DZIEŃ PIERWSZY – 28 lutego

8.00 - 9.00

Rejestracja uczestników i poranna kawa

9.00 - 9.15

Powitanie uczestników i otwarcie konferencji

Przemysław Gamdzyk

CEO & Meeting Designer, Sekretarz Rady Programowej, CSO Council/Evention

Julia Juraszek

Prezes Zarządu, ISSA Polska

9.15 - 10.45

Sesja plenarna

9.15 - 9.35

Doświadczenia europejskie**

Nicola Franchetto

Partner, ICT Legal Consulting

9.35 - 10.15

PANEL: RODO – czy jesteśmy na ścieżce i na kursie?

Jak należy oceniać polskie regulacje implementujące na gruncie krajowego prawa GDPR – pod względem „zgodności” i efektywności? Negatywne i pozytywne scenariusze rozwoju sytuacji. Czy należy – w interesie polskiej gospodarki – maksymalnie łagodzić obowiązki i penalizację nowych regulacji? Czy mniejsze podmioty ogóle mają szanse się przygotować – wobec braku wystarczającej liczby specjalistów na rynku? Czy dobrze oszacowaliśmy wszystkie ryzyka związane z wdrażaniem RODO – czy realnym zagrożeniem jest masowa skala wyłudzeń i ekspansja ze strony RODO-witych gangów?

Prowadzenie dyskusji:

Przemysław Gamdzyk

CEO & Meeting Designer, Sekretarz Rady Programowej, CSO Council/Evention

dr Dominik Lubasz

radca prawny, wspólnik zarządzający, Lubasz i Wspólnicy Kancelaria Radców Prawnych

Beata Marek

IT&IP Lawyer, Cyberlaw

Marcin Maruta

Senior Partner, Maruta Wachta sp.j.

dr Marlena Sakowska-Baryła

Radca prawny, partner, Sakowska-Baryła, Czaplińska Kancelaria Radców Prawnych Sp.p.

10.15 - 10.40

Czy (wszyscy) zdążymy czyli obecny stan przygotowań do wdrożenia RODO w Polsce*

dr Maciej Kawecki

Koordynator krajowej reformy ochrony danych osobowych, kieruje Departamentem Zarządzania Danymi w Ministerstwie Cyfryzacji

* Prezentacja dr Macieja Kaweckiego będzie miała charakter otwarty – udostępnimy ją również dla osób nieuczestniczących w konferencji RIBA Forum.

10.40 - 11.00

Analiza ryzyka i ocena skutków dla ochrony danych w kontekście RODO

Użyte w RODO podejście do zapewnienia ochrony danych przy uwzględnieniu charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych wymaga indywidualnego podejścia dla każdego przypadku. RODO nie podaje w tym zakresie gotowych rozwiązań. Stąd bezpiecznym rozwiązaniem wydaje się skorzystanie z praktycznych doświadczeń w zakresie oceny ryzyka dla bezpieczeństwa informacji zebranych w postaci dobrych praktyk i standardów. W prezentowanym rozwiązaniu sugeruje się przeprowadzanie ogólnej oceny ryzyka jak i przeprowadzanie oceny skutków dla ochrony danych przy wykorzystaniu podejścia przedstawionego w normach ISO dotyczących bezpieczeństwa informacji. Przedstawiono również sugestie w tym zakresie zawarte w opinii Grupy art. 29 w dokumencie WP 248 zatytułowanym Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679.

dr Andrzej Kaczmarek

Dyrektor Departamentu Informatyki, Biuro Generalnego Inspektora Ochrony Danych Osobowych

11.00 - 11.25

Przerwa kawowa

11.25 - 13.15

SESJE RÓWNOLEGŁE

WYZWANIA

Prowadzenie: Łukasz Suchenek, Evention

Wybrane kluczowe aspekty wdrażania i realizacji wymogów RODO – które rodzą najwięcej trudności i pytań

STUDIA PRZYPADKÓW

Prowadzenie: Przemysław Gamdzyk, Evention

Sprawozdanie z projektów wdrożeniowych RODO w wybranych firmach i instytucjach

11.25 - 11.50

Profilowanie w teorii i w praktyce

Profilowanie a zautomatyzowane podejmowanie decyzji. Działania dopuszczone i zakazane przez RODO w obszarze profilowania. Wykorzystanie profilowania w działalności finansowej, marketingowej, politycznej (przykłady z różnych obszarów: finanse, marketing, media społecznościowe, polityka i funkcjonowanie państwa, itp.). Prawa podmiotu danych w ramach zautomatyzowanego podejmowania decyzji. Przykłady konsekwencji korzystania z praw. Konieczność DPIA w profilowaniu. Pozytywne i negatywne aspekty profilowania.

Mec. Artur Piechocki

Radca prawny, prezes, Kancelaria Prawna APLAW

11.25 - 11.50

Studium przypadku – prawo do zapomnienia

Przygotowania do RODO w T-Mobile Polska – jak sobie radzimy z „prawem do zapomnienia”? Dlaczego ono wcale nie jest tak jednoznaczne – ograniczenia i uwarunkowania prawne ograniczające prawo do zapomnienia. Prawo do zapomnienia a specyfika dużej organizacji z długa historią rozwoju systemów IT. Trudne wyzwania – w tym backup i zjawisko shadow IT.

Daniel Ślęzak

Privacy Officer, T-Mobile Polska

Adam Masiak

Data Security Specialist, T-Mobile Polska

11.50 - 12.10

Jak sprawować kontrolę nad wrażliwymi danymi**

Wykrywanie, klasyfikacja i maskowanie – czyli czego wymaga od nas GDPR

Ami Aharonovich

Prezes Zarządu, Brillix

11.50 - 12.10

Privacy by Design

Podejście do ochrony prywatności oraz ochrony danych osobowych zmieniło się. Privacy by desgin i by default nie są już dobrowolną, dobrą praktyką. RODO/GDPR wprowadza je jako standard. Celem wystąpienia jest pokazanie jak przy wybranych projektach (a te realizowane są wewnątrz firmy bądź dla klienta) można zaimplementować konkretne wytyczne i rozwiązania oparte właśnie o PbD. Będzie to zatem przegląd implementacji określonych rozwiązań. Efektem końcowym będzie także prezentacja checklisty.

Beata Marek

IT&IP Lawyer, Cyberlaw

12.10 - 12.30

Czy jesteś gotowy na RODO? Jak zidentyfikować luki w zabezpieczeniach i jakie technologie pomogą przygotować się na nowe regulacje**

Dmitri Belotchkine

Principle Sales Engineer, Trend Micro

12.10 - 12.30

Doświadczenia z wdrażania RODO w polskich firmach czyli gdzie boli najbardziej?

Adw. Anna Dmochowska

Ekspert ds. ochrony danych, ODO 24

Maciej Jurczyk

Inżynier ds. bezpieczeństwa informacji, ODO 24

12.30 - 12.50

Mapowanie i inwentaryzacja zasobów w projektach RODO

Maciej Bartkowski

CSO/DPO w Kredyt Inkaso, członek ISACA oraz ISSA Polska

12.30 - 12.50

RODO w dużym mieście

Adam Grzegrzółka

dyrektor Biura Organizacji, Urząd m.st. Warszawy

12.50 - 13.15

Prawo do bycia zapomnianym – praktyka i teoria

Geneza prawa do bycia zapomnianym. Prawo do bycia zapominanym – wersja 2.0. Praktyczne problemy realizacji prawa do bycia zapomnianym

Michał Kaczorowski

Radca Prawny, Google Commercial Counsel CEE

12.50 - 13.15

Szacowanie ryzyka zgodnie z RODO – na przykładzie urzędu miasta

Sebastian Sobecki

Dyrektor Biura ds. Bezpieczeństwa Informacji UMW, Urząd Miejski Wrocławia

13:15 - 14.00

Przerwa obiadowa

14.00 - 15:30

SESJE RÓWNOLEGŁE

BIZNES – RODO W FIRMIE

Wdrażanie RODO w podmiotach biznesowych angażuje różnorodne działy i specjalności – stąd pytania, jakie będziemy podejmować w tej sesji, dotykać będą rozmaitych obszarów

SEKTOR PUBLICZNY

Nie tylko dla dla jednostek administracji i instytucji publicznych, ale również dla podmiotów zainteresowanych obsługą sektora publicznego

Eksperci odpowiadają na wszystkie (trudne) pytania kierowane ze strony publiczności, także te zgłaszane przed konferencją. Uczestnicy konferencji mają możliwość głosowania i wyrażania swojej opinii w trakcie sesji. Po konferencji na bazie przedstawionych pytań i odpowiedzi przygotowany zostanie raport, który otrzymają wszyscy uczestnicy.

Panel ekspertów tworzą m.in.:

Michał Brandt

Ekspert ds. bezpieczeństwa informacji, Alior Bank

Wojciech Jakubowski

Administrator Bezpieczeństwa Informacji, Grupa ENERGA

dr Dominik Lubasz

radca prawny, wspólnik zarządzający, Lubasz i Wspólnicy Kancelaria Radców Prawnych

Leszek Maśniak

Chief Data Officer, Gabinet Polityczny Ministra Cyfryzacji, Ministerstwo Cyfryzacji

Panel ekspertów tworzą m.in.:

Maksymilian Michalski

dyrektor, ISSA Polska

Bogusława Pilc

dyrektor Departamentu Inspekcji, GIODO

Agnieszka Sagan-Jeżowska

Radca prawny, Associate w zespole prawa własności intelektualnej i ochrony danych osobowych, Kancelaria prawna Bird & Bird

15.30 - 15.50

Przerwa kawowa

15.50 - 17.20

Sesja dyskusji roundtables

Prowadzenie sesji: Przemysław Gamdzyk, Evention

Równoległe dyskusje roundtables to element konferencji angażujący wszystkich uczestników. Ta sesja ma kilka celów. Po pierwsze, bezpośrednią wymianę opinii i doświadczeń w ramach konkretnego zagadnienia, interesującego daną grupę uczestników. Po drugie możliwość spotkania i rozmowy z prowadzącym dane roundtable – wybraliśmy do ich prowadzenia osoby o dużej wiedzy i doświadczeniu. Podział tematów na poszczególne rundy zostanie ustalony w lutym na bazie ankiety badającej preferencje uczestników konferencji.

Odbędą się dwie rundy dyskusji – każda po 40 minut

RUNDA I – 15.55 – 16.35

RUNDA II – 16.40 – 17.20

Runda 1

Andrzej Jeruzal

Senior Systems Engineer, VMware Poland

W jaki sposób kontrolować rozprzestrzenianie się zagrożeń w przypadku ich wystąpienia w danej organizacji? Czy jesteśmy w stanie skutecznie separować systemy IT? Czy sprawne zarządzanie może pomóc w wypełnieniu wymogów bezpieczeństwa w czasie implementacji nowych usług? Czy możliwe jest zapewnienie kontroli w sytuacji awaryjnej?

Czy kodeksy branżowe rzeczywiście są potrzebne? Na ile będą skuteczne, jaka jest ich rola i zadania, kto powinien je tworzyć, etc.?

Monika Sobczyk

kierownik ds. bezpieczeństwa informacji, Medicover

Piotr Najbuk

Senior Associate, Life Sciences Practice, Domański Zakrzewski Palinka sp. k.

Maria Kamińska

Dyrektor, ISSA POLSKA

  1. Hierarchia priorytetów: ochrona danych (wizerunku) a ochrona zdrowia w zbiórkach na leczenie.
  2. Stowarzyszenia i kluby seniorów: Czy przesyłanie informacji na ujawnione adresy grup dystrybucyjnych jest rzeczywistym zagrożeniem (w jakim zakresie? Od czego to zależy?). Jak reagują na wymagania ochrony danych przyjaciele z tych stowarzyszeń – budowa braku zaufania czy świadomości zagrożeń?
  3.  Placówki oświatowe/biura turystyczne: jawne udostępnianie ocen, odczytywanie list uczestników wycieczek/podawanie listy uczestników wyjazdów w wydarzeniach na FB – akceptowalne czy niezgodne z prawem/z oczekiwaniami klientów (którzy niejednokrotnie zapisują się via FB na wyjazdy/wycieczki).
  4. Uczelnie/Placówki muzealne:  Dokumentacja papierowa  – dostęp do danych (umów) w przestrzeniach otwartych (kuwetki/przegródki z różnymi dokumentami do odbierania/podpisania…). Gdzie świadomość? Jak wygląda proces zarządzania i szkoleń w takich instytucjach?

Maksymilian Michalski

dyrektor, ISSA Polska

W Polsce brak jest regulacji ogólnej związanej z monitoringiem wizyjnym – choć spotykamy go praktycznie na każdym kroku (od zapobiegania przestępczości, ścigania sprawców przestępstw, zapewniania bezpieczeństwa osobistego, ochrony mienia i dbania o porządek, jako kontrola pracowników ale również jako forma promocji, informacji czy działań komercyjnych). Porozmawiajmy o tym, jakie będą skutki i obowiązki wynikające z rozporządzenia unijnego dla podmiotów wykorzystujących monitoring wizyjny.

Czy wystarczą obecne regulacje branżowe czy też niektóre podmioty będą musiały zaprzestać monitoringu w świetle RODO i braku regulacji ogólnej?

Rafał Jarosz

Szef zespołu IT, IMMUSEC

Jak rozwiązania klasy DLP, SIEM oraz zaawansowane mechanizmy detekcji zagrożeń wspierają zgodność z RODO?

Jacek Bajorek

Naczelnik Wydziału Polityk Bezpieczeństwa , Ministerstwo Inwestycji i Rozwoju

Tymoteusz Kondrak

Konsultant w dziale Zarządzania Ryzykiem Informatycznym, EY

Runda 2

Agnieszka Mencel

Managing Associate, Head of TMT/IP, Linklaters Warsaw

Monika Bogatek

Menedżer ds. bezpieczeństwa informacji, ABI, Benefit Systems S.A.

Piotr Esman

Audytor Wiodący IT, Wydział Kontroli BS i Audytu Informatycznego Departament Kontroli, Bank BPS S.A.

Jakie są różnice między uchybieniem a naruszeniem przepisów prawa? Czy i jak można przygotować się do kontroli w zakresie RODO? Jak współpracować z kontrolującym? Czy zewnętrzne kontrole uwzględniać w procesie zarządzania bezpieczeństwem informacji? Jakie ryzyko wnosi kontrolujący do procesu zarządzania bezpieczeństwem informacji? Na jakich zasadach umożliwić dostęp kontrolującemu do systemów i stosowanych zabezpieczeń? Jak udostępnić materiały na potrzeby kontroli? Czego spodziewać się podczas kontroli i jak zniwelować ryzyko nałożenia kary finansowej?

Adam Mizerski

Prezes, Stowarzyszenie ISACA Katowice

Katarzyna Lewandowska

Administrator Bezpieczeństwa Informacji, Kompania Piwowarska

RODO – co oznacza dla organizacji? RODO, ewolucja w zakresie ochrony danych osobowych, czy jednak rewolucja? Na czym polegają zmiany wynikające z RODO i jakie będą one miały wpływ na funkcjonowanie Grup Kapitałowych? W jakich sytuacjach będzie możliwe powołanie jednego Inspektora Ochrony Danych Osobowych na Grupę Kapitałową?

Wojciech Jakubowski

Administrator Bezpieczeństwa Informacji, Grupa ENERGA

Uprawnienia osób, których dotyczą przetwarzane dane w świetle regulacji RODO – co wolno dzisiaj a co będzie po 25 maja? Gdzie kończą się obowiązki podmiotów przetwarzających dane? Jak uniknąć trolli?

 

Tomasz Osiej

Radca prawny, prezes Omni Modo Sp. z o.o.

17.20 - 17.40

Zakończenie pierwszego dnia konferencji

18:30 - 22:00

Impreza integracyjna

Serdecznie zapraszamy uczestników konferencji do udziału w wieczornej imprezie integracyjnej, która odbędzie się w pubie Drugie Dno (ul. Nowogrodzka 4) Udział w wieczornej imprezie integracyjnej jest bezpłatny dla uczestników konferencji.

**Prezentacja będzie prowadzona w języku angielskim, organizatorzy nie przewidują tłumaczenia

DZIEŃ DRUGI – 1 marca

8.30 - 9.15

Rejestracja uczestników i poranna kawa

Drugi dzień konferencji to kilkanaście tutoriali na różnorodne tematy obejmujące szeroką tematykę dotyczącą praktyki wdrażania RODO w organizacji. Zajęcia prowadzone są w grupach i mają charakter roboczy. Uczestnicy będą mogli wybrać interesujące ich tutoriale jeszcze przed konferencją.

9.15 - 11.00

Czy ocena skutków dla ochrony danych i analiza ryzyka pozwoli wykazać zgodność z RODO?

mgr inż. Mariola Więckowska

ABI, Allegro i Ceneo

Wyzwania RODO – przegląd narzędzi wspierających (bezpieczeństwo systemów i zabezpieczenia danych)

Michał Brandt

Ekspert ds. bezpieczeństwa informacji, Alior Bank

Weryfikacja zgód na przetwarzanie danych osobowych w procesie implementacji RODO

Agnieszka Sagan-Jeżowska

Radca prawny, Associate w zespole prawa własności intelektualnej i ochrony danych osobowych, Kancelaria prawna Bird & Bird

Profilowanie – technika zautomatyzowanego zestawiania informacji w praktyce biznesowej

Katarzyna Lewandowska

Administrator Bezpieczeństwa Informacji, Kompania Piwowarska

11.00 - 11.15

Przerwa kawowa

11.15 - 13.00

Pomocnik RODO

Beata Marek

IT&IP Lawyer, Cyberlaw

Rosnące znaczenie poprawy doświadczeń klienta z marką a kwestie RODO

Łucja Gdala

VP/Director Marketing Cloud, Centraals Europe

Weryfikacja zgód na przetwarzanie danych osobowych w procesie implementacji RODO

Agnieszka Sagan-Jeżowska

Radca prawny, Associate w zespole prawa własności intelektualnej i ochrony danych osobowych, Kancelaria prawna Bird & Bird

Ochrona danych w ujęciu praktycznym - warsztat techniczny

Marcin Paciorkowski

Konsultant ds. bezpieczeństwa, CLICO

Cezary Michalak

Security Consultant, Clico

13.00 - 13.45

Obiad

13.45 - 15.15

Czy ocena skutków dla ochrony danych i analiza ryzyka pozwoli wykazać zgodność z RODO?

mgr inż. Mariola Więckowska

ABI, Allegro i Ceneo

RODO w placówkach służby zdrowia

Monika Sobczyk

kierownik ds. bezpieczeństwa informacji, Medicover

Dr n. med. Piotr Soszyński

Dyrektor ds. systemów medycznych, Medicover

Piotr Najbuk

Senior Associate, Life Sciences Practice, Domański Zakrzewski Palinka sp. k.

Przenoszenie danych - zagadnienia techniczno-organizacyjne

Maciej Kołodziej

Wiceprezes SABI, Administrator Bezpieczeństwa Informacji dla kilku polskich podmiotów

Profilowanie – technika zautomatyzowanego zestawiania informacji w praktyce biznesowej

Katarzyna Lewandowska

Administrator Bezpieczeństwa Informacji, Kompania Piwowarska

15.15 - 15.30

Przerwa kawowa

15.30 - 17.00

Nadchodzące zmiany w regulacjach dotyczących danych osobowych a wymogi dotyczące rekrutacji

dr Mirosław Gumularz

Radca prawny, GKK Gumularz Kozieł Kozik Radcowie Prawni

Karol Kozieł

radca prawny, GKK Gumularz Kozieł Kozik Radcowie Prawni

Czy ocena skutków dla ochrony danych i analiza ryzyka pozwoli wykazać zgodność z RODO?

mgr inż. Mariola Więckowska

ABI, Allegro i Ceneo

Otrzymasz praktyczne wskazówki jak wdrożyć OSOD, jak wykazać podejście oparte na ryzyku oraz jak stosować ochronę danych w fazie projektowania i domyślną ochronę danych.

Agenda:

  • Ocena skutków dla ochrony danych (OSOD) podstawy prawne i dostosowanie procesu do wymogów organizacji.
  • OSOD – kiedy przeprowadzać, od czego warto zacząć, jakie elementy należy wziąć pod uwagę, stosowanie list kontrolnych.
  • Dokumentowanie OSOD w celu wykazania obowiązków wynikających z RODO, w tym wykazanie stosowania zasady ochrony danych w fazie projektowania i domyślnej ochrony danych oraz podejścia opartego na ryzyku.
  • Praktyka prowadzenia, wypełniania dokumentacji i monitorowanie wyników i ustaleń OSOD.

Tutorial pozwoli odpowiedzieć na pytania: W jaki sposób wprowadzić OSOD w organizacji? Jak dokumentować OSOD, aby się z niego rozliczyć? Co oznacza podejście oparte na ryzyko i jak je stosować w OSOD? Jak wykazać stosowanie zasady ochrony danych w fazie projektowania i domyślną ochronę danych?

Poznasz również przykładowe szablony wszystkich etapów OSOD i wskazówki do ich uzupełnienia.

Słowa kluczowe:

#ryzyko ochrony prywatności, #privacy risk, #podejście oparte na ryzyku – POR, #risk based approach, #ocena skutków dla ochrony danych, #OSOD, #DPIA, #data protection impact assement, #ochrona danych w fazie projektowania, #privacy by design, PbD, #domyślna ochrona danych, privacy by default, PbD.

Wyzwania RODO – przegląd narzędzi wspierających (bezpieczeństwo systemów i zabezpieczenia danych)

Michał Brandt

Ekspert ds. bezpieczeństwa informacji, Alior Bank

Zmiany, które niesie RODO są często rewolucyjne i kontrowersyjne. Duże kontrowersje budzi również poziom zrozumienia i interpretacji nowych przepisów, co przekłada się na konkretne projekty, wybór narzędzi i konkretne wdrożenia w środowisku organizacji.

Jakie narzędzia mamy do dyspozycji? O jakich klasach i rodzajach systemów i aplikacji mowa? Zaprezentowane zostaną najczęściej wybierane rodzaje aplikacji i sposoby implementacji, wraz z przykładami.

Uczestnicy niniejszego tutorialu:

  • Zapoznają się z dostępnymi klasami narzędzi i aplikacji, które zapewnią zgodność z RODO w różnych obszarach
  • Zapoznają się sugestiami odnośnie dopasowania i wyboru konkretnych rozwiązań w zależności od typu organizacji, jej wielkości, branży itp.
  • Dowiedzą się, jak się zorientować, ile pracy jeszcze ich czeka i w jakim miejscu są
  • Dowiedzą się dlaczego trzeba patrzeć nie tylko na same systemy czy zbiory danych, ale także  „z lotu ptaka” na organizację i procesy.

Uczestnictwo w tutorialu nie wymaga wcześniejszego przygotowania, aczkolwiek planowana dyskusja będzie bogatsza, gdy uczestnicy będą w stanie przedstawić swoje doświadczenia w kwestii stosowanych rozwiązań w ich organizacjach.

Identyfikacja wspólnie zauważonych zjawisk, problemów czy trudności napotkanych w trakcie pracy nad wdrożeniami konkretnych aplikacji czy systemów  umożliwi również wymianę doświadczeń i z pewnością ciekawą dyskusję.

#gotowoscRODO  #depersonalizacja #anonimizacja #prawodozapomnienia #zgodymarketingowe #organizacjazgodnazRODO #procesyzgodnezRODO #software #narzędzia

Weryfikacja zgód na przetwarzanie danych osobowych w procesie implementacji RODO

Agnieszka Sagan-Jeżowska

Radca prawny, Associate w zespole prawa własności intelektualnej i ochrony danych osobowych, Kancelaria prawna Bird & Bird

Pojęcie zgody na przetwarzanie danych osobowych ewoluuje, czego przejawem jest zwiększenie przez RODO wymogów uzyskania i wykazania ważnej zgody. Oznacza to konieczność weryfikacji wszystkich zgód będących podstawą przetwarzania danych osobowych przez administratorów przed rozpoczęciem obowiązywania RODO oraz podjęcie decyzji w zakresie danych osobowych przetwarzanych na podstawie zgody, która będzie nieważna na gruncie RODO lub jej ważność będzie mogła zostać poddana w wątpliwość.

Jak jednak przeprowadzić weryfikację ważności na gruncie RODO pozyskanych już zgód? Jak powinniśmy oceniać ważność na gruncie RODO posiadanych przez nas zgód? Jakie możliwości działania posiada administrator, którego zgody okazują się nieważne na gruncie RODO, aby zapewnić legalność przetwarzania danych osobowych?

Podczas tutorialu odpowiemy na te i inne pytania nurtujące administratorów przetwarzających dane osobowe na podstawie pozyskiwanych zgód.

Uczestnicy niniejszego tutorialu:

  • Dokonają przeglądu wymogów uzyskania i wykazania ważnej zgody na przetwarzanie danych osobowych na gruncie RODO
  • Zapoznają się ze stanowiskami organów nadzoru dotyczącymi ważności zgód na gruncie RODO
  • Dowiedzą się, według jakich kryteriów oceniać, czy posiadane obecnie zgody będą ważne na gruncie RODO
  • Poznają sposoby przeprowadzania weryfikacji zgód w procesie implementacji RODO.

Uczestnictwo w tutorialu nie wymaga wcześniejszego przygotowania. Osoby dopiero rozpoczynające zgłębianie problematyki ważności zgód dowiedzą się, od czego rozpocząć działania oraz otrzymają praktyczne wskazówki, jak dokonać weryfikacji zgód, a uczestnicy posiadający już określony stopień zaawansowania będą mogli usystematyzować posiadaną wiedzę, zweryfikować własne doświadczenia i podzielić się z innymi swoimi opiniami i problemami, jakie napotkali w procesie weryfikacji zgód w swojej organizacji.

Słowa kluczowe:

#zgodaRODO, #waznazgoda, #RODOniewaznazgoda, #kiedyzgodawazna, #jakoceniaczgodeRODO, #nietylkozgoda, #niemuszeusuwac

Pomocnik RODO

Beata Marek

IT&IP Lawyer, Cyberlaw

Cel: Samodzielne rozwiązywanie problemów, które powstają w związku z organizacją procesów przetwarzania danych osobowych. Uczestnicy wykorzystają do tego narzędzie Pomocnik RODO, które grupuje od strony formalno-prawnej przepisy RODO, w tym zawiera przydatne komentarze, analizy, dokumenty, opinie.

Po warsztatach uczestnicy otrzymają dostęp miesięczny za darmo do korzystania z Pomocnika RODO w warunkach firmowych.

Wymagania: każdy uczestnik powinien mieć komputer. Warsztat wymaga połączenia z internetem i dostępem do aplikacji webowej pomocnikrodo.pl

Maksymalna liczba uczestników: 30 osób.

Uczestnicy będą pracować na studium przypadku i zobaczą, jak szybko są w stanie rozwiązać problem. Jednocześnie będą musieli omówić go w grupie, co spowoduje, że przekonają się, czy ich rozwiązanie jest spójne i zgodne z tym, co prezentują inne osoby z grupy.

Warsztaty są dla każdego. Nie jest wymagana znajomość RODO. Uczestnicy nauczą się na warsztatach, jak poruszać się po RODO.

Warsztaty mają nauczyć szybko i wygodnie rozwiązywać problemy związane z ochroną danych. Nauczymy się patrzeć na problemy nieco szerzej, kontekstowo.

Ochrona danych w ujęciu praktycznym – warsztat techniczny

Marcin Paciorkowski

Konsultant ds. bezpieczeństwa, CLICO

Cezary Michalak

Security Consultant, Clico

1. Cykl życia ataku – klasyfikacja metod i technik wykorzystywanych przez cyberprzestępców
2. To nie takie trudne… – atak live demo
3. Wizja bezpieczeństwa w odniesieniu do wymagań RODO – rekomendowane technologie
4. To nie takie trudne… – ochrona systemu – live demo
5. Case study – wyciek danych w organizacji X – jak do tego doszło, jak można było zapobiec zdarzeniu

Dynamika rozwoju współczesnych sieci teleinformatycznych, systemów operacyjnych jak również aplikacji kreuje zupełnie nową, nieznaną do tej pory, płaszczyznę aktywności cyberprzestępców. Płaszczyznę, która charakteryzuje się kreatywnością, wysokimi kompetencjami oraz zaawansowanymi technikami wykorzystywanymi podczas opracowania kolejnych kampanii hakerskich i typów złośliwego oprogramowania. Ataki wykryte w okresie kilku ostatnich miesięcy, bazujące na nowych odmianach ransomware (Petya, WannaCry) oraz podatnościach procesorów (Meltdown oraz Spectre) jedynie podkreślają, że żaden z użytkowników dowolnej sieci teleinformatycznej nie może czuć się całkowicie bezpieczny.
W trakcie warsztatu w ujęciu praktycznym zaprezentowane zostaną metody klasyfikacji złośliwego oprogramowania oraz metodyki i narzędzia wykorzystywane przez cyberprzestępców do kompromitacji systemów teleinformatycznych, których następstwem może być wyciek danych osobowych. Przedstawione zostaną również dobre praktyki bezpieczeństwa rekomendowane zarówno w skomplikowanych, nieheterogenicznych systemach teleinformatycznych jak również małych sieciach firmowych.

Rosnące znaczenie poprawy doświadczeń klienta z marką a kwestie RODO

Łucja Gdala

VP/Director Marketing Cloud, Centraals Europe

Cel: Omówienie wpływu RODO na ekosystem digitalowy w odniesieniu do poszczególnych obszarów e-marketingu.

Na warsztatach omówione zostanie funkcjonowania obecnego ecosystemu przepływu danych behawioralnych online (anonimowych i spseudonimizowanych) klientów z odniesieniem do obszarów programmatic oraz marketing automation. Uczestnicy zapoznają się z narzędziami wspomagającymi diagnostykę przepływu danych, ocenę dostawców technologicznych procesujących dane – zarówno z pespektywy klienta i jak i firmy. Przeprowadzone zostaną ćwiczenia praktyczne na konkretnych przykładach firm i wendorów.

W dobie budowania pozytywnych doświadczeń klientów w obszarze e-marketingu znaczącą rolę zaczynają odgrywać zaawansowane technologie do zarządzania danymi o użytkownikach, tj. Data Management Platforms, czy systemy inteligentnej automatyzacji. W jaki sposób te narzędzia ułatwiają dopełnienie regulacji RODO? Gdzie mogą pojawić się trudności? Jakie kroki powinny zostać podjęte w organizacji, by ocenić jej gotowość w obszarze procesów marketingowych i używanych technologii? Jaka wartość płynie z wykorzystania danych 1st, 2nd i 3rd Party? Jakie podmioty w Polsce oferują dane płatne? O tym i innych zagadnieniach będzie można podyskutować podczas tego tutoriala.

Uczestnicy nie potrzebują specjalnego przygotowania.

Słowa kluczowe:

#danebehawioralneRODO, #anonimizacja, #pseudonimizacja, #DMPaRODO, #zarządzaniedanymiDMP

RODO w placówkach służby zdrowia

Monika Sobczyk

kierownik ds. bezpieczeństwa informacji, Medicover

Dr n. med. Piotr Soszyński

Dyrektor ds. systemów medycznych, Medicover

Piotr Najbuk

Senior Associate, Life Sciences Practice, Domański Zakrzewski Palinka sp. k.

  1. Prawo do bycia zapomnianym – jak, kiedy i na jakich zasadach prawo osoby może być realizowane w podmiotach leczniczych, w jaki sposób przygotować się do realizacji tego zagadnienia.
  2. Kodeks branżowy –  prezentacja założeń kodeksu dla branży opieki zdrowotnej, systematyki kodeksowej, podmiotu monitorującego, zasad przystąpienia do kodeksu
  3. Wsparcie dla osób zarządzających we wdrożeniu RODO w placówce leczniczej – podczas wystąpienia dowiemy się jak przebiega ogólnopolskie wdrożenie RODO w dużym podmiocie leczniczym.

Profilowanie – technika zautomatyzowanego zestawiania informacji w praktyce biznesowej

Katarzyna Lewandowska

Administrator Bezpieczeństwa Informacji, Kompania Piwowarska

Profilowanie, to najogólniej rzecz ujmując monitorowanie zachowań i aktywności podejmowanych przez osoby fizyczne i wykorzystywanie wyników do analizy i prognozowania przyszłych wyborów i preferencji w szczególności zakupowych tychże osób.

Profilowanie polega zatem na zestawianiu pewnych informacji i wykorzystywaniu ich do oceny czynników osobowościowych danej osoby. W zależności od posiadanych danych, dotyczyć to może analizy sytuacji ekonomicznej, czy stanu zdrowia oraz indywidualnych preferencji i zainteresowań danej osoby.

Przebieg tutoriala:

  • definicja profilowania i jego typy;
  • pojęcie profilowania, a zautomatyzowanego podejmowania decyzji;
  • przykłady profilowania;
  • dopuszczalność zautomatyzowanego podejmowania decyzji w świetle RODO;
  • w jakich przypadkach należy zastosować środków ochrony praw, wolności i uzasadnionego interesu osoby, której dane dotyczą.

Co uczestnik zyska dzięki uczestnictwu:

  • poznanie i zrozumienie pojęcia profilowania, jako podstawy do podejmowania decyzji opartej na zautomatyzowanym przetwarzaniu danych osoby fizycznej;
  • poznanie wymogów i obowiązków związanych z profilowaniem, nałożonych na administratora i podmiot przetwarzający przepisami RODO;
  • omówienie praw wynikających z RODO dla osób, których dane są profilowane;
  • omówienie wyłączeń z art. 22 RODO do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu danych.
Słowa kluczowe:

#profilowanie, #zautomatyzowane podejmowanie decyzji, #sprzeciw marketingowy, a wycofanie zgody, #czynnik ludzki, #skutki prawne

Przenoszenie danych – zagadnienia techniczno-organizacyjne

Maciej Kołodziej

Wiceprezes SABI, Administrator Bezpieczeństwa Informacji dla kilku polskich podmiotów

Prawo do przenoszenia danych osobowych niesie ze sobą wiele wątpliwości dotyczących zakresu, sposobu, a nawet konieczności przygotowania i stosowania przez administratorów procedur z niego wynikających.

Motyw 68 RODO precyzuje zasady i wskazuje zobowiązanych administratorów. Grupa Robocza art. 29, w wytycznych WP242, stwierdza, że prawo to obejmuje dane przekazane przez podmiot danych świadomie i aktywnie, jak również dane osobowe wygenerowane poprzez działanie tego podmiotu, co powoduje konieczność identyfikacji typów danych oraz rozróżnienie które z nich są wynikiem aktywności osoby której dane dotyczą. Prawo ma zastosowanie do danych przetwarzanych w systemach informatycznych (dane cyfrowe, przetwarzane w sposób zautomatyzowany), ale należy określić również relację do danych przetwarzanych w postaci analogowej (także “papierowej”) przetwarzanych w określonych przypadkach z wykorzystaniem systemów informatycznych.

Prawo do przenoszenia jest w sposób naturalny powiązane z prawem do dostępu do zebranych danych, prawem do kopii danych oraz należy go rozpatrywać w kontekście retencji i prawa do usunięcia danych.

Przed zespołami organizacyjnymi, technicznymi oraz administratorem i inspektorem staje więc zadanie reorganizacji procesów przetwarzania, ustalenia odpowiedniego formatu transferowego i dla udostępniania informacji, wdrożenie procedur dla praw dostępu i kopii danych jako narzędzi wstępnej realizacji prawa do przeniesienia, indeksacji danych ustrukturyzowanych oraz poszukiwania w danych nieustrukturyzowanych, kwerendy po analogowych nośnikach danych i ich relacji do danych cyfrowych, wyszukiwania w archiwach danych, ostrożnego przetwarzania backupow i baz produkcyjnych jako konsekwencji przeniesienia danych w postaci usunięcia następczego na wniosek podmiotu danych i zmian celów przetwarzania. RODO nakłada na administratorów również obowiązek prowadzenia testu adekwatności w kwestii zakresu i rodzaju przekazywanych danych w kontekście nowego celu przetwarzania.

W trakcie tutoriala uczestnicy będą uczestniczyć w otwartej dyskusji dotyczącej sposobów wypełniania opisanych powyżej obowiązków.

Słowa kluczowe:

procedury techniczno-organizacyjne przy udostępnianiu, kopii i przenoszeniu danych osobowych

Nadchodzące zmiany w regulacjach dotyczących danych osobowych a wymogi dotyczące rekrutacji

dr Mirosław Gumularz

Radca prawny, GKK Gumularz Kozieł Kozik Radcowie Prawni

Karol Kozieł

radca prawny, GKK Gumularz Kozieł Kozik Radcowie Prawni

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 będzie stosowane we wszystkich krajach Unii Europejskiej od 25 maja 2018 roku i do tego czasu pracodawcy muszą dostosować swoją strukturę organizacyjną i procedury do nowych wymogów. Rozporządzenie daje możliwość uszczegółowienia swojej treści w zakresie prawa pracy. Zgodnie z art. 88 ust. 1 RODO państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w tym m.in. do celów rekrutacji. Prelegenci omówią opublikowany przez Ministerstwo Cyfryzacji projekt zmian w kodeksie pracy rozstrzygających  m.in. wątpliwości dotyczące możliwości pozyskiwania zgód pracowników i kandydatów do pracy oraz wskażą praktyczne problemy związane z rekrutacją np. w odniesieniu do danych biometrycznych oraz trudności w ich kwalifikacji

Uczestnik tutoriala dowie się o kluczowych zmianach dotyczących rekrutacji w kontekście planowanych zmian kodeksu pracy oraz uregulowań wynikających z RODO. Wskazane zostaną praktyczne przykłady prawidłowego i błędnego zbierania danych w toku rekrutacji oraz omówione zostaną postulowane standardy, które mogą zostać uwzględnione np. w kodeksach dobrych praktyk. W tym zakresie zostanie przedstawiona lista zagadnień omawianych przy okazji prac nad kodeksem.