Ochrona danych osobowych w sektorze publicznym – praktyczny przewodnik dla początkujących IOD-ów.

Adresaci szkolenia:
Szkolenie przeznaczone jest dla osób nowo powołanych lub przygotowujących się do objęcia funkcji Inspektora Ochrony Danych (IOD) oraz ich zastępców w jednostkach sektora publicznego. Program został opracowany z myślą o pracownikach administracji samorządowej (urzędy gmin, starostwa, urzędy marszałkowskie), administracji rządowej, jednostek organizacyjnych (OPS, MOPS), placówek oświatowych (szkoły, przedszkola), instytucji kultury oraz innych podmiotów realizujących zadania publiczne. Szkolenie będzie również niezwykle pomocne dla audytorów wewnętrznych oraz kierowników wydziałów organizacyjnych, którzy blisko współpracują z IOD w codziennej działalności jednostki

Krótki opis:
Objęcie funkcji IOD w podmiocie publicznym wiąże się z koniecznością poruszania się na styku ogólnego rozporządzenia (RODO) oraz dziesiątek przepisów krajowych regulujących pracę administracji. To intensywne, praktyczne szkolenie pozwala początkującym inspektorom bezstresowo wejść w nową rolę. Zamiast czystej teorii, uczestnicy dowiedzą się, jak krok po kroku zorganizować swoje stanowisko pracy, jak prowadzić rejestry oraz jak sprawnie reagować na naruszenia. Szkolenie kładzie szczególny nacisk na najczęstsze punkty zapalne w instytucjach publicznych: uproszczone podejście do analizy ryzyka z wykorzystaniem nowoczesnych narzędzi automatyzujących (aplikacja AnRisk), legalność monitoringu wizyjnego, relacje na linii IOD – IT/ASI oraz współpracę z Kierownikiem Jednostki

Forma:
Szkolenie online/stacjonarnie.

Lokalizacja:
Biuro IMNS we Wrocławiu lub w Warszawie.

Czas trwania:
5/6 godzin zegarowych z przerwami

1. Status prawny, pozycja w urzędzie i organizacja pracy IOD
   • Pozycja IOD w strukturze: Granice odpowiedzialności, zakaz konfliktu interesów (dlaczego IOD nie może być informatykiem/ASI czy kadrowym) oraz zasada bezpośredniej podległości kierownikowi jednostki.
   • Formalności na start: Procedura zgłoszenia wyznaczenia IOD do Prezesa UODO przez platformę elektroniczną (terminy i formularze).
   • Planowanie i rozliczalność: Jak stworzyć roczny plan sprawdzeń i dokumentować swoje działania, aby uratować urząd w razie kontroli.
2. Pierwsze 100 dni IOD – plan działania krok po kroku
   • Audyt otwarcia – od czego zacząć? Przegląd najważniejszych dokumentów funkcjonujących w jednostce: polityki ochrony danych, procedur naruszeń, rejestru czynności przetwarzania, upoważnień, umów powierzenia oraz dokumentacji związanej z monitoringiem. Jak szybko zidentyfikować największe luki i obszary ryzyka.
   • Spotkania z kluczowymi osobami: Jak przeprowadzić pierwsze rozmowy z kierownikiem jednostki, informatykiem/ASI, kadrami, sekretariatem oraz kierownikami komórek organizacyjnych. Jakie pytania zadać, aby poznać rzeczywisty sposób przetwarzania danych, a nie wyłącznie zapisy w dokumentacji.
   • Checklista „100 pierwszych dni IOD”: Praktyczna lista działań obejmująca weryfikację zgłoszenia IOD do UODO, przegląd upoważnień i ewidencji osób upoważnionych, analizę umów powierzenia, ocenę monitoringu wizyjnego, przegląd klauzul informacyjnych, ocenę procedur zgłaszania naruszeń oraz analizę zabezpieczeń organizacyjnych i technicznych.
   • Jak ustalić priorytety? Które obszary wymagają natychmiastowych działań, a które można zaplanować w kolejnych miesiącach. Metodyka szybkiej oceny ryzyka dla początkujących IOD.
   • Budowanie współpracy zamiast „polowania na błędy”: Jak zdobyć zaufanie pracowników i kierownictwa oraz skutecznie pełnić funkcję doradczą bez tworzenia wizerunku „inspektora od kar i zakazów”.
3. Podstawy prawne przetwarzania danych w sektorze publicznym
   • Zadania publiczne a zgoda: Dlaczego w urzędzie podstawą jest realizacja obowiązku prawnego (art. 6 ust. 1 lit. c RODO) lub realizacja zadania w interesie publicznym(art. 6 ust. 1 lit. e RODO), a zgoda mieszkańca to absolutny wyjątek.
   • Dane wrażliwe (szczególne kategorie): Jak bezpiecznie podejść do przetwarzania danych o zdrowiu, wywiadów środowiskowych czy wyroków w jednostkach pomocy społecznej i kadrach.
   • Obowiązek informacyjny: Konstruowanie prostych i zgodnych z art. 13 i 14 RODO klauzul informacyjnych do wniosków papierowych, Biuletynu Informacji Publicznej (BIP), itp.
4. Obowiązkowa dokumentacja RODO bez „papierologii”
   • Rejestr Czynności Przetwarzania (RCP): Praktyczne mapowanie procesów w urzędzie (rekrutacja, podatki, ewidencja ludności, świadczenia) i technika uzupełniania rejestru.
   • Upoważnienia i ewidencje: Kto, kiedy i na jakiej podstawie wydaje upoważnienia pracownikom urzędu do systemów tradycyjnych i IT.
   • Umowy powierzenia (art. 28 RODO): Jak bezpiecznie weryfikować zewnętrznych dostawców systemów chmurowych czy firm niszczących dokumenty.
5. Uproszczona analiza ryzyka i Privacy by Design
   • Analiza ryzyka dla początkujących – jak ułatwić sobie pracę? Przegląd aplikacji oraz metodyki AnRisk jako dedykowanego narzędzia do automatyzacji analizy ryzyka. Pokażemy, jak zaoszczędzić czas, uniknąć błędów i wygenerować gotowy raport za pomocą kilku kliknięć.
   • Kiedy wymagana jest ocena skutków (DPIA)? Przegląd wykazu Prezesa UODO dla sektora publicznego (nowe aplikacje urzędowe, monitoring wizyjny).
6. Incydenty i naruszenia ochrony danych – procedura kryzysowa
   • Co jest naruszeniem w urzędzie? Zagubiony pendrive, mail wysłany do złego adresata bez UDW, błędne wydanie decyzji papierowej – jak nauczyć urzędników szybkiego zgłaszania błędów.
   • Ocena i raportowanie do UODO: Jak ocenić, czy incydent wymaga zgłoszenia do Warszawy, jak wypełnić formularz zgłoszeniowy w 72 godziny oraz kiedy i jak powiadomić poszkodowanych mieszkańców.
   • Wewnętrzny rejestr naruszeń: Obowiązkowe elementy rejestru, które sprawdzi każda kontrola z urzędu nadzorczego.
7. Lekcje dla IOD – czego uczą najnowsze decyzje Prezesa UODO?
   • Najczęstsze błędy jednostek publicznych: Analiza rzeczywistych decyzji Prezesa UODO dotyczących organów administracji publicznej, placówek oświatowych oraz jednostek pomocy społecznej. Jakich błędów unikać i jakie działania naprawcze wdrażać w swoim urzędzie.
   • Naruszenia, które kosztują najwięcej: Przykłady incydentów i kar związanych z błędną publikacją danych osobowych, niewłaściwą anonimizacją dokumentów urzędowych, niewłaściwą konfiguracją systemów informatycznych oraz rażącym niezgłaszaniem naruszeń do UODO.
   • Jak wykorzystać decyzje UODO w codziennej pracy IOD? Praktyczne przełożenie oficjalnych stanowisk organu nadzorczego na wewnętrzne procedury, szkolenia stanowiskowe dla pracowników i planowanie własnych działań kontrolnych w jednostce.