wiedzy odnośnie istoty wymagań RODO, ich niewłaściwego zrozumienia jak również braku dokładnej weryfikacji organizacji, która pozwoliłaby na przeprowadzenie procesu wdrożenia wymogów w sposób dopasowany do potrzeb, ale również profilu działalności konkretnego przedsiębiorstwa. Wymagania RODO mają bowiem charakter norm, których skuteczne wdrożenie uzależnione jest od specyfiki konkretnej organizacji.

Niniejsze szkolenie audyt RODO mają za zadanie przekazać Państwu metodologię przeprowadzania we własnym zakresie audytu pozwalającego zweryfikować na ile aktualnie Państwa organizacja spełnia wymagania RODO, a w przypadkach stwierdzenia nieprawidłowości – podjęcie decyzji odnośnie prawidłowej implementacji wymagań.

Swoją 10-letnią wiedzą w zakresie przeprowadzania audytów zgodności z wymaganiami z zakresu ochrony danych osobowych podzieli się z Państwem mec. Jakub Wezgraj, właściciel kancelarii prawnej „ODOekspert” specjalizującej się w projektach audytowych oraz wdrożeniowych z zakresu ochrony danych osobowych.

Warsztaty poprowadzi mec. Jakub Wezgraj, wieloletni ekspert prawny w zakresie ochrony danych osobowych, autor ponad 150 programów rozwoju kompetencji Administratorów Bezpieczeństwa Informacji, Inspektorów Ochrony Danych oraz specjalistów ds. ochrony danych osobowych. Przeprowadził dotychczas ponad 200 audytów i wdrożeń z zakresu ochrony danych osobowych. Jest znany z prowadzenia szkoleń w sposób bardzo obrazowy i oparty na wielu ćwiczeniach oraz praktycznych przykładach.

Program

CZĘŚĆ I – Planowanie zakresu wewnętrznego audytu

  • Regulacje RODO, a szczególne (lokalne) przepisy prawa mające wpływ na zasady przetwarzania danych osobowych (np. Kodeks pracy, regulacje sektorowe, przepisy podatkowe i z zakresu rachunkowości)
  • Uwzględnienie specyfiki obszarów biznesowych i administracyjnych objętych audytem
  • HR, sprzedaż, marketing, administracja,
  • obsługa klienta, działy reklamacji, windykacji,
  • obszar prawny i compliance,
  • facility management, bezpieczeństwo fizyczne i monitoring wizyjny

CZĘŚĆ II – Tworzenie zespołu audytowego

  • Członkowie zespołu audytowego – IOD, IT, przedstawiciel obszaru prawnego / compliance, wewnętrzny audytor, a może ktoś inny?
  • Budowanie zespołu audytowego – role, ustalanie wzajemnych relacji i podział zadań

CZĘŚĆ III – Komunikacja wewnętrzna dotycząca planowanego audytu

  • Spotkanie otwierające projekt audytowy z kadrą kierowniczą
  • Harmonogram prac audytowych
  • Informacja wewnętrzna do pracowników dotycząca planowanego audytu i jego etapów

CZĘŚĆ IV – Kluczowe obszary wymagań RODO, jakie należy objąć weryfikacją

  • Podstawowe zasady dotyczące przetwarzania danych osobowych (art. 5 RODO)
  • zgodność z prawem, przejrzystość i rzetelność,
  • ograniczenie celu, minimalizacja danych, prawidłowość danych,
  • zasady retencji danych (ograniczenie przechowywania), rozliczalność
  • Realizacja obowiązku informacyjnego wobec podmiotów danych oraz gotowość do udzielania odpowiedzi na żądania podmiotów  danych - przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą   (art. 12-22 RODO)
  • stosowane polityki informacyjne oraz sposób ich przekazywania do wiadomości podmiotu danych
  • rozwiązania przyjęte w zakresie odpowiadania na żądania podmiotów danych
  • prawo dostępu do danych osobowych, w tym prawo żądania uzyskania kopii przetwarzanych danych
  • prawo do sprostowania danych
  • prawo do usunięcia danych („prawo do bycia zapomnianym”)
  • prawo do ograniczenia przetwarzania
  • prawo do przenoszenia danych
  • prawo do sprzeciwu na przetwarzanie danych i związane z tym obowiązki administratora danych
  • zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie danych
  • Gotowość organizacji do uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych (privacy by   desing i privacy by default)
  • Szczególne wymagania wobec współpracy ze współadministratorami oraz podmiotami przetwarzającymi dane na zlecenie (art. 28 RODO)
  • umowy powierzenia przetwarzania danych osobowych
  • porozumienia w zakresie współadministrowania danymi
  • klauzule udostępniania danych oraz klauzule poufności
  • Weryfikacja wymagań prawnych związanych z nadzorem nad czynnościami przetwarzania danych:
  • przetwarzanie danych z upoważnienia administratora danych 
  • prowadzenie rejestru czynności przetwarzania danych oraz rejestru kategorii czynności powierzonych do przetwarzania
  • Weryfikacja wymagań związanych z bezpieczeństwem przetwarzanych danych  osobowych oraz reagowaniem na incydenty
  • weryfikacja aktualnie stosowanych środków bezpieczeństwa 
  • przeprowadzanie analizy ryzyka i wybór właściwych zabezpieczeń
  • monitorowanie naruszeń ochrony danych, ustalanie ich okoliczności i przyczyn
  • zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu oraz informowanie podmiotów danych
  • Przeprowadzanie oceny skutków dla ochrony danych (Privacy Impact Assessment)
  • klasyfikacja operacji przetwarzania danych podlegających obowiązkowi przeprowadzenia PIA
  • dostępne narzędzia w celu przeprowadzenia PIA
  • świadomość personelu o obowiązku zgłaszania planowanych operacji przetwarzania do przeprowadzenia oceny skutków dla ochrony danych
  • Przekazywanie danych osobowych do państw trzecich
  • przekazywanie danych na podstawie decyzji stwierdzającej odpowiedni stopień ochrony
  • przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń
  • przekazywanie danych w oparciu o wiążące reguły korporacyjne (Binding Corporate Rules – BCR)
  • tzw. szczególne sytuacje przekazywania danych
  • Obowiązek wyznaczenia Inspektora Ochrony Danych (IOD)
  • przypadki obligatoryjnego wyznaczenia Inspektora Ochrony Danych
  • zasady szacowania skali przetwarzania danych jako kryterium do ustalenia obowiązku wyznaczenia IOD’a
  • wymagania wobec IOD w zakresie kompetencji i wiedzy
  • wymagania w zakresie zapewnienia wymaganego statusu funkcji IOD (podległość pod najwyższą kadrę kierowniczą, niezależność, włączanie we wszelkie sprawy związane z ochroną danych osobowych, konflikt interesów i zakres realizowanych zadań)

CZĘŚĆ V – Sposób przeprowadzania audytu

  • Analiza wewnętrznej dokumentacji i istniejących procedur
  • rodzaje dokumentów wymagających weryfikacji
  • Badania ankietowe
  • rodzaje ankiet audytowych oraz propozycje pytań ankietowych
  • Wywiady z pracownikami
  • zasady typowania pracowników do wywiadów
  • sposób przeprowadzania rozmowy z pracownikiem
  • dokumentowanie ustaleń ze spotkania
  • Wizje lokalne
  • obszary wymagające szczególnej weryfikacji
  • elementy, na które należy zwrócić szczególną uwagę

CZĘŚĆ VI - Dokumentowanie wyników przeprowadzonego audytu

  • Raport lub sprawozdanie z audytu – wymagane elementy
  • opis stanu faktycznego stwierdzonego podczas audytu
  • stwierdzone nieprawidłowości
  • rekomendacje naprawcze
  • ustalenie priorytetu rekomendacji biorąc pod uwagę dostępne zasoby w organizacji  i ryzyko odpowiedzialności prawnej
  • Zestawienie rekomendacji z audytu w postaci planu działań naprawczych

Korzyści

przedstawienie w jaki sposób należy przygotować się do prowadzenia audytu – ustalenie obszaru badań i norm prawnych stanowiących punkt odniesienia (RODO, regulacje sektorowe), budowanie zespołu audytowego, komunikacja wewnętrzna w sprawie audytu

opracowanie wzorów dokumentów stanowiących narzędzia pracy audytora – ankiety audytowe, zestawienia dokumentów do analizy, notatki z przeprowadzonych spotkań, prezentacje dotyczące projektu audytowego dla kadry kierowniczej, treści komunikatów dla pracowników dotyczące planowanego audytu

poznanie metodologii prowadzenia audytów zgodności z wymaganiami z zakresu ochrony danych osobowych

omówienie krok po kroku kluczowych etapów prac audytowych

Ekspert

Jakub Wezgraj
Jakub Wezgraj

Radca prawny, ekspert w dziedzinie ochrony danych osobowych, partner zarządzający kancelarii „ODOekspert” specjalizującej się w tematyce ochrony danych osobowych. Dotychczas zrealizował ponad 200 projektów audytowych i wdrożeniowych w obszarze ochrony danych osobowych między innymi na rzecz podmiotów z branży ubezpieczeniowej, leasingowej, faktoringowej, bankowej, nowych technologii, energetycznej, przemysłu ciężkiego, medycznej, telekomunikacyjnej, motoryzacyjnej, produkcyjnej oraz administracji publicznej. Pełnił funkcję Administratora Bezpieczeństwa Informacji w kilkunastu podmiotach z różnych sektorów rynku. Realizował szkolenia i warsztaty dotyczące ochrony danych osobowych m.in. dla kadry kierowniczej Komisji Nadzoru Finansowego, Agencji Rozwoju Przemysłu S.A., Rządowego Centrum Bezpieczeństwa, KRUS, Zakładu Emerytalno – Rentowego MSW, a także szkolenia zamknięte i otwarte na rzecz polskich i międzynarodowych przedsiębiorstw. W jego szkoleniach dotychczas uczestniczyło ponad 5000 osób. Jest autorem ponad 150 eksperckich warsztatów rozwoju kompetencji Administratorów Bezpieczeństwa Informacji oraz osób zawodowo zajmujących się tematyką ochrony danych osobowych. Autor książki „Zawód – Administrator Bezpieczeństwa Informacji” dostępnej w wersji elektronicznej na stronie internetowej kancelarii (www.odoekspert.pl). Udziela wypowiedzi jako ekspert ds. bezpieczeństwa informacji dla Wiadomości TVP 1, TVN oraz Programu Pierwszego Polskiego Radia. Pełni również rolę eksperta prawnego w zespole Cyberbezpieczeństwa Fundacji im. Kazimierza Pułaskiego, a także eksperta ds. ochrony danych osobowych w Forum Compliance

czytaj więcej

Informacje organizacyjne

paź24
2 dni
paź25
Warszawa
DZIEŃ 1: 10:00 - 16:00
DZIEŃ 2: 09:00 - 15:00
Sala Stacja Wiedzy, ul. Kolejowa 47 lok. U-23
Sprawdź lokalizację
Po 17 października 2019
1390zł+ 23% VAT
Cena obejmuje:
Udział w szkoleniu oraz indwyidualne konsultacje z ekspertem
Lunch i nielimitowany serwis kawowy
Materiały szkoleniowe
Certyfikat potwierdzający udział
Możliwość zwolnienia z VAT
Nie czekaj, zgłoś się na szkolenie już dziś!
zapisz się

Dostępne terminy

Korzystanie z witryny oznacza zgodę na wykorzystywanie plików cookies. Zamknij