Szkolenie: Ochrona danych osobowych w kontekście Krajowych Ram Interoperacyjności (KRI) w jednostce organizacyjnej z uwzględnieniem najnowszych zmian

Istnieje możliwość negocjacji ceny przy większej ilości zgłoszonych osób.

Uczestnicy otrzymują certyfikat ukończenia szkolenia oraz

ZAŚWIADCZENIE POTWIERDZAJĄCE NABYTE UMIEJĘTNOŚCI

Cena obejmuje

- udział w 1-dniowych autorskich warsztatach

- lunch

- serwis kawowy

- zaświadczenia ukończenia szkolenia

- pakiet materiałów szkoleniowych

Dla kogo?

Szkolenie kierowane jest do najszerszej grupy Administratorów Danych Osobowych (ADO) Wójtów, Burmistrzów, Prezydentów Miast, Starostów, Marszałków Województw, Dyrektorów szkół, przedszkoli, zespołów szkół, Dyrektorów WUP, PUP, CKU, ZDZ, ROPS, PCPR, MOPS, GOPS, DPS) oraz do osób, które pełnią funkcje Administratorów Bezpieczeństwa Informacji (ABI), Administratorów Systemów Informatycznych (ASI) oraz do osób, które w codziennej pracy są zobowiązane do ochrony danych osobowych, ochrony informacji czy też przeprowadzania wewnętrznych audytów bezpieczeństwa informacji.

Szkolenie prowadzi

Sebastian Szczerba radca prawny (PZ-KN-2700/09), audytor wiodący (Lead Auditor) SZBI wg normy PN-ISO/IEC 27001:2007, Certyfikat IRCA No.: A17242/2011/194, od 2004 r. pełni funkcję Administratora Bezpieczeństwa Informacji (ABI) w spółce komunalnej branży wodociągowo kanalizacyjnej, wykładowca Akademii Górniczo Hutniczej w Krakowie, Wyższej Szkoły Informatyki Stosowanej i Zarządzania WIT w Warszawie, Wyższej Szkoły Administracji Publicznej w Szczecinie. W ramach swojej kancelarii przeprowadził liczne szkolenia dla pracowników spółek komunalnych z zakresu bezpiecznego przetwarzania danych osobowych oraz bezpieczeństwa informacji, świadczy również usługi szkoleniowo doradcze oraz audytingowe z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych w szeroko pojętym biznesie.

Cele i korzyści ze szkolenia

Szkolenie ma na celu przybliżenie/zaktualizowanie problematyki prawidłowej ochrony danych osobowych/bezpieczeństwa informacji oraz przeprowadzania w jednostce organizacyjnej wewnętrznych audytów w zakresie bezpieczeństwa informacji.

Tematyka

Podstawy prawne dotyczące ochrony danych osobowych oraz bezpieczeństwa informacji po nowelizacji (tj. po 01.01.2015r.):

1) ustawa z dnia 07.11.2014r. o ułatwieniu wykonywania działalności gospodarczej (Dz. U. z 2014 r. poz. 1662) ustawa deregulacyjna (art. 9 w zw. z art. 35-36 ustawy deregulacyjnej),

2) ustawa z dnia 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182) uodo

3) ustawa z dnia 17.02.2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2013 r. poz. 235 ze zm.) - uidprzp,

4) rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10.12.2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. z 2014 r. poz. 1934) - rozporządzenie zgłoszeniowe,

5) rozporządzenie Ministra Administracji i Cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych - rozporządzenie rejestracyjne,

6) rozporządzenie Ministra Administracji i Cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych - rozporządzenie kontrolne,

7) rozporządzenie Rady Ministrów z dnia 12.04.2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r. poz. 526 ze zm.) - rozporządzenie KRI.

8) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100 poz. 1024) - rozporządzenie techniczne.

A. Ochrona danych osobowych po nowelizacji, które weszła w życie z dniem 01.01.2015 r.

1. Najważniejsze zmiany w ochronie danych osobowych, istotne z punktu widzenia prawidłowego funkcjonowania ADO.

2. Podstawowe prawa i obowiązki osób upoważnionych do przetwarzania danych osobowych po nowelizacji wprowadzonej ustawą deregulacyjną.

3. Nowe prawa i obowiązki ABI w kontekście dodanych art. 36a 36c uodo oraz wymagań rozporządzenia kontrolnego:

a) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

- sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla ADO,

- nadzorowanie opracowania i aktualizowania dokumentacji bezpieczeństwa przetwarzania danych osobowych (PBI, IZSI, upoważnienia, oświadczenia, ewidencja, rejestry zbiorów danych osobowych) oraz przestrzegania zasad w niej określonych,

- zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

b) prowadzenie rejestru zbiorów danych przetwarzanych przez ADO.

4. Zapewnianie przez ADO środków organizacyjnych oraz technicznych jak również organizacyjnej odrębności ABI. Bezpośrednia podległość ABI względem ADO praktyczne konsekwencje zmian wprowadzonych ustawą deregulacyjną.

5. Nowe prawa i obowiązki dla ADO, który nie powołał w swoich strukturach ABI, zgodnie z wymaganiami rozporządzenia zgłoszeniowego.

6. Podstawowe elementy sprawozdania sporządzanego w wyniku dokonania sprawdzenia przez ABI zgodności przetwarzania danych osobowych z przepisami uodo:

a) rodzaje sprawdzeń dokonywanych na potrzeby ADO i/lub GIODO,

b) plan sprawdzeń,

c) program sprawdzenia,

d) dokumentowanie czynności dokonywanych w wyniku sprawdzenia (notatka, protokół, kopia obrazu, zapisu),

e) pierwszy plan sprawdzeń - 30.04.2015 r.

7. Nowe obowiązki dotyczące rejestracji zbiorów danych osobowych sensytywnych tradycyjnych papierowych oraz informatycznych elektronicznych w GIODO oraz zwolnienia w zakresie rejestracji zbiorów danych osobowych tzw. zwykłych.

8. Status dotychczasowych ABI w kontekście art. 35 ustawy deregulacyjnej.

9. Wzory zgłoszeń powołania oraz odwołania administratora bezpieczeństwa informacji w kontekście wymagań rozporządzenia zgłoszeniowego.

10. Wzory rejestrów zbiorów danych osobowych prowadzonych przez ABI w kontekście wymagań rozporządzenia rejestracyjnego.

11. Rodzaje decyzji GIODO związanych z powołaniem i odwołaniem ABI przez ADO po nowelizacji uodo.

12. Przekazywanie danych osobowych do państwa trzeciego w kontekście nowelizacji art. 48 uodo.

13. Wymóg uznawania za spełniony wymagań dotyczących sprawdzeń oraz nadzoru nad dokumentacją przetwarzania danych jeżeli ADO wdrożył u siebie SZBI wg. PN-ISO/IEC 27001 a osobą wykonującą czynności jest ABI.

14. Audyt wewnętrzny w zakresie bezpieczeństwa informacji, przeprowadzany przez podmiot publiczny, zgodnie z regułami KRI a sprawdzenie i nadzór nad dokumentacją bezpieczeństwa przetwarzania danych, o którym mowa w rozporządzeniu kontrolnym.

15. Obowiązek wskazania przez ADO, który nie powołała w swoich strukturach ABI osobę wykonującą czynności lub opracowującą dokumenty określone w rozporządzeniu kontrolnym.

B. Krajowe Ramy Interoperacyjności po nowelizacji, która wejdzie w życie z dniem 31.05.2015 r.

1. Wewnętrzna dokumentacja bezpieczeństwa informacji (DBI) w zgodności z 20 rozporządzenia KRI obowiązująca w jednostce organizacyjnej (TECZKA ABI - DBI WG. KRI):

a) Polityka Bezpieczeństwa Informacji (PBI) opracowana w zgodności z wymaganiami PN-ISO/IEC 27001, PN-ISO/IEC 17799, PN-ISO/IEC 27005, PN-ISO/IEC 24762,

b) Metodyka szacowania ryzyka (MSR) wraz z okresowymi przeglądami ryzyka (OPR), opracowanymi w zgodności z wymaganiami PN-ISO/IEC 27005,

c) Plan Postępowania z Ryzykiem (PPZR) opracowany w zgodności z wymaganiami PN-ISO/IEC 27005,

d) Polityka Bezpieczeństwa Danych Osobowych (PBDO) opracowana w zgodności z wymaganiami PN-ISO/IEC 27001 oraz rozporządzenia technicznego,

e) Instrukcja Zarządzania Systemem Informatycznym/Teleinformatycznym (IZSI) opracowana w zgodności z wymaganiami PN-ISO/IEC 17799 oraz rozporządzenia technicznego,

f) Instrukcja Postępowania w Sytuacji Naruszenia Bezpieczeństwa Informacji (IPNBI),

g) Instrukcja Klasyfikacji Informacji (IKI) opracowana w zgodności z wymaganiami PN-ISO/IEC 27001, PN-ISO/IEC 17799,

h) Umowa/klauzula powierzenia przetwarzania danych osobowych/informacji, w tym obowiązki podmiotu przetwarzającego dane osobowe (UMOWA/KLAUZULA POWIERZENIA ADO PROCESSOR WG. KRI),

i) Upoważnienie/uprawnienie do przetwarzania danych osobowych/informacji (UPOWAŻNIENIE/ UPRAWNIENIE WG KRI),

j) Umowa/oświadczenie o zachowaniu danych osobowych/informacji w poufności (UMOWA/OŚWIADCZENIE WG KRI),

k) Ewidencja osób upoważnionych do przetwarzania danych osobowych/informacji (EWIDENCJA WG. KRI),

l) Zakres zadań, odpowiedzialności i uprawnień osób funkcyjnych, związanych z bezpieczeństwem informacji (ZAKRES ZADAŃ ADO, ABI, ASI, UŻYTKOWNIKA WG. KRI),

m) Plan Ciągłości Działania (PCD) opracowany w zgodności z wymaganiami PN-ISO/IEC 24762.

2. Wewnętrzny audyt bezpieczeństwa informacji (WABI WG. KRI) według 20 rozporządzenia KRI:

a) zapewniania aktualizacji regulacji wewnętrznych w jednostce organizacyjnej (STATUT, REG.ORG., REG. PRACY, PROC. NABORU, ZAKRESY ZADAŃ, FORMULARZE, WNIOSKI, STARE PBI ORAZ IZSI ZAPISY BI),

b) inwentaryzacja aktywów w jednostce organizacyjnej - sprzętu i oprogramowania służącego do przetwarzania informacji obejmującego ich rodzaj i konfigurację (INWENTARYZACJA AKTYWÓW PBI),

c) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko (OKRESOWA ANALIZA RYZYKA MSR, PPZR),

d) opracowywanie/aktualizacja upoważnień (uprawnień) do przetwarzania informacji ważnych z punktu widzenia BI (UPRAWNIENIA DO PRZETWARZANIA INFORMACJI PBI, PBDO),

e) zapewniania szkoleń osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem zagadnień dotyczących bezpieczeństwa informacji (SZKOLENIA BI),

f) zapewniania ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem,

uszkodzeniami lub zakłóceniami (opracowanie podstawowych zasad stosowanie środków

technicznych, organizacyjnych i fizycznych zapewniających bezpieczeństwo przetwarzanych

informacji - PBI, PBDO, IZSI),

g) ustanawianie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość (PRZETWARZANIE MOBILNE KRYPTOGRAFIA PBI, IZSI),

h) zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji (UMOWY/KLAUZULE BEZPIECZEŃSTWA INFORMACJI/DANYCH OSOBOWYCH PBI, PBDO),

i) zapewniania odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych (IZSI, MSR, PPZR, IPNBI, PCD),

j) zgłaszanie incydentów naruszenia bezpieczeństwa informacji (IPNBI),

k) praktyczne wzory raportów z audytów dotyczących bezpieczeństwa informacji (RAPORTY WABI),

3. Dobre praktyki w zakresie ochrony danych osobowych/bezpieczeństwa informacji (pomoc przy tworzeniu, poprawianiu i ulepszaniu wdrożonych u ADO procedur dotyczących bezpieczeństwa przetwarzania danych osobowych/informacji).

UWAGA! Każdy uczestnik może zgłosić pytanie dotyczące problematyki kursu na 9 dni przed kursem - odpowiedź uzyska podczas kursu.

Nr fax: +48 81 532-84-14, +48 81 534-35-50 lub info@epe.edu.pl

ORGANIZACJA: Wypełnione zgłoszenie prosimy nadsyłać faksem, pocztą lub poprzez stronę internetową www.epe.edu.pl

Rezygnację przyjmujemy najpóźniej na 5 dni przed data rozpoczęcia szkolenia.