Szkolenia z RODO

Dla kogo jest przeznaczone szkolenie organizowane przez naszą Kancelarię?

Obowiązek stosowania przepisów RODO dotyczy wszystkich przedsiębiorców, bez względu na branżę w jakiej funkcjonują oraz skalę prowadzenia biznesu. Dlatego szkolenie z zakresu RODO kierujemy do wszystkich firm, które potrzebują zoptymalizować obszar ochrony danych osobowych w swojej działalności lub potrzebują lepiej go zrozumieć.

Przeprowadzenie szkolenia w szczególności rekomendujemy firmom, które w swojej codziennej praktyce przetwarzają znaczne ilości danych osobowych, w tym informacje wrażliwe. Są one obciążone większą ilością obowiązków w tym zakresie i częściej przyciągają uwagę mediów. Z tego względu udział w spotkaniu zalecamy przede wszystkim przedsiębiorcom działającym w branży:

• Branża IT i technologiczna
• E-commerce i sprzedaż internetowa
• Marketing, reklama i agencje digital
• Ochrona zdrowia i branża medyczna
• Finanse, bankowość i ubezpieczenia
• Prawo, doradztwo i usługi profesjonalne
• Edukacja i szkolenia
• Media i działalność online
• Outsourcing usług (HR, IT, księgowość)
• Start-upy i firmy innowacyjne

Szkolenie RODO kierujemy również do osób, które pełnią funkcję Inspektora Ochrony Danych lub planują zmianę kariery w tym kierunku.

We wszystkich tych przypadkach doskonała znajomość przepisów rozporządzenia, ale także praktyczna umiejętność ich stosowania jest kluczowa dla zgodnego z prawem przetwarzania danych i podejmowania trafnych decyzji w zakresie ochrony danych osobowych.

Szkolenie jest prowadzone przez praktyków z wieloletnim stażem. Nasi prawnicy od lat obsługują jako IOD wiele firm z różnych branż i biorą czynny udział w kontrolach prowadzonych przez PUODO. Doradzają również w zakresie zmian strukturalnych i proceduralnych tak, aby przedsiębiorstwa zawsze działały w zgodzie z przepisami prawa.

Naszym słuchaczom przekazujemy nie tylko teorię, ale przede wszystkim praktyczne informacje poparte przykładami. Dzięki temu wiedza zdobyta podczas szkolenia z zakresu RODO może być wykorzystana do zwiększenia bezpieczeństwa i poprawy produktywności w zakładzie.

Jakie zagadnienia obejmuje szkolenie z zakresu RODO?

Program szkolenia

RODO w praktyce – bezpieczne przetwarzanie danych w firmie

1. RODO w realiach biznesowych – co naprawdę ma znaczenie

• Gdzie w firmach najczęściej „łamie się” RODO
• Jak myślą organy kontrolne (PUODO) – na co zwracają uwagę w pierwszej kolejności
• Odpowiedzialność zarządu, managerów i IOD w praktyce
• Najczęstsze błędy ujawniane w trakcie kontroli i audytów

2. Dane osobowe w praktyce operacyjnej firmy

• Jakie dane w firmie realnie podlegają RODO, a jakie nie
• Dane zwykłe vs dane szczególne – jak odróżnić w praktyce
• Dane pracowników, klientów, kontrahentów, leadów marketingowych
• Przetwarzanie danych „przy okazji” (monitoring, e-mail, CRM, HR, IT)

3. Legalność przetwarzania – jak dobrać właściwą podstawę

• Zgoda – kiedy jest błędem, a kiedy koniecznością
• Umowa, obowiązek prawny, prawnie uzasadniony interes – praktyczne zastosowanie
• Najczęstsze błędy przy zgodach marketingowych
• Jak dokumentować podstawę przetwarzania na potrzeby kontroli

4. Zasady RODO „od strony kontroli”

• Minimalizacja danych – jak nie zbierać za dużo
• Retencja – jak długo dane mogą być przechowywane
• Dostęp do danych i upoważnienia w organizacji
• Zasada rozliczalności – jak się obronić, a nie jak „ładnie opisać”

5. Rola IOD i compliance RODO w firmie

• Kiedy IOD jest naprawdę potrzebny
• Co IOD powinien robić na co dzień, a czego nie musi
• IOD wewnętrzny vs outsourcing – ryzyka i korzyści
• Współpraca IOD z zarządem i działami operacyjnymi

6. Prawa osób, których dane dotyczą – obsługa wniosków w praktyce

• Jak obsługiwać wnioski o dostęp, usunięcie, sprzeciw
• Terminy i procedury – gdzie firmy najczęściej popełniają błędy
• Odmowa realizacji wniosku – kiedy jest dopuszczalna
• Jak przygotować firmę na „masowe” wnioski

7. Umowy i relacje z podmiotami zewnętrznymi

• Umowa powierzenia – jak sprawdzić, czy jest poprawna
• Najczęstsze błędy w umowach z:
  • biurami rachunkowymi,
  • firmami IT,
  • agencjami marketingowymi,
  • dostawcami systemów chmurowych
• Udostępnianie danych – kiedy jest nielegalne
• Przekazywanie danych poza UE – jak robić to bezpiecznie

8. Profilowanie i marketing – jak robić to zgodnie z RODO

• Profilowanie w CRM, e-commerce i marketingu
• Kiedy potrzebna jest zgoda, a kiedy nie
• Automatyczne podejmowanie decyzji – realne ryzyka
• Jak przygotować dokumentację bez „papierologii”

9. Ocena ryzyka i DPIA – podejście praktyczne

• Kiedy ocena ryzyka jest obowiązkowa, a kiedy zbędna
• DPIA – jak ją zrobić „rozsądnie”, a nie książkowo
• Najczęstsze procesy wymagające DPIA
• Dokumentowanie ryzyka na potrzeby PUODO

10. Naruszenia RODO i incydenty

• Co jest naruszeniem, a co jeszcze nie
• 72 godziny – jak działać krok po kroku
• Kiedy zgłaszać do PUODO, a kiedy nie
• Komunikacja z osobami, których dane dotyczą
• Jak ograniczyć odpowiedzialność finansową i reputacyjną

11. Audyt RODO – jak przygotować firmę

• Jak wygląda kontrola PUODO w praktyce
• Jakie dokumenty są sprawdzane w pierwszej kolejności
• Audyt wewnętrzny vs audyt zewnętrzny
• Działania poaudytowe – co naprawdę trzeba poprawić

12. Case studies i warsztat praktyczny

• Analiza realnych naruszeń i decyzji PUODO
• Przykłady kar i sposobów obrony
• Checklisty wdrożeniowe dla firm
• Sesja pytań i odpowiedzi

Pojęcia i konstrukcje z zakresu prawa ochrony danych osobowych

Przepisy RODO opierają się na danych osobowych. Pod tym pojęciem należy rozumieć wszelkie informacja dotyczącej zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osoby fizycznej. Danymi osobowymi są też informacje, które pozwalają na identyfikację dopiero po ich połączeniu. Rozporządzenie rozróżnia dwa rodzaje danych, zwykłe oraz szczególne. Do danych zwykłych zalicza się m.in.:

• imię i nazwisko;
• dane o lokalizacji;
• adres e-mail;
• adres zamieszkania.

Z kolei dane szczególne to informacje o wyjątkowym znaczeniu dla danej osoby, takie jak:

• dane genetyczne;
• dane biometryczne;
• dane o pochodzeniu etnicznym lub rasowym;
• zdrowie.

Umiejętność rozróżnienia danych pozwala zastosować odpowiednie metody ich przetwarzania. We wstępnej części szkolenia zajmujemy się takimi zagadnieniami jak:

• czym są dane osobowe;
• rodzaje danych osobowych;
• podstawy przetwarzania danych;
• przetwarzanie danych osobowych;
• odpowiedzialność za przetwarzanie danych;
• powierzenie przetwarzania danych osobowych;
• podmioty zobowiązane do stosowania RODO

Zasady przetwarzania danych osobowych

Przetwarzania danych osobowych powinno odbywać z zachowaniem zasad opisanych w rozporządzeniu. Tylko to gwarantuje pełną transparentność procesu w razie kontroli administracyjnej i jednocześnie zgodność z prawem. Jedną z reguł, która budzi najwięcej kontrowersji, jest tzw. zasada rozliczalności. Nakłada ona na administratora danych ciężar dowodowy wykazania przestrzegania wewnętrznych procedur, zasad i podstaw przetwarzania w sposób zgodny z obowiązującymi przepisami. Jest to kluczowe zarówno w stosunku do podmiotu przetwarzającego dane, jak i organu kontrolującego. Od dochowania zasady rozliczalności może zależeć odpowiedzialność finansowa za naruszenie przepisów rozporządzenia. Podczas spotkania omawiamy takie reguły przetwarzania danych osobowych, jak:

• zasada legalności;
• zasada rzetelności;
• zasada przejrzystości;
• zasada minimalizacji przetwarzania danych osobowych;
• zasada celowości;
• zasada prawidłowości;
• zasada retencji danych;
• zasada integralności i poufności danych;
• zasada rozliczalności.

Rola i zadania Inspektora Ochrony Danych w organizacji

Część podmiotów stosujących RODO (m.in. instytucje publiczne oraz firmy przetwarzające duże ilości danych wrażliwych) ma obowiązek powołania Inspektora Ochrony Danych (IOD). Jego zadaniem jest bieżąca pomoc przy stosowaniu przepisów i wdrażaniu ich na potrzeby konkretnej firmy oraz monitorowanie prawidłowości i sugerowanie zmian w zakresie wewnętrznych procedur. IOD nie ponosi odpowiedzialność za prawidłowość stosowania RODO, ale powinien wskazywać skuteczne i bezpieczne rozwiązania, które na to pozwalają.

Funkcję IOD może pełnić zarówno pracownik instytucji zobowiązanej do stosowania przepisów, jak i firma zewnętrzna działająca na zasadzie outsourcingu. Omawiając instytucję IOD omawiamy takie zagadnienia jak:

• podmioty zobowiązanie do powołania IOD;
• zakres obowiązków i odpowiedzialność IOD;
• wyznaczenie IOD;
• poinformowanie pracowników oraz organu nadzoru o powołaniu IOD;
• identyfikacja procesów przetwarzania danych osobowych; i ich dokumentowanie;
• współpraca IOD z organem nadzorczym.

Prawa osób, których dane dotyczą

Wykonywanie obowiązków w zakresie przetwarzania danych wymaga przestrzegania praw osób, których dane są poddawane procesowaniu. Rozporządzenie wprowadza szeroki katalog uprawnień i ważne jest, aby podmiot przetwarzający dane potrafił rozróżnić poszczególne przywileje. W przypadku naruszenia osoba, której prawa zostały naruszone może zgłosić incydent do PUODO, który podejmie działania wyjaśniające. W przypadku ustalenia, że rzeczywiście doszło do uchybienia, może nałożyć na podmiot karę za naruszenie. W toku szkolenia omawiamy takie zagadnienia jak:

• prawo dostępu do danych;
• prawo do sprostowania danych;
• prawo do bycia zapomnianym;
• prawo do ograniczenia przetwarzania danych;
• prawo do przenoszenia danych;
• prawo do sprzeciwu;
• prawo do niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu.

Umowy dotyczące danych osobowych

Przepisy rozporządzenia RODO dopuszczają możliwość udostępnienia danych lub powierzenia ich przetwarzania innemu podmiotowi. W pierwszym przypadku dochodzi do przekazania danych innemu administratorowi. Powierzenie polega na umocowaniu podmiotu trzeciego do przetwarzania danych w jego imieniu.

Zarówno udostępnienie, jak i powierzenie danych jest dokonywane na podstawie umowy, której warunki powinny dokładnie określać zakres przekazanych danych oraz inne elementy. Udostępnienie wymaga dodatkowo spełnienia przynajmniej jednej z przesłanek legalizujących. Podczas szkolenia omawiamy praktyczne aspekty takich zagadnień jak:

• rola administratora danych osobowych oraz procesora;
• podstawy udostępnienia danych osobowych;
• umowa o przetwarzanie danych osobowych;
• warunki przekazania danych osobowych do państw trzecich.

Profilowanie zgodne z RODO

W RODO pojawia się również definicja profilowania. Polega ono na zautomatyzowanym przetwarzaniu danych osobowych, które wykorzystuje algorytmy w celu oceny czynników osobowych takich jak zainteresowania, stan zdrowia lub sytuacja ekonomiczna. W praktyce wyróżnia się profilowanie zwykłe oraz kwalifikowane.

Profilowanie zwykłe nie wymaga udzielenia zgody przez osobę poddaną analizie danych osobowych. W przypadku profilowania kwalifikowanego decyzja jest podejmowana w pełni automatycznie (bez czynnika ludzkiego) i wywiera skutki prawne lub w inny istotny sposób wpływa na daną osobę. Wdrożenie systemów profilujących zawsze powinno być realizowane z dużą dozą ostrożności. W tym bloku szkolenia omawiamy m.in.:

• profilowanie zwykłe;
• profilowanie kwalifikowane;
• profilowanie a wyrażenie zgody przez osobę, która jest nim objęta;
• profilowanie a ocena DPIA.

Szacowanie ryzyka i zarządzanie nim

Każdy administrator danych ma obowiązek dokonywania oceny ryzyka, jakie przetwarzanie danych może wywrzeć na sytuację danej osoby, tzw. PIA (ang. Privacy Impact Assessment). RODO nie określa metodyki takiej oceny, ale w praktyce często stosuje się odpowiednie normy ISO. W określonych sytuacjach oprócz ogólnej oceny PIA pojawia się również konieczność wdrożenia poszerzonej oceny ryzyka, tzw. DPIA (ang. Data Privacy Impact Assessment). Taka konieczność pojawia się m.in. w sytuacji, gdy istnieje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Szkolenie w tym zakresie jest poświęcone:

• wymaganiom RODO dotyczącym szacowania ryzyka (PIA oraz DPIA);
• inwentaryzacji aktywów;
• identyfikacji i ocenie zagrożeń oraz podatności;
• ocenie skutków;
• ocenie prawdopodobieństwa wystąpienia zagrożenia;
• kryteria ryzyka;
• dokumentacji DPIA.

Audyt w RODO

Audyt w zakresie ochrony danych osobowych służy do oceny prawidłowości wdrożonych rozwiązań w kontekście procedur stosowanych w firmie. Może być przeprowadzony zarówno przez pracowników administratora, jak i firmę zewnętrzną w ramach outsourcingu RODO. Audyty RODO zwykle dzieli się na wstępne oraz powdrożeniowe, które pozwalają na ocenę skutków wprowadzonych zmian.

Celem audytu jest nie tylko ocena zgodności, ale przede wszystkim znalezienie elementów wymagających poprawy lub unowocześnienia. W zakresie audytów RODO omawiamy takie zagadnienia jak:

• proces audytu;
• etapy i przebieg audytu;
• raport z audytu;
• działania poaudytowe.

Ukończenie szkolenia z RODO pozwoli na bezpieczne wdrożenie i stosowanie norm rozporządzenia. Wszystkie podmioty zainteresowane spotkaniem zapraszamy do kontaktu. Niezwłocznie prześlemy ofertę zawierającą wszystkie szczegóły.