ENSI



W dniach 14 – 16 kwietnia 2015 r.
w Pałacu Żelechów pod Warszawą odbył się

XIX Kongres Administratorów Bezpieczeństwa Informacji
„ABI: NOWA ROLA, NOWE OBLICZE”




Kongres ABI to najważniejsze doroczne spotkanie środowiska Administratorów Bezpieczeństwa Informacji w Polsce, na którym omawiane i dyskutowane są najważniejsze bieżące i praktyczne problemy realizacji zadań i obowiązków ochrony danych osobowych w przedsiębiorstwach, w tym wchodzących w skład międzynarodowych grup, oraz w urzędach.


Kongres „ABI: NOWA ROLA, NOWE OBLICZE” poświęcony był nowym rozporządzeniom wykonawczym do ustawy o ochronie danych osobowych dotyczącym wykonywania zadań Administratora Bezpieczeństwa Informacji. W dyskusjach networkingowych uczestnicy Kongresu podkreślali znaczenie faktu, że wykłady i panele dyskusyjne poprowadzili eksperci praktycy, którzy brali bezpośredni udział w przygotowywaniu projektów nowych przepisów o ochronie danych osobowych. Zaakcentowano także ogromny walor możliwości wysłuchania komentarza prof. Pawła Fajgielskiego do nowych przepisów. Wszystko to miało wpływ na wysoką wartość merytoryczną zagadnień poruszanych podczas wydarzenia oraz wielką wartość wiedzy praktycznej prezentowanej podczas wykładów i paneli dyskusyjnych, odpowiadającej na bieżące problemy w codziennej pracy ABI..


W gronie ekspertów, którzy poprowadzili dyskusje byli:

  • Maciej Byczkowski - Prezes Zarządu ENSI, Prezes Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji.
  • Michał Czerniawski - Prawnik, absolwent Uniwersytetu Warszawskiego i University of Ottawa, główny specjalista w Wydziale Unii Europejskiej i Spraw Międzynarodowych Departamentu Społeczeństwa Informacyjnego MAC.
  • prof. dr hab. Paweł Fajgielski - Doktor habilitowany nauk prawnych, profesor KUL, Kierownik Katedry Prawa Technologii Informacyjnych i Komunikacyjnych na Wydziale Prawa Katolickiego Uniwersytetu Lubelskiego Jana Pawła II.
  • Damian Karwala - Radca prawny, współpracownik Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska.
  • Maciej Kołodziej - Administrator Bezpieczeństwa Informacji w portalu NK.pl i Grupie Wydawniczej PWN Specjalista informatyki śledczej FHU MatSoft, specjalista ds. bezpieczeństwa IT Konsultant i wykładowca z zakresu bezpieczeństwa informacji, ochrony danych osobowych i systemów teleinformatycznych.
  • Jacek Masłowski - Trener, coach, doradca od 2001 roku, psychoterapeuta. Absolwent Wydziału Nauk Społecznych Uniwersytetu Śląskiego (mgr filozofii) oraz Laboratorium Psychoedukacji przy Wyższej Szkole Psychologii Społecznej w Warszawie (trener grupowy).
  • dr Grzegorz Sibiga - Adwokat, kierownik Zakładu Prawa Administracyjnego w Instytucie Nauk Prawnych PAN w Warszawie.

Kongres rozpoczęło „Spotkanie ABI” poświęcone dyskusji na temat niezbędnych kompetencji do właściwego pełnienia funkcji ABI, w świetle zmian wynikających z nowelizacji ustawy. Poprowadził je filozof i coach Jacek Masłowski. Mając na uwadze fakt, że Administrator Bezpieczeństwa Informacji stoi na straży prywatności, jest swego rodzaju „mężem zaufania”, prowadzący wskazał, w sposób nowatorski dla branży ochrony danych osobowych i bezpieczeństwa informacji, że niezbędna jest praca nad rozwojem umiejętności, które pozwolą ABI skutecznie realizować powierzone zadania . Zwrócił uwagę na właściwe kierunki rozwoju kompetencji ABI. Podkreślił potrzebę rozwijania zarówno umiejętności ”twardych” jakimi są wiedza zawodowa oraz efektywne wdrażanie jej w praktyce, ale także skoncentrowanie się na wzmocnieniu umiejętności „miękkich” jak np. skuteczna komunikacja interpersonalna, rozwiązywanie konfliktów czy sprawczość.

W pierwszym dniu obrad, w środę 15.04.15r., Prezes ENSI i SABI Maciej Byczkowski, podczas wykładu wprowadzającego przedstawił „Nowe obowiązki zabezpieczenia danych osobowych” wprowadzone zgodnie z nowelizacją ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych przyjętą 7 listopada 2014r. Skupił się na omówieniu zapisów dotyczących zapewnienia przestrzegania przepisów o ochronie danych osobowych, w tym art. 36a ust.2 pkt 1. dotyczącego sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowania w tym zakresie sprawozdania dla ADO, nadzorowania opracowania i aktualizowania dokumentacji (art. 36 ust.2) oraz przestrzegania zasad w niej określonych oraz zapewniania zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Zaznaczył również, że wymogiem wynikającym z ustawy jest właściwe zabezpieczenie danych osobowych zgodnie z art. 36 ust.1 i ust.2 co w praktyce oznacza, że ADO ma obowiązek zastosować wszystkie środki techniczne i organizacyjne, które mają zapewnić ochronę przetwarzanych danych odpowiednią do kategorii danych objętych ochroną lub zagrożeń. Prezes Byczkowski przypomniał, że ADO musi zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem zapisów ustawy oraz przed zmianą, utratą, uszkodzeniem lub zniszczeniem.

Prezes Byczkowski przedstawił także najczęściej funkcjonujące w opinii społecznej, w tym w mediach oraz na różnego rodzaju szkoleniach i konferencjach, fakty i mity odnoszące się do nowego statusu ABI po nowelizacji, m.in. dotyczące: powołania ABI, zakresu zadań ABI, wymaganych kwalifikacji do pełnienia funkcji ABI, zapewnienia niezależności stanowiska ABI, rejestracji ABI przez GIODO oraz roli ABI w kontroli GIODO. Jako współtwórca zapisów ustawowych w zakresie nowej funkcji ABI i uczestnik procesu legislacyjnego wyjaśnił związane z wyżej wymienionymi zagadnieniami wątpliwości oraz przedstawił prawidłową interpretację zapisów ustawy. Podkreślił, że po nowelizacji ADO ma wybór dotyczący sposobu realizacji obowiązków zapewnienia przestrzegania przepisów o ochronie danych osobowych – albo powoła do tego ABI zgodnie z art. 36a albo sam będzie realizował te zadania zgodnie z art. 36b. Zgodnie z nowymi przepisami ADO może powołać ABI w każdym momencie, a następnie w ciągu 30 dni zgłosić go do rejestracji GIODO. Może go też w dowolnym momencie odwołać, zgłaszając w ciągu 30 dni taką informację do GIODO, który wykreśli go z rejestru. Zaznaczył, że wymieniony w przepisach przejściowych ustawy o ułatwieniu wykonywania działalności gospodarczej (w art. 35) termin 30 czerwca 2015 r., to termin, do którego funkcję ABI mogą pełnić - zgodnie z nowymi przepisami - osoby wyznaczone na ABI przed 1 stycznia 2015 r., na podstawie uchylonego przepisu z art. 36 ust. 3. Oznacza to, że ADO ma czas na podjęcie decyzji do 30 czerwca 2015 r. co zrobić: czy powołać na nowo wyznaczonego wcześniej ABI, na podstawie art. 36a i zgłosić do rejestracji GIODO, czy pozostawić tę osobę, ale już na innym stanowisku, i zlecić wykonywanie części lub wszystkich nowych zadań zapewniania przestrzegania przepisów o ochronie danych.

Prezes Byczkowski zaakcentował, że od 1 lipca 2015 r. stanowisko ABI będzie odnosić się do ABI powołanego na podstawie nowych przepisów. Wytłumaczył również, że ustawa nie wymaga posiadania żadnych konkretnych certyfikatów kwalifikacji zawodowych ABI, które są tym bardziej wymagane przez GIODO w procesie rejestracji ABI. Artykuł 36a ust. 5 ustawy określa wymóg posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych. W praktyce oznacza to, że kandydat na ABI może przedstawić dyplomy czy certyfikaty ukończenia szkoleń, warsztatów czy studiów ukierunkowanych na ochronę danych osobowych, może również przedstawić opinię od poprzednich pracodawców, u których pełnił funkcję ABI. Natomiast ADO na wniosku zgłoszenia ABI do rejestracji GIODO składa jedynie oświadczenie, że powołana osoba posiada odpowiednią wiedzę w zakresie ochrony danych osobowych.

Wiele ważkich problemów zostało naświetlonych podczas dyskusji nawiązującej do wykładu p. Michała Czerniawskiego „Nowe rozporządzenia wykonawcze do ustawy o ochronie danych osobowych dotyczące wykonywania zadań Administratora Bezpieczeństwa Informacji”, w którym przedstawił, z perspektywy Ministerstwa Administracji i Cyfryzacji, aktualny stan prac nad rozporządzeniami wykonawczymi. Analizując rozporządzenie w sprawie sposobu prowadzenia przez ABI rejestru zbiorów danych prowadzący wykład przedstawił wprowadzone najważniejsze zmiany: doprecyzowanie zapisu dotyczącego sposobu prowadzenia rejestru zbiorów tzn. że rejestr może być prowadzony w postaci papierowej lub elektronicznej, określenie sposobu udostępniania rejestru oraz określenie sposobu odnotowywania zmian w rejestrze zbiorów ( w tym także aktualizacji). Omawiając rozporządzenie w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez ABI podkreślił konieczność ograniczenia treści rozporządzenia w stosunku do pierwotnego projektu w związku ze stanowiskami legislatorów (z uwzględnieniem Rządowego Centrum Legislacyjnego oraz GIODO), ze względu na to, że wykraczało ono poza zakres delegacji ustawowej m.in. brak przepisów przejściowych. Zaznaczył, że przepisy tego rozporządzenia nie będą stosować się odpowiednio do ADO, którzy nie wyznaczyli ABI. Uczestnicy wykładu wspólnie z prowadzącym przedyskutowali zapisy rozporządzenia odnoszące się do rodzajów sprawdzeń, planu sprawdzeń, częstotliwość sprawdzeń, dokumentacji czynności przeprowadzanych w toku sprawdzeń, sposobu zawiadamiania przez ABI o zakresie planowanych czynności kierownika jednostki organizacyjnej objętej sprawdzeniem, przygotowania sprawozdania po zakończeniu sprawdzenia, zasad prowadzonej w ramach nadzoru weryfikacji opracowania i kompletności dokumentacji przetwarzania danych oraz jej zgodności z obowiązującymi przepisami prawa, sprawdzenia stanu faktycznego w zakresie przetwarzania danych, weryfikacji zgodności ze stanem faktycznym przewidzianych w dokumentacji przetwarzania danych środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych oraz przestrzegania zasad i obowiązków określonych w dokumentacji przetwarzania danych. Analizowano także okoliczności możliwości przeprowadzenia weryfikacji przez ABI (w ramach sprawdzeń i poza sprawdzeniami) oraz zapisów rozporządzenia dotyczących wymogów co do postępowania ABI w przypadku wykrycia nieprawidłowości.

Uczestnicy Kongresu omawiali także podczas panelu dyskusyjnego „Powołanie ABI i zgłoszenie go do rejestracji GIODO” obowiązki związane z powołaniem ABI, m.in.: formalne zasady powołania ABI (na podstawie art. 36a ust.1.), sposób rekrutowania ABI czyli ogół problematyki związanej z weryfikacją kwalifikacji niezbędnych do pełnienia funkcji ABI (zgodnie z art.36a ust.5), zakres zadań powołanego ABI a w tym także wykonywanie innych obowiązków powierzonych przez ADO przy założeniu, że nie naruszy to prawidłowego wykonywania zadań przez ABI ( o których mowa w art. 36a ust.2.) oraz powołanie zastępców ABI. W dyskusji podkreślono, że znowelizowane przepisy dotyczące wymogów kwalifikacyjnych dla osób które będą powoływane na ABI, mają na celu zapobieganiu w praktyce powoływania na stanowisko ABI przypadkowych osób, co mogło mieć miejsce do tej pory. Przed nowelizacją miało to ogromny wpływ brak właściwego nadzoru nad ochroną danych osobowych w wielu podmiotach w Polsce. Jako pozytywną zmianę podkreślono wprowadzone w ramach nowelizacji: wymóg zapewnienia środków i organizacyjnej odrębności ABI niezbędnych do niezależnego wykonywania przez niego zadań oraz bezpośrednią podległość ABI kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej ADO , co pozwoli uniknąć podległości pośrednich w strukturze ADO i zagwarantuje raportowanie bezpośrednio do ADO.

Ważnym elementem panelu było omówienie przez uczestników ogółu tematyki związanej z kwestią outsourcingu funkcji ABI – wyjaśniono zasady dopuszczalności outsourcingu nowej funkcji ABI oraz formalnych wymagań dotyczących umowy outsourcingu funkcji ABI. W dyskusjach skupiono się także na kwestii odpowiedzialności karnej ABI związanej z wykonywaniem przez niego zadań ( o których mowa w art. 36a ust.2) a także odpowiedzialności służbowej (zatrudnionych ABI) oraz cywilnoprawnej ABI (w przypadku ABI świadczącego usługi na podstawie umowy cywilnoprawnej). Szczegółowo przeanalizowano także temat zgłoszenia ABI do rejestracji GIODO, w tym wymagania zgłoszenia powołania lub odwołania ABI do rejestracji GIODO zgodnie z art. 46b oraz zgłaszanie zmian objętych zgłoszeniem oraz rozporządzenie MAiC z 10.12.2014r. w sprawie wzorów zgłoszeń powołania i odwołania ABI a także rejestrację ABI przez GIODO oraz wykreślenie ABI z rejestru GIODO oraz ponowne zgłoszenie ABI do rejestracji.

W kolejnym panelu dyskusyjnym „Wykonywanie przez ABI zadań zapewniania przestrzegania przepisów o ochronie danych osobowych. Dokumentacja ABI”, który rozpoczęto pierwszego dnia Kongresu i kontynuowano drugiego, skupiono się na nowych obowiązkach ABI. Obowiązki te związane są z zapewnieniem przestrzegania przepisów o ochronie danych osobowych a w szczególności sprawdzaniu zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowaniu w tym zakresie sprawozdania dla administratora danych, nadzorowaniu opracowania i aktualizowaniu dokumentacji oraz przestrzeganiu określonych w niej zasad oraz zapewnianiu zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych . Uczestnicy dyskusji dotyczącej zapewniania zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych część dyskusji poświęcili omówieniu zasad organizowania szkoleń m.in.: opracowania materiałów informacyjnych, ustalenia częstotliwości oraz zakresów tematycznych a także wyboru osób, które je przeprowadzą,

Powrócono w dyskusji do będące w przygotowaniu rozporządzenie MAiC w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez ABI . Podczas dyskusji omówiono zasady wykonywania sprawdzeń a w szczególności ich rodzaje, zakresy, wykonywanie sprawdzeń na wniosek GIODO, zasady przygotowania planu sprawdzeń, terminy realizacji, zasady dokumentowania sprawdzeń i przygotowywania z nich sprawozdań a także sposób zawiadamiania ADO oraz kierowników jednostek organizacyjnych objętych sprawdzeniem o planowanych sprawdzeniach.

Drugiego dnia Kongresu odbył się panel dyskusyjny „Prowadzenie przez ABI jawnego rejestru zbiorów danych osobowych”. W dyskusji oparto się na wymogu wynikającym z nowelizacji określającym, że informacje o zbiorach zgłaszanych do GIODO, wprowadzane są do jawnego rejestru, który udostępniony jest na stronie internetowej urzędu. Podkreślono, że w sytuacji powołania ABI istnieje zwolnienie z obowiązku zgłaszania zbiorów do GIODO, jednak informacje na ich temat musi udostępniać do przeglądania ABI. Uczestnicy panelu szczegółowo przeanalizowali zarówno obowiązki ABI związane z prowadzeniem rejestru zbiorów danych osobowych określone w art. 36a ust2 pkt.2 ustawy jak i zawarte w projekcie rozporządzenia MAiC zapisy dotyczące formy prowadzenia rejestru, zakresu informacji wymaganego w rejestrze, wykazu czynności ABI wykonywanych w związku z prowadzeniem rejestru zbiorów, sposobów udostępniania rejestru przez ABI do przeglądania oraz odnotowywania zmian w rejestrze. Zauważono, że wybór sposobu prowadzenia rejestru (np. papierowy, elektroniczny lub mieszany) ma wpływ na późniejsze obowiązki związane z jego udostępnianiem. Dyskutowano także zagadnienie możliwości rozliczalności czynności ABI w rejestrze. Analizowano także kwestię tzw. „wpisu zerowego” w przypadku rejestru prowadzonego przez ABI versus rejestr prowadzony przez GIODO a także i aktualizacji rejestru. Sprostowano podczas rozmów kolejny mit dotyczący obowiązku prowadzenia rejestru w formie specjalnej aplikacji podobnej do e-rejestru prowadzonego przez GIODO – podkreślono, że forma prowadzenia rejestru zależy od wyboru i preferencji ABI.

Przedmiotem dyskusji podczas kolejnego panelu: „Wykonywanie obowiązków zapewniania przestrzegania przepisów o ochronie danych przez Administratora danych bez powołania ABI”, był temat wykonywania zadań zapewniania przestrzegania przepisów o ochronie danych osobowych, o których mowa w art. 36a ust.2 pkt.1, przez Administratora danych lub procesora na podstawie art.36b. Uczestnicy dyskusji omówili zakres zadań, konieczność wyznaczenia osoby (lub osób), które będą realizowały te zadania oraz ustalenie ich formalnych obowiązków. Skupiono się także na przeanalizowaniu sytuacji prawnej przed i po 30 czerwca 2015r. w przypadku wykonywania zadań przez ABI wyznaczonego przed 1 stycznia 2015r., który nie został powołany i zgłoszony do rejestracji GIODO. Przedyskutowane zostały także kwestie możliwości outsourcingu zadań zapewniania przestrzegania przepisów o ochronie danych oraz odpowiedzialności karnej ADO, procesora oraz osób wyznaczonych do realizowania zadań zapewniania przestrzegania przepisów o ochronie danych osobowych.

Obrady kongresowe zamknął panel dyskusyjny „Wybrane problemy dotyczące wykonywania funkcji ABI powołanego i zgłoszonego do rejestracji GIODO oraz osób wyznaczonych do wykonywania zadań, o których mowa w art.36b”. W pierwszej części poświęcono uwagę doświadczeniom nowych ABI - oparto się na case study przedstawionym przez p. Macieja Kołodzieja pełniącego funkcję Administratora Bezpieczeństwa Informacji, wg nowych przepisów, w portalu NK.pl i Grupie Wydawniczej PWN. Kolejno przedmiotami uwagi w dyskusji były: kontrola administracyjna GIODO nad wykonywaniem zadań przez ABI oraz wewnętrzna kontrola wykonywania obowiązków związanych ze zgłaszaniem zbirów danych do rejestracji GIODO po 1 stycznia 2015r. przez powołanego ABI lub przez osoby wyznaczone do wykonywania zadań określonych w art. 36b ustawy. Odnotowano, że nowością w przepisach są zapisy, zgodnie z którymi GIODO może zwrócić się do powołanego i zarejestrowanego ABI z wnioskiem o dokonanie sprawdzenia zgodności przetwarzania danych z przepisami o ochronie danych. Podkreślono, że wprowadzone rozwiązanie zakładające możliwość sprawdzenia przeprowadzonego przez wewnętrznego ABI, jest bardziej korzystne dla ADO niż stresująca kilkudniowa inspekcja w siedzibie administratora danych.

Ostatnim tematem w dyskusji była problematyka związana z nadzorem nad transferem danych do państwa trzeciego. W czasie dyskusji podkreślono, że końca 2014 roku w sytuacji gdy ADO nie posiadał przesłanek dopuszczalności na przekazanie danych osobowych do państwa trzeciego określonych w art. 47 ust. 2 i 3, musiał zwracać się do GIODO o uzyskanie zgody na taki transfer. Natomiast na podstawie nowych przepisów zgodnie z art. 48 ust. 2 zgoda GIODO nie jest wymagana jeżeli ADO zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. Zauważono, że ADO może to zrobić poprzez zastosowanie standardowych klauzul umownych ochrony danych osobowych zatwierdzonych przez Komisję Europejską w umowach z podmiotem do którego transferuje dane. Innym możliwym rozwiązaniem jest wprowadzenie w ramach funkcjonowania podmiotów z grup kapitałowych, w ramach których dochodzi do transferu danych, prawnie wiążących reguł lub polityk ochrony danych osobowych, zwanych „wiążącymi regułami korporacyjnymi”, które muszą jednak być wcześniej zatwierdzone przez GIODO.

Kongres ABI – jako eksperckie forum dyskusyjne ABI jest jedynym tego rodzaju wydarzeniem w branży ochrony danych i bezpieczeństwa informacji. Pierwszy Kongres został zorganizowany w 1999 roku. Organizatorem Kongresu jest firma ENSI.

ENSI Sp. z o.o., Al. Jana Pawła II 34, 00-141 Warszawa, tel.: +48 22 620 12 00, faks: +48 22 620 12 53, e-mail: info @ ensi.net
 Polityka cookies/ Polityka prywatności    Copyright © ENSI 2006-2018


Cookies