20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

Transkrypt

1 20 lat doświadczeń w wykonywaniu funkcji ABI ewolucja funkcji od administratora do inspektora Maciej Byczkowski Stowarzyszenie Administratorów Bezpieczeństwa Informacji Rejestracja powołanych ABI Po trzech latach od dnia rozpoczęcia rejestracji ABI w rejestrze prowadzonym na stronie GIODO jest wpisanych: ABI

2 Początek 19 października 1998 r. Geneza ABI w polskich przepisach Rozporządzenie MSWiA z r. w sprawie określenia podstawowych warunków technicznychi organizacyjnych, jakimpowinnyodpowiadaćurządzeniai systemyinformatycznesłużącedo przetwarzania danych osobowych Wprowadzenie obowiązku wyznaczenia ABI

3 Status ABI od 1998 r. 3. Administratordanychwyznaczaosobę, zwaną dalej adminisratorem bezpieczeństwa informacji odpowiedzialną za bezpieczeństwo danych w systemie informatycznym, w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzanesądane osoboweoraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń. Status ABI od 1998 r. 6 ust. 3: W przypadku naruszenia zabezpieczenia systemu informatycznego lub sytuacji mogących wskazywać na naruszenie zabezpieczeniadanych, osoba przetwarzającadane osobowejest zobowiązananiezwłoczniepowiadomićo tym ABI lub inną upoważnioną przez niego osobę.

4 14: Status ABI od 1998 r. 1. System informatyczny przetwarzający dane osobowe powinien być wyposażony w mechanizmy uwierzytelnienia użytkownika oraz kontroli dostępu do danych. 2. ABI jest odpowiedzialny za właściwy nadzór nad funkcjonowaniem mechanizmów, o którychmowawust. 1 Status ABI od 2004 r. Art. 36 ust. 3 ustawy o ochronie danych osobowych: Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w art. 36 ust. 1, chyba że sam wykonuje te czynności. Do 31 grudnia 2014 r. istniał obowiązek wyznaczenia ABI.

5 Status ABI od 2015 r. PowołanieABI (art. 36a ust. 1) zniesienie obowiązku wyznaczenia ABI ZakreszadańABI (art. 36a ust. 2) Wymaganekwalifikacjedo pełnieniafunkcjiabi (art. 36a ust. 5) ZapewnienieniezależnościstanowiskaABI (art. 36a ust. 7 i8) Rejestracja ABI przez GIODO (art. 46b) RolaABI w kontroligiodo (art. 19b) ZakreszadańABI od 2015 r. Art. 36a ust. 2 zadania główne Wykonywanie konkretnych zadań zapewniania przestrzegania przepisów o ochronie danych w tym: Przeprowadzanie sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowywać w tym zakresie sprawozdania dla administratora danych; Nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 (Polityka bezpieczeństwa oraz Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych); Nadzorowanie przestrzegania zasad ochrony danych określonych w/w dokumentacji przez osoby upoważnione do przetwarzania danych osobowych; Zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych Prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych.

6 SytuacjaABI po25 maja2018r. Projekt przepisów wprowadzających ustawę o ochronie danych osobowych (UODO) z 12 września 2017 r. Art. 134: Osoby wykonujące w dniu 24 maja 2018 r. funkcję ABI, pełnią funkcję inspektora ochrony danych do dnia 1 września 2018 r. We wskazanym terminie, ADO lub podmiot przetwarzający zawiadamiają Prezesa Urzędu o wyznaczeniu inspektora ochrony danych zgodnie z art. 5 ust. 1 UODO albo przekazują informację, albo że ABI nie pełni funkcji inspektora. Główne zadania ABI i inspektora Główne zadanie ABI: Zapewnianie przestrzegania przepisów o ochronie danych osobowych Główne zadanie inspektora: Monitorowanie wewnętrznego przestrzegania wymogów RODO

7 Główne zadania inspektora Informowanie na temat obowiązków ochrony danych wynikających z RODO Doradzanie w zakresie wypełniania obowiązków wynikających z RODO Monitorowanie przestrzegania przepisów RODO Pozostałe zadania inspektora Udzielanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 Współpraca z organem nadzorczym oraz pełnienie punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych Pełnienie punktu kontaktowego dla osób, których dane dotyczą (zgodnie z art. 38 ust. 4) Prowadzenie rejestru czynności przetwarzania danych (na podstawie art. 38 ust. 6)

8 Inspektor- kompetencje Potrzebne kompetencje: Wiedza dotycząca zasad ochrony danych osobowych określonych w RODO Wiedza dotycząca podstaw prawnych oraz procesów przetwarzania danych osobowych przez konkretnego ADO Umiejętności z zakresu prowadzenia audytu wewnętrznego Wiedza dotycząca funkcjonowania systemu IT Umiejętności z zakresu szacowania ryzyka dla przetwarzania danych, w tym oceny skutków dla ochrony danych Umiejętności związane z opracowywaniem dokumentacji dotyczącej ochrony danych Umiejętności związane z prowadzeniem szkoleń Umiejętności dotyczące pełnienia punktu kontaktowego dla osób, których dane dotyczą Ewolucja funkcji Od strażnika systemu informatycznego do strażnika prywatności

9 Dziękuję za uwagę!