Jako przedsiębiorca i osoba zaangażowana w różne biznesowe projekty cały czas stykam się z tematem ochrony danych osobowych. W Dzienniku Internautów pełnię funkcję specjalisty do spraw marketingu i PR, gdzie również mam do czynienia z przetwarzaniem danych osobowych. Będąc świadoma faktu, że wdrożenie RODO w firmie nie jest łatwą sprawą oraz chcąc ugruntować swoją wiedzę i nabyć niezbędne umiejętności do sprawowania funkcji Inspektora Ochrony Danych (IOD) postanowiłam poszukać na rynku odpowiedniej oferty kursu, który pozwoli mi tę funkcję sprawować. Na marginesie wspomnę, że nie każdy przedsiębiorca będzie musiał powołać IOD, który ma przejąć funkcję ABI czyli Administratora Bezpieczeństwa Informacji, jednak każdy podmiot przetwarzający dane będzie musiał dostosować się do nowych przepisów.

Przy wyborze ostatecznej oferty firmy szkoleniowej kierowałam się kilkoma istotnymi dla mnie kwestiami.

1. Przede wszystkim zależało mi, żeby firma którą wybiorę współpracowała z uznanymi ekspertami z zakresu ochrony danych osobowych i bezpieczeństwa informacji. Tutaj pomogły mi rekomendacje zebrane bezpośrednio z branży jak i wyniki monitoringu sieci, który przeprowadziłam już sama.
2. Kolejnym elementem, który był dla mnie ważny przy ocenie był sam program kursu. Chciałam żeby składał się z takich zagadnień, jak m.in: obowiązki administratora danych, szacowanie ryzyka, proces wdrożenia RODO/GDPR w organizacji oraz audytowanie systemu ochrony danych.
3. Jednym z kryteriów wyboru było również to, żeby jednostka szkoleniowa posiadała odpowiednie akredytacje i certyfikacje.
4. Sprawdziłam też referencje od klientów na stronie firmowej.

Firmą, która wypadła najlepiej w ogólnym rozliczeniu, a w dodatku posiada akredytację Mazowieckiego Kuratora Oświaty i ma wdrożone normy ISO okazała się ODO 24.

Zapisałam się zatem na 4 dniowy akredytowany kurs inspektora ochrony danych osobowych.

Przebieg kursu

Dzień pierwszy: Wprowadzenie do ochrony danych osobowych

Pierwszego dnia na kursie powitał nas Adam Lipiński, który z wykształcenia jest prawnikiem, a swoje zainteresowania praktyczne jak i naukowe koncentruje wokół ochrony danych osobowych. Pełni również funkcję administratora bezpieczeństwa informacji. 

Prelegent odpowiadał na pytania uczestników, którzy reprezentując różne podmioty (urzędy, firmy, ngo itd.) dopytywali o kwestie funkcji IOD związane ze swoją branżą. Zagadnienia, które były poruszane podczas tego dnia dotyczyły m.in: porównania obowiązujących przepisów z nowymi czyli z RODO, zasad funkcjonowania nowego organu jakim będzie o Urząd Ochrony Danych Osobowych (UODO), praw osób których dane dotyczą, obowiązków podmiotu przetwarzającego, profilowania, pseudominizacji, definicji administratora i podmiotu przetwarzającego dane. Jednym z istotnych okazał się także temat przekazywania danych do państw trzecich i organizacji międzynarodowych. W dobie serwisów internetowych, których serwery znajdują się często poza terenem kraju, ten temat wzbudza wiele pytań i wątpliwości.

fot.1 Materiały szkoleniowe 

Dzień drugi: Przygotowanie planu wdrożenia i audyt zgodności

Eksperci z ODO 24 twierdzą że “kluczem do sukcesu w procesie wdrażania RODO/ GDPR jest jego odpowiednie zaplanowane”. Jest to niezbędne do terminowej realizacji całego procesu. W tym dniu mieliśmy okazję poznać Pana Piotra Liwszica, który odpowiada za przestrzeganie przepisów o ochronie danych osobowych m.in. w podmiotach ubezpieczeniowych i służby zdrowia. Brał udział w pracach legislacyjnych nad przepisami o ochronie informacji niejawnych. 

Metodyka tego eksperta najbardziej przypadła mi do gustu. Być może powodem tego wyróżnienia były liczne studia przypadków, którymi ekspert obrazował niemal każde zagadnienie, np. zdjęcia w CV, które nie powinno być przetwarzane przez rekrutera ponieważ podlega pod tzw. dane wrażliwe.

Tego dnia omawialiśmy planowanie procesu wdrożenia RODO/GDPR. Wśród poruszanych zagadnień były m.in: ustalanie etapów wdrożenia RODO, określenie niezbędnych zasobów, harmonogram prac. Wyjaśnione zostały też najważniejsze pojęcia związane z audytowaniem, takie jak dowód z audytu, kryteria audytu, plan audytu, itp. Ponadto omawialiśmy metody przeprowadzania audytu, m.in: inicjowanie audytu, przygotowanie działań audytowych, przygotowanie i rozpowszechnianie raportu z audytu.

fot.2 Materiały szkoleniowe

Dzień Trzeci. Szacowanie ryzyka i ocena skutków dla ochrony danych

Według organizatorów to najtrudniejszy dzień kursu. Jeśli nie masz na co dzień do czynienia z prawem i technologiami informatycznymi, przygotuj się na solidny maraton nauki. Jednak bez tej solidnej porcji wiedzy nie sposób dobrze wypełnić obowiązków wynikających z RODO.

Tę część kursu prowadził pan Damian Gąska, który ma bogatą praktykę w testach penetracyjnych infrastruktury teleinformatycznej oraz analizy incydentów bezpieczeństwa informacji dla międzynarodowych grup kapitałowych. Omawialiśmy z nim m.in. organizację procesu oceny skutków dla ochrony danych (DPIA), przeprowadziliśmy także szacowanie ryzyka, a następnie przystąpiliśmy do omówienia zabezpieczeń minimalizujących oszacowane ryzyko zgodnie z RODO. Bardzo ciekawe okazały się ćwiczenia z zakresu inwentaryzacji zasobów, do których zaliczamy nie tylko sprzęt, ale także systemy operacyjne, aplikacje, czy strony internetowe przetwarzające dane osobowe.

fot.3 Materiały szkoleniowe

Dzień czwarty. Dostosowanie procesów dokumentacji i środowiska teleinformatycznego

Ten temat wydawał mi się najtrudniejszy z całego kursu i nie myliłam się. Wykład przeprowadził pan Marcin Kujawa, którego wykształcenie (Absolwent Wojskowej Akademii Technicznej, inżynier ds. sieci teleinformatycznych.) i przygotowanie zawodowe (Administrator systemów informatycznych) sprawiło, że był „właściwym człowiekiem na właściwym miejscu”.

Najważniejsze zagadnienia poruszane tego dnia to m.in: dostosowanie polityki ochrony danych obszary bezpieczeństwa infrastruktury teleinformatycznej, przegląd i omówienie cyberzagrożeń np. sniffing, phishing, metoda socjotechniczna. Przećwiczyliśmy wspólnie przygotowanie dokumentów roboczych, prowadzenie rozmów audytowych i odnotowywanie niezgodności.

fot.4 Materiały szkoleniowe

Podsumowanie akredytowanego kursu inspektora ochrony danych

Dzięki kursowi dowiedziałam się, co czeka moją organizację po wejściu w życie RODO i jak przygotować się na nadchodzące zmiany. Dużym plusem szkolenia, poza samym poziomem merytorycznym i praktyczną wiedzą trenerów było to, że odbywało się w naprawdę kameralnym gronie (8 osób). Wyniesiona z kursu wiedza jest ogromna, chociaż zdaję sobie sprawę, że sam kurs nie zastąpi doszkalania się na bieżąco, zwłaszcza że w prawie nadal dużo się zmienia. Jedyny minus, jaki udało mi się ustalić to brak wykorzystania multimediów (filmy, grafiki, animacje) w celu dostarczania odbiorcom informacji i utrwalenia przykładów np.: przy omawianiu cyberzagrożeń.

Eksperci

Teoria i praktyka wniesiona przez ekspertów - to chyba największa wartość firmy ODO 24. Bogata wiedza, poparta wieloletnim doświadczeniem, wyczerpujące odpowiedzi na najtrudniejsze pytania uczestników i przystępne przekazanie dużej dawki zróżnicowanej wiedzy, sprawiły że śmiało mogę ten kurs polecić innym osobom.

Materiały szkoleniowe

Kursanci otrzymali drukowane skoroszyty z zagadnieniami dopasowanymi do tematyki wykładu, wzbogacone o dodatkowe materiały i gadżety. Dla osób, które dokonały przedpłaty przygotowano komplet publikacji, zgodnych z tematyką kursu, o łącznej wartości 475 zł.

Zaplecze i logistyka

Kurs odbywał się w nowoczesnym biurowcu, w centrum Warszawy, blisko Dworca Centralnego. Organizator zapewnił każdego dnia obiad dla uczestników oraz serwis kawowy.

Certyfikat

Uczestnicy otrzymują drukowany certyfikat, oprawiony w szklaną antyramę.

fot.5 Certyfikat IOD

Cena

Kurs kosztuje 2950 zł, dzięki akredytacji jest zwolniony z podatku VAT.

Pozostałe uwagi

Kurs odbywał się w trybie 4 dni, po 8 godzin każdego dnia.

Zapisy na najbliższe akredytowane kursy IOD:

https://akredytowany-kurs-iod.pl/