Špecialista DPO - kurz pre zodpovedné osoby

Verlag Dashöfer, s.r.o.

Popis kurzu

Obsah kurzu

1. deň školenie (najčastejšie „problémy“, s ktorými DPO prichádzajú do styku): AK Motúzová & Lacko, (9.00 – 14.00)

• zodpovedná osoba – potreba jej „vymenovania“; akú zmluvu je potrebné uzatvoriť; čo má táto zmluva obsahovať
• základné práva a povinnosti zodpovedných osôb – postavenie zodpovednej osoby; poradenstvo; monitorovanie
• zodpovedná osoba a konflikt záujmov – aké podmienky musí spĺňať zodpovedná osoba a kto nemôže byť určený za zodpovednú osobu
• informovanie dotknutých osôb – akým spôsobom si splniť túto povinnosť; ako informovať zákazníkov/klientov
• realizácia práv dotknutých osôb – aký postup prijať pri riešení žiadostí dotknutých osôb; akým spôsobom ho zadokumentovať
• oznamovacia povinnosť voči dozornému orgánu a voči dotknutým osobám v prípade porušenia ochrany osobných údajov – akú dokumentáciu je vhodné pripraviť; ako stanoviť, či porušenie pravdepodobne povedie k riziku (resp. veľkému riziku) pre práva a slobody dotknutých osôb
• otázky a diskusia

2. deň školenie: Tomáš Hettych, IT & Security Consultant, Ratio Services s.r.o., (9.00 – 14.00)

• informačná bezpečnosť a ochrana údajov
• základné pojmy informačnej bezpečnosti
  • informácie, dáta, aktíva
  • zraniteľnosť, hrozba, riziko
  • dôvernosť, celistvosť, dostupnosť
  • incident, kríza, kontinuita
• posúdenie stavu, návrh opatrení, implementácia, riziká
  • analýza procesov a hrozieb
  • pravdepodobnosť, dopad
  • riadenie rizík
  • technické a organizačné bezpečnostné opatrenia
  • dokumentácia
• technický pohľad
  • anonymizácia, pseudonymizácia
  • šifrovanie, riadenie prístupov
  • zálohovanie,
• Súvisiace ISO normy a Best practice
  • prehľad noriem a štandardov informačnej bezpečnosti
  • praktické využitie

workshop:

• analýza súladu – praktické cvičenie
  • dotazník technických a organizačných opatrení
  • dotazník súladu voči GDPR
• analýza rizík – praktické cvičenie
  • dotazník podľa ISO 27001
  • modelovanie procesov a hrozieb
• plán súladu – praktické cvičenie
  • technické a organizačné bezpečnostné opatrenia
  • dokumentácia
• príprava implementácie – praktické cvičenie
• audit a dokumentácia – cvičenie

3. deň workshop (založený na praktických príkladoch a spoločnom riešení problémov): AK Motúzová & Lacko, (9.00 – 16.00)

• základné zásady GDPR – aká je ich praktická aplikácia
• právne základy pre spracúvanie osobných údajov – výber správneho právneho základu; podmienky; súvisiace povinnosti; súhlas ako špecifický právny základ
• anonymizácia, pseudonymizácia, šifrovanie – právny pohľad; akým spôsobom môžu byť pre splnenie povinností nápomocné
• ochrana osobných údajov a zamestnanci – informovanie zamestnancov o spracovaní ich osobných údajov; poučenia relevantných osôb a súvisiace pokyny
• prevádzkovateľ / sprostredkovateľ / iný príjemca – akým spôsobom určiť kto je kto?
• zmluva (resp. doložka) so sprostredkovateľom - čo musí obsahovať; dohoda o mlčanlivosti
• záznamy o spracovateľských činnostiach – aký má byť ich obsah?
• vyhodnocovanie rizík pre práva a slobody dotknutých osôb v prípade porušenia ochrany údajov – modelové príklady vyhodnocovania rizík a ich výpočet
• identifikácia kľúčovej dokumentácie v organizácii - ako zistiť, akú dokumentáciu potrebujem
• identifikácia najčastejších chýb v GDPR dokumentácii
• splnenie informačnej povinnosti – praktické cvičenie
• existencia oprávneného záujmu a príprava balančného testu – príklady balančných testov

Doporučené čítanie pred školením:

1. Povinne: Zákon č. 18/2018 o ochrane osobných údajov
2. Nariadenie GDPR
3. Metodické usmernenie ÚOOÚ č. 2/2018 - Zákonnosť spracúvania
4. Vzor záznamov o spracovateľských činnostiach (ÚOOÚ)
5. Usmernenie WP29 (č. 243) týkajúce sa zodpovedných osôb
6. Usmernenie WP29 (č. 250) týkajúce sa ohlasovania prípadov porušenia zabezpečenia osobných údajov
7. Voliteľne: ISO 27001
8. Metodológia posudzovania závažnosti porušenia ochrany údajov vypracovaná agentúrou ENISA

Cieľová skupina

Kurz je určený DPO pracovníkom a osobám, ktoré v budúcnosti budú pozíciu zodpovednej osoby vykonávať. Podľa nariadenia GDPR môže byť zodpovedná osoba zamestnanec podniku, alebo zodpovedná osoba určená pre skupinu podnikov. Kto má povinnosť mať zodpovednú osobu: orgány verejnej moci (ministerstvá, úrady atď.) a verejnoprávne subjekty (obce, školy, nemocnice atď.) s výnimkou súdov pri výkone ich právomocí, prevádzkovatelia a sprostredkovatelia, ktorých hlavnou činnosťou sú sprostredkovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, prevádzkovatelia a sprostredkovatelia, ktorých hlavnou činnosťou je spracúvanie osobitných kategórií údajov vo veľkom rozsahu či spracúvanie osobných údajov, ktoré sa týkajú uznania viny za trestné činnosti a priestupky, prevádzkovatelia, pri ktorých sa stanoví zvláštny právny predpis. Zodpovedná osoba má zabezpečovať: aby sa osobné údaje spracovávali s rešpektom a v súlade so zákonmi o ochrane súkromia, aby mala organizácia v poriadku dokumentáciu a aby dokumentácia bola priebežné aktualizovaná, DPO je hlavným kontaktom pre orgán na ochranu osobných údajov.

Hodnotenie