14.05.2015 r., Prezes ENSI i SABI Maciej Byczkowski wziął udział w Ogólnopolskiej Konferencji „Reforma Ochrony Danych Osobowych – Nowe Szanse I Wyzwania”. Organizatorem konferencji było Centrum Ochrony Danych Osobowych i Zarządzania Informacją, działające na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego. Honorowy patronat nad wydarzeniem objęło m.in. Stowarzyszenie Administratorów Bezpieczeństwa Informacji..

Centrum Ochrony Danych Osobowych i Zarządzania Informacją zorganizowało konferencję mając na uwadze fakt, że przed ADO i ABI w Polsce pojawiają się nowe wyzwania wskutek nowelizacji ustawy o ochronie danych osobowych, której przepisy weszły w życie z dniem 1 stycznia 2015 roku oraz projektowanymi zmianami na poziomie prawa unijnego.

Prezes Maciej Byczkowski wziął udział w panelu tematycznym „Zmiany w przepisach o ochronie danych osobowych – perspektywa ABI” moderowanym przez dr Joannę Łuczak z Uniwersytety Łódzkiego. Panel dotyczył przede wszystkim problemu statusu i obowiązków administratorów bezpieczeństwa informacji na gruncie przepisów ustawy o ochronie danych osobowych. Prezes Maciej Byczkowski przedstawił z punktu widzenia Stowarzyszenia Administratorów Bezpieczeństwa Informacji wykład „Mieć czy nie mieć ABI? Korzyści i obawy związane z powołaniem ABI”.

Prezes podkreślił, że SABI było inicjatorem wprowadzanych zmian. Pomysł na zmianę statusu ABI powstał w 2007, czyli od samego początku istnienia SABI. Prezes SABI podkreślił, że celem powstania Stowarzyszenia było wzmocnienie roli i funkcji ABI jako osoby zaufania publicznego. Wytłumaczył dlaczego tak ważne jest aby ABI nie były osoby przypadkowe, nieprzygotowane do wypełniania zadań. Poprzednie wymogi ustawy o ochronie danych osobowych dopuszczały taką sytuację co w praktyce oznaczało, że ochrona danych osobowych nie była przestrzegana w firmach i instytucjach. Obecne przepisy dają wybór - te osoby, które chcą rzetelnie chronić swoje dane, swoją prywatność, będą mogli to robić w sposób uporządkowany i rzetelny. Bez względu na to czy w firmie zostanie powołany ABI czy też nie, obowiązki zapewnienia przestrzegania przepisów o ochronie danych osobowych muszą być bezwzględnie realizowane przez wszystkie podmioty przetwarzające dane osobowe.

Prezes Byczkowski zaakcentował, że jest to dobra i przemyślana regulacja, wbrew negatywnym opiniom które się pojawiają na rynku. Zaznaczył, że wielu uczestników dyskusji nie rozumie na czym polegają przepisy ustawy o ochronie danych osobowych i przepisy Dyrektywy PE. Cały projekt został przygotowany starannie i jest zgodny z Dyrektywą oraz polską ustawą o ochronie danych osobowych. Celem, który był założony, było uporządkowanie podejścia do zabezpieczenia danych osobowych. Przypomniał, że powodem zmiany była sytuacja dotycząca projektu deregulacyjnego gdzie przedsiębiorcy w ankiecie stwierdzili, że niepotrzebnym obowiązkiem administracyjnym jest zgłaszanie zbiorów danych do rejestracji GIODO - miało to związek z obowiązującym od 1.01.2012 roku obowiązkiem zgłoszenia zbiorów do rejestracji, którym zostali objęci ADO, którzy przetwarzają dane osób fizycznych prowadzących działalność gospodarczą. Ponieważ była to bardzo duża liczba zbiorów danych osobowych ich zgłaszanie spowodowało niewydolność Departamentu Rejestracji Zbiorów Danych Osobowych. Prezes SABI podkreślił, że ponieważ w polskich przepisach nie można wyrzucić obowiązku rejestracyjnego postanowiono w projekcie zastosować konstrukcję z Dyrektywy PE, która w polskiej ustawie nie była zaimplementowana: zwolnienie z obowiązku rejestracji ma miejsce w przypadku wyznaczenia na niezależnym stanowisku DPO, odpowiednikiem którego jest w Polsce ABI, który wykonuje obowiązki nadzorcze i do niego zgłasza się zbiory danych do rejestracji. Prezes Byczkowski przypomniał, że ta sama Dyrektywa mówi, że wspomniane wyłączenie nie dotyczy zbiorów danych osobowych wrażliwych. Prezes SABI podkreślił, że zastosowano rozwiązanie istniejące już w Dyrektywie PE. Podkreślił, że niezwykle istotny jest fakt, że zmiana dotycząca statusu ABI pociągnęła za sobą zmianę obowiązków zabezpieczenia danych osobowych. Zmiana statusu ABI spowodowała, że dodano artykuł 36a i 36b – wprowadzono nowe obowiązki dotyczące zapewniania przestrzegania przepisów o ochronie danych osobowych, które musi wykonać każdy ADO i każdy procesor.

Prezes SABI wytłumaczył, że tak naprawdę obowiązki określone w artykule 36a ust.2 nie są nowe, są uporządkowane i inaczej zredagowane - odnoszą się do obowiązków, które były wykonywane od lat przez ABI. Podkreślił, że projekt ustawy powstał na bazie doświadczeń środowiska administratorów bezpieczeństwa informacji i pochodzi z 2009 r. Uporządkowano następujące obszary: fakt sprawdzenia zgodności przetwarzania danych z przepisami, w tym opracowywanie sprawozdania dla ADO (Prezes SABI zaznaczył, że firmy od lat prowadzą audyty zgodności, piszą raporty, etc.), nadzorowanie, opracowywanie i aktualizowanie dokumentacji o której mowa w artykule 36 ust.2 oraz przestrzeganie zasad w niej określonych (to robił ABI nadzorując przetwarzanie danych na podstawie poprzednich przepisów art. 36 ust.3) oraz zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych (taki wymóg był do 1.04.2004r., w art.5 do rozporządzenia do ustawy był wymóg zaznajamiania osób z przepisami stąd wielu ADO do dziś szkoli, inaczej zapoznaje).

Jako przykład wyjaśniający, że np. sprawdzenia są konsekwencją wykonywania zadań z art. 36 ust.1. Prezes SABI przedstawił sytuację konieczności sprawdzenia zgodności przetwarzania danych - w art. 36 ust.1 jest wymóg, że ADO jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych osobowych odpowiednio do zagrożeń i kategorii danych objętych ochroną. Aby dobrać właściwe zabezpieczenia niezbędna jest wiedza jak dane są przetwarzane, czyli konieczne jest przeprowadzenie audytu czyli inaczej sprawdzenia.

Prezes Byczkowski podczas swojego wystąpienia, tłumacząc konieczność doprecyzowania zadań ABI, podał kolejny przykład dokumentacji określonej w artykule 36 ust.2, która opisuje sposób przetwarzania danych i środki techniczne i organizacyjne – czyli swego rodzaju kodeks postępowania wewnętrznego, główne procedury. Zadaniem ABI będzie sprawdzenie czy procedury istnieją oraz czy są realizowane przez osoby, które przetwarzają dane osobowe.

Prezes SABI podkreślił, że charakter deregulacyjny to przede wszystkim wprowadzona możliwość wyboru w jaki sposób dany podmiot może realizować obowiązki zabezpieczenia danych osobowych realizować : albo wyznaczenie do tego celu odpowiednio przygotowanej osoby, która będzie te obowiązki wykonywać albo samodzielnie będzie te obowiązki realizować, wyznaczając do tego inne osoby (odpowiednio np. do sprawdzeń, do szkoleń do nadzoru etc.). Prezes Byczkowski zaakcentował, że brak powołania ABI nie oznacza nie wykonywania obowiązków zabezpieczenia - artykuł 36b jest właśnie zabezpieczeniem żeby nie obniżyć poziomu ochrony danych osobowych tam gdzie są one przetwarzane.

Prezes SABI podkreślił, że aby móc wykorzystać element z Dyrektywy PE odnoszący się do wyznaczenia się ABI na niezależnym stanowisku i związanej z tym opcji nie zgłaszania zbiorów do rejestracji, konieczne było zastosowanie konstrukcji, które by określiły przede wszystkim status ABI i kwestię związaną ze zgłaszaniem zbiorów do rejestracji przy powołanym ABI.

Prezes SABI podkreślił, że wokół ustawy narosło bardzo dużo mitów, które Stowarzyszenie stara się obalać. Większość z tych „mitów” odnosi się do nowego statusu ABI po nowelizacji, m.in. : powołania ABI, zakresu zadań ABI, wymaganych kwalifikacji do pełnienia funkcji ABI, zapewnienia niezależności stanowiska ABI, rejestracji ABI przez GIODO oraz roli ABI w kontroli GIODO. Jako współtwórca zapisów ustawowych w zakresie nowej funkcji ABI i uczestnik procesu legislacyjnego Prezes Byczkowski wyjaśnił związane z wyżej wymienionymi zagadnieniami wątpliwości oraz przedstawił prawidłową interpretację zapisów ustawy. Podkreślił, że po nowelizacji ADO ma wybór dotyczący sposobu realizacji obowiązków zapewnienia przestrzegania przepisów o ochronie danych osobowych – albo powoła do tego ABI zgodnie z art. 36a albo sam będzie realizował te zadania zgodnie z art. 36b. Zgodnie z nowymi przepisami ADO może powołać ABI w każdym momencie, a następnie w ciągu 30 dni zgłosić go do rejestracji GIODO.

Zaznaczył, że wymieniony w przepisach przejściowych ustawy o ułatwieniu wykonywania działalności gospodarczej (w art. 35) termin 30 czerwca 2015 r., to termin, do którego funkcję ABI mogą pełnić - zgodnie z nowymi przepisami - osoby wyznaczone na ABI przed 1 stycznia 2015 r., na podstawie uchylonego przepisu z art. 36 ust. 3. Oznacza to, że ADO ma czas na podjęcie decyzji do 30 czerwca 2015 r. co zrobić: czy powołać na nowo wyznaczonego wcześniej ABI, na podstawie art. 36a i zgłosić do rejestracji GIODO, czy pozostawić tę osobę, ale już na innym stanowisku, i zlecić wykonywanie części lub wszystkich nowych zadań zapewniania przestrzegania przepisów o ochronie danych.

Prezes Byczkowski zaakcentował, że od 1 lipca 2015 r. stanowisko ABI będzie odnosić się do ABI powołanego na podstawie nowych przepisów. Wytłumaczył również, że ustawa nie wymaga posiadania żadnych konkretnych certyfikatów kwalifikacji zawodowych ABI, które są tym bardziej wymagane przez GIODO w procesie rejestracji ABI. Artykuł 36a ust. 5 ustawy określa wymóg posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych. W praktyce oznacza to, że kandydat na ABI może przedstawić dyplomy czy certyfikaty ukończenia szkoleń, warsztatów czy studiów ukierunkowanych na ochronę danych osobowych, może również przedstawić opinię od poprzednich pracodawców, u których pełnił funkcję ABI. Natomiast ADO na wniosku zgłoszenia ABI do rejestracji GIODO poświadcza, że powołana osoba posiada odpowiednią wiedzę w zakresie ochrony danych osobowych.

Podkreślił, że tak ważne i dyskutowane podległość ABI kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej ADO pozwoli uniknąć podległości pośrednich w strukturze ADO i zagwarantuje raportowanie bezpośrednio do ADO.

Prezes Byczkowski zwrócił także uwagę na nową rolę ABI w kontroli GIODO. Przypomniał , że wprowadzenie zapisu zakładającego możliwość sprawdzenia przeprowadzonego przez wewnętrznego ABI, jest bardziej korzystne dla ADO niż stresująca kilkudniowa inspekcja w siedzibie administratora danych było inicjatywą SABI.

W podsumowaniu swojego wystąpienia Prezes Byczkowski wskazał główne korzyści dla ADO z powołania ABI:

  • Zapewnienie przestrzegania przepisów o ochronie danych osobowych przez właściwie przygotowaną do tego osobę.
  • przestrzeganie przepisów o ochronie danych osobowych uporządkowany sposób: nadzór nad dokumentacją, wykonywanie sprawdzeń, minimalizacja ryzyk, zapoznawanie osób z przepisami
  • uproszczona procedura rejestracji zbiorów danych, zgłoszenie zbiorów do ABI również dla części ADO będzie stanowiła duże ułatwienie
  • uproszczona forma kontroli przez GIODO, sprawdzenie realizowane przez ABI

Prezes SABI zaakcentował, że wprowadzenie deregulacji jest przygotowaniem do realizacji wymagań nowego rozporządzenia PE i Rady UE. Dzięki temu działaniu polskie przedsiębiorstwa, polscy ADO w swobodny i uporządkowany sposób przejdą od administratora do inspektora.

W tym samym panelu tematycznym wziął udział dr G. Sibiga z Instytutu Nauk Prawnych PAN w Warszawie, prezentując wykład „Nowe obowiązki ABI”. W swoim wystąpieniu skupił się na przedstawieniu argumentacji jakie cele i przyczyny legły u podstaw tej regulacji, nie tylko na poziomie ustawy ale także przepisów wykonawczych, przy okazji wykazując, że polski prawodawca nie miał zbyt dużej swobody chociażby z punktu widzenia obowiązujących przepisów Dyrektywy unijnej. Dr Sibiga jako zasadnicze kwestie wskazał: przyczynę wprowadzenia zmian, ich odniesienie do samej nowelizacji, do rodzajów zadań ABI oraz fundamentalne kwestie dotyczące organizacji funkcji ABI.

Wśród przyczyny zmian wskazał trzy główne nurty ratio legis deregulacji:

1) przyczyna deregulacyjna : jako podstawa nieobowiązkowość powołania ABI, ustawodawca daje ADO dwa warianty (z powołanym ABI i bez powołania ABI), równorzędne pod względem prawa, wykonania pewnego zadania czyli przestrzegania w sferze wewnętrznej przepisów o ochronie danych osobowych.

W swojej argumentacji dr Sibiga podkreślił, że wyższy standard ochrony danych osobowych gwarantuje powołany ABI, ponieważ jest odpowiednio przygotowana osoba, która realizuje określone zadania. W obecnym stanie prawnym nie ma obowiązku, jest natomiast podejście zadaniowe: zapewnienie, żeby przepisy były przestrzegane. Jako drugi kontekst deregulacyjny dr Sibiga wskazał zwolnienie z obowiązku rejestrowania zbiorów danych osobowych.

2) kontekst krajowy dotyczący samego ABI i wykonywania przez niego zadań: profesjonalizacja wykonywania przez ABI zadań i ich ujednolicenie w skali całego kraju.

Dr Sibiga Podkreślił, że w poprzednim stanie prawnym (sprzed 1.01.2015) cała działalność ABI opierała się na jednym, lakonicznym przepisie ustawy - nie można było mówić o jednolitym wykonywaniu funkcji ABI w skali kraju. Nie było określone miejsce ABI w strukturze organizacyjnej oraz jakie są wymagania wobec tych osób i co najważniejsze nie było określone czym ta osoba ma się konkretnie zajmować i w jaki sposób ma wykonywać te zadania. ADO uszczegóławiał zadania ABI. Dr Sibiga zaakcentował, że nowelizacja jest odpowiedzią ustawodawcy na tę niejednolitość.

3) kontekst prawa Unii Europejskiej : obecna regulacja oraz kontekst regulacji docelowej (regulacji ogólnego rozporządzenia w sprawie ochrony danych osobowych i instytucji Data Protection Officer). Dr Sibiga zaznaczył, że obecny sposób regulacji, tj. ten obowiązujący od 1.01.15 jest przybliżeniem do regulacji docelowej unijnej. Celem było przygotowanie osób zajmujących się ochroną danych osobowych do przepisów docelowych ponieważ w przepisach docelowych tych obowiązków będzie znacznie więcej i będą miały bardziej skomplikowany charakter niż w chwili obecnej.
Sposób regulacji w nowelizacji ustawy jest przeniesieniem wymogów dyrektywy unijnej czyli zapisu mówiącego, że kompleksowe zwolnienie z obowiązku notyfikacyjnego (rejestracji zbiorów danych osobowych) może nastąpić gdy zostanie powołany urzędnik ds. ochrony danych osobowych odpowiedzialny za zapewnienie w sposób niezależny wewnętrznego stosowania przepisów prawa krajowego przyjętego na mocy niniejszej dyrektywy. Dr Sibiga zaakcentował, że kluczowe zadanie ABI czyli sprawdzenia w ramach zapewnienia zgodności jest właśnie implementacją tego warunku.

Dr Sibiga podkreślił, że dotychczasowa regulacja, przed 1.01.15, w żaden sposób nie wykonywała przepisów dyrektywy z 1995 – dyrektywa mówiła tylko o możliwości a nie o obowiązku powołania urzędnika, ja również w żadnym stopniu nie przygotowywała do przyszłej regulacji unijnej. Dr Sibiga podkreślił, że deregulacja miała na celu także podniesienia świadomości prawnej co w praktyce przełoży się na podniesienie standardu ochrony danych osobowych.

W swoim wystąpieniu „ABI – jako gwarant procesu przestrzegania przepisów o ochronie danych osobowych.” Z-ca Generalnego Inspektora Ochrony Danych Osobowych, p. Andrzej Lewiński podkreślił, że jednym z głównych celów GIODO będzie edukowanie ABI czyli szkolenie oficerów ochrony danych osobowych.

Natomiast dr Maciej Kawecki z Uniwersytetu Jagiellońskiego skupił się na omówieniu zagadnienia nowych wymogów związanych z pełnieniem funkcji ABI a pozycją prawną kancelarii prawnych i zasad etyki zawodu radcy prawnego i adwokata, koncentrując się na wątku czy można w praktyce łączyć te dwie role.

Podkreślił, że najczęściej z radców prawnych lub adwokatów jako ABI najczęściej korzystają i organy administracji publicznej, które albo w swoich działach mają radców prawnych albo outsoursują usługi od podmiotów zewnętrznych. Część swojego wystąpienia poświęcił również zagadnieniu niezbędnych kwalifikacji do pełnienia funkcji ABI w kontekście radcy prawnego i adwokata oraz wskazał, że możliwe jest outsoursowanie usług w zakresie pełnienia funkcji ABI pod warunkiem że osoba zewnętrzna wykonująca takie zadanie będzie podlegała bezpośrednio ADO. Oznacza to również brak podległości jakiemukolwiek podmiotowi zewnętrznemu. Obie te kwestie mają ogromne znaczenia z punktu widzenia zawodów prawniczych. Oznacza to że w zakresie czynności wykonywanych przez radcę prawnego lub adwokata jako ABI niezbędne jest podpisanie umowy określającej podległość bezpośrednio ADO oraz brak podległości jakiemukolwiek podmiotowi zewnętrznemu. Dr Kawecki przeanalizował zgodność zapisów z ustawami regulującymi zawód adwokata i radcy prawnego oraz kodeksami etyki zawodowej. Wskazał, że w przypadku radców prawnych podległość organizacyjna (nie merytoryczna) jest możliwa – przy założeniu że jest to podległość formalna która ma umożliwić ABI wolne, swobodne pełnienie funkcji w ramach struktury organizacyjnej administratora - co oznacza, że mogą oni pełnić obowiązki ABI. Natomiast w przypadku adwokatów wg prelegenta nie jest to możliwe ze względu na art. 1 ustawy prawo o adwokaturze mówiący o podległości adwokata tylko ustawie.

W dyskusji towarzyszącej panelowi tematycznemu omówiono także kolejno następujące tematy:

  • aktualną kwestię większej liczby zgłoszeń z obszaru strefy publicznej ABI do rejestracji GIODO Wytłumaczył tę sytuację Prezes Byczkowski wskazując, że wielu administratorów danych, szczególnie ze sfery prywatnej, wstrzymuje się z decyzją powołania ABI do czasu ukazania się przepisów wykonawczych w zakresie wykonywania zadań ABI. Jest to związane z realną oceną nowego zakresu zadań ABI, który będzie doprecyzowany w nowych rozporządzeniach. W wielu podmiotach ze sfery prywatnej funkcja ABI była przypisywana do tej pory, w zależności od typu organizacji czy procesów przetwarzania danych, do różnych stanowisk np. administratora systemu IT, czy innego z działu bezpieczeństwa, kadr, administracji czy prawnego. Rzadziej w tym wypadku wiązana była ona ze stanowiskiem. Natomiast w podmiotach ze sfery publicznej częściej funkcja ABI była przypisywana do stanowiska. Dlatego, aby takie stanowisko było zachowane w strukturze ADO i osoba ta nadal pełniła funkcję na tym stanowisku, decyzje o powołaniu ABI w podmiotach ze sfery publicznej zapadają szybciej. Prezes SABI podkreślił, że sytuacja będzie się wyrównywać po wejściu w życie rozporządzeń wykonawczych, ale będzie to przebiegało stopniowo, ponieważ nie wszyscy ADO powołają ABI do 30 czerwca.
  • Najważniejsze argumenty, które mogą przekonać ADO do powołania ABI:
    • prezes SABI wskazał na uwolnienie ADO od problemu, którym zajmą się kompetentne osoby gwarantujące rzetelne zajęcie się ochroną danych osobowych w przedsiębiorstwie
    • wg dr Sibigi od 1.07.2015 będą dwie grupy osób, które będą wykonywały zadania co do zasady takie same: pierwsza grupa to będą nowi ABI – powołani w myśl nowych przepisów lub zgłoszeni do 31.06.2015, a druga to osoby które nie będą ABI ale będą wykonywały te zadania w wariancie bez powołanego ABI. Podkreślił, że wówczas zadanie spoczywa na ADO który może je realizować przy wsparciu jednej lub więcej osób. Z tego wynika argument dla ADO za powołaniem ABI: a) decyzja po podejściu jakościowym - będzie niezależna, wyspecjalizowana osoba która się zajmuje ochroną danych osobowych oraz która w obrocie prawnym będzie niezależnym podmiotem – co w praktyce oznacza zmniejszenie obowiązków dla ADO b) kwestia możliwości ograniczenia odpowiedzialności prawnej, szczególnie w sprawach karnych - chodzi o przede wszystkim ADO, który postępował w zgodzie ze wskazaniami ABI, które okażą się nietrafne w taki sposób, że staną się podstawą do wszczęcia postępowania karnego z powodu naruszenia przepisów o ochronie danych osobowych.
    • Dr Kawecki wskazał na dwa skrajne argumenty: zagrożenie wysoką karą ale przede wszystkim pozytywny wizerunek firmy
  • Zagadnienie nawiązujące do wykładu dr Kaweckiego : czy aplikanci adwokaccy mogą być ABI? Według dr Kaweckiego z punktu widzenia formalnych przepisów mogą być zatrudnieni na umowę o pracę czyli mogą być ABI z jednym ważnym zastrzeżeniem, że będzie to czas ściśle określony tzn. do momentu kiedy aplikant zostanie adwokatem.
  • Poruszono kwestię czy rozporządzenia MAiC mają zastosowanie do ADO, którzy mają ABI czy także dla ADO, którzy nie mają wyznaczonego ABI? Odpowiadając na to pytanie Prezes Byczkowski podkreślił, że na wniosek RCL mają one zastosowanie tylko do pełnienia zadań przez ABI.
  • Dyskutowano także kwestię pogodzenia w praktyce nowych obowiązków ABI – zgodnie z nowelizacją z dotychczas pełnionymi zadaniami. Prelegenci jednoznacznie wskazali zapisy ustawy jako wykładnię w tej kwestii.
  • Ożywioną dyskusję wśród uczestników Konferencji wywołał temat „ABI jako pracownik” i związana z tym kwestia niezależności ABI trudna do zrealizowania w ramach stosunku pracy. Zastanawiano się czy w takiej sytuacji czy nie jest konieczna gwarancja ochrony trwałości stosunku pracy oraz gwarancja finansowa a także uwolnienie ABI od obowiązków przeszłych, które były mu przypisane. Część dyskutantów wskazywała, że niezależność jest możliwa tylko przy podmiotach zewnętrznych (pełniących rolę ABI). Dr Sibiga zabierając głos w dyskusji podkreślił, że po pierwsze Dyrektywa unijna przyjmuje że jest taka niezależność możliwa i właśnie to założenie zostało zaimplementowane w polskich przepisach a po drugie chodzi o niezależność wykonywania zadania merytorycznego. Zaakcentował, że ustawa , przepisy o ochronie danych osobowych są dla ABI kryterium merytorycznym wykonywania zadania zaś w kwestii podległości chodzi o podległość w zakresie organizacji i porządku pracy.
  • Wyjaśniono, że ABI może być tylko osoba fizyczna a nie firma czy podmiot prowadzący działalność gospodarczą – w kontekście outsourcingu funkcji ABI. Wskazano, że w umowie np. z kancelarią prawną może być wskazanie na konkretną osobę, która jest ABI ale pod warunkiem, że będą w umowie zapisy wskazujące niezależność ABI. Prezes Byczkowski podkreślił, że w umowie powinien być także zapis o konieczności powołania ABI przez ADO oraz zaakcentował, że na gruncie umowy można zapewnić realizację outsourcingu funkcji ABI zgodnie z przepisami.

W trakcie pozostałych paneli podczas konferencji omawiano także zmiany w przepisach o ochronie danych osobowych z perspektywy ADO, w tym przede wszystkim nowe obowiązki administratorów danych osobowych na gruncie przepisów ustawy o ochronie danych osobowych. Reprezentująca Konfederację Lewiatan Magdalena Piech w swoim wystąpieniu skupiła się na temacie wdrażania nowego systemu ochrony danych osobowych przez przedsiębiorców, analizując zagadnienie na gruncie najnowszych europejskich i krajowych regulacji prawnych. Natomiast dr Tomasz Banyś z Uniwersytetu Łódzkiego przedstawił problematykę związaną z kwestią wdrażania nowego systemu ochrony danych osobowych przez podmioty publiczne.

Podczas panel tematycznego „Transgraniczny obrót danymi” prelegenci skupili się na temacie przekazywania danych osobowych do państw trzecich na gruncie przepisów ustawy o ochronie danych osobowych. Dr Paweł Litwiński z Instytutu Allerhanda w Krakowie w swoim wystąpieniu przedstawił propozycje regulacji transgranicznego obrotu danymi osobowymi w rozporządzeniu ogólnym. Z kolei mecenas Xavery Konarski reprezentujący Związek Pracodawców Branży Internetowej IAB Polska) omówił praktyczne problemy związane z przekazywaniem danych do państw trzecich. Radca prawny Michał Kaczorowski z Google Poland w swoim wykładzie zaprezentował transgraniczny obrót danymi z perspektywy ADO.

Konferencja organizowana przez Centrum Ochrony Danych Osobowych i Zarządzania Informacją była doskonałą okazją do wymiany poglądów dotyczących oceny obecnego stanu regulacji prawnych, których przedmiotem jest ochrona danych osobowych i dyskusji na temat założeń europejskiej reformy ochrony danych, przez przedstawicieli świata nauki i biznesu oraz ekspertów praktyków.

W skład Rady programowej Konferencji weszli: prof. zw. dr hab. Zbigniew Góral, prof. nadzw. dr hab. Teresa Wyka, dr Edyta Bielak – Jomaa, dr Joanna Łuczak, dr Magdalena Kuba, dr Dominik Lubasz, mgr Katarzyna Witkowska.

Honorowy patronat nad tym wydarzeniem objęła Dziekan Wydziału Prawa i Administracji Uniwersytetu Łódzkiego, Pani prof. nadzw. dr hab. Agnieszka Liszewska a także Konfederacja Lewiatan, Stowarzyszenie Administratorów Bezpieczeństwa Informacji oraz Związek Pracodawców Branży Internetowej IAB Polska.


Wiecej informacji: http://www.wpia.uni.lodz.pl/struktura/centra-naukowe/centrum-ochrony-danych-osobowych/aktualnosci/item/893-reforma-ochrony-danych-osobowych-%E2%80%93-nowe-szanse-i-wyzwania


ENSI Sp. z o.o., Al. Jana Pawła II 34, 00-141 Warszawa, tel.: +48 22 620 12 00, faks: +48 22 620 12 53, e-mail: info @ ensi.net
 Polityka cookies/ Polityka prywatności    Copyright © ENSI 2006-2018