Włącznie inspektora ochrony danych w proces zarządzania projektami

Prezentacja na temat: "Włącznie inspektora ochrony danych w proces zarządzania projektami"— Zapis prezentacji:

1 Włącznie inspektora ochrony danych w proces zarządzania projektami
Uniwersytet Gdański / upsecure.pl Piotr Siemieniak

2 Plan wystąpienia Zadania inspektora ochrony danych
Komunikacja w pracy inspektora ochrony danych Cykl życia danych osobowych Inspektor ochrony danych na etapie przygotowania projektu Inspektor ochrony danych w procesie utrzymania projektu Inspektor ochrony danych w procesie likwidacji projektu i usuwania danych osobowych

3 Skróty UODO – ustawa o ochronie danych osobowych / data protection bill (obecnie) ABI – administrator bezpieczeństwa informacji / data protection officer (obecnie) GIODO – Generalny Inspektor Ochrony Danych Osobowych / Inspector General for the Protection of Personal Data (obecnie) RODO / GDPR – General Data Protection Regulation (nowe) IOD / DPO – inspektor ochrony danych / Data Protection Officer (nowe) PUODO – The President of the Protection of Personal Data Office (nowe) DPIA - Data protection impact assessment (nowe)

4 Zadania inspektora ochrony danych
Zadania wewnętrzne (względem administratora danych) Zadania zewnętrzne (względem organu ochrony danych lub podmiotu danych) Doradcze Informacyjne Nadzorcze Edukacyjne Punkt kontaktowy dla organu nadzorczego Zgłaszanie naruszeń Ocena skutków dla ochrony danych Współpraca z organem nadzorczym Inne

5 Zadania inspektora ochrony danych (art. 39)
a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie; b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty; c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35; d) współpraca z organem nadzorczym; e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

6 Komunikacja inspektora ochrony danych
Z kim IOD będzie się komunikował? Jak inspektor powinien się komunikować? Jaką wiedzę powinien posiadać IOD, aby sprawnie komunikować się z interesariuszami?

7 Osadzenie inspektora ochrony danych w strukturach organizacji
Przykładowe metodyki i frameworki do zarządzania projektami: PRINCE2 SCRUM AGILEPM Waterfall Kanban i inne…

8 Metodyka (frameworki) SCRUM
Gdzie w SCRUM powinien być umieszczony IOD? Deveoper, Product Owner, Scrum Master?

9 Inspektor ochrony danych na etapie przygotowania projektu
Ochrona danych w fazie projektowania oraz domyślna ochrona danych (art. 24 rodo) W jaki sposób powinny być gromadzone wymagania biznesowe dla projektów IT? W jaki sposób inspektor ochrony danych powinien zweryfikować wiedzę zespołu IT? Jak ocenić dojrzałość organizacji w aspekcie ochrony danych?

10 Inspektor ochrony danych w procesie utrzymania projektu
Jak zarządzać zgłaszaniem naruszeń ochrony danych? Jak ocenić proces wytwórczy oprogramowania (Software Development Life Cycle) w kontekście art. 32 rodo?

11 Inspektor ochrony danych w procesie likwidacji projektu i usuwania danych osobowych
Jak usuwać dane osobowe? Jak zapewnić możliwość usuwania danych osobowych? Likwidacja projektu służącego do przetwarzania danych osobowych

12 Dziękuję za uwagę Piotr Siemieniak, Uniwersytet Gdański