Program nauczania na kursie specjalistycznym dla osób realizujących zadania Inspektorów Ochrony Danych.

2. Zakres stosowania oraz główne różnice pomiędzy RODO a UDODO.

3. Zasady dotyczące przetwarzania danych osobowych.

4. Rola i zadania Europejskiego Inspektora Ochrony Danych i Prezesa Urzędu Ochrony Danych Osobowych.

5. Obowiązki i zadania Administratora Danych Osobowych.

6. Obowiązki i zadania Inspektora Ochrony Danych.

7. Obowiązki i zadania osób uczestniczących w procesie przetwarzania danych.

8. Prawa osoby, której dane dotyczą.

b) Omów zakres stosowania oraz główne różnice pomiędzy: rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO) i ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych a dyrektywą Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (dalej:

o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (dalej: UDODO). Zwróć szczególną uwagę na ważność stosowania przepisów w zakresie realizacji zadań służbowych w Policji. Omów na przykładach ochronę danych osobowych w orzecznictwie sądów polskich oraz Trybunału Sprawiedliwości UE i Europejskiego Trybunału Praw Człowieka.

c) Wskaż akty wewnętrznego kierowania Komendanta Głównego Policji dotyczące ochrony danych osobowych (1j.: zarządzenia, decyzje, polityki, instrukcje, wytyczne itp.).

d) Przedstaw zasady przetwarzania danych osobowych określone w RODO i UDODO (m.in. zgodność z prawem, rzetelność i przejrzystość, zgodność z celem, minimalizacja danych,

prawidłowość, ograniczenie przechowywania, integralność i poufność, rozliczalność, a także odporność, dostępność, autentyczność), omów praktyczne rozwiązania.

e) W formie dyskusji wskaż zadania oraz związane z tym obowiązki i uprawnienia realizowane przez Europejskiego Inspektora Ochrony Danych, Prezesa Urzędu Ochrony Danych Osobowych (dalej: PUODO), Administratora Danych (dalej: ADO), Inspektora Ochrony Danych (dalej: IOD), osób uczestniczących w procesie przetwarzania danych (użytkowników).

f) Omów podstawowe prawa osób, których dane dotyczą wynikające z RODO i UDODO.

g) Na podstawie wiedzy i doświadczenia słuchaczy przeprowadź dyskusję na temat przedstawionych zagadnień.

2. Wewnętrzne procedury jako podstawowe dokumenty organizacyjnej ochrony danych osobowych.

Osobowych. Podaj praktyczne rady, posiłkując się wskazówkami ujętymi w publikacjach zamieszczonych na stronie internetowej Urzędu Ochrony Danych Osobowych. Omów, w jaki sposób konstruować wewnętrzną dokumentację oraz system przetwarzania danych osobowych w jednostkach organizacyjnych Policji.

b) Wskaż, w jaki sposób formułować niezbędne procedury regulujące przetwarzanie danych osobowych. Zaprezentuj przykładowe procedury/polityki obowiązujące w Policji.

c) Podziel słuchaczy na grupy i na podstawie przekazanej im wiedzy, w ramach zaliczenia, poleć sporządzenie przykładowego projektu Polityki Ochrony Danych Osobowych wraz z wybranymi procedurami regulującymi przetwarzanie danych osobowych. Dokonaj oceny sposobu wykonania zadania.

2. Wdrożenie fizycznych środków ochrony danych osobowych.

i nośnikami wymiennymi tj. płyty CD-R/RW, DVD, pamięciami typu USB, SD oraz przenośnymi dyskami twardymi. Zwróć szczególną uwagę na wdrożenie mechanizmów kontrolnych w zakresie zakazu korzystania z nośników nieautoryzowanych/prywatnych oraz na szyfrowanie nośników.

b) Wskaż sposoby zabezpieczeń sieci informatycznych, systemów informatycznych, aplikacji przed działaniem złośliwego oprogramowania, innymi czynnikami (zdarzenia losowe, atmosferyczne itp.) oraz zapewnienia rozliczalności w systemach informatycznych, uwzględniając wymagania, wytyczne i zalecenia Biura Łączności i Informatyki Komendy Głównej Policji.

c) Wskaż możliwe do zastosowania techniczne i fizyczne środki zabezpieczające dane osobowe m.in. systemy kontroli dostępu, całodobowy nadzór, monitoring wizyjny, reglamentacja kluczy. Omów ustawienia systemu operacyjnego w zakresie dostępności nośników pamięci.

2. Rejestr Czynności Przetwarzania.

3. Wykaz Kategorii Czynności Przetwarzania.

4. Ocena skutków dla ochrony danych (DPIA).

5. Sprawozdawczość z wykonywania obowiązków IOD.

b) Omów Rejestr Czynności Przetwarzania oraz Wykaz Kategorii Czynności Przetwarzania z wykorzystaniem przykładowych rejestrów.

c) Podziel słuchaczy na grupy. Na podstawie przygotowanych założeń w ramach zaliczenia poleć słuchaczom przygotowanie Rejestru

Czynności Przetwarzania oraz Wykazu Kategorii Czynności Przetwarzania.

d) Przedstaw rodzaje przetwarzania, jakie wymagają przeprowadzenia oceny skutków dla ochrony danych oraz omów sposób jej realizacji.

e) Podziel słuchaczy na grupy. Na podstawie przygotowanych założeń w ramach zaliczenia poleć słuchaczom przygotowanie rocznego sprawozdania z wykonywania obowiązków IOD na podstawie UDODO.

f) Dokonaj oceny sposobu wykonania zadań w ramach lit. a, c, e.

w zakresie celów i podstaw prawnych przetwarzania na podstawie RODO i UDODO.

2. Praktyczna realizacja praw i żądań podmiotu danych.

2. Procedura postępowania w przypadku naruszenia.

3. Obowiązek zgłaszania naruszeń ochrony danych osobowych, wynikający z RODO (zasada 72 godzin).

4. Obowiązek powiadomienia osób, których dane dotyczą w związku z naruszeniem.

5. Rejestr naruszeń ochrony danych osobowych.

6. Ocena wagi naruszenia z wykorzystaniem narzędzia wg ENISA.

7. Zgłaszanie naruszenia do organu nadzorczego - wypełnianie formularza zgłoszeniowego oraz zgłaszanie naruszeń (UODO, INW Ministerstwa Spraw Wewnętrznych i Administracji,

Komendanta Głównego Policji).

8. Zarządzanie ryzykiem w ochronie danych osobowych (analiza ryzyka).

w opracowanym przez PUODO dokumencie "Obowiązki administratorów związane z naruszeniami ochrony danych osobowych" z czerwca 2019 r.

b) Na podstawie danych statystycznych Komendy Głównej Policji zaprezentuj najczęściej występujące naruszenia w zakresie ochrony danych.

c) Omów algorytm postępowania oraz obowiązki osób funkcyjnych w przypadku naruszenia w zakresie ochrony danych osobowych. Podczas omawiania posiłkuj się ww. dokumentem opracowanym przez PUODO oraz publikacjami Europejskiej Rady Ochrony Danych (EROD), np. "Wytyczne 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych" z 14 grudnia 2021 r. oraz "Wytyczne 09/2022 w sprawie zgłaszania naruszeń ochrony danych osobowych na mocy RODO" z 10 października 2022 r.

d) Zaprezentuj oraz omów przykładowy rejestr naruszeń ochrony danych osobowych.

e) Zaprezentuj sposób ustalania wagi naruszenia przy wykorzystaniu narzędzia ENISA.

f) Korzystając z aktualnego formularza zgłoszenia naruszenia

do UODO, zaprezentuj jego prawidłowe wypełnienie.

g) Podziel słuchaczy na grupy. Na postawie przygotowanych założeń w ramach zaliczenia przeprowadź ćwiczenie dotyczące zgłoszenia

h) Omów zagadnienie dotyczące analizy ryzyka w ochronie danych osobowych, podkreślając wagę praw i wolności osób, których dane są przetwarzane. Podczas omawiania analizy ryzyka posiłkuj się publikacją PUODO "Jak rozumieć podejście oparte na ryzyku?" z maja 2018 r. oraz dokumentem "Metoda zarzadzania ryzykiem dla systemów teleinformatycznych w Policji" zatwierdzonym przez Komendanta Głównego Policji. Na podstawie doświadczeń, własnych albo słuchaczy podaj przykłady praktyczne, w których należałoby przeprowadzić analizę ryzyka.

2. Zasady powierzania danych osobowych.

b) Przedstaw obligatoryjne i fakultatywne przesłanki odmowy udostępnienia danych osobowych osobie fizycznej lub prawnej, organowi publicznemu, jednostce lub innemu podmiotowi, innemu niż osoba, do której dane należą, administrator, podmiot przetwarzający czy osoba przetwarzająca dane osobowe z upoważnienia administratora.

c) Omów obligatoryjne i fakultatywne elementy umowy powierzenia przetwarzania danych osobowych wynikające z obowiązujących przepisów prawa. Uwzględnij decyzję wykonawczą Komisji (UE) 2021/915 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725.

b) Uwzględniając wiedzę i doświadczenie słuchaczy, podejmij dyskusję na temat przeprowadzonych w jednostkach organizacyjnych Policji kontroli z ramienia UODO.

c) Przedstaw zadania i kompetencje podmiotów, które sprawują nadzór nad przetwarzaniem danych osobowych w jednostkach organizacyjnych Policji, m.in. ADO np. poprzez podległą sobie komórkę ds. kontroli lub audytora, INW Ministerstwa Spraw Wewnętrznych i Administracji, Komendanta Głównego Policji, komendanta wojewódzkiego

(Stołecznego) Policji.

d) Wskaż różnice pomiędzy uprawnieniami kontrolnymi organu nadzorczego - PUODO, zadaniami ADO i działającego w jego imieniu IOD oraz audytora, a także uprawnienia w zakresie realizacji nadzoru w obszarze ochrony danych osobowych przez INW Ministerstwa Spraw Wewnętrznych i Administracji.

e) Na podstawie informacji przekazanych przez Inspektora Nadzoru Wewnętrznego Ministerstwa Spraw Wewnętrznych i Administracji i Komendanta Głównego Policji przedstaw najczęstsze nieprawidłowości i uchybienia ujawnione podczas prowadzonych czynności nadzorczych. Zwróć uwagę na konieczność właściwego podziału zadań przy monitorowaniu realizacji zaleceń po przeprowadzonych czynnościach.