Inspektor ochrony danych (DPO)

W dniu 25 maja 2018 roku zacznie być stosowane Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych, zwane potocznie ogólnym rozporządzeniem o ochronie danych osobowych. Zmiana lub budowa systemu ochrony danych dla wielu firm jest dużym wyzwaniem, ale również szansą na podniesienie swojej konkurencyjności na rynku. Podstawowym celem szkolenia jest zdobycie wiedzy na temat obowiązków spoczywających na administratorach danych osobowych oraz nabycie umiejętności i kompetencji niezbędnych do wykonywania zadań Inspektora Ochrony Danych (Data Protection Officer), zgodnie z przepisami Ustawy o ochronie danych osobowych oraz aktów wykonawczych do niej, jak również przygotowanie do pełnienia tej roli w nowych ramach prawnych po wprowadzeniu reformy Unii Europejskiej w obszarze ochrony danych osobowych.

Dane osobowe stały się „najcenniejszym i najbardziej pożądanym dobrem na zdigitalizowanym i zglobalizowanym rynku – ropą XXI wieku”. Uzgodnienie treści nowych przepisów prawa ochrony danych osobowych zajęło państwom członkowskim UE cztery lata, ale stało się faktem. Zasady ochrony danych osobowych zostały dostosowane do wyzwań współczesnego świata, z uwzględnieniem szybkiego postępu technicznego, globalizacji i niewiarygodnego wzrostu skali zbierania i wymiany danych osobowych. Od 25 maja 2018 r. stosujemy nowe przepisy o ochronie danych osobowych wprowadzone Rozporządzeniem ogólnym o ochronie danych osobowych (RODO) nr 2016/679 dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.

Każdy, kto przetwarza dane osobowe ma obowiązek ich zabezpieczenia tak, by uniemożliwić dostęp do nich osobom nieuprawnionym, a zatem wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych było bezpieczne oraz aby móc to wykazać. Wdrożenie zabezpieczenia danych osobowych w postaci odpowiednich środków organizacyjno-technicznych, wymaga uprzedniego przeprowadzenia analizy ryzyka. Aby móc wykazać przestrzeganie RODO administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Jednym słowem: każdy przedsiębiorca, każdy organ administracji, każdy, kto przetwarza dane osobowe, powinien przejść praktyczne przygotowanie do wdrożenia RODO w swojej firmie/instytucji.

Szkolenie jest adresowane w szczególności do osób, które obecnie lub w przyszłości zamierzają specjalizować się w zagadnieniach ochrony danych osobowych i prywatności, w tym:

– wyższej kadry kierowniczej– administratorów danych, pracowników działów personalnych, IT, kadry kierowniczej organów administracji publicznej (sekretarzy, naczelników, kierowników komórek organizacyjnych,

– małych i średnich przedsiębiorców, zwłaszcza osób prowadzących jednoosobową działalność gospodarczą,

– administratorów danych osobowych, administratorów bezpieczeństwa informacji, wykonujących zadania Administratora Bezpieczeństwa Informacji na podstawie Ustawy o ochronie danych osobowych sprzed 1.01.2015.

– pracodawców,

– pracowników stosujących ustawę o ochronie danych osobowych i informacji niejawnych

– pełnomocników do spraw ochrony informacji niejawnych,

– absolwentów szkół wyższych,

– prawników

– pozostałych osób zainteresowanych tematyką ochrony danych osobowych i prywatności.

liczba godzin szkolenia

Zalecana liczba godzin szkoleniowych dla ścieżki umożliwiającej administrowanie ochroną danych - 10
Zalecana liczba godzin szkoleniowych dla ścieżki umożliwiającej pełnienie funkcji Inspektora ochrony danych - 90

Czas trwania egzaminu

30 min - część teoretyczna
30 min - część praktyczna

Dostępne w językach

Program szkolenia dla ścieżki umożliwiającej administrowanie ochroną danych - 10 godzin

1.Europejska reforma ochrony danych osobowych

Podstawowe pojęcia i skróty.
Wprowadzenie do RODO: podstawa prawna i faktyczna nowej regulacji. Przetwarzanie danych osobowych.
Obowiązek stosowania przepisów o ochronie danych osobowych.
Zasady przetwarzania danych osobowych w nowej regulacji prawnej – teoria i ćwiczenia praktyczne.
Najczęstsze nieprawidłowości w trakcie przetwarzania danych osobowych w ramach ustawy o ochronie danych osobowych – ćwiczenia praktyczne, case study
Zakres zmian w przepisach

Zgodność przetwarzania danych osobowych z obowiązującym prawem

Zgoda. Teoretyczne podstawy wyrażenia zgody
Zgoda osoby pełnoletniej – ćwiczenia praktyczne.
Wyrażenie zgody na przetwarzanie danych osobowych dziecka.
Wykonanie lub zawarcie umowy
Obowiązek prawny
Żywotne interesy
Interes publiczny lub sprawowanie władzy publicznej – orzecznictwo i doktryna, case study
Uzasadnione interesy administratora

Obowiązki informacyjne

Informacje przekazywane podczas pozyskiwania danych osobowych od osoby, której dane dotyczą
Informacje przekazywane podczas pozyskiwania danych osobowych z innych źródeł, niż od osoby, której dane dotyczą
Informacje przekazywane podczas przetwarzania danych osobowych (dostęp do danych osobowych)
Obowiązki związane z realizacją praw osób, których dane są przetwarzane
Szczególna kategoria danych – dane wrażliwe

4.Inspektor ochrony danych (DPO)

Obowiązek i sposoby wyznaczania DPO
Kwalifikacje DPO
Status DPO
Zadania DPO
Ćwiczenia praktyczne dotyczące powołania DPO

Praktyczne wdrożenie RODO

Budowa zespołu i przyjęcie planu wdrożenia – praktyczne wskazówki

Obowiązek szacowania ryzyka

Szacowanie ryzyka.
Zagrożenia. Sporządzanie oceny skutków dla ochrony danych i konsultacje z organem nadzorczym
Sporządzanie DPIA
Kiedy i jak sporządzić DPIA? – ćwiczenia praktyczne
DPIA i co dalej?
Uprzednia konsultacja z organem nadzorczym

Dokumentacja przetwarzania danych osobowych

Obowiązek rejestrowania czynności przetwarzania danych osobowych
Polityki ochrony danych
Klauzule zgód
Umowy powierzenia
Ćwiczenie praktyczne – rejestr czynności przetwarzania danych osobowych

Obowiązki związane z naruszeniem ochrony danych osobowych

Zgłaszanie naruszeń ochrony danych
Zawiadomienie o naruszeniu osoby, której dane dotyczą
Obowiązek dokumentowania naruszeń ochrony danych – ćwiczenia praktyczne
Kary finansowe za naruszenie zasad ochrony danych osobowych

Program szkolenia dla ścieżki umożliwiającej pełnienie funkcji Inspektora ochrony danych - 90 godzin

1.Europejska reforma ochrony danych osobowych
• Podstawowe pojęcia i skróty.
• Wprowadzenie do RODO: podstawa prawna i faktyczna nowej regulacji. Przetwarzanie danych osobowych.
• Obowiązek stosowania przepisów o ochronie danych osobowych.
• Zasady przetwarzania danych osobowych w nowej regulacji prawnej – teoria i ćwiczenia praktyczne.
• Najczęstsze nieprawidłowości w trakcie przetwarzania danych osobowych w ramach ustawy o ochronie danych osobowych – ćwiczenia praktyczne, case study
• Zakres zmian w przepisach

2. Zgodność przetwarzania danych osobowych z obowiązującym prawem
• Zgoda. Teoretyczne podstawy wyrażenia zgody
• Zgoda osoby pełnoletniej – ćwiczenia praktyczne.
• Wyrażenie zgody na przetwarzanie danych osobowych dziecka.
• Zgoda rodzica na profilowanie aktywności dziecka w Internecie – ćwiczenia praktyczne
• Wykonanie lub zawarcie umowy
• Obowiązek prawny
• Żywotne interesy
• Interes publiczny lub sprawowanie władzy publicznej – orzecznictwo i doktryna, case study
• Uzasadnione interesy administratora

3. Obowiązki informacyjne
• Informacje przekazywane podczas pozyskiwania danych osobowych od osoby, której dane dotyczą
• Informacje przekazywane podczas pozyskiwania danych osobowych z innych źródeł, niż od osoby, której dane dotyczą
• Informacje przekazywane podczas przetwarzania danych osobowych (dostęp do danych osobowych)
• Inne obowiązki informacyjne
• Ćwiczenia praktyczne dotyczące obowiązków informacyjnych – scenki sytuacyjne, symulacje

4. Obowiązek szacowania ryzyka
• Szacowanie ryzyka.
• Zagrożenia. Sporządzanie oceny skutków dla ochrony danych i konsultacje z organem nadzorczym
• Sporządzanie DPIA
• Kiedy i jak sporządzić DPIA? – ćwiczenia praktyczne
• DPIA i co dalej?
• Uprzednia konsultacja z organem nadzorczym

5. Obowiązek odpowiedniego zabezpieczenia danych osobowych
• Nowe zasady bezpieczeństwa
• Wewnętrzne polityki ochrony danych osobowych – ćwiczenia praktyczne
• Dokumentacja i procedury
• Kodeksy postępowania i certyfikacja
• Narzędzia pseudonimizacji oraz szyfrowania danych
• Administrator danych osobowych: ćwiczenia praktyczne

6. Rejestrowanie czynności przewarzania danych osobowych
• Obowiązek rejestrowania czynności przetwarzania danych osobowych.
• Ćwiczenie praktyczne – rejestr czynności przewarzania danych osobowych

7. Obowiązki związane z naruszeniem ochrony danych osobowych
• Zgłaszanie naruszeń ochrony danych
• Zawiadomienie o naruszeniu osoby, której dane dotyczą
• Obowiązek dokumentowania naruszeń ochrony danych – ćwiczenia praktyczne

8.Obowiązki związane z realizacją praw osób, których dane są przetwarzane
• Szczególna kategoria danych – dane wrażliwe

9.Inspektor ochrony danych (DPO)
• Obowiązek i sposoby wyznaczania DPO
• Kwalifikacje DPO
• Status DPO
• Zadania DPO
• Ćwiczenia praktyczne dotyczące powołania DPO

10. Kary finansowe za naruszenie zasad ochrony danych osobowych

11. Praktyczne wdrożenie RODO
• Budowa zespołu i przyjęcie planu wdrożenia – praktyczne wskazówki

Wyposażenie sali dydaktycznej

Dla zapewnienia prawidłowego przebiegu procesu kształcenia do kompetencji Inspektor ochrony danych konieczne jest zorganizowanie pracowni dydaktycznej według poniższych zaleceń:

Pracownia dydaktyczna

Jest to pomieszczenie pozwalające na realizację treści kształcenia zawartych w materiale programowym, które wyposażono w środki dydaktyczne audiowizualne oraz optymalną liczbę stanowisk dydaktycznych dla uczestników i nauczycieli/egzaminatorów. Pomieszczenie powinno spełniać wymagania ergonomiczne oraz wskazane przepisami BHP.

Wyposażenie ogólnodydaktyczne pracowni:

– stoły i krzesła dla uczestników szkolenia,

– stół i krzesło dla prowadzącego szkolenie,

– rzutnik multimedialny,

– ekran

– komputer z dostępem do Internetu,

– tablica typu flipchart wraz pisakami i zapasem kartek.

Opis dodatkowego wyposażenia pracowni dydaktycznej:

– wolna przestrzeń do ustawienia na środku 2-3 krzeseł do przeprowadzenia symulacji /scenki sytuacyjnej podczas praktycznej części zajęć

Opis stanowiska egzaminacyjnego

Część teoretyczna:

stanowiska komputerowe dla egzaminowanych (jedno stanowisko dla jednego egzaminowanego) podłączone do sieci lokalnej z dostępem do Internetu, z zainstalowaną przeglądarką internetową.

Część praktyczna: stół i krzesło.

Opis sposobu wykonywania zadania:

Uczestnik loguje się do systemu i wypełnia samodzielnie test online. Następnie opracowuje zadania praktyczne.

Inne istotne elementy:

Ocenie w przypadku zadań praktycznych podlega głównie umiejętność praktycznego zastosowania przepisów RODO w tworzonej dokumentacji.

Wymagania dla Trenera/Egzaminatora

wykształcenie wyższe z zakresu prawa, ochrony danych, bezpieczeństwa informacji, IT oraz
m.in. 3-letnie doświadczenie zawodowe na stanowisku pracy związanym bezpośrednio z ochroną danych, bezpieczeństwem informacji lub jako audytor systemów zarządzania bezpieczeństwem informacji

lub

udokumentowane doświadczenie trenerskie lub dydaktyczne w prowadzeniu szkoleń lub zajęć z zakresu ochrony danych osobowych, bezpieczeństwa informacji (min. 200 godzin szkoleniowych)

Podręczniki

Select

Inspektor ochrony danych (DPO)

Autor: dr Anna Pawlak, dr Ewa Kosowska-Korniak
Wydawca: Fundacja VCC

100 PLN Zamów podręcznik przez system CRM dla partnerów
104

Zobacz przykładowe strony Wszystkie podręczniki

Opis

RODO wprowadza wiele nowych, nieznanych dotychczas obowiązków związanych z przetwarzaniem danych osobowych. Wzmacniając system ochrony danych, wprowadza instytucję Inspektora Ochrony Danych, który będzie odgrywał kluczową rolę w ochronie danych osobowych. Jest to nowa profesja łącząca ze sobą prawo i nowe technologie przetwarzania danych.

Podręcznik kierowany jest do osób, które zamierzają specjalizować się w zagadnieniach ochrony danych osobowych i prywatności, chcą pełnić funkcję Inspektora Ochrony Danych, ale brak im odpowiednich kwalifikacji lub chciałyby poznać obowiązki związane z praktycznym wdrożeniem RODO w swojej firmie (instytucji). W szczególności: do wyższej kadry kierowniczej– administratorów danych, pracowników działów personalnych, IT, kadry kierowniczej organów administracji publicznej (sekretarzy, naczelników, kierowników komórek organizacyjnych, małych i średnich przedsiębiorców, zwłaszcza osób prowadzących jednoosobową działalność gospodarczą, administratorów danych osobowych oraz administratorów bezpieczeństwa informacji.

Podręcznik dedykowany jest do kształcenia w systemie VCC. Zawarte w nim treści pozwalają na przygotowanie się do certyfikowanego egzaminu VCC Select Competences – Inspektor Ochrony Danych.

Przykładowy Egzamin

Test teoretyczny

Zadania praktyczne

1. Na czym polega tzw. profilowanie?
a) Jest to niezautomatyzowane przetwarzanie danych osobowych, polegające
na ich wyszukiwaniu i wykorzystywaniu do przewidywania dalszych preferencji
osoby fizycznej.
b) Na tworzeniu profili administratorów według wskaźników: przetwarzający/
nieprzetwarzający dane osobowe, przestrzegający/nieprzestrzegający RODO
itd.
c) Jest to zautomatyzowane przetwarzanie danych osobowych, polegające na ich
wykorzystaniu do oceny niektórych czynników osobowych, w szczególności
do analizy lub prognozy preferencji osoby fizycznej.
d) Na tworzeniu profili podmiotów przetwarzających dane według wskaźników:
przetwarzający/nieprzetwarzający dane osobowe, przestrzegający/nieprzestrzegający
RODO itd.
2. RODO nie ma zastosowania do przetwarzania danych osobowych:
a) przez osobę fizyczną w związku z jej działalnością zawodową lub handlową.
b) stanowiących kategorię danych wrażliwych.
c) przez podmioty spoza UE, które przetwarzają dane osób fizycznych przebywających
na terenie UE.
d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia
postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych
lub wykonywania kar.
3. Jakie dane osobowe są zwolnione z ochrony gwarantowanej przez RODO?
a) Informacje anonimowe, dane osobowe osób zmarłych oraz dane wrażliwe.
b) Informacje anonimowe, dane osobowe osób zmarłych oraz informacje objęte
pseudonimizacją.
c) Informacje anonimowe, dane osobowe osób zmarłych, dane wrażliwe oraz
informacje objęte pseudonimizacją.
d) Informacje anonimowe, dane osobowe osób zmarłych oraz dane osobowe
zanonimizowane w nieodwracalny sposób.
4. Kiedy przetwarzanie danych osobowych przez firmę mającą siedzibę poza UE
objęte jest ochroną gwarantowaną przez RODO?
a) Jeżeli przetwarzane są dane osobowe osób przebywających w UE — bez
wyjątków.
b) Jeżeli przetwarzane są dane osobowe osób przebywających w UE i wiąże się
to z oferowaniem im towarów lub usług — niezależnie od tego, czy wymaga
się od tych osób zapłaty.
c) Jeżeli przetwarzane są dane osobowe osób przebywających w UE i wiąże się
to z oferowaniem im odpłatnych towarów lub usług.
d) Jeżeli przetwarzane są dane osobowe osób z poza UE, ale czynności przetwarzania
wiążą się z monitorowaniem ich zachowania bez względu na miejsce,
w którym przebywają.
5. Przetwarzanie danych osobowych do celów tworzenia materiałów prasowych,
wypowiedzi akademickiej oraz artystycznej:
a) jest chronione przez RODO, ale państwa członkowskie mogą ustanowić
odstępstwa od stosowania niektórych przepisów RODO.
b) jest chronione przez RODO, ale z wyłączeniami w nim wskazanymi.
c) jest bezwzględnie chronione przez RODO.
d) nie jest chronione przez RODO.
6. Jaka zgoda musi zostać wyrażona, by przetwarzanie danych osobowych było
zgodne z prawem według RODO?
a) Zgoda wyraźna.
b) Zgoda pisemna.
c) Zgoda jednoznaczna.
d) Zgoda zwerbalizowana.
7. Wycofanie zgody na przetwarzanie danych osobowych:
a) jest możliwe. Osoba fizyczna, której dane osobowe są przetwarzane nie musi
być o tym informowana.
b) jest możliwe. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania,
którego dokonano na podstawie zgody przed jej wycofaniem.
c) jest możliwe. Wycofanie zgody może być trudniejsze jak jej wyrażenie.
d) nie jest możliwe.
8. Kto ma obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych?
a) Spoczywa on tylko na określonych administratorach danych osobowych.
b) Spoczywa on zarówno na określonych administratorach danych,
jak i na podmiotach przetwarzających.
c) Spoczywa on tylko na określonych administratorach danych oraz ich przedstawicielach.
d) Spoczywa on na określonych administratorach danych oraz ich przedstawicielach,
jak i na podmiotach przetwarzających.
9. Jakie informacje zawiera się w rejestrze czynności przetwarzania danych osobowych?
a) Dane administratora wraz z danymi kontaktowymi oraz cele przetwarzania.
b) Kategorie osób, kategorie danych osobowych, kategorie odbiorców.
c) Jeśli to możliwe — planowane terminy usunięcia poszczególnych kategorii
danych.
d) Wszystkie powyższe odpowiedzi są prawidłowe.
10. Czego nie umieszcza się w rejestrze czynności przetwarzania danych osobowych?
a) Danych kontaktowych administratora danych osobowych.
b) Informacji o liczbie znaków składających się na wyrażenia stanowiące dane
osobowe, w sytuacji przetwarzania w systemie informatycznym.
c) Kategorii osób, kategorii danych osobowych, kategorii odbiorców.
d) Jeśli to możliwe — planowanych terminów usunięcia poszczególnych kategorii
danych.
11. Jakie elementy zawiera zgłoszenie o naruszeniu ochrony danych osobowych?
a) Między innymi opis charakteru naruszenia, możliwych konsekwencji naruszenia
oraz środków podjętych w celu zaradzenia naruszeniu.
b) Między innymi imiona i nazwiska oraz adresy, których dane osobowe zostały
zagrożone.
c) Między innymi dane osobowe osób odpowiedzialnych za naruszenie ochrony
danych osobowych w danej jednostce oraz numer telefonu do nich.
d) Między innymi wysokość wynagrodzenia inspektora ochrony danych osobowych
(do celów ewentualnego naliczenia procentowej od wynagrodzenia kary
za dopuszczenie do naruszenia ochrony danych osobowych).
12. Kiedy administrator nie ma obowiązku zawiadamiania osób fizycznych, których
dane dotyczą, o naruszeniu ochrony danych osobowych?
a) Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony,
np. szyfrowanie.
b) Administrator przestrzega RODO i było to jego pierwsze naruszenie ochrony
danych osobowych.
c) Zawiadomienie wymagałoby niewspółmiernie dużego wysiłku.
d) Prawidłowe odpowiedzi a) i c).
13. Czy administrator może odmówić udzielenia informacji dotyczącej przetwarzania
danych osobowych na żądanie osoby, której dane dotyczą?
a) Tak, może z uwagi na zbyt duży koszt ich wytworzenia.
b) Tak, może z uwagi na nadmierne lub ewidentnie nieuzasadnione żądania.
c) Tak, może w sytuacji, gdy nie powołał inspektora ochrony danych osobowych.
d) Nie, nigdy nie może.
14. Swoiste minimum informacji, które zgodnie z RODO muszą zostać przekazane
przez administratora w każdym przypadku pozyskiwania danych osobowych
od osoby fizycznej to:
a) tożsamość administratora, jego dane kontaktowe, cele przetwarzania danych
osobowych oraz podstawa prawna przetwarzania.
b) tożsamość administratora oraz podstawa prawna przetwarzania.
c) tożsamość administratora, jego dane kontaktowe oraz podstawa prawna przetwarzania.
d) tożsamość administratora, jego dane kontaktowe, cele przetwarzania danych
osobowych, podstawa prawna przetwarzania, koszt przetwarzania danych
osobowych.
15. W przypadku sprostowania lub usunięcia danych osobowych przez administratora:
a) musi on poinformować o tym organ nadzoru.
b) musi on poinformować o tym społeczeństwo poprzez obwieszczenie w stosowny sposób.
c) musi on poinformować o tym każdego odbiorcę, któremu ujawniono dane
osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie
dużego wysiłku.
d) nie ma on żadnego obowiązku informacyjnego z tym związanego.
16. Szacowanie ryzyka naruszenia praw lub wolności osób jest:
a) konieczne u każdego podmiotu będącego administratorem danych.
b) konieczne jedynie u podmiotów powołujących inspektora ochrony danych
osobowych.
c) konieczne jedynie u podmiotów zatrudniających więcej niż 250 osób.
d) dobrowolne u każdego podmiotu będącego administratorem danych.
17. Jaką należy przyjąć — zgodnie z RODO — skalę ryzyka przy szacowaniu
ryzyka naruszenia praw lub wolności osób?
a) Brak ryzyka, ryzyko minimalne, ryzyko środkowe, wysokie ryzyko.
b) Brak ryzyka, ryzyko, wysokie ryzyko.
c) Brak ryzyka, małe ryzyko, wysokie ryzyko.
d) Ryzyko, wysokie ryzyko.
18. Co powinien zrobić podmiot przetwarzający z posiadanymi danymi osobowymi
po zakończeniu przetwarzania w imieniu administratora, jeżeli prawo
nie wymaga przechowywania przez niego danych?
a) Zwrócić lub usunąć dane — decyzja należy do podmiotu przetwarzającego.
b) Zwrócić lub usunąć dane — decyzja należy do administratora.
c) Zawsze zwrócić dane.
d) Zawsze usunąć dane.
19. Zgodnie z RODO za naruszenie ochrony danych osobowych:
a) zawsze musi zostać nałożona kara finansowa.
b) nie musi zostać nałożona kara finansowa, jeżeli jest to pierwsze naruszenie
podmiotu.
c) nie musi zostać nałożona kara finansowa, jeżeli naruszenie jest niewielkie
lub grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne
obciążenie.
d) prawidłowe odpowiedzi to b) i c).
20. Co decyduje o charakterze kary za naruszenie ochrony danych osobowych
według RODO?
a) Charakter, waga oraz czas trwania naruszenia.
b) Zakres lub cel danego przetwarzania, liczba poszkodowanych osób, których
dane dotyczą, oraz rozmiar poniesionej przez nie szkody.
c) To, czy naruszenie nie było umyślne.
d) Wszystkie powyższe odpowiedzi są prawidłowe.
21. Administrator nie ma obowiązku informacyjnego wobec osoby, której dane
osobowe dotyczą, w przypadku pozyskiwania danych osobowych z innych
źródeł w sytuacji, gdy:
a) osoba, której dane dotyczą, dysponuje już tymi informacjami.
b) udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie
dużego wysiłku.
c) w szczególności w przypadku przetwarzania do celów archiwalnych w interesie
publicznym, do celów badań naukowych lub historycznych lub do celów
statystycznych.
d) wszystkie powyższe odpowiedzi są prawidłowe.
22. Osoba, której dane dotyczą, nie jest uprawniona do:
a) uzyskania dostępu do nich.
b) uzyskania informacji o kosztach ponoszonych w związku z przetwarzaniem
jej danych osobowych.
c) uzyskania informacji o kategoriach odnośnie do danych osobowych.
d) uzyskania informacji o odbiorcach lub kategoriach odbiorców, którym dane
osobowe zostały lub zostaną ujawnione.
23. Czy administrator może pobierać opłaty za przekazane kopie danych osobowych
osobie, której dane dotyczą?
a) Nie, w żadnym przypadku.
b) Tak, w każdym przypadku.
c) Tak, ale tylko za drugą i kolejne przekazane kopie.
d) Tak, ale tylko za natarczywe domaganie się kopii przez osobę, której dane
dotyczą.
24. Przetworzenie danych osobowych w taki sposób, by nie można ich było już
przypisać konkretnej osobie, której dotyczą, bez użycia dodatkowych informacji,
które z kolei są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej to inaczej:
a) profilowanie.
b) pseudonimizacja.
c) anonimizacja.
d) przetwarzanie chroniące.
25. RODO znajduje zastosowanie do przetwarzania danych osobowych:
a) jedynie w sposób całkowicie zautomatyzowany.
b) jedynie w sposób całkowicie lub częściowo zautomatyzowany.
c) w sposób całkowicie lub częściowo zautomatyzowany oraz niezautomatyzowany.
d) jedynie w sposób niezautomatyzowany.
26. Czy do sporządzenia przez osobę fizyczną folderu na prywatnym komputerze
„dane kontaktowe znajomych z liceum” będzie miało zastosowanie RODO?
a) Tak, zawsze znajdzie zastosowanie.
b) Tak, jeżeli dane te będą przetwarzane przez osobę fizyczną w związku z jej
działalnością zawodową lub handlową.
c) Nie, zawsze nie znajdzie zastosowania.
d) Nie, jeżeli dane te będą przetwarzane przez osobę fizyczną w związku z jej
działalnością zawodową lub handlową.
27. Wskaż zdanie fałszywe.
a) Inspektor ochrony danych jest podmiotem niezależnym, nawet jeżeli jest
zatrudniony w wewnętrznych strukturach organizacyjnych jednostki.
b) DPO może być odwołany lub ukarany za wypełnianie swoich zadań.
c) DPO bezpośrednio podlega najwyższemu kierownictwu administratora
lub podmiotu przetwarzającego.
d) Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony
danych nie otrzymywał instrukcji dotyczących wykonywania zadań inspektora.
28. Jakie obowiązki nałożone zostały na inspektora ochrony danych osobowych
przez RODO?
a) Informuje administratora, podmiot przetwarzający oraz pracowników,
którzy przetwarzają dane osobowe, o obowiązkach wynikających z RODO
oraz innych przepisów i doradza im w tej sprawie.
b) Informuje administratora, podmiot przetwarzający oraz pracowników,
którzy przetwarzają dane osobowe, o obowiązkach wynikających z RODO
oraz innych przepisów, bez obowiązku doradzania im w tej sprawie.
c) Obowiązek sporządzenia oceny skutków dla ochrony danych osobowych.
d) Obowiązek aktualizacji rejestru przetwarzania danych osobowych.
29. Kto ma za zadanie monitorować przestrzeganie RODO w danej jednostce
oraz pełnienie funkcji punktu kontaktowego z organem nadzorczym?
a) Administrator danych.
b) Inspektor ochrony danych osobowych.
c) GIODO.
d) Podmiot przetwarzający.
30. Kto może być podmiotem przetwarzającym?
a) Tylko osoba fizyczna.
b) Tylko osoba prawna.
c) Tylko organ publiczny.
d) Zarówno osoba fizyczna, prawna, jak i organ publiczny.

Czas trwania egzaminu – 60 minut
Maksymalna liczba punktów do zdobycia – 30 pkt
Prowadzisz działalność gospodarczą, wykonujesz usługi remontowo-budowlane na rzecz osób fizycznych. Zatrudniasz trzech pracowników. Polecenia do wykonania:
1. Wskaż jak najwięcej obowiązków związanych z ochroną danych osobowych,które musisz zrealizować, w oparciu o przepisy RODO.
2. Dokonaj analizy ryzyka dla trzech wybranych przez siebie potencjalnych ryzyk. Identyfikację ryzyka oraz wyniki analizy ryzyka przedstaw za pomocą tabel.
3. Zaprojektuj prostą umowę powierzenia przetwarzania danych osobowych związanych z czynnościami księgowymi oraz kadrowymi w Twojej firmie.

Fundacja VCC Lublin