szkolenie
SZKOLIMY JUŻ 32 LATA, ZAUFAŁO NAM PONAD 100 000 OSÓB

30
października
2018

OCHRONA DANYCH OSOBOWYCH W SERWEROWNIACH I DATA CENTER

koordynator: Iwona Brokowska Duda

Od 25 maja 2017 r. pełne zastosowanie znajduje nowe Ogólne Rozporządzenia o Ochronie Danych (tzw. RODO) oraz nowa polska ustawa o ochronie danych osobowych. Nowe przepisy stwarzają nowe wyzwania prawne dla podmiotów świadczących usługi przetwarzania danych, w tym serwerowni, centrów obliczeniowych (CPD).
Udział w szkoleniu pozwoli Państwu na poznanie specyfiki przetwarzania danych osobowych przez serwerownie oraz centra obliczeniowe (CPD). Omówione zostaną zasady przetwarznia danych osobowych wynikające z RODO oraz nowej polskiej ustawy o ochronie danych osobowych.

W ramach szkolenia omówione zostaną między innymi następujące zagadnienia:

  • pozycja serwerowni (data center) w procesie przetwarzania danych osobowych;
  • podstawowe wymagania funkcjonalne systemów informatycznych przeznaczonych do przetwarzania danych osobowych,
  • problem wyboru przez klienta „odpowiedniej” serwerowni (CPD) tj. dającej gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających przetwarzanie danych osobowych zgodnie z przepisami;
  • konstrukcja umowy o powierzenie przetwarzania danych osobowych (wymagane postanowienia, forma umowy itp.),
  • zasady współpracy serwerowni z klientami w zakresie ochrony danych osobowych (np. w związku z realizacją praw osób, których dane dotyczą),
  • zasada privacy by design w działalności serwerowi i data center,
  • wymagania dotyczące zabezpieczenia danych osobowych (kopie bezpieczeństwa, usuwanie danych z kopii bezpieczeństwa, centra zapasowe itp.)
  • praktyczne aspekty organizacji działalności Inspektora Ochrony Danych w serwerowni (CPD),
  • zasady odpowiedzialności serwerowni (CPD) za naruszenie przepisów o ochronie danych osobowych.

Szkolenie prowadzą:
Roman Bieda, radca prawny, Maruta Wachta Kancelaria Radców Prawnych
Krzysztof Jankowski, Prawnik, audytor, doświadczony Inspektor Ochrony Danych

Czas trwania: od godz. 10.00 do ok. 16

Program szkolenia
1. Pozycja serwerowni (data center) w procesie przetwarzania danych osobowych.
2. Wybrane wymagania funkcjonalne systemów informatycznych służących do przetwarzania danych osobowych. Czy istnieje system informatyczny „zgodny” z RODO?
3. Zasady wyboru serwerowni (CPD) przez klienta. Wynikający z RODO, obowiązek wyboru przez klienta podmiotu przetwarzającego, który daje gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających przetwarzanie danych osobowych zgodnie z przepisami. Jak wykazać „zgodność” z przepisami.
4. Zobowiązania serwerowni (CPD) w stosunku do klientów (kolokacja, hosting).
5. Umowa o powierzenie przetwarzania danych osobowych.

  • Forma umowy o powierzenie przetwarzania danych osobowych.
  • Analiza poszczególnych postanowień umowy, w tym:
    • główne postanowienia umowy (okres obowiązywania i zasady rozwiązania umowy, charakter i cel przetwarzania, rodzaje danych osobowych,
      • kategorie osób, obowiązki i prawa administratora),
    • obowiązek zachowania poufności przez personel podmiotu przetwarzającego (serwerowni, data center),
    • zasady zabezpieczenia danych osobowych,
    • zasady współpracy serwerowni (CPD) z klientem w zakresie zgłaszania incydentów, wykonywania praw osób, których dane dotyczą itp.
    • warunki i zasady wykorzystania „podwykonawców” (tj. zasady podpowierzenia przetwarzania danych osobowych),
    • exit plan - zasady zwrotu (usunięcia) danych
  • Odpowiedzialność podmiotu przetwarzającego.
6. Odpowiedzialność serwerowni (CPD) za naruszenie przepisów dot. ochrony danych osobowych (kary pieniężne, odpowiedzialność cywilna, odpowiedzialność karna).
7. Zasady zabezpieczenia przetwarzania danych osobowych.
  • Dokumentaca dotycząca przetwarzania danych osobowych (rejestry, ewidencja incydentów, dokumentacja DPIA, procedury itp.).
  • Obowiązki związane ze zgłaszaniem naruszeń ochrony danych (incydentów) organowi nadzorczemu oraz zawiadamianiem podmiotu danych.
  • Ocena skutków przetwarzania danych osobowych (DPIA).
  • Uwzględnienie ochrony danych w fazie projektowanie oraz domyślna ochrona danych.
  • Bezpieczeństwo fizyczne (w tym instrukcja ruchu osobowego/listy wejść wyjść).
  • Backup – prawo do zapomnienia, retencja backupu.
  • Postępowanie z nośnikami.
    • Postepowania z nośnikami uszkodzonymi, zwrot do serwisu itd.
    • Postepowanie z taśmami z backapami.
  • Naruszenia ochrony danych w CPD. Warianty postępowania.
  • Centrum zapasowe - powierzenie czy udostępnienie?
  • Inspektor Ochrony Danych - pozycja, zadania, odpowiedzialność i organizacja pracy IOD.
    • Wyznaczenie IOD; W jakich przypadkach istnieje obowiązek wyznaczenia IOD.
    • Wymagania dotyczące IOD.
    • Zadania IOD - status, umocowanie, podległość.
    • Podstawy zatrudnienia i outsourcing IOD.
    • Zgłaszanie IOD do PUODO, publikacja danych IOD.
    • Czy powoływać IOD, czy koordynatora?

    Roman Bieda

    Radca prawny i rzecznik patentowy. Od prawie 20 lat specjalizuje się w szeroko rozumianym prawie nowych technologii, w tym umowach IT, prawie własności intelektualnej, RODO, prawnych aspektach AI.
    Prezes zarządu fundacji AI LAW TECH, stanowiącej interdyscyplinarny think-tank skoncentrowany na technicznych, prawnych, etycznych i biznesowych aspektach rozwoju nowych technologii, w szczególności AI.
    Wchodził w skład Rady ds. Cyfryzacji drugiej kadencji, powołanej przez Ministra Cyfryzacji. W ramach prac Rady ds. Cyfryzacji uczestniczył w reformie krajowych przepisów o ochronie danych osobowych, mającej na celu dostosowanie krajowego systemu prawnego do wymagań RODO.
    Kierował pracą podgrupy ds. prawnych aspektów AI w zespole eksperckim Ministerstwa Cyfryzacji. W ramach prac zespołu brał udział w przygotowaniu „Założeń do strategii AI dla Polski”. Aktualnie, kieruje pracami grupy roboczej ds. etycznych i prawnych aspektów sztucznej inteligencji (GRAI), powołanej przy Ministerstwie Cyfryzacji. Członek Wirtualnej Katedry Etyki i Prawa, konsorcjum naukowego z udziałem czołowych polskich uczelni wyższych, INP PAN, NASK, MC. Członek Sektorowej Rady ds. Kompetencji Telekomunikacja i Cyberbezpieczeństwo, Komisji ds. Nowych Technologii w OIRP Kraków, rady programowej Annual Privacy Forum (ENISA), współpracownik komitetu sterującego IGF.
    Wykłada przedmioty związane z prawem własności intelektualnej oraz prawem nowych technologii w Akademii Leona Koźmińskiego, Wyższej Szkole Zarządzania i Bankowości, Szkole Głównej Handlowej oraz Uniwersyteckie Wrocławskim.
    Opiekun merytoryczny studiów podyplomowymi Prawo Nowoczesnych Technologii realizowanych na Akademii Leona Koźmińskiego. Współkierownik studiów podyplomowych Zarządzanie Cyberbezpieczeństwem (ALK) oraz studiów podyplomowych Biznes.AI Zarządzanie projektami sztucznej inteligencji (ALK). Wykładał przedmioty prawnicze w ramach programów MBA.

    Krzysztof Jankowski

    Dyrektor Departamentu Ochrony Danych Osobowych w ENERGA Centrum Usług Wspólnych sp. z o.o.
    Prawnik, audytor, doświadczony Inspektor Ochrony Danych, praktyk w zakresie zarządzenia bezpieczeństwem. Posiada ponad dziesięcioletnie doświadczenie w zakresie bezpieczeństwa IT oraz ochrony danych osobowych.
    Zakres specjalizacji i wybrane projekty:
    • Pełnienie funkcji Administratora Danych Osobowych w ENERGA Operator SA, ENERGA Obsługa i Sprzedaż sp. z o.o., ENERGA Obrót SA, ENERGA Informatyka i Technologie sp. z o.o., DXC.technology sp z.o.o.
    • Kierowanie zespołem wdrażającym wymagania wynikające z Ogólnego rozporządzenia o ochronie danych (RODO) w Grupie kapitałowej ENERGA;
    • Prowadzenie koleksowych audytów oraz sperawdzeń zgodności przetwarzania danych osobowych z przepisami prawa w dużych organziacjach i grupach kapitałowych;
    • Opracowywanie dokumentacji dotyczącej przetwarzania danych osobowych (np. polityk bezpieczeństwa, instrukcji zarządzania systemem informatycznym, umów o powierzenie przetwarzania);
    • Kierowanie i zarządzenia projektami koleksowego wdrożenia systemu ochrony danych osobowych w organizacji;
    Doświadczenie zawodowe i kwalifikacje:
    • prawnik, manager, Administratr Bezpieczeństwa Informacji,
    • certyfikowany audytor sektora jednostek finansów publicznych.
    • absolwent Wydziału Prawa Katolickiego Uniwersytetu;
    • Absolwent studiów MBA prowadzone przez Gdańską Fundację Kształcenia Managerów, praca dyplomowa: Metodyka pracy administratora bezpieczeństwa informacji w przedsiębiorstwie sektora energetycznego;
    • Absolwent studiów podyplomowych - Studium Managerskie prowadzonych przez Szkołę Główną Handlową,
    • ukończył szereg kursów z zakresu bezpieczeństwa IT, ochrony danych osobowych IT,
    • doświadczony trener i wykładowca w zakresie bezpieczeństwa IT oraz ochrony danych osobowych, w tym RODO (prowadził szkolenia między innymi na zlecenie spółek grópy Hewlett Packard, Competentis sp. zo.o.). Łącznie przeprowadził kilkaset godzin szkoleń i wykładów.
    • Prowadził szkolenia i kursy dokształceajace dla Administratorów Bezpieczeństwa Informacji,
    • prelegnet na szeregu krajowych dotyczących ochrony danych osobowych np. Okręgowa Izba Radców Prawnych w Krakowie.
    • członek Stowarzyszenia Administratorów Bezpieczeństwa Informacji.