szkolenie

30
października
2018

OCHRONA DANYCH OSOBOWYCH W SERWEROWNIACH I DATA CENTER

koordynator: Iwona Brokowska Duda

Od 25 maja 2017 r. pełne zastosowanie znajduje nowe Ogólne Rozporządzenia o Ochronie Danych (tzw. RODO) oraz nowa polska ustawa o ochronie danych osobowych. Nowe przepisy stwarzają nowe wyzwania prawne dla podmiotów świadczących usługi przetwarzania danych, w tym serwerowni, centrów obliczeniowych (CPD).
Udział w szkoleniu pozwoli Państwu na poznanie specyfiki przetwarzania danych osobowych przez serwerownie oraz centra obliczeniowe (CPD). Omówione zostaną zasady przetwarznia danych osobowych wynikające z RODO oraz nowej polskiej ustawy o ochronie danych osobowych.

W ramach szkolenia omówione zostaną między innymi następujące zagadnienia:

  • pozycja serwerowni (data center) w procesie przetwarzania danych osobowych;
  • podstawowe wymagania funkcjonalne systemów informatycznych przeznaczonych do przetwarzania danych osobowych,
  • problem wyboru przez klienta „odpowiedniej” serwerowni (CPD) tj. dającej gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających przetwarzanie danych osobowych zgodnie z przepisami;
  • konstrukcja umowy o powierzenie przetwarzania danych osobowych (wymagane postanowienia, forma umowy itp.),
  • zasady współpracy serwerowni z klientami w zakresie ochrony danych osobowych (np. w związku z realizacją praw osób, których dane dotyczą),
  • zasada privacy by design w działalności serwerowi i data center,
  • wymagania dotyczące zabezpieczenia danych osobowych (kopie bezpieczeństwa, usuwanie danych z kopii bezpieczeństwa, centra zapasowe itp.)
  • praktyczne aspekty organizacji działalności Inspektora Ochrony Danych w serwerowni (CPD),
  • zasady odpowiedzialności serwerowni (CPD) za naruszenie przepisów o ochronie danych osobowych.

Szkolenie prowadzą:
Roman Bieda, radca prawny, Maruta Wachta Kancelaria Radców Prawnych
Krzysztof Jankowski, Prawnik, audytor, doświadczony Inspektor Ochrony Danych

Czas trwania: od godz. 10.00 do ok. 16

Program szkolenia
1. Pozycja serwerowni (data center) w procesie przetwarzania danych osobowych.
2. Wybrane wymagania funkcjonalne systemów informatycznych służących do przetwarzania danych osobowych. Czy istnieje system informatyczny „zgodny” z RODO?
3. Zasady wyboru serwerowni (CPD) przez klienta. Wynikający z RODO, obowiązek wyboru przez klienta podmiotu przetwarzającego, który daje gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających przetwarzanie danych osobowych zgodnie z przepisami. Jak wykazać „zgodność” z przepisami.
4. Zobowiązania serwerowni (CPD) w stosunku do klientów (kolokacja, hosting).
5. Umowa o powierzenie przetwarzania danych osobowych.

  • Forma umowy o powierzenie przetwarzania danych osobowych.
  • Analiza poszczególnych postanowień umowy, w tym:
    • główne postanowienia umowy (okres obowiązywania i zasady rozwiązania umowy, charakter i cel przetwarzania, rodzaje danych osobowych,
    • kategorie osób, obowiązki i prawa administratora),
    • obowiązek zachowania poufności przez personel podmiotu przetwarzającego (serwerowni, data center),
    • zasady zabezpieczenia danych osobowych,
    • zasady współpracy serwerowni (CPD) z klientem w zakresie zgłaszania incydentów, wykonywania praw osób, których dane dotyczą itp.
    • warunki i zasady wykorzystania „podwykonawców” (tj. zasady podpowierzenia przetwarzania danych osobowych),
    • exit plan - zasady zwrotu (usunięcia) danych
  • Odpowiedzialność podmiotu przetwarzającego.
6. Odpowiedzialność serwerowni (CPD) za naruszenie przepisów dot. ochrony danych osobowych (kary pieniężne, odpowiedzialność cywilna, odpowiedzialność karna).
7. Zasady zabezpieczenia przetwarzania danych osobowych.
  • Dokumentaca dotycząca przetwarzania danych osobowych (rejestry, ewidencja incydentów, dokumentacja DPIA, procedury itp.).
  • Obowiązki związane ze zgłaszaniem naruszeń ochrony danych (incydentów) organowi nadzorczemu oraz zawiadamianiem podmiotu danych.
  • Ocena skutków przetwarzania danych osobowych (DPIA).
  • Uwzględnienie ochrony danych w fazie projektowanie oraz domyślna ochrona danych.
  • Bezpieczeństwo fizyczne (w tym instrukcja ruchu osobowego/listy wejść wyjść).
  • Backup – prawo do zapomnienia, retencja backupu.
  • Postępowanie z nośnikami.
    • Postepowania z nośnikami uszkodzonymi, zwrot do serwisu itd.
    • Postepowanie z taśmami z backapami.
  • Naruszenia ochrony danych w CPD. Warianty postępowania.
  • Centrum zapasowe - powierzenie czy udostępnienie?
  • Inspektor Ochrony Danych - pozycja, zadania, odpowiedzialność i organizacja pracy IOD.
    • Wyznaczenie IOD; W jakich przypadkach istnieje obowiązek wyznaczenia IOD.
    • Wymagania dotyczące IOD.
    • Zadania IOD - status, umocowanie, podległość.
    • Podstawy zatrudnienia i outsourcing IOD.
    • Zgłaszanie IOD do PUODO, publikacja danych IOD.
    • Czy powoływać IOD, czy koordynatora?

    Roman Bieda

    Radca prawny w Kancelarii Radców Prawnych Maruta i Wspólnicy spółka jawna.
    Ukończył również aplikację rzeczniowską i wykonuje zawód rzecznika patentowego.
    Specjalizuje się w prawie własności intelektualnej oraz szeroko rozumianym prawie nowych technologii. W ramach pracy zawodowej zajmuje się między innymi negocjowaniem umów IT, w szczególności umów wdrożeniowych, umów serwisowych oraz innych umów dotyczących oprogramowania komputerowego. Na co dzień zajmuje się również doradztwem prawnym w projektach związanych z handlem elektronicznym, marketingiem internetowym oraz ochroną danych osobowych. Posiada doświadczenie w obsłudze projektów związanych z transferem technologii.
    Absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego. Ukończył między innymi Podyplomowe Studium Prawa Konkurencji i Ochrony Konsumenta (Instytut Prawa Własności Intelektualnej UJ) oraz Podyplomowe Studium Prawa Własności Przemysłowej (Uniwersytet Warszawski).
    Wykłada przedmioty związane z prawem Internetu w Wyższej Szkole Europejskiej im ks. Józefa Tischnera w Krakowie oraz Krakowskiej Akademii im. Andrzeja Frycza Modrzewskiego.
    Od kilku lat regularnie występuje na szkoleniach i konferencjach poświęconych różnym aspektom prawa nowych technologii oraz prowadzi zajęcia w ramach szeregu studiów podyplomowych. Prowadził zajęcia z zakresu prawa nowych technologii w ramach Executive MBA in IT organizowanych przez Zachodniopomorską Szkołę Bizensu. Autor artykułów prawniczych w prasie specjalistycznej. Prowadzi serwis www.romanbieda.pl

    Krzysztof Jankowski

    Dyrektor Departamentu Ochrony Danych Osobowych w ENERGA Centrum Usług Wspólnych sp. z o.o.
    Prawnik, audytor, doświadczony Inspektor Ochrony Danych, praktyk w zakresie zarządzenia bezpieczeństwem. Posiada ponad dziesięcioletnie doświadczenie w zakresie bezpieczeństwa IT oraz ochrony danych osobowych.
    Zakres specjalizacji i wybrane projekty:
    • Pełnienie funkcji Administratora Danych Osobowych w ENERGA Operator SA, ENERGA Obsługa i Sprzedaż sp. z o.o., ENERGA Obrót SA, ENERGA Informatyka i Technologie sp. z o.o., DXC.technology sp z.o.o.
    • Kierowanie zespołem wdrażającym wymagania wynikające z Ogólnego rozporządzenia o ochronie danych (RODO) w Grupie kapitałowej ENERGA;
    • Prowadzenie koleksowych audytów oraz sperawdzeń zgodności przetwarzania danych osobowych z przepisami prawa w dużych organziacjach i grupach kapitałowych;
    • Opracowywanie dokumentacji dotyczącej przetwarzania danych osobowych (np. polityk bezpieczeństwa, instrukcji zarządzania systemem informatycznym, umów o powierzenie przetwarzania);
    • Kierowanie i zarządzenia projektami koleksowego wdrożenia systemu ochrony danych osobowych w organizacji;
    Doświadczenie zawodowe i kwalifikacje:
    • prawnik, manager, Administratr Bezpieczeństwa Informacji,
    • certyfikowany audytor sektora jednostek finansów publicznych.
    • absolwent Wydziału Prawa Katolickiego Uniwersytetu;
    • Absolwent studiów MBA prowadzone przez Gdańską Fundację Kształcenia Managerów, praca dyplomowa: Metodyka pracy administratora bezpieczeństwa informacji w przedsiębiorstwie sektora energetycznego;
    • Absolwent studiów podyplomowych - Studium Managerskie prowadzonych przez Szkołę Główną Handlową,
    • ukończył szereg kursów z zakresu bezpieczeństwa IT, ochrony danych osobowych IT,
    • doświadczony trener i wykładowca w zakresie bezpieczeństwa IT oraz ochrony danych osobowych, w tym RODO (prowadził szkolenia między innymi na zlecenie spółek grópy Hewlett Packard, Competentis sp. zo.o.). Łącznie przeprowadził kilkaset godzin szkoleń i wykładów.
    • Prowadził szkolenia i kursy dokształceajace dla Administratorów Bezpieczeństwa Informacji,
    • prelegnet na szeregu krajowych dotyczących ochrony danych osobowych np. Okręgowa Izba Radców Prawnych w Krakowie.
    • członek Stowarzyszenia Administratorów Bezpieczeństwa Informacji.