XIX KONGRES ABI

ABI: NOWA ROLA, NOWE OBLICZE



Kongres poświęcony nowym rozporządzeniom wykonawczym
do ustawy o ochronie danych osobowych dotyczącym wykonywania zadań ABI


Pałac Żelechów, 14 – 16 kwietnia 2015 r.




Szanowni Państwo,


W dniach 14 – 16 kwietnia 2015 r. w Pałacu Żelechów SPA & Wellness w Żelechowie, odbył się XIX Kongres ABI, którego tematem przewodnim były nowe przepisy wykonawcze do ustawy o ochronie danych osobowych dotyczące wykonywania zadań Administratora Bezpieczeństwa Informacji (ABI).


Od 1 stycznia br. obowiązują w Polsce nowe przepisy o ochronie danych osobowych dotyczące zapewnienia przestrzegania przepisów o ochronie danych osobowych. Przewiduje się w nich dla Administratora danych (ADO) oraz procesora wybór sposobu realizacji w/w obowiązków spośród dwóch opcji: albo powołają u siebie do realizacji nowych obowiązków ABI albo sami będą realizować nowe zadania. Nowelizacja wprowadziła wymogi kwalifikacyjne dla ABI, warunki organizacyjne, w których wykonuje swoją funkcję oraz zadania ABI i tryb ich realizacji. Przypomnijmy, że od ADO wymagane jest zapewnienie odpowiedniej podległości pod kierownictwo ADO i zagwarantowanie środków i organizacyjnej odrębności niezbędnych do niezależnego wykonywania przez niego nowych zadań. Powołany na podstawie nowych przepisów ABI musi zostać zgłoszony do rejestracji GIODO, który prowadzi ogólnopolski jawny rejestr ABI.


Na Kongresie omówiliśmy „krok po kroku” i przedyskutowaliśmy szczegółowo powoływanie ABI, organizację funkcji ABI w jednostce organizacyjnej oraz samo wykonywanie obowiązków zapewniania przestrzegania przepisów o ochronie danych w sytuacji powołania ABI lub wyznaczenia do wykonywania tych zadań innych osób. Omówiliśmy dokładnie nowe rozporządzenia wykonawcze do ustawy o ochronie danych osobowych dotyczące: zgłoszenia ABI do rejestracji GIODO, wykonywania zadań dotyczących zapewnienia przestrzegania przepisów o ochronie danych oraz sposobu prowadzenia przez ABI jawnego rejestru zbiorów danych osobowych. Nie zabrakło też okazji do kuluarowych dyskusji z ekspertami oraz ABI z różnych organizacji. Dyskusje i wystąpienia na Kongresie poprowadzili eksperci praktycy, którzy brali bezpośredni udział w przygotowywaniu projektów nowych przepisów o ochronie danych osobowych. Szczegółowa agenda XIX Kongresu ABI znajduje się poniżej.


Kongres ABI to najważniejsze doroczne spotkanie środowiska Administratorów Bezpieczeństwa Informacji w Polsce, na którym omawiane i dyskutowane są najważniejsze bieżące i praktyczne problemy realizacji zadań i obowiązków ochrony danych osobowych w podmiotach ze sfery publicznej i prywatnej, w tym wchodzących w skład międzynarodowych grup kapitałowych.



 






AGENDA XIX KONGRESU ABI

ABI: NOWA ROLA, NOWE OBLICZE


Pałac Żelechów, 14 – 16 kwietnia 2015 r.

(Opracował Komitet programowy XIX Kongresu ABI w składzie: Maciej Byczkowski
oraz adw. dr Grzegorz Sibiga)

Nowe rozporządzenia wykonawcze do ustawy o ochronie danych osobowych dotyczące wykonywania zadań Administratora Bezpieczeństwa Informacji




Dzień pierwszy (14.04.2015 r.):


Spotkanie ABI – dyskusja na temat niezbędnych kompetencji do właściwego pełnienia funkcji ABI z udziałem administratorów bezpieczeństwa informacji, ekspertów prawnych oraz filozofa i coacha.
Prowadzący: p. Jacek Masłowski



Dzień drugi (15.04.2015 r.):



1. Wykład wprowadzający: „Nowe obowiązki zabezpieczenia danych osobowych”.

  • Nowy status ABI po nowelizacji – fakty i mity.
  • Zmiana obowiązków dotyczących zapewnienia przestrzegania przepisów o ochronie danych osobowych:
    • Zapewnianie przestrzegania przepisów przez powołanego ABI na podstawie art. 36a.
    • Zapewnianie przestrzegania przepisów przez osoby wyznaczone przez Administratora danych lub procesora na podstawie art. 36b
    Prowadzący: p. Maciej Byczkowski

2. Wykład: Nowe rozporządzenia wykonawcze do ustawy o ochronie danych osobowych dotyczące wykonywania zadań Administratora Bezpieczeństwa Informacji.

  • Przedstawienie z perspektywy Ministerstwa Administracji i Cyfryzacji aktualnego stanu prac nad rozporządzeniami wykonawczymi:
    • w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych oraz
    • w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych
    Prowadzący: p. Michał Czerniawski

3. Panel dyskusyjny: „Powołanie ABI i zgłoszenie go do rejestracji GIODO”.

  • Obowiązki związane z powołaniem ABI:
    • Powołanie ABI – formalne zasady powołania ABI na podstawie art. 36a ust. 1.
    • Rekrutacja ABI - weryfikacja kwalifikacji niezbędnych do pełnienia funkcji ABI zgodnie z art. 36a ust. 5.
    • Zakres zadań powołanego ABI zgodnie z art. 36a ust. 2.
    • Powierzenie ABI wykonywania innych obowiązków zgodnie z art. 36a ust. 4.
    • Powołanie zastępców ABI zgodnie z art. 36a ust. 6.
    • Zapewnienie odpowiedniej podległości służbowej ABI zgodnie z art. 36a ust. 7.
    • Zapewnienie środków i organizacyjnej odrębności ABI niezbędnych do niezależnego wykonywania przez niego zadań – zgodnie z art. 36a ust. 8.
    • Outsourcing funkcji ABI.
    • Odpowiedzialność karna ABI związana z wykonywaniem przez niego zadań, o których mowa w art. 36a ust. 2.
    • Odpowiedzialność służbowa zatrudnionych ABI. Odpowiedzialność cywilnoprawna ABI świadczącego usługi na podstawie umowy cywilnoprawnej .
  • Zgłoszenie ABI do rejestracji GIODO:
    • Wymagania zgłoszenia powołania lub odwołania ABI do rejestracji GIODO zgodnie z art. 46b oraz zgłaszanie zmian objętych zgłoszeniem.
    • Rozporządzenie MAiC z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji.
    • Prowadzenie jawnego rejestru ABI przez GIODO zgodnie z art. 46c.
    • Sytuacje wykreślenia ABI z rejestru GIODO, o których mowa w art. 46d.
    • Ponowne zgłoszenie do rejestracji GIODO powołania ABI wykreślonego z rejestru zgodnie z art. 46e.

4. Panel dyskusyjny: „Wykonywanie przez ABI zadań zapewniania przestrzegania przepisów o ochronie danych osobowych. Dokumentacja ABI”.

  • Obowiązki ABI związane z zapewnianiem przestrzegania przepisów o ochronie danych osobowych określone w art. 36a ust. 2 pkt 1
  • Rozporządzenie MAiC w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji.
  • Wykonywanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla ADO:
    • Przygotowywanie planu sprawdzeń okresowych.
    • Wykonywanie sprawdzeń okresowych zgodnie z planem.
    • Wykonywanie sprawdzeń pozaplanowych.
    • Czynności ABI podczas sprawdzeń i sposób ich dokumentowania - sporządzanie notatek służbowych oraz protokołów.
    • Przygotowywanie sprawozdania ze sprawdzenia, o którym mowa w art. 36c.
    • Wykonywanie sprawdzeń na wniosek GIODO, o którym mowa w art. 19b ust. 1
    • Przygotowywanie sprawozdań na wniosek GIODO zgodnie z art. 19b ust. 2.
  • Nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych:
    • Tryb i sposób nadzoru nad dokumentacją przetwarzania danych.
    • Nadzór opracowania i aktualizowania dokumentacji – rodzaje dokumentów.
    • Nadzór nad przestrzeganiem zasad zawartych w dokumentacji przetwarzania – nadzór nad realizacją procesów przetwarzania danych osobowych u Administratora danych lub procesora
  • Zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych:
    • Ustalenie formy wykonywania obowiązku zapoznawania osób z przepisami – szkolenia, przygotowywanie i dystrybucja materiałów informacyjnych itp.
    • Ustalenie programów szkoleń – zakres oraz częstotliwość ich przeprowadzania.
    • Ustalanie osób, które będą prowadzić szkolenia z przepisów o ochronie danych osobowych.
    Uczestnicy paneli: p. Maciej Byczkowski, p. prof. Paweł Fajgielski, p. Damian Karwala, p. Maciej Kołodziej, p. dr Grzegorz Sibiga


Dzień trzeci (16.04.2015 r.):


5. Panel dyskusyjny: „Prowadzenie przez ABI jawnego rejestru zbiorów danych osobowych”.

  • Obowiązki ABI związane z prowadzeniem rejestru zbiorów danych osobowych określone w art. 36a ust. 2 pkt 2.
  • Rozporządzenie w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych.
    • Wybór formy prowadzenia rejestru zbiorów danych osobowych przez ABI.
    • Wymagany zakres informacji w rejestrze zbiorów danych osobowych.
    • Czynności wykonywane przez ABI w związku z prowadzeniem rejestru zbiorów.
    • Sposoby udostępniania przez ABI rejestru zbiorów danych do przeglądania.
    • Odnotowywanie przez ABI historii zmian w rejestrze zbiorów danych.

6. Panel dyskusyjny: „Wykonywanie obowiązków zapewniania przestrzegania przepisów o ochronie danych przez Administratora danych bez powołania ABI”.

  • Wykonywanie zadań zapewniania przestrzegania przepisów o ochronie danych osobowych, o których mowa w art. 36a ust. 2 pkt 1 przez Administratora danych lub procesora na podstawie art. 36b:
    • Zakres zadań, o których mowa w art. 36b.
    • Wyznaczenie osoby lub osób do wykonywania zadań – formalne obowiązki.
    • Wykonywanie zadań przez ABI wyznaczonego przed 1 stycznia 2015 r., który nie został powołany i zgłoszony do rejestracji GIODO – omówienie sytuacji prawnej przed i po 30 czerwca 2015 r.
    • Outsourcing zadań zapewniania przestrzegania przepisów o ochronie danych.
    • Odpowiedzialność karna Administratora danych, procesora oraz osób wyznaczonych związana z wykonywaniem zadań, o których mowa w art. 36b.

7. Panel dyskusyjny: „Wybrane problemy dotyczące wykonywania funkcji ABI powołanego i zgłoszonego do rejestracji GIODO oraz osób wyznaczonych do wykonywania zadań, o których mowa w art. 36b”.

  • Studium przypadku – powołanie i wykonywanie funkcji przez ABI wg nowych przepisów – na wybranych przykładach.
  • Kontrola administracyjna GIODO nad wykonywaniem zadań przez ABI.
  • Wewnętrzna kontrola wykonywania obowiązków związanych ze zgłaszaniem zbiorów danych do rejestracji GIODO po 1 stycznia 2015 r.
  • Wewnętrzna kontrola wykonywania obowiązków związanych z transferem danych osobowych do państwa trzeciego po 1 stycznia 2015 r.

  • Uczestnicy paneli: p. Maciej Byczkowski, p. Damian Karwala, p. Maciej Kołodziej, p. dr Grzegorz Sibiga



Prelegenci i paneliści, którzy wzięli udział w spotkaniach i dyskusjach na Kongresie:

Maciej Byczkowski - Prezes Zarządu European Network Security Institute (ENSI) i Prezes Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji (SABI). Od 2007 r. brał udział w pracach nad zmianami w przepisach o ochronie danych osobowych, w szczególności w zespole ekspertów przy GIODO opracowującego zmiany w ramach ustawy deregulacyjnej (2011-2014). Uczestniczy w pracach Ministerstwa Administracji i Cyfryzacji nad opracowywaniem nowych rozporządzeń wykonawczych do ustawy o ochronie danych osobowych w zakresie wykonywania nowych zadań ABI oraz zmianą rozporządzenia określającego środki techniczne i organizacyjne dotyczące zabezpieczenia danych osobowych. Ekspert i audytor bezpieczeństwa informacji i systemów informatycznych, pełni funkcję administratora bezpieczeństwa informacji w ramach outsourcingu w wielu organizacjach w Polsce. Twórca metodyk TISM, TSM oraz Zarządzania Procesami Przetwarzania Danych Osobowych (PBDO). Absolwent Politechniki Warszawskiej – wykłada na Wydziale Zarządzania w ramach Studium Podyplomowego „Zarządzanie Jakością i Bezpieczeństwem Informacji w środowisku IT” oraz na Studiach Podyplomowych “Ochrona Danych Osobowych i Informacji Niejawnych” na Akademii im. Leona Koźmińskiego w Warszawie. Autor licznych publikacji z dziedziny bezpieczeństwa informacji i systemów informatycznych oraz ochrony danych osobowych.

Michał Czerniawski - Prawnik, absolwent Uniwersytetu Warszawskiego i University of Ottawa, główny specjalista w Wydziale Unii Europejskiej i Spraw Międzynarodowych Departamentu Społeczeństwa Informacyjnego MAC. Reprezentuje MAC na forum Grupy Roboczej Rady UE ds. Wymiany Informacji i Ochrony Danych (DAPIX), komitetu artykułu 31 dyrektywy 95/46/WE oraz grupy Friends of the Presidency. Specjalizuje się w ochronie danych osobowych, tak na poziomie krajowym, jak i unijnym. Autor szeregu publikacji naukowych z zakresu prawnych aspektów nowych technologii.

prof. dr hab. Paweł Fajgielski - Doktor habilitowany nauk prawnych, profesor KUL, Kierownik Katedry Prawa Technologii Informacyjnych i Komunikacyjnych na Wydziale Prawa Katolickiego Uniwersytetu Lubelskiego Jana Pawła II. Specjalizuje się w problematyce prawnej ochrony danych osobowych i prawa nowych technologii. Jest autorem kilkudziesięciu publikacji naukowych dotyczących ochrony danych osobowych, kilku książek oraz współautorem komentarza do ustawy o ochronie danych osobowych (wspólnie z prof. J. Bartą i prof. R. Markiewiczem). Prowadzi wykłady i szkolenia dotyczące prawnych aspektów ochrony danych osobowych.

Damian Karwala - Radca prawny przy Okręgowej Izbie Radców Prawnych w Krakowie. Absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego oraz stypendysta na Universiteit van Tilburg (Holandia). Współpracuje z Kancelarią Prawną Traple Konarski Podrecki i Wspólnicy Sp.j. (członek Zespołu Technologie Media Telekomunikacja). Ekspert prawny Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska. Specjalizuje się w prawie nowych technologii, ze szczególnym uwzględnieniem ochrony danych osobowych i informacji (w tym tajemnic ustawowo chronionych). Doradzał w sprawach z zakresu ochrony danych osobowych i informacji kilkudziesięciu dużym podmiotom gospodarczym, w tym szeregu podmiotom z branży finansowej (m.in. bankom, zakładom ubezpieczeń, funduszom emerytalnym, itd.), operatorom telekomunikacyjnym, przedsiębiorcom internetowym, podmiotom z branży farmaceutycznej, itd. Autor publikowanych w wydawnictwach branżowych oraz naukowych licznych publikacji z zakresu tematyki ochrony danych osobowych.

Maciej Kołodziej - Administrator Bezpieczeństwa Informacji w portalu NK.pl i Grupie Wydawniczej PWN Specjalista informatyki śledczej FHU MatSoft, specjalista ds. bezpieczeństwa IT Konsultant i wykładowca z zakresu bezpieczeństwa informacji, ochrony danych osobowych i systemów teleinformatycznych Audytor wiodący i trener/wykładowca ISO/EIC 27001 (PECB). Jest wykładowcą stowarzyszonym Wyższej Szkoły Policji w Szczytnie. Od 2013r wiceprezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji (SABI). Aktywnie uczestniczy w pracach grup problemowych działających przy Ministerstwie Administracji i Cyfryzacji oraz Związku Pracodawców Branży Internetowej IAB Polska i Polskiej Konfederacji Pracodawców Prywatnych Lewiatan, dotyczących regulacji prawnych i przyszłości Internetu, reklamy internetowej oraz rozwoju nowych technologii, ochrony danych osobowych i prywatności użytkowników serwisów interaktywnych. Absolwent informatyki Akademii Górniczo-Hutniczej w Krakowie.

Jacek Masłowski - Trener, coach, doradca od 2001 roku, psychoterapeuta. Absolwent Wydziału Nauk Społecznych Uniwersytetu Śląskiego (mgr filozofii) oraz Laboratorium Psychoedukacji przy Wyższej Szkole Psychologii Społecznej w Warszawie (trener grupowy). Studiował psychologię w Szkole Wyższej Psychologii Społecznej w Warszawie oraz na Uniwersytecie Jagiellońskim w Krakowie. Ukończył szkołę trenerów i terapeutów w Instytucie Terapii Gestalt w Krakowie. Posiada bogate doświadczenie handlowe na różnych stanowiskach: Van Seller (dystrybutor) Procter and Gamble, Przedstawiciel Handlowy, Regionalny Manager Sprzedaży Perfetti (Van Melle Polska, Krat Jacobs Suchard, lister), Menedżer do Spraw Rozwoju Sił Sprzedaży (Carlsberg Polska). Specjalizuje się w coachingu, szeroko pojętym kierowaniem zespołami, technikach sprzedaży oraz zarządzaniem rozwojem kompetencji. Prowadzi także szkolenia z tematyki zarządzania sobą w czasie, umiejętności interpersonalnych oraz asertywności, perswazji, inteligencji emocjonalnej, rekrutacji, tworzenia systemów ocen pracowniczych. Autor artykułów oraz poradników zawodowych publikowanych na łamach Gazety Wyborczej. W radio RDC prowadzi cyklicznie audycję w programie „Bez Laski”. Współtwórca i prezes Fundacji Masculinum

adw. dr Grzegorz Sibiga - Kierownik Zakładu Prawa Administracyjnego Instytutu Nauk Prawnych PAN, adwokat i członek Rady do Spraw Cyfryzacji przy Ministrze Administracji i Cyfryzacji. Wiceprzewodniczący Rady Naukowej Generalnego Inspektora Ochrony Danych Osobowych IV kad. oraz członek Rady Informatyzacji przy Ministrze Administracji i Cyfryzacji (IV. kad.). Zajmuje się prawem administracyjnym, w szczególności prawem do informacji, ochroną danych osobowych i innych informacji prawnie chronionych, e-administracją, a także postępowaniem administracyjnym. Brał udział w pracach eksperckich nad trzema nowelizacjami ustawy o ochronie danych osobowych w latach 2003 – 2004, 2008 – 2010, 2012 – 2014, w szczególności w zespole ekspertów przy GIODO opracowującego zmiany w ramach ustawy deregulacyjnej (2011-2014). Uczestniczy w pracach Ministerstwa Administracji i Cyfryzacji nad opracowywaniem nowych rozporządzeń wykonawczych do ustawy o ochronie danych osobowych w zakresie wykonywania nowych zadań ABI. Redaktor, autor i współautor licznych publikacji naukowych w tym zakresie. Redaktor cyklicznego dodatku do Monitora Prawniczego poświęconego prawnym aspektom ochrony danych osobowych. Członek rady programowej "Kwartalnika Naukowego Prawo Mediów Elektronicznych" i członek rady konsultacyjnej miesięcznika „IT w administracji”.




Do pobrania:

  • Agenda (.pdf)
  • Formularz zgłoszeniowy (.doc)




  • ENSI Sp. z o.o., Al. Jana Pawła II 34, 00-141 Warszawa, tel.: +48 22 620 12 00, faks: +48 22 620 12 53, e-mail: info @ ensi.net
     Polityka cookies/ Polityka prywatności    Copyright © ENSI 2006-2018