DZIEŃ PIERWSZY – 16 kwietnia

8.00 - 9.00

Rejestracja uczestników i poranna kawa

SESJA PLENARNA

Rozmowa: Gdy opadł kurz – próba bilansu rok po wejściu RODO.

Co poszło nie tak i trzeba skorygować? Co RODO przyniosło pozytywnego i jak zmieniło funkcjonowanie organizacji i sposób myślenia o bezpieczeństwie?

W gronie rozmówców:

Marcin Golec

Prawnik, Dotpay & eCard

Panel dyskusyjny: Od paniki do chłodnego osądu – czy rzeczywiście zrobiliśmy wszystko (i nie za dużo!) czego wymagają nowe regulacje?

Do wdrożenia przepisów RODO firmy przygotowywały się od dłuższego czasu. Wiele z nich powierzyło przygotowanie odpowiednich procedur i dokumentacji ekspertom i kancelariom prawnym, które miały się w tym specjalizować. Czy jednak nie okazało się, że wiele rzeczy zostało zrobionych zupełnie niepotrzebnie a zaufanie do ekspertów zostało nadszarpnięte? Podczas dyskusji paneliści będą też rozmawiali o nieoczywistych sytuacjach realizacji obowiązku informacyjnego – m.in. w jaki sposób zrealizować obowiązek wobec osób, z którymi nie mamy kontaktu, czy w jaki sposób realizować obowiązek informacyjny w zamówieniach publicznych.

Wśród panelistów:

Marek Szydłowski

Członek Zarządu TVN S.A., Dyrektor Pionu Prawnego, Grupa TVN

Michał Jobski

Dyrektor ds. Systemów Korporacyjnych, Budimex

Kontrola – jak się do niej przygotować? W jaki sposób IOD / administrator ma wykazać dopełnienie staranności?

Jak rozumieć pojęcie „kontrola” i w jakich kategoriach należy ją postrzegać? Zakres uprawnień kontrolnych organu nadzorczego wobec podmiotów publicznych i prywatnych – czy obowiązują różne wymagania? Czy powinna zostać opracowana instrukcja postępowania w trakcie kontroli Prezesa UODO lub upoważnionych przez niego pracowników? Zakres czynności przygotowawczych, harmonogram działań podejmowanych w związku z kontrolą, status osób biorących udział w kontroli i ich zadania, dokumentowanie przebiegu czynności kontrolnych. Niezbędne działania, jakie powinien podjąć IOD/ADO w celu wykazania przed kontrolującymi należytą staranność – czynności prawne i organizacyjne. Przedstawienie działań jakich nie należy podejmować przed rozpoczęciem kontroli – studium przypadku („ku przestrodze”).

Bogusława Pilc

Radca Prawny, Ekspert ds. Ochrony Infromacji

Rekrutacja a ochrona danych osobowych – na co zwrócić szczególną uwagę?

Jakie problemy lub zagrożenia związane z ochroną danych osobowych występują w typowych modelach rekrutacji, np. na co zwrócić szczególną uwagę korzystając z portali rekrutacyjnych, agencji doradztwa personalnego lub organizując program poleceń? W proces rekrutacji mogą być zaangażowane różne podmioty, dlatego warto znać relacje, jakie między nimi zachodzą i jakie wiążą się z tym zagadnienia w zakresie ochrony danych osobowych.

Agnieszka Witaszek

Data Protection Officer, Grupa Pracuj

Współadministrowanie to wyzwanie – szerokie rozumienie terminu “współadministrowania”

W ostatnim czasie pojawiła się linia orzecznicza Trybunału Sprawiedliwości EU, a także sądów w poszczególnych państwach członkowskich, która rozszerza rozumienie pojęcia “współadministrowania”. Wbrew pozorom nie jest to rewolucja a ewolucja interpretacji zawartej w Opinii Grupy Roboczej 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”. Mimo tego, nowa linia orzecznicza sprawiła, że praktykom ochrony danych osobowych zaczęła trząść się ziemia pod nogami, w tym prelegentce.

Powstaje szereg pytań: Czy taka szeroka interpretacja wykracza poza literę prawa oraz intencje stojące za użytym w rozporządzeniu sformułowaniem “wspólnego ustalania celów i sposobów przetwarzania”? Co oznacza w praktyce dla organizacji zaangażowanych w przetwarzanie? Czym jest współadministrowanie i czy może uprościć współpracę? Jakie niesie dodatkowe ryzyka biznesowe? Czy szerokie rozumienie ma wpływ tylko na branże online czy też na inne?

Izabela Kowalczuk-Pakuła

Partner, Radca Prawny, Bird & Bird

RÓWNOLEGŁE SESJE CASE STUDIES

PRAWO

Umowy powierzenia – kiedy należy je zawierać, a kiedy jest to tylko udostępnienie i nie trzeba umowy powierzenia podpisywać

Choć zasady ogólne dotyczące powierzania danych do przetwarzania nie uległy zasadniczym zmianom po wejściu w życie RODO, określenie w których sytuacjach dochodzi do powierzenia danych, a w których nie, potrafi nadal stanowić nie lada wyzwanie. Kiedy więc wymagane jest zawarcie umowy powierzenia? Gdy już dojdziemy do wniosku, że umowa powierzenia jest niezbędna – na czym polega odpowiedzialność administratora za wybór podmiotu przetwarzającego zapewniającego „wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych”,  co powinno się w takiej umowie znaleźć i jak weryfikować, czy jest właściwie realizowana?

 

Marta Siemaszko

Head Data Privacy Poland and Baltics, Novartis

Brexit i jego konsekwencje w kontekście RODO.

Bez polityki, ale czysto biznesowo – jakie skutki dla przetwarzania danych niesie brexit i w jaki sposób zapobiegać tym negatywnym. Jak przedsiębiorstwo może się przygotować na różne scenariusze rozwoju sytuacji – czyli pragmatyczne podejście do brexit.

Paweł Więckowski

Doradca ds. Ochrony Danych Osobowych, GSK

Uzasadniony interes jako podstawa przetwarzania – jakie warunki należy spełnić, aby działać zgodnie z prawem

Podczas wystąpienia omówione zostaną przepisy regulujące uzasadniony interes do przetwarzania danych osobowych. Przedstawione zostaną konkretne przykłady, gdy uzasadniony interes był właściwą przesłanką dla przetwarzania danych jak i takie, gdy okazał się niewystarczający.

Przerost formy nad treścią – jak zapanować nad ilością tworzonej dokumentacji?

 Firmy tworzą ogromne ilości dokumentacji, aby zrealizować obowiązki wynikające z RODO. Czy jest to konieczne? Nie zawsze. Podczas prezentacji uczestnicy dowiedzą się, jak zdecydować, jaką dokumentację muszą mieć, jaką warto, a z czego można zrezygnować a uwolnione zasoby wykorzystać na rozwój biznsu.

Przepisy sektorowe – gdzie jesteśmy i jak nowe przepisy wpłyną na poszczególne branże?

Niemalże rok po wejściu w życie RODO doczekaliśmy się zmian w części przepisów krajowych. Ustawa wdrażająca dotyka wiele sektorów: zatrudnienia, ochrony zdrowia, ubezpieczeń, oświaty a nawet kodeksu karnego. Czy dużo się zmieni i jak zmiany przełożą się na działalność administratorów danych? Czy to wyczerpuje zapotrzebowanie na zmiany? Gdzie jeszcze zauważamy luki, które powinny znaleźć odzwierciedlenie w kolejnych ustawach zmieniających nasze lokalne prawo?

Katarzyna Korulczyk

Inspektor Ochrony Danych, LUX MED

Nietypowe rodzaje naruszeń, nowe ryzyka naruszeń.

Wdrożenie przepisów RODO było w wielu organizacjach okazją do uszczelnienia procesów związanych ze zgłaszaniem naruszeń bezpieczeństwa informacji wewnątrz przedsiębiorstwa. W związku z krótkim, bo zaledwie 72 godzinnym czasem notyfikacji naruszenia do PUDO konieczne było wyedukowanie pracowników w zakresie zdarzeń, które kwalifikują się do statusu naruszenia. Dzięki temu Administrator danych może  zidentyfikować luki, których nie udało się wyłapać podczas dotychczasowych audytów. Podczas wystąpienia zwrócimy uwagę nie tylko na sam proces zgłaszania naruszeń, spróbujemy odpowiedzieć sobie również na pytanie, jakie naruszenia powinny być zgłaszane do PUODO, oraz w jaki sposób analizować ryzyko naruszeń w kontekście praw i wolności osób fizycznych.

Patryk Kuchta

Koordynator ds. bezpieczeństwa informacji i uprawnień, Medicover

CZŁOWIEK I TECHNOLOGIE

Biometria behawioralna – co ma wspólnego z biometrią – różnice w przetwarzanie danych i sposobie działania.

W trakcie sesji opowiem o biometrii behawioralnej związanej z interakcją człowieka z maszyną. Jakie dane są zbierane, i w jakim celu są przetwarzane. O identyfikacji i weryfikacji tożsamości na podstawie zbioru danych. O zastosowaniu sztucznej inteligencji do uwierzytelniania tożsamości. Jeżeli zostanie chwila czasu – pojawi się także wątek XAI -> explainable AI i jego potencjalnej roli w kontekście RODO.

Mateusz Chrobok

CEO, Digital Fingerprints

Technologie zabezpieczeń w kontekście ochrony danych

Rozwiązania, środki techniczne np. data loss prevention zarówno dla dużych firm jak i dla małych.

Maciej Kołodziej

Wiceprezes SABI-Stowarzyszenie IOD, Ekspert e-Detektywi.pl

Funkcjonalność systemów informatycznych a realizacja wymagań wynikających z RODO

Przetwarzanie danych osobowych wiąże się z koniecznością spełnienia wymagań wynikających z RODO, w tym ograniczenia czasu przechowywania danych, minimalizacji ich zakresu, realizacji praw osób, których dane są przetwarzane czy też dopełnienia obowiązku informacyjnego. Niezbędne jest również zapewnienie należytej ochrony danych przetwarzanych w ramach infrastruktury informatycznej. Podczas prezentacji zostaną omówione problemy związane z niedostosowaniem funkcjonalności systemów informatycznych do wymagań RODO oraz praktyczne możliwości ich rozwiązania. Poruszymy kwestie związane zarówno z systemami informatycznymi przetwarzającymi dane osobowe w postaci ustrukturalizowanych baz danych, jak i w postaci zbiorów nieustrukturalizowanych, w tym przechowujących informacje w postaci obrazów, filmów czy nagrań dźwiękowych.

Adam Gałach

Prezes Zarządu, Galach Consulting

Jak szkolić personel z bezpieczeństwa, innowacyjne metody szkoleń

Podczas wystąpienia postaram się określić jakie metody szkoleń są najbardziej efektywne, w jaki sposób dopasować materiał szkoleniowy do typu odbiorcy. Jakie elementy materiałów szkoleniowych najbardziej przemawiają do odbiorców?

Monika Sobczyk

kierownik ds. bezpieczeństwa informacji, Medicover

Zarządzanie procesami a RODO – wyzwania i możliwości

Implementacja RODO wymaga analizy i dogłębnego zrozumienia procesów w firmie (np. rekrutacja, marketing, zatrudnienie)  i to już na etapie tworzenia rejestru czynności przetwarzania, a także przede wszystkim dostosowania tych procesów do wymogów RODO, w tym w pierwszym rzędzie do zasad przetwarzania danych osobowych. Stwarza to określone i bardzo praktyczne wyzwania i trudności, gdyż mało która firma posiada jasno zdefiniowane procesy biznesowe i zasady zarządzania nimi. Z drugiej strony rodzi to wielkie możliwości przekraczające samą zgodność z RODO, w tym optymalizacji procesów i metod zarządzania nimi, obniżenia kosztów, poprawy efektywności, czy wreszcie zdobycia cennej wiedzy biznesowej. Połączenie RODO i znajomości biznesu stawia profesjonalistów od ochrony prywatności w unikalnej pozycji osób usprawniających i podnoszących wydajność biznesu, a nie tylko dbających o zgodność z przepisami i zasadami.

Piotr Foitzik

Senior Manager, Privacy and Data Protection Office, HCL Poland

Monitoring wizyjny a RODO.

  • Opis najciekawszych przypadków wraz z oceną prawną i techniczno-organizacyjną
  • Praktyczne wskazówki dla IOD oraz Oficerów Bezpieczeństwa
  • Próba wspólnej budowy programu audytu zgodności

Marcin Masłowski

Information Security Consultant, Carrefour Polska

Paweł Smater

Inspektor Ochrony Danych, Carrefour Polska

PRAWO

Umowy powierzenia – kiedy należy je zawierać, a kiedy jest to tylko udostępnienie i nie trzeba umowy powierzenia podpisywać

Marta Siemaszko

Head Data Privacy Poland and Baltics, Novartis

CZŁOWIEK I TECHNOLOGIE

Biometria behawioralna – co ma wspólnego z biometrią – różnice w przetwarzanie danych i sposobie działania.

W trakcie sesji opowiem o biometrii behawioralnej związanej z interakcją człowieka z maszyną. Jakie dane są zbierane, i w jakim celu są przetwarzane. O identyfikacji i weryfikacji tożsamości na podstawie zbioru danych. O zastosowaniu sztucznej inteligencji do uwierzytelniania tożsamości. Jeżeli zostanie chwila czasu – pojawi się także wątek XAI -> explainable AI i jego potencjalnej roli w kontekście RODO.

Mateusz Chrobok

CEO, Digital Fingerprints

Brexit i jego konsekwencje w kontekście RODO.

Bez polityki, ale czysto biznesowo – jakie skutki dla przetwarzania danych niesie brexit i w jaki sposób zapobiegać tym negatywnym. Jak przedsiębiorstwo może się przygotować na różne scenariusze rozwoju sytuacji – czyli pragmatyczne podejście do brexit.

Paweł Więckowski

Doradca ds. Ochrony Danych Osobowych, GSK

Technologie zabezpieczeń w kontekście ochrony danych

Rozwiązania, środki techniczne np. data loss prevention zarówno dla dużych firm jak i dla małych.

Maciej Kołodziej

Wiceprezes SABI-Stowarzyszenie IOD, Ekspert e-Detektywi.pl

Uzasadniony interes jako podstawa przetwarzania – jakie warunki należy spełnić, aby działać zgodnie z prawem

Podczas wystąpienia omówione zostaną przepisy regulujące uzasadniony interes do przetwarzania danych osobowych. Przedstawione zostaną konkretne przykłady, gdy uzasadniony interes był właściwą przesłanką dla przetwarzania danych jak i takie, gdy okazał się niewystarczający.

Funkcjonalność systemów informatycznych a realizacja wymagań wynikających z RODO

Przetwarzanie danych osobowych wiąże się z koniecznością spełnienia wymagań wynikających z RODO, w tym ograniczenia czasu przechowywania danych, minimalizacji ich zakresu, realizacji praw osób, których dane są przetwarzane czy też dopełnienia obowiązku informacyjnego. Niezbędne jest również zapewnienie należytej ochrony danych przetwarzanych w ramach infrastruktury informatycznej. Podczas prezentacji zostaną omówione problemy związane z niedostosowaniem funkcjonalności systemów informatycznych do wymagań RODO oraz praktyczne możliwości ich rozwiązania. Poruszymy kwestie związane zarówno z systemami informatycznymi przetwarzającymi dane osobowe w postaci ustrukturalizowanych baz danych, jak i w postaci zbiorów nieustrukturalizowanych, w tym przechowujących informacje w postaci obrazów, filmów czy nagrań dźwiękowych.

Adam Gałach

Prezes Zarządu, Galach Consulting

Przerost formy nad treścią – jak zapanować nad ilością tworzonej dokumentacji?

 Firmy tworzą ogromne ilości dokumentacji, aby zrealizować obowiązki wynikające z RODO. Czy jest to konieczne? Nie zawsze. Podczas prezentacji uczestnicy dowiedzą się, jak zdecydować, jaką dokumentację muszą mieć, jaką warto, a z czego można zrezygnować a uwolnione zasoby wykorzystać na rozwój biznsu.

Jak szkolić personel z bezpieczeństwa, innowacyjne metody szkoleń

Podczas wystąpienia postaram się określić jakie metody szkoleń są najbardziej efektywne, w jaki sposób dopasować materiał szkoleniowy do typu odbiorcy. Jakie elementy materiałów szkoleniowych najbardziej przemawiają do odbiorców?

Monika Sobczyk

kierownik ds. bezpieczeństwa informacji, Medicover

Przepisy sektorowe – gdzie jesteśmy i jak nowe przepisy wpłyną na poszczególne branże?

Niemalże rok po wejściu w życie RODO doczekaliśmy się zmian w części przepisów krajowych. Ustawa wdrażająca dotyka wiele sektorów: zatrudnienia, ochrony zdrowia, ubezpieczeń, oświaty a nawet kodeksu karnego. Czy dużo się zmieni i jak zmiany przełożą się na działalność administratorów danych? Czy to wyczerpuje zapotrzebowanie na zmiany? Gdzie jeszcze zauważamy luki, które powinny znaleźć odzwierciedlenie w kolejnych ustawach zmieniających nasze lokalne prawo?

Katarzyna Korulczyk

Inspektor Ochrony Danych, LUX MED

Zarządzanie procesami a RODO – wyzwania i możliwości

Implementacja RODO wymaga analizy i dogłębnego zrozumienia procesów w firmie (np. rekrutacja, marketing, zatrudnienie) i to już na etapie tworzenia rejestru czynności przetwarzania, a także przede wszystkim dostosowania tych procesów do wymogów RODO, w tym w pierwszym rzędzie do zasad przetwarzania danych osobowych. Stwarza to określone i bardzo praktyczne wyzwania i trudności, gdyż mało która firma posiada jasno zdefiniowane procesy biznesowe i zasady zarządzania nimi. Z drugiej strony rodzi to wielkie możliwości przekraczające samą zgodność z RODO, w tym optymalizacji procesów i metod zarządzania nimi, obniżenia kosztów, poprawy efektywności, czy wreszcie zdobycia cennej wiedzy biznesowej. Połączenie RODO i znajomości biznesu stawia profesjonalistów od ochrony prywatności w unikalnej pozycji osób usprawniających i podnoszących wydajność biznesu, a nie tylko dbających o zgodność z przepisami i zasadami.

Piotr Foitzik

Senior Manager, Privacy and Data Protection Office, HCL Poland

Nietypowe rodzaje naruszeń, nowe ryzyka naruszeń.

Wdrożenie przepisów RODO było w wielu organizacjach okazją do uszczelnienia procesów związanych ze zgłaszaniem naruszeń bezpieczeństwa informacji wewnątrz przedsiębiorstwa. W związku z krótkim, bo zaledwie 72 godzinnym czasem notyfikacji naruszenia do PUDO konieczne było wyedukowanie pracowników w zakresie zdarzeń, które kwalifikują się do statusu naruszenia. Dzięki temu Administrator danych może  zidentyfikować luki, których nie udało się wyłapać podczas dotychczasowych audytów. Podczas wystąpienia zwrócimy uwagę nie tylko na sam proces zgłaszania naruszeń, spróbujemy odpowiedzieć sobie również na pytanie, jakie naruszenia powinny być zgłaszane do PUODO, oraz w jaki sposób analizować ryzyko naruszeń w kontekście praw i wolności osób fizycznych.

Patryk Kuchta

Koordynator ds. bezpieczeństwa informacji i uprawnień, Medicover

Monitoring wizyjny a RODO.

  • Opis najciekawszych przypadków wraz z oceną prawną i techniczno-organizacyjną
  • Praktyczne wskazówki dla IOD oraz Oficerów Bezpieczeństwa
  • Próba wspólnej budowy programu audytu zgodności

Marcin Masłowski

Information Security Consultant, Carrefour Polska

Paweł Smater

Inspektor Ochrony Danych, Carrefour Polska

SESJE ROUNDTABLES

Równoległe dyskusje roundtables to element konferencji angażujący wszystkich uczestników. Ta sesja ma kilka celów. Po pierwsze, bezpośrednią wymianę opinii i doświadczeń w ramach konkretnego zagadnienia, interesującego daną grupę uczestników. Po drugie – możliwość spotkania i rozmowy z prowadzącym dane roundtable – wybraliśmy bowiem do ich prowadzenia osoby o dużej wiedzy i doświadczeniu. Sesja roundtables to bardzo szerokie spektrum tematów i bogate grono wybitnych osobowości w roli prowadzących – tak, aby każdy uczestnik konferencji mógł znaleźć interesującą go najbardziej dyskusję i poznać w ten sposób innych uczestników zainteresowanych tą samą tematyką.

  • Ochrona danych w internecie rzeczy – czy coś takiego w ogóle istnieje?
    • Jakie znasz przypadki naruszeń przy użyciu IoT?
    • Jak dane z urządzeń IoT mogą Cię sprofilować?
    • Czy  certyfikacja urządzeń IoT może zapewnić odpowiedni poziom bezpieczeństwa?
    • Future IoT, etyczne wykorzystanie danych z IoT oraz przez AI? Jak możemy mieć nad tym kontrolę?

mgr inż. Mariola Więckowska

Dyrektor d.s Innowacyjnych Technologii Ochrony Danych, LexDigital

  • Czy Inspektor Ochrony Danych w sektorze publicznym może być niezależny, włączany we wszystkie sprawy odo i może nie otrzymywać instrukcji”? Doświadczenia i wskazówki.
    • Czy przepisy unijne lub krajowe wskazują wprost zakres gwarancji niezależności Inspektora Ochrony Danych w zakresie wykonywania przez niego zadań?
    • Jaka jest rola administratora danych z sektora publicznego w celu wspierania IOD w jego czynnościach?
    • Jeżeli kierownictwo instytucji publicznej nie podziela opinii czy stanowiska IOD, w jaki sposób IOD może wykazać dołożenie należytej staranności?
    • Czy IOD może być odwołany i ukarany, jeżeli odmówi wykonania polecenia i jaki ma to wpływ na sytuacją zawodową IOD u danego administratora z sektora publicznego?
    • Praktyka a wytyczne i zalecenia.

Bogusława Pilc

Radca Prawny, Ekspert ds. Ochrony Infromacji

  • Rebelianci kontra Imperium, czyli kto powinien ogarniać RODO w firmie?
    • Negatywne i pozytywne spory kompetencyjne pomiędzy IT a działem prawnym.
    • Kiedy warto budować własny dział ochrony danych osobowych a kiedy wynająć do tego firmę zewnętrzną?
    • Grzechy główne współpracy przy stosowaniu RODO i firmowy rachunek sumienia po roku.

Marta Fydrych-Gąsowska

niezależny ekspert,

  • Identyfikacja kontrolera i procesora – kto jest kim w złożonej organizacji?
    • Administratorzy, współadministratorzy, przetwarzający – jakie relacje mogą występować w ramach złożonej organizacji, w jakim stopniu zależy to od struktury firmy, a w jakim może być dowolnie kształtowane przez porozumienia, umowy czy inne dokumenty (polityki, procedury) o charakterze wewnątrzorganizacyjnym?
    • W jakim stopniu rozwiązania – relacje, zależą od typu danych np. dane HR-owe, finansowe, dane klientów itp. oraz co trzeba mieć na uwadze przy zagadnieniach transgranicznych?
    • Czy współadministratorzy to domyślne i dobre rozwiązanie dla relacji wewnątrzorganizacyjnych, jakie są korzyści i wady i jak to wygląda w świetle RODO?
    • Jakie praktyczne rozwiązania dotyczące dokumentacji można przyjąć i jak skutecznie zarządzać umowami oraz porozumieniami wewnątrzorganizacyjnymi i ograniczyć ich ilość?

Piotr Foitzik

Senior Manager, Privacy and Data Protection Office, HCL Poland

  • Jak rozumieć monitorowanie przez IOD?
    • Jakie Państwo stosujecie praktyki monitorowania?
    • Jak IOD powinien wdrożyć proces monitorowania?
    • Czy cykliczne audyty są wystarczające?
    • Czy w celu realizacji obowiązku monitorowania IDO może skorzystać z audytu wewnętrznego/zewnętrznego, zespołów kontroli wewnętrznej?
    • Czy w związku z obowiązkiem monitorowania IOD powinien weryfikować jak są w praktyce zaimplementowane wymogi ochrony danych w aplikacjach i procesach w organizacji?

Adam Danieluk

Dyrektor ds. Cyberbezpieczeństwa, LUX MED

  • Kiedy mamy do czynienia z danymi osobowymi?
    • Czy jesteśmy w stanie wymienić jakieś dane, które zawsze stanowić będą dane osobowe?
    • Czy dane speudonimizowane nadal są danymi osobowymi i podlegają przykładowo obowiązkowi powierzenia?
    • Czy dane służbowe pracowników wskazanych w umowie z klientem powinny być traktowane jak dane osobowe?

Patryk Kuchta

Koordynator ds. bezpieczeństwa informacji i uprawnień, Medicover

  • Zgodność z RODO w prywatnym i publicznym blockchain

Blockchain oznacza środowisko i paradygmaty operacyjne, w którym interpretacja RODO może być utrudniona, ponieważ podstawy ochrony danych osobowych zostały utworzone kiedy dominującym modelem były scentralizowane systemy zarządzania danymi. Ze względu na transparentność wykonywanych w nich transakcji przy jednoczesnym zanonimizowaniu uczestników szczególnym wyzwaniem dla zgodności z RODO stanowią publiczne (permissionless) blockchain.

    • Co jest podstawą prawną do przetwarzania danych w publicznym blockchain i jak realizować w  nim zasady przetwarzania danych takie, jak poprawność, ograniczenie przechowania, rozliczalność etc.
    • Czy rzeczywiście możemy mówić o zanonimizowanych danych przy wykorzystaniu publicznych kluczy kryptograficznych jako identyfikatorów stron transakcji?
    • Kto jest administratorem danych w blockchain i jak się z nim skontaktować w sprawie praw osób fizycznych?

Monika Adamczyk

Główny Specjalista w Zespole Analiz i Strategii, Urząd Ochrony Danych Osobowych

  • Jak mierzyć i oceniać skuteczność stosowania zabezpieczeń (organizacyjnych i technicznych) mających zapewnić bezpieczeństwo przetwarzania danych osobowych?
    • Jak mierzyć i oceniać skuteczność stosowania zabezpieczeń (organizacyjnych i technicznych) mających zapewnić bezpieczeństwo przetwarzania danych osobowych?
    • Czy okresowe przeprowadzanie audytów wewnętrznych i zewnętrznych jest wystarczające?
    • Jakie narzędzie warto wykorzystywać w tym celu?

Kamil Pszczółkowski

niezależny ekspert,

  • Data breach reporting – jak zgłosić naruszenie do Prezesa UODO i przetrwać?
    • Jak w praktyce przebiega procedura zgłoszenia naruszenia i co można zrobić, żeby się do niej przygotować?
    • Papierowo, a może elektronicznie – czy forma zgłoszenia ma znaczenie?
    • Jakie są najczęściej popełniane błędy podczas zgłaszania naruszenia?
    • Co czeka administratora po dokonaniu zgłoszenia naruszenia?
    • Jak zawiadomić podmioty danych o naruszeniu? Jakie informacje im przekazać i w jakiej formie?

Marta Kwiatkowska-Cylke

Senior Associate, Bird & Bird

  • PIA/DPIA. Nie taki diabeł straszny…z drugiej strony, kto nie ryzykuje ten…?
    • Czy warto sięgać po sprawdzone rozwiązania/standardy?
    • Jak PIA/DPIA pomogły zmienić życie dużych organizacji?

Kamil Kiliński

Senior Security Consultant, EY

  • RODO a cyberbezpieczeństwo
    • Czy RODO i cyberbezpieczeństwo to rodzeństwo?
    • Poprawa cyberbezpieczeństwa – dziękujemy Ci RODO?
    • Połączenie z technologią (bezpieczeństwo cybernetyczne/ bezpieczeństwo informacji).
    • Jak jest a jak powinno być – działania csirt.

Zuzanna Kosakowska

Inspektor Ochrony Danych, Centrum Systemów Informacyjnych Ochrony Zdrowia

  • Drony vs RODO
  • Monitoring floty pojazdów

Magdalena Kawczyńska

Head of Legal Department, Privacy & Compliance Officer, LeasePlan Fleet Management

  • Nie zapomnimy. Praktyczne przypadki możliwości odmowy usunięcia danych

Marek Szydłowski

Członek Zarządu TVN S.A., Dyrektor Pionu Prawnego, Grupa TVN

Anna Kobylańska

Adwokat, Wspólnik, Kobylańska & Lewoszewski Kancelaria Prawna

  • Ochrona danych jako broń w sporach pracowników z pracodawcami

Tomasz Osiej

Radca prawny, Prezes, Omni Modo

dr Michał Czarnecki

Doktor nauk prawnych, Specjalista ds. ochrony danych osobowych, Omni Modo

WIECZORNA IMPREZA INTEGRACYJNA

Wieczorne Polaków rozmowy.

W trakcie imprezy integracyjnej odbędzie się sesja pytań i odpowiedzi ekspertów.

Eksperci odpowiadają na wszystkie (również trudne) pytania kierowane ze strony publiczności, także te zgłaszane przed konferencją. Uczestnicy sesji mają możliwość głosowania i wyrażania swojej opinii w trakcie sesji.

DZIEŃ DRUGI – 17 kwietnia

8.30 - 9.15

Rejestracja uczestników i poranna kawa

Drugi dzień konferencji to kilkanaście miniwarsztatów na różnorodne tematy obejmujące szeroką tematykę dotyczącą praktyki wdrażania RODO w organizacji. Zajęcia prowadzone są w grupach i mają charakter roboczy. Uczestnicy będą mogli wybrać interesujące ich miniwarsztaty jeszcze przed konferencją.

9.15 - 11.00

Testy uzasadnionego interesu

Izabela Kowalczuk-Pakuła

Partner, Radca Prawny, Bird & Bird

Metody analizy ryzyka dla ochrony danych osobowych

Monika Adamczyk

Główny Specjalista w Zespole Analiz i Strategii, Urząd Ochrony Danych Osobowych

Bezpieczeństwo danych osobowych w perspektywie infrastruktury IT

Maciej Kołodziej

Wiceprezes SABI-Stowarzyszenie IOD, Ekspert e-Detektywi.pl

Jak weryfikować dostawców i w jakim zakresie

Anna Jaworska-Kłosowicz

Ekspert ds. Ochrony Danych Osobowych , Samsung Electronics Polska

11.15 - 13.00

Klasyfikacja incydentów – co jest incydentem a co zdarzeniem Rejestrowanie czynności - jak znaleźć i wydobyć istotne procesy w firmach

mgr inż. Mariola Więckowska

Dyrektor d.s Innowacyjnych Technologii Ochrony Danych, LexDigital

Monitoring wizyjny, monitoring GPS, monitoring czasu pracy czy poczty elektronicznej

Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

Kamil Pszczółkowski

niezależny ekspert,

Jak spośród bardzo ogólnych wytycznych wybrać właściwe, spełniające wymagania i nie dewastujące budżetów firmy?

Marcin Golec

Prawnik, Dotpay & eCard

13.45 - 15.15

Remarketing online a zakres odpowiedzialności za ochronę danych

Przetwarzanie danych osobowych na etapie KPA (Kodeksu Postępowania Administracyjnego)

Rekrutacja, prowadzenie akt, proporcjonalność – ochrona danych osobowych w kadrach

Realizacja obowiązku z art. 32 RODO - jak weryfikować systemy IT pod kątem RODO