DZIEŃ PIERWSZY – 16 kwietnia

8.30 - 9.00

Rejestracja uczestników i poranna kawa

9.00 - 9.10

Otwarcie konferencji

Przemysław Gamdzyk

CEO & Meeting Designer, CSO Council/Evention

SESJA PLENARNA

9.10 - 9.30

Stan prac nad zgłoszonymi do UODO projektami kodeksów postępowania

Podczas prezentacji omówiony zostanie status prac nad kodeksami dla poszczególnych branż – jakie branże zgłosiły swoje kodeksy i na jakim etapie są ich postępowania. Przedstawione zostaną problemy, jakie pojawiają się przy rozpatrywaniu projektów kodeksów oraz na jakie zagadnienia powinny zwrócić uwagę podmioty zamierzające opracować swoje kodeksy.

Piotr Drobek

Dyrektor Zespołu Analiz i Strategii, Urząd Ochrony Danych Osobowych

9.30 - 10.10

Panel dyskusyjny: Od paniki do chłodnego osądu – czy rzeczywiście zrobiliśmy wszystko (i nie za dużo!) czego wymagają nowe regulacje?

Do wdrożenia przepisów RODO firmy przygotowywały się od dłuższego czasu. Wiele z nich powierzyło przygotowanie odpowiednich procedur i dokumentacji ekspertom i kancelariom prawnym, które miały się w tym specjalizować. Czy jednak nie okazało się, że wiele rzeczy zostało zrobionych zupełnie niepotrzebnie a zaufanie do ekspertów zostało nadszarpnięte? Podczas dyskusji paneliści będą też rozmawiali o nieoczywistych sytuacjach realizacji obowiązku informacyjnego – m.in. w jaki sposób zrealizować obowiązek wobec osób, z którymi nie mamy kontaktu, czy w jaki sposób realizować obowiązek informacyjny w zamówieniach publicznych.

Moderator:

Przemysław Gamdzyk

CEO & Meeting Designer, CSO Council/Evention

Wśród panelistów:

Piotr Drobek

Dyrektor Zespołu Analiz i Strategii, Urząd Ochrony Danych Osobowych

dr Dominik Lubasz

radca prawny, wspólnik zarządzający, Lubasz i Wspólnicy Kancelaria Radców Prawnych

Milena Wilkowska

Radca prawny, Maruta Wachta

Michał Jobski

Dyrektor ds. Systemów Korporacyjnych, Budimex

Marek Szydłowski

były członek Zarządu TVN S.A. i dyrektor Pionu Prawnego Grupy TVN,

10.10 - 10.30

Kontrola – jak się do niej przygotować? W jaki sposób IOD / administrator ma wykazać dopełnienie staranności?

Jak rozumieć pojęcie „kontrola” i w jakich kategoriach należy ją postrzegać? Zakres uprawnień kontrolnych organu nadzorczego wobec podmiotów publicznych i prywatnych – czy obowiązują różne wymagania? Czy powinna zostać opracowana instrukcja postępowania w trakcie kontroli Prezesa UODO lub upoważnionych przez niego pracowników? Zakres czynności przygotowawczych, harmonogram działań podejmowanych w związku z kontrolą, status osób biorących udział w kontroli i ich zadania, dokumentowanie przebiegu czynności kontrolnych. Niezbędne działania, jakie powinien podjąć IOD/ADO w celu wykazania przed kontrolującymi należytą staranność – czynności prawne i organizacyjne. Przedstawienie działań jakich nie należy podejmować przed rozpoczęciem kontroli – studium przypadku („ku przestrodze”).

Bogusława Pilc

Radca Prawny, Ekspert ds. Ochrony Informacji

10.30 - 10.50

Rekrutacja a ochrona danych osobowych – na co zwrócić szczególną uwagę

Jakie problemy lub zagrożenia związane z ochroną danych osobowych występują w typowych modelach rekrutacji, np. na co zwrócić szczególną uwagę korzystając z portali rekrutacyjnych, agencji doradztwa personalnego lub organizując program poleceń? W proces rekrutacji mogą być zaangażowane różne podmioty, dlatego warto znać relacje, jakie między nimi zachodzą i jakie wiążą się z tym zagadnienia w zakresie ochrony danych osobowych.

Agnieszka Witaszek

Data Protection Officer, Grupa Pracuj

10.50 - 11.10

Jaki wpływ na Twój biznes może mieć pierwsza kara nałożona przez Prezesa UODO?

  • Kiedy możesz się powołać na niewspółmiernie duży wysiłek i nie informować Twoich klientów o kwestiach związanych z ochroną danych osobowych?
  • Czy konieczny jest list polecony?
  • Jak ocenić wysokość kary – przykład niderlandzki

Izabela Kowalczuk-Pakuła

Partner, Radca Prawny, Bird & Bird

11.10 - 11.40

Przerwa kawowa

RÓWNOLEGŁE SESJE CASE STUDIES

PRAWO

11.40 - 12.05

Umowy powierzenia – kiedy należy je zawierać, a kiedy jest to tylko udostępnienie i nie trzeba umowy powierzenia podpisywać

Choć zasady ogólne dotyczące powierzania danych do przetwarzania nie uległy zasadniczym zmianom po wejściu w życie RODO, określenie w których sytuacjach dochodzi do powierzenia danych, a w których nie, potrafi nadal stanowić nie lada wyzwanie. Kiedy więc wymagane jest zawarcie umowy powierzenia? Gdy już dojdziemy do wniosku, że umowa powierzenia jest niezbędna – na czym polega odpowiedzialność administratora za wybór podmiotu przetwarzającego zapewniającego „wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych”,  co powinno się w takiej umowie znaleźć i jak weryfikować, czy jest właściwie realizowana?

 

Marta Siemaszko

Head Data Privacy Poland and Baltics, Novartis

12.05 - 12.10

Przerwa na zmianę sal

12.10 - 12.35

Brexit i jego konsekwencje w kontekście RODO.

Bez polityki, ale czysto biznesowo – jakie skutki dla przetwarzania danych niesie brexit i w jaki sposób zapobiegać tym negatywnym. Jak przedsiębiorstwo może się przygotować na różne scenariusze rozwoju sytuacji – czyli pragmatyczne podejście do brexit.

Paweł Więckowski

Doradca ds. Ochrony Danych Osobowych, GSK

12.35 - 12.40

Przerwa na zmianę sal

12.40 - 13.05

Uzasadniony interes jako podstawa przetwarzania – jakie warunki należy spełnić, aby działać zgodnie z prawem

Podczas wystąpienia omówione zostaną przepisy regulujące uzasadniony interes do przetwarzania danych osobowych. Przedstawione zostaną konkretne przykłady, gdy uzasadniony interes był właściwą przesłanką dla przetwarzania danych jak i takie, gdy okazał się niewystarczający. Poruszone zostaną też kwestie powoływania się na UIA w relacjach pracowniczych.

Michał Kluska

Adwokat, Senior Associate, Kancelaria Domański Zakrzewski Palinka

13.05 - 13.10

Przerwa na zmianę sal

13.10 - 13.35

Przerost formy nad treścią – jak zapanować nad ilością tworzonej dokumentacji?

Czym większa ilość wytworzonych regulacji wewnętrznych tym mniejsze prawdopodobieństwo ich przestrzegania. Jak znaleźć złoty środek? Jak alternatywnie sformalizować procesy wymagane przez RODO? Jak wdrożyć w życie politykę / procedurę i zapewnić jej stosowanie? Podczas prezentacji Uczestnicy dowiedzą się jak wprowadzić dokumentację ochrony danych osobowych, aby odpowiadała wymaganiom biznesu i efektywnie wpływała na bezpieczeństwo przetwarzanych danych.

Marta Zawieracz

Data Protection Officer, Cinkciarz.pl

13.35 - 14.25

Obiad

14.25 - 14.50

Przepisy sektorowe – gdzie jesteśmy i jak nowe przepisy wpłyną na poszczególne branże?

Niemalże rok po wejściu w życie RODO doczekaliśmy się zmian w części przepisów krajowych. Ustawa wdrażająca dotyka wiele sektorów: zatrudnienia, ochrony zdrowia, ubezpieczeń, oświaty a nawet kodeksu karnego. Czy dużo się zmieni i jak zmiany przełożą się na działalność administratorów danych? Czy to wyczerpuje zapotrzebowanie na zmiany? Gdzie jeszcze zauważamy luki, które powinny znaleźć odzwierciedlenie w kolejnych ustawach zmieniających nasze lokalne prawo?

Katarzyna Korulczyk

Inspektor Ochrony Danych, LUX MED

14.50 - 14.55

Przerwa na zmianę sal

14.55 - 15.20

Nietypowe rodzaje naruszeń, nowe ryzyka naruszeń.

Wdrożenie przepisów RODO było w wielu organizacjach okazją do uszczelnienia procesów związanych ze zgłaszaniem naruszeń bezpieczeństwa informacji wewnątrz przedsiębiorstwa. W związku z krótkim, bo zaledwie 72 godzinnym czasem notyfikacji naruszenia do PUDO konieczne było wyedukowanie pracowników w zakresie zdarzeń, które kwalifikują się do statusu naruszenia. Dzięki temu Administrator danych może  zidentyfikować luki, których nie udało się wyłapać podczas dotychczasowych audytów. Podczas wystąpienia zwrócimy uwagę nie tylko na sam proces zgłaszania naruszeń, spróbujemy odpowiedzieć sobie również na pytanie, jakie naruszenia powinny być zgłaszane do PUODO, oraz w jaki sposób analizować ryzyko naruszeń w kontekście praw i wolności osób fizycznych.

Patryk Kuchta

Koordynator ds. bezpieczeństwa informacji i uprawnień, Medicover

15.20 - 15.25

Przerwa na zmianę sal

15.25 - 15.50

Postępowanie z naruszeniami – zgłaszanie i zwalczanie; Jak przewidzieć formułę ich zwalczania?

Adam Grzegrzółka

Dyrektor Biura Organizacji, Urząd m.st. Warszawy

CZŁOWIEK I TECHNOLOGIE

11.40 - 12.05

Funkcjonalność systemów informatycznych a realizacja wymagań wynikających z RODO

Przetwarzanie danych osobowych wiąże się z koniecznością spełnienia wymagań wynikających z RODO, w tym ograniczenia czasu przechowywania danych, minimalizacji ich zakresu, realizacji praw osób, których dane są przetwarzane czy też dopełnienia obowiązku informacyjnego. Niezbędne jest również zapewnienie należytej ochrony danych przetwarzanych w ramach infrastruktury informatycznej. Podczas prezentacji zostaną omówione problemy związane z niedostosowaniem funkcjonalności systemów informatycznych do wymagań RODO oraz praktyczne możliwości ich rozwiązania. Poruszymy kwestie związane zarówno z systemami informatycznymi przetwarzającymi dane osobowe w postaci ustrukturalizowanych baz danych, jak i w postaci zbiorów nieustrukturalizowanych, w tym przechowujących informacje w postaci obrazów, filmów czy nagrań dźwiękowych.

Adam Gałach

Prezes Zarządu, Galach Consulting

12.05 - 12.10

Przerwa na zmianę sal

12.10 - 12.35

Technologie zabezpieczeń w kontekście ochrony danych

W trakcie wykładu przedstawione zostaną wskazówki jak chronić informacje przetwarzane w systemach IT i ich otoczeniu. Omówimy rozwiązania: niezbędne i pomocne, proste i skomplikowane, a także te, pozornie nieprzydatne. Analizie wybranych rozwiązań towarzyszyć będzie pytanie: Czy pomagają w wypełnianiu wymogów RODO, czy tylko uspokajają administratora danych ?

Maciej Kołodziej

wiceprezes SABI-Stowarzyszenie IOD, ekspert e-Detektywi.pl

12.35 - 12.40

Przerwa na zmianę sal

12.40 - 13.05

Biometria behawioralna – co ma wspólnego z biometrią – różnice w przetwarzanie danych i sposobie działania.

W trakcie sesji opowiem o biometrii behawioralnej związanej z interakcją człowieka z maszyną. Jakie dane są zbierane, i w jakim celu są przetwarzane. O identyfikacji i weryfikacji tożsamości na podstawie zbioru danych. O zastosowaniu sztucznej inteligencji do uwierzytelniania tożsamości. Jeżeli zostanie chwila czasu – pojawi się także wątek XAI -> explainable AI i jego potencjalnej roli w kontekście RODO.

Mateusz Chrobok

CEO, Digital Fingerprints

13.05 - 13.10

Przerwa na zmianę sal

13.10 - 13.35

Jak szkolić personel z bezpieczeństwa, innowacyjne metody szkoleń

Podczas wystąpienia postaram się określić jakie metody szkoleń są najbardziej efektywne, w jaki sposób dopasować materiał szkoleniowy do typu odbiorcy. Jakie elementy materiałów szkoleniowych najbardziej przemawiają do odbiorców?

Monika Sobczyk

kierownik ds. bezpieczeństwa informacji, Medicover

13.35 - 14.25

Obiad

14.25 - 14.50

Zarządzanie procesami a RODO – wyzwania i możliwości

Implementacja RODO wymaga analizy i dogłębnego zrozumienia procesów w firmie (np. rekrutacja, marketing, zatrudnienie)  i to już na etapie tworzenia rejestru czynności przetwarzania, a także przede wszystkim dostosowania tych procesów do wymogów RODO, w tym w pierwszym rzędzie do zasad przetwarzania danych osobowych. Stwarza to określone i bardzo praktyczne wyzwania i trudności, gdyż mało która firma posiada jasno zdefiniowane procesy biznesowe i zasady zarządzania nimi. Z drugiej strony rodzi to wielkie możliwości przekraczające samą zgodność z RODO, w tym optymalizacji procesów i metod zarządzania nimi, obniżenia kosztów, poprawy efektywności, czy wreszcie zdobycia cennej wiedzy biznesowej. Połączenie RODO i znajomości biznesu stawia profesjonalistów od ochrony prywatności w unikalnej pozycji osób usprawniających i podnoszących wydajność biznesu, a nie tylko dbających o zgodność z przepisami i zasadami.

Piotr Foitzik

Senior Manager, Privacy and Data Protection Office, HCL Poland

14.50 - 14.55

Przerwa na zmianę sal

14.55 - 15.20

Monitoring wizyjny a RODO.

  • Opis najciekawszych przypadków wraz z oceną prawną i techniczno-organizacyjną
  • Praktyczne wskazówki dla IOD oraz Oficerów Bezpieczeństwa
  • Próba wspólnej budowy programu audytu zgodności

Marcin Masłowski

Information Security Consultant, Carrefour Polska

Paweł Smater

Inspektor Ochrony Danych, Uniwersytet SWPS

11.40 - 12.05

PRAWO

Umowy powierzenia – kiedy należy je zawierać, a kiedy jest to tylko udostępnienie i nie trzeba umowy powierzenia podpisywać

Choć zasady ogólne dotyczące powierzania danych do przetwarzania nie uległy zasadniczym zmianom po wejściu w życie RODO, określenie w których sytuacjach dochodzi do powierzenia danych, a w których nie, potrafi nadal stanowić nie lada wyzwanie. Kiedy więc wymagane jest zawarcie umowy powierzenia? Gdy już dojdziemy do wniosku, że umowa powierzenia jest niezbędna – na czym polega odpowiedzialność administratora za wybór podmiotu przetwarzającego zapewniającego „wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych”,  co powinno się w takiej umowie znaleźć i jak weryfikować, czy jest właściwie realizowana?

Marta Siemaszko

Head Data Privacy Poland and Baltics, Novartis

CZŁOWIEK I TECHNOLOGIE

Funkcjonalność systemów informatycznych a realizacja wymagań wynikających z RODO

Przetwarzanie danych osobowych wiąże się z koniecznością spełnienia wymagań wynikających z RODO, w tym ograniczenia czasu przechowywania danych, minimalizacji ich zakresu, realizacji praw osób, których dane są przetwarzane czy też dopełnienia obowiązku informacyjnego. Niezbędne jest również zapewnienie należytej ochrony danych przetwarzanych w ramach infrastruktury informatycznej. Podczas prezentacji zostaną omówione problemy związane z niedostosowaniem funkcjonalności systemów informatycznych do wymagań RODO oraz praktyczne możliwości ich rozwiązania. Poruszymy kwestie związane zarówno z systemami informatycznymi przetwarzającymi dane osobowe w postaci ustrukturalizowanych baz danych, jak i w postaci zbiorów nieustrukturalizowanych, w tym przechowujących informacje w postaci obrazów, filmów czy nagrań dźwiękowych.

Adam Gałach

Prezes Zarządu, Galach Consulting

12.05 - 12.10

Przerwa na zmianę sal

12.10 - 12.35

Brexit i jego konsekwencje w kontekście RODO.

Bez polityki, ale czysto biznesowo – jakie skutki dla przetwarzania danych niesie brexit i w jaki sposób zapobiegać tym negatywnym. Jak przedsiębiorstwo może się przygotować na różne scenariusze rozwoju sytuacji – czyli pragmatyczne podejście do brexit.

Paweł Więckowski

Doradca ds. Ochrony Danych Osobowych, GSK

Technologie zabezpieczeń w kontekście ochrony danych

W trakcie wykładu przedstawione zostaną wskazówki jak chronić informacje przetwarzane w systemach IT i ich otoczeniu. Omówimy rozwiązania: niezbędne i pomocne, proste i skomplikowane, a także te, pozornie nieprzydatne. Analizie wybranych rozwiązań towarzyszyć będzie pytanie: Czy pomagają w wypełnianiu wymogów RODO, czy tylko uspokajają administratora danych ?

Maciej Kołodziej

wiceprezes SABI-Stowarzyszenie IOD, ekspert e-Detektywi.pl

12.35 - 12.40

Przerwa na zmianę sal

12.40 - 13.05

Uzasadniony interes jako podstawa przetwarzania – jakie warunki należy spełnić, aby działać zgodnie z prawem

Podczas wystąpienia omówione zostaną przepisy regulujące uzasadniony interes do przetwarzania danych osobowych. Przedstawione zostaną konkretne przykłady, gdy uzasadniony interes był właściwą przesłanką dla przetwarzania danych jak i takie, gdy okazał się niewystarczający. Poruszone zostaną też kwestie powoływania się na UIA w relacjach pracowniczych.

Michał Kluska

Adwokat, Senior Associate, Kancelaria Domański Zakrzewski Palinka

Biometria behawioralna – co ma wspólnego z biometrią – różnice w przetwarzanie danych i sposobie działania.

W trakcie sesji opowiem o biometrii behawioralnej związanej z interakcją człowieka z maszyną. Jakie dane są zbierane, i w jakim celu są przetwarzane. O identyfikacji i weryfikacji tożsamości na podstawie zbioru danych. O zastosowaniu sztucznej inteligencji do uwierzytelniania tożsamości. Jeżeli zostanie chwila czasu – pojawi się także wątek XAI -> explainable AI i jego potencjalnej roli w kontekście RODO.

Mateusz Chrobok

CEO, Digital Fingerprints

13.05 - 13.10

Przerwa na zmianę sal

13.10 - 13.35

Przerost formy nad treścią – jak zapanować nad ilością tworzonej dokumentacji?

Czym większa ilość wytworzonych regulacji wewnętrznych tym mniejsze prawdopodobieństwo ich przestrzegania. Jak znaleźć złoty środek? Jak alternatywnie sformalizować procesy wymagane przez RODO? Jak wdrożyć w życie politykę / procedurę i zapewnić jej stosowanie? Podczas prezentacji Uczestnicy dowiedzą się jak wprowadzić dokumentację ochrony danych osobowych, aby odpowiadała wymaganiom biznesu i efektywnie wpływała na bezpieczeństwo przetwarzanych danych.

Marta Zawieracz

Data Protection Officer, Cinkciarz.pl

Jak szkolić personel z bezpieczeństwa, innowacyjne metody szkoleń

Podczas wystąpienia postaram się określić jakie metody szkoleń są najbardziej efektywne, w jaki sposób dopasować materiał szkoleniowy do typu odbiorcy. Jakie elementy materiałów szkoleniowych najbardziej przemawiają do odbiorców?

Monika Sobczyk

kierownik ds. bezpieczeństwa informacji, Medicover

13.35 - 14.25

Obiad

14.25 - 14.50

Przepisy sektorowe – gdzie jesteśmy i jak nowe przepisy wpłyną na poszczególne branże?

Niemalże rok po wejściu w życie RODO doczekaliśmy się zmian w części przepisów krajowych. Ustawa wdrażająca dotyka wiele sektorów: zatrudnienia, ochrony zdrowia, ubezpieczeń, oświaty a nawet kodeksu karnego. Czy dużo się zmieni i jak zmiany przełożą się na działalność administratorów danych? Czy to wyczerpuje zapotrzebowanie na zmiany? Gdzie jeszcze zauważamy luki, które powinny znaleźć odzwierciedlenie w kolejnych ustawach zmieniających nasze lokalne prawo?

Katarzyna Korulczyk

Inspektor Ochrony Danych, LUX MED

Zarządzanie procesami a RODO – wyzwania i możliwości

Implementacja RODO wymaga analizy i dogłębnego zrozumienia procesów w firmie (np. rekrutacja, marketing, zatrudnienie) i to już na etapie tworzenia rejestru czynności przetwarzania, a także przede wszystkim dostosowania tych procesów do wymogów RODO, w tym w pierwszym rzędzie do zasad przetwarzania danych osobowych. Stwarza to określone i bardzo praktyczne wyzwania i trudności, gdyż mało która firma posiada jasno zdefiniowane procesy biznesowe i zasady zarządzania nimi. Z drugiej strony rodzi to wielkie możliwości przekraczające samą zgodność z RODO, w tym optymalizacji procesów i metod zarządzania nimi, obniżenia kosztów, poprawy efektywności, czy wreszcie zdobycia cennej wiedzy biznesowej. Połączenie RODO i znajomości biznesu stawia profesjonalistów od ochrony prywatności w unikalnej pozycji osób usprawniających i podnoszących wydajność biznesu, a nie tylko dbających o zgodność z przepisami i zasadami.

Piotr Foitzik

Senior Manager, Privacy and Data Protection Office, HCL Poland

14.50 - 14.55

Przerwa na zmianę sal

14.55 - 15.20

Nietypowe rodzaje naruszeń, nowe ryzyka naruszeń.

Wdrożenie przepisów RODO było w wielu organizacjach okazją do uszczelnienia procesów związanych ze zgłaszaniem naruszeń bezpieczeństwa informacji wewnątrz przedsiębiorstwa. W związku z krótkim, bo zaledwie 72 godzinnym czasem notyfikacji naruszenia do PUDO konieczne było wyedukowanie pracowników w zakresie zdarzeń, które kwalifikują się do statusu naruszenia. Dzięki temu Administrator danych może  zidentyfikować luki, których nie udało się wyłapać podczas dotychczasowych audytów. Podczas wystąpienia zwrócimy uwagę nie tylko na sam proces zgłaszania naruszeń, spróbujemy odpowiedzieć sobie również na pytanie, jakie naruszenia powinny być zgłaszane do PUODO, oraz w jaki sposób analizować ryzyko naruszeń w kontekście praw i wolności osób fizycznych.

Patryk Kuchta

Koordynator ds. bezpieczeństwa informacji i uprawnień, Medicover

Monitoring wizyjny a RODO.

  • Opis najciekawszych przypadków wraz z oceną prawną i techniczno-organizacyjną
  • Praktyczne wskazówki dla IOD oraz Oficerów Bezpieczeństwa
  • Próba wspólnej budowy programu audytu zgodności

Marcin Masłowski

Information Security Consultant, Carrefour Polska

Paweł Smater

Inspektor Ochrony Danych, Uniwersytet SWPS

15.20 - 15.25

Przerwa na zmianę sal

15.25 - 15.50

Postępowanie z naruszeniami – zgłaszanie i zwalczanie; Jak przewidzieć formułę ich zwalczania?

Adam Grzegrzółka

Dyrektor Biura Organizacji, Urząd m.st. Warszawy

15.50 - 16.20

Przerwa kawowa

SESJE ROUNDTABLES

Równoległe dyskusje roundtables to element konferencji angażujący wszystkich uczestników. Ta sesja ma kilka celów. Po pierwsze, bezpośrednią wymianę opinii i doświadczeń w ramach konkretnego zagadnienia, interesującego daną grupę uczestników. Po drugie – możliwość spotkania i rozmowy z prowadzącym dane roundtable – wybraliśmy bowiem do ich prowadzenia osoby o dużej wiedzy i doświadczeniu. Sesja roundtables to bardzo szerokie spektrum tematów i bogate grono wybitnych osobowości w roli prowadzących – tak, aby każdy uczestnik konferencji mógł znaleźć interesującą go najbardziej dyskusję i poznać w ten sposób innych uczestników zainteresowanych tą samą tematyką.

16.20 - 17.00

Runda I

1. PIA/DPIA. Nie taki diabeł straszny…z drugiej strony, kto nie ryzykuje ten…?

  • Czy warto sięgać po sprawdzone rozwiązania/standardy?
  • Jak PIA/DPIA pomogły zmienić życie dużych organizacji?

Kamil Kiliński

Senior Security Consultant, EY

2. Data breach reporting – jak zgłosić naruszenie do Prezesa UODO i przetrwać?

  • Jak w praktyce przebiega procedura zgłoszenia naruszenia i co można zrobić, żeby się do niej przygotować?
  • Papierowo, a może elektronicznie – czy forma zgłoszenia ma znaczenie?
  • Jakie są najczęściej popełniane błędy podczas zgłaszania naruszenia?
  • Co czeka administratora po dokonaniu zgłoszenia naruszenia?
  • Jak zawiadomić podmioty danych o naruszeniu? Jakie informacje im przekazać i w jakiej formie?

Marta Kwiatkowska-Cylke

Senior Associate, Bird & Bird

3. Zgodność z RODO w prywatnym i publicznym blockchain

Blockchain oznacza środowisko i paradygmaty operacyjne, w którym interpretacja RODO może być utrudniona, ponieważ podstawy ochrony danych osobowych zostały utworzone kiedy dominującym modelem były scentralizowane systemy zarządzania danymi. Ze względu na transparentność wykonywanych w nich transakcji przy jednoczesnym zanonimizowaniu uczestników szczególnym wyzwaniem dla zgodności z RODO stanowią publiczne (permissionless) blockchain.

  • Co jest podstawą prawną do przetwarzania danych w publicznym blockchain i jak realizować w  nim zasady przetwarzania danych takie, jak poprawność, ograniczenie przechowania, rozliczalność etc.
  • Czy rzeczywiście możemy mówić o zanonimizowanych danych przy wykorzystaniu publicznych kluczy kryptograficznych jako identyfikatorów stron transakcji?
  • Kto jest administratorem danych w blockchain i jak się z nim skontaktować w sprawie praw osób fizycznych?

Monika Adamczyk

Główny Specjalista w Zespole Analiz i Strategii, Urząd Ochrony Danych Osobowych

4. Ochrona danych w internecie rzeczy – czy coś takiego w ogóle istnieje?

  • Jakie znasz przypadki naruszeń przy użyciu IoT?
  • Jak dane z urządzeń IoT mogą Cię sprofilować?
  • Czy  certyfikacja urządzeń IoT może zapewnić odpowiedni poziom bezpieczeństwa?
  • Future IoT, etyczne wykorzystanie danych z IoT oraz przez AI? Jak możemy mieć nad tym kontrolę?

mgr inż. Mariola Więckowska

Dyrektor d.s Innowacyjnych Technologii Ochrony Danych, LexDigital

5. Czy Inspektor Ochrony Danych w sektorze publicznym może być niezależny, włączany we wszystkie sprawy odo i może nie otrzymywać instrukcji”? Doświadczenia i wskazówki.

  • Czy przepisy unijne lub krajowe wskazują wprost zakres gwarancji niezależności Inspektora Ochrony Danych w zakresie wykonywania przez niego zadań?
  • Jaka jest rola administratora danych z sektora publicznego w celu wspierania IOD w jego czynnościach?
  • Jeżeli kierownictwo instytucji publicznej nie podziela opinii czy stanowiska IOD, w jaki sposób IOD może wykazać dołożenie należytej staranności?
  • Czy IOD może być odwołany i ukarany, jeżeli odmówi wykonania polecenia i jaki ma to wpływ na sytuacją zawodową IOD u danego administratora z sektora publicznego?
  • Praktyka a wytyczne i zalecenia.

Bogusława Pilc

Radca Prawny, Ekspert ds. Ochrony Informacji

6. Identyfikacja kontrolera i procesora – kto jest kim w złożonej organizacji?

  • Administratorzy, współadministratorzy, przetwarzający – jakie relacje mogą występować w ramach złożonej organizacji, w jakim stopniu zależy to od struktury firmy, a w jakim może być dowolnie kształtowane przez porozumienia, umowy czy inne dokumenty (polityki, procedury) o charakterze wewnątrzorganizacyjnym?
  • W jakim stopniu rozwiązania – relacje, zależą od typu danych np. dane HR-owe, finansowe, dane klientów itp. oraz co trzeba mieć na uwadze przy zagadnieniach transgranicznych?
  • Czy współadministratorzy to domyślne i dobre rozwiązanie dla relacji wewnątrzorganizacyjnych, jakie są korzyści i wady i jak to wygląda w świetle RODO?
  • Jakie praktyczne rozwiązania dotyczące dokumentacji można przyjąć i jak skutecznie zarządzać umowami oraz porozumieniami wewnątrzorganizacyjnymi i ograniczyć ich ilość?

Piotr Foitzik

Senior Manager, Privacy and Data Protection Office, HCL Poland

7. Kiedy mamy do czynienia z danymi osobowymi?

  • Czy jesteśmy w stanie wymienić jakieś dane, które zawsze stanowić będą dane osobowe?
  • Czy dane speudonimizowane nadal są danymi osobowymi i podlegają przykładowo obowiązkowi powierzenia?
  • Czy dane służbowe pracowników wskazanych w umowie z klientem powinny być traktowane jak dane osobowe?

Patryk Kuchta

Koordynator ds. bezpieczeństwa informacji i uprawnień, Medicover

8. Drony vs RODO

  • Regulacje prawne dotyczące używania dronów
  • Jakie informacje mogą gromadzić drony
  • Przetwarzanie danych zgromadzonych przez drony
  • Prawa osób zarejestrowanych (wizerunek, prawo do prywatności, upadek drona na terenie prywatnym)

17.05 - 17.45

Runda II

1. Jak mierzyć i oceniać skuteczność stosowania zabezpieczeń (organizacyjnych i technicznych) mających zapewnić bezpieczeństwo przetwarzania danych osobowych?

  • Jak mierzyć i oceniać skuteczność stosowania zabezpieczeń (organizacyjnych i technicznych) mających zapewnić bezpieczeństwo przetwarzania danych osobowych?
  • Czy okresowe przeprowadzanie audytów wewnętrznych i zewnętrznych jest wystarczające?
  • Jakie narzędzie warto wykorzystywać w tym celu?

Kamil Pszczółkowski

niezależny ekspert,

2. Jak rozumieć monitorowanie przez IOD?

  • Jakie Państwo stosujecie praktyki monitorowania?
  • Jak IOD powinien wdrożyć proces monitorowania?
  • Czy cykliczne audyty są wystarczające?
  • Czy w celu realizacji obowiązku monitorowania IDO może skorzystać z audytu wewnętrznego/zewnętrznego, zespołów kontroli wewnętrznej?
  • Czy w związku z obowiązkiem monitorowania IOD powinien weryfikować jak są w praktyce zaimplementowane wymogi ochrony danych w aplikacjach i procesach w organizacji?

Adam Danieluk

Ekspert, ISSA Polska

3. Rebelianci kontra Imperium, czyli kto powinien ogarniać RODO w firmie?

  • Negatywne i pozytywne spory kompetencyjne pomiędzy IT a działem prawnym.
  • Kiedy warto budować własny dział ochrony danych osobowych a kiedy wynająć do tego firmę zewnętrzną?
  • Grzechy główne współpracy przy stosowaniu RODO i firmowy rachunek sumienia po roku.

Marta Fydrych-Gąsowska

niezależny ekspert,

4. RODO a cyberbezpieczeństwo

  • Czy RODO i cyberbezpieczeństwo to rodzeństwo?
  • Poprawa cyberbezpieczeństwa – dziękujemy Ci RODO?
  • Połączenie z technologią (bezpieczeństwo cybernetyczne/ bezpieczeństwo informacji).
  • Jak jest a jak powinno być – działania csirt.

Zuzanna Kosakowska

Inspektor Ochrony Danych, Centrum Systemów Informacyjnych Ochrony Zdrowia

5. Ochrona danych jako broń w sporach pracowników z pracodawcami

  • Obszary przetwarzania danych osobowych pracowników związane  największymi ryzykami.
  • Jakie są najczęstsze błędy popełniane przez pracodawców?
  • Na co najczęściej skarżą się pracownicy w kontekście przetwarzania ich danych osobowych przez pracodawców?
  • Prawa pracowników jako podmiotów biorących udział w procesie przetwarzania danych kadrowych (w świetle RODO).

Tomasz Osiej

Radca prawny, Prezes, Omni Modo

dr Michał Czarnecki

Doktor nauk prawnych, Specjalista ds. ochrony danych osobowych, Omni Modo

6. Monitoring floty pojazdów

  • Czym jest monitoring flotowy?
  • Kiedy monitoring flotowy jest dopuszczalny?
  • Jakie są warunki wprowadzenia monitoringu flotowego u pracodawcy a jakie u leasingodawcy samochodu?
  • Jakie obowiązki ciążą na pracodawcy przy wprowadzaniu monitoringu aut służbowych swoich pracowników?

Magdalena Kawczyńska

Head of Legal Department, Privacy & Compliance Officer, LeasePlan Fleet Management

7. Zarządzanie naruszeniami ochrony danych

  • Jak identyfikować naruszenia ochrony danych?
  • Jak ocenić, czy naruszenie wymaga zgłoszenia do PUODO oraz poinformowania osób, których dane dotyczą?
  • Jak udokumentować naruszenie w ramach wewnętrznej dokumentacji?

Tomasz Ochocki

Ekspert ds. ochrony danych, ODO 24

8. Nie zapomnimy. Praktyczne przypadki możliwości odmowy usunięcia danych

Marek Szydłowski

były członek Zarządu TVN S.A. i dyrektor Pionu Prawnego Grupy TVN,

Anna Kobylańska

Adwokat, Wspólnik, Kobylańska & Lewoszewski Kancelaria Prawna

18.30 - 22.00

WIECZORNA IMPREZA INTEGRACYJNA

19.30 - 21:30

Wieczorne Polaków rozmowy.

W trakcie imprezy integracyjnej odbędzie się sesja pytań i odpowiedzi ekspertów.

Eksperci odpowiadają na wszystkie (również trudne) pytania kierowane ze strony publiczności, także te zgłaszane przed konferencją. Uczestnicy sesji mają możliwość głosowania i wyrażania swojej opinii w trakcie sesji.

W gronie ekspertów:

Moderator:

Maciej Kołodziej

wiceprezes SABI-Stowarzyszenie IOD, ekspert e-Detektywi.pl

Izabela Kowalczuk-Pakuła

Partner, Radca Prawny, Bird & Bird

Piotr Drobek

Dyrektor Zespołu Analiz i Strategii, Urząd Ochrony Danych Osobowych

Marcin Masłowski

Information Security Consultant, Carrefour Polska

Bogusława Pilc

Radca Prawny, Ekspert ds. Ochrony Informacji

DZIEŃ DRUGI – 17 kwietnia

8.30 - 9.15

Rejestracja uczestników i poranna kawa

Drugi dzień konferencji to kilkanaście miniwarsztatów na różnorodne tematy obejmujące szeroką tematykę dotyczącą praktyki wdrażania RODO w organizacji. Zajęcia prowadzone są w grupach i mają charakter roboczy. Uczestnicy będą mogli wybrać interesujące ich miniwarsztaty jeszcze przed konferencją.

9.15 - 11.00

Testy uzasadnionego interesu

Izabela Kowalczuk-Pakuła

Partner, Radca Prawny, Bird & Bird

Metody analizy ryzyka dla ochrony danych osobowych

Monika Adamczyk

Główny Specjalista w Zespole Analiz i Strategii, Urząd Ochrony Danych Osobowych

Bezpieczeństwo danych osobowych w perspektywie infrastruktury IT

Maciej Kołodziej

wiceprezes SABI-Stowarzyszenie IOD, ekspert e-Detektywi.pl

Jak weryfikować dostawców i w jakim zakresie

Anna Jaworska-Kłosowicz

Ekspert ds. Ochrony Danych Osobowych , Samsung Electronics Polska

11.00 - 11.15

Przerwa kawowa

11.15 - 13.00

Klasyfikacja incydentów – co jest incydentem a co zdarzeniem Rejestrowanie czynności - jak znaleźć i wydobyć istotne procesy w firmach

mgr inż. Mariola Więckowska

Dyrektor d.s Innowacyjnych Technologii Ochrony Danych, LexDigital

Jak (prze)żyć w monitorowanym świecie

Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

Kamil Pszczółkowski

niezależny ekspert,

13.00 - 13.45

Obiad

13.45 - 15.15

Rekrutacja, prowadzenie akt, proporcjonalność – ochrona danych osobowych w kadrach

Katarzyna Lewandowska

Inspektor Ochrony Danych, Polkomtel, Cyfrowy Polsat

Realizacja obowiązku z art. 32 RODO - jak weryfikować systemy IT pod kątem RODO

Wojciech Jakubowski

Inspektor Ochrony Danych, Grupa ENERGA

Jak spośród bardzo ogólnych wytycznych wybrać właściwe, spełniające wymagania i nie dewastujące budżetów firmy?

Marcin Golec

Head of Legal, Dotpay & eCard

Przetwarzanie danych osobowych na etapie KPA (Kodeksu Postępowania Administracyjnego)