Administrator Bezpieczeństwa informacji

Podobne dokumenty
ABI teraźniejszość i przyszłość

Administrator bezpieczeństwa informacji, urzędnik do spraw ochrony danych osobowych, inspektor ochrony danych analiza porównawcza. dr Grzegorz Sibiga

Planowany zakres nowelizacji ustawy o ochronie danych osobowych w 2012r. Maciej Byczkowski, Andrzej Rutkowski, Stefan Szyszko

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

II Lubelski Konwent Informatyków i Administracji r.

20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

Data ProtectionOfficer(DPO) i administrator bezpieczeństwa informacji. Porównanie instytucji

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

Pierwsze doświadczenia w wykonywaniu funkcji IODy

Propozycje SABI w zakresie doprecyzowania statusu ABI

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

OD ADMINISTRATORA DO INSPEKTORA DEBATA NA TEMAT

wraz z wzorami wymaganej prawem dokumentacją

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

Czas trwania szkolenia- 1 DZIEŃ

Administrator Bezpieczeństwa Informacji ( aktualny stan prawny oraz propozycje przyszłych rozwiązań )

Inspektor ds. ochrony danych osobowych na gruncie Rozporządzenia Parlamentu i Rady model docelowy. Agnieszka Ferens-Sosnowska

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Sz. P. Michał Serzycki Generalny Inspektor Ochrony Danych Osobowych.

KONFLIKT INTERESÓW PRZY POWIERZENIU DPO INNYCH ZADAŃ A NAKAZ WYKONYWANIA OBOWIĄZKÓW W SPOSÓB NIEZALEŻNY

Zmiana obowiązków zabezpieczania danych osobowych

Zgodnie z RODO administrator i podmiot przetwarzający muszą wyznaczyć inspektora ochrony danych, gdy:

Ochrona danych osobowych w biurach rachunkowych

Zarządzanie bezpieczeństwem danych osobowych

Bezpieczeństwo danych osobowych listopada 2011 r.

Projektowane zmiany prawne statusu Administratora Bezpieczeństwa Informacji (ABI) dr Grzegorz Sibiga

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

Umowa powierzenia danych

Nowe wyzwania dla systemów IT, w kontekście planowanych zmian w ustawodawstwie

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

Polityka Ochrony Danych Osobowych. Magdalena Młynarczyk Lege Artis Biuro Obrotu Nieruchomościami

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Sz. P. Mariusz Haładyj Podsekretarz Stanu Ministerstwo Gospodarki

Sprawdzenie systemu ochrony danych

Uchwała wchodzi w życie z dniem uchwalenia.

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Nowe przepisy i zasady ochrony danych osobowych

Przykład klauzul umownych dotyczących powierzenia przetwarzania

Rola Administratora Bezpieczeństwa Informacji w zarządzaniu bezpieczeństwem informacji. Michał Cupiał

Inspektor Ochrony Danych w podmiotach publicznych

Szkolenie. Ochrona danych osobowych

SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH NOWE ZADANIA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI ORAZ OMÓWIENIE

Szkolenie. Funkcja Administratora Bezpieczeństwa Informacji po deregulacji. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Prywatność i bezpieczeństwo danych medycznych

KONFERENCJA SIODO PRZYPADKI"

Od 1 stycznia 2015 r. zaczęły obowiązywać znowelizowane przepisy ustawy o ochronie danych osobowych

Nowy status i zakres obowiązków administratora bezpieczeństwa informacji Andrzej Kaczmarek. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

WSPÓŁTWORZENIE NOWEGO SYSTEMU MONITOROWANIA PRZESTRZEGANIA PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH. Monika Młotkiewicz

Ochrona danych osobowych

WYKONYWANIE ZADAŃ ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI (ABI) WARSZTATY PRAKTYCZNE - SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR )

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta. Koszt szkolenia: 1790.

Rola administratora bezpieczeństwa informacji w dyrektywie 95/46 oraz w prawodawstwie państw członkowskich UE. adw. dr Paweł Litwiński

Program szkolenia - Rejestracja i bezpieczeństwo danych osobowych

OBOWIĄZKI I ODPOWIEDZIALNOŚĆ ZA ZADANIA ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W SZKOLE GŁÓWNEJ HANDLOWEJ W WARSZAWIE

NOWE ZASADY I OBOWIĄZKI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH OMÓWIENIE UNIJNEGO ROZPORZĄDZENIA (GDPR)

Załącznik Nr 4 do Umowy nr.

Instytucja administratora bezpieczeństwa informacji przy obecnie obowiązujących przepisach prawa Pytania, odpowiedzi, fakty i mity

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Od Wykazu do Rejestru. Zmiany zasad dokumentowania zbiorów danych osobowych. Maciej Kołodziej

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Lp. Zgłoszona uwaga do paragrafu rozporządzenia Zgłaszający Stanowisko. Ad. 3. ust. 2 pkt. 1 i 2

Akademia RODO - Rola i obowiązki Inspektora Ochrony Danych Osobowych (IOD) w organizacji

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski

NOWE OBOWIĄZKI DYREKTORA JAKO ADMINISTRATORA DANYCH OSOBOWYCH

Ustawa o ochronie danych osobowych po zmianach

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

I. Postanowienia ogólne

Rozdział 4 Procedura DPIA (Data Protection Impact Assessment)

PRELEGENT Przemek Frańczak Członek SIODO

JUŻ W 2018 ROKU, ZOSTANIE ZASTOSOWANE ROZPORZĄDZENIEM UE Z 27 KWIETNIA 2016 ROKU TZW. RODO

Pozycja i zadania ABI w świetle reformy ochrony danych osobowych

Status IOD czy funkcję IOD może pełnić jednostka organizacyjna?

Wprowadzenie. 2. Czy powołanie ABI jest obowiązkowe? [ ] Powstało mylne, powszechne przekonanie o konieczności powołania ABI [ ]

RODO, czyli co się zmieni oraz do czego (i jak) trzeba się przygotować.

Certyfikowany Inspektor Ochrony Danych Osobowych

SPOTKANIE INFORMACYJNE

IODO: kompetencje nie wystarczą

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

Radom, 13 kwietnia 2018r.

Obowiązki ADO. Zasady przetwarzania danych osobowych. Jarosław Żabówka IV Internetowe Spotkanie ABI

Administrator bezpieczeństwa informacji /Inspektor ochrony danych

POLITYKA BEZPIECZEŃSTWA. w spółce W.EG Polska sp. z o.o. z siedzibą we Wrocławiu

rodo. naruszenia bezpieczeństwa danych

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

NOWE ZASADY I OBOWIĄZKI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

GRUPA GUMUŁKA -KIERUNEK NA INNOWACJE OFERTA SZKOLENIA OCHRONA DANYCH OSOBOWYCH Z UWZGLĘDNIENIEM EUROPEJSKIEJ REFORMY PRZEPISÓW - RODO KATOWICE

Transkrypt:

Administrator Bezpieczeństwa informacji - teraźniejszość i przyszłość Jarosław Żabówka proinfosec@odoradca.pl 15 grudzień 2011 VI Internetowe Spotkanie ABI

Plan prezentacji Dyrektywa i ustawa Praktyka Oczekiwania Propozycje Komisji Europejskiej 15 grudzień 2011 VI Internetowe Spotkanie ABI 2

Teraźniejszość: Dyrektywa Dyrektywie 95/46/WE Parlamentu Europejskiego I Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, wprowadza pojęcie Data protection official, co w naszej ustawie zostało zaimplementowane jako Administrator bezpieczeństwa informacji. 15 grudzień 2011 VI Internetowe Spotkanie ABI 3

DPO Musi mieć możliwość wykonywania swoich obowiązków w sposób niezależny od Administratora danych (pkt 49 preambuły). Współpracuje z GIODO przed przetworzeniem danych (pkt 54 preambuły). Odpowiada za zapewnienie stosowania przepisów krajowych przyjętych na mocy Dyrektywy (art. 18 pkt 2). Odpowiada za prowadzenie rejestru operacji przetwarzania danych (art. 18 pkt 2). W wypadku powołania DPO, administrator może zostać zwolniony z obowiązku zawiadamiania o przetwarzaniu danych (u nas rejestracji zbiorów). Współpracuje z GIODO w trakcie kontroli wstępnych. 15 grudzień 2011 VI Internetowe Spotkanie ABI 4

DPO problemy z tłumaczeniem Wersja angielska Data protection official Art. 18: personal data protection official Wersja polska Urzędnik odpowiedzialny za ochronę danych Art. 18: Urzędnik do spraw ochrony danych Rozporządzenie Nr 45/2001 Parlamentu Europejskiego I Rady z dnia 18 grudnia 2000r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych: Data Protection Officer Inspektor ochrony danych 15 grudzień 2011 VI Internetowe Spotkanie ABI 5

Spojrzenie w przyszłość Czy ABI stanie się IOD? 15 grudzień 2011 VI Internetowe Spotkanie ABI 6

Teraźniejszość: Ustawa W polskiej ustawie ABI pojawia się w wyniku nowelizacji z 2004 roku. administrator bezpieczeństwa musi być wyznaczony przez administratora danych osobowych, chyba, że ADO sam będzie wykonywał jego czynności. Z obowiązku powołania ABI (lub samodzielnego pełnienia jego zadań) zwolnieni są administratorzy pełniący działalność dziennikarską, literacką lub artystyczną. 15 grudzień 2011 VI Internetowe Spotkanie ABI 7

Zadania ABI ABI nadzoruje przestrzeganie środków technicznych i organizacyjnych przetwarzania danych osobowych przyjętych u administratora danych. W innych państwach europejskich, wymogi co do zadań i kwalifikacji ABI (DPO), zostały niejednokrotnie bardziej szczegółowo określone. Nadzór oznacza, że ABI powinien mieć możliwość ingerencji, wydawania poleceń, itd. w sytuacji gdy zasady przetwarzania danych nie są przestrzegane lub w celu zapewnienia zgodnego z tymi zasadami przetwarzania danych. 15 grudzień 2011 VI Internetowe Spotkanie ABI 8

ABI ABI może, ale nie musi być pracownikiem administratora danych. Powinien być konkretną osobą fizyczną, wyznaczoną przez ADO. Wyznaczenie ABI powinno mieć formę pisemną. Czy ADO może wyznaczyć kilku ABI? 15 grudzień 2011 VI Internetowe Spotkanie ABI 9

ABI konflikt interesów Mimo, że nie jest to określone wprost, ABI powinien być w taki sposób umocowany w strukturze organizacji, by móc w sposób prawidłowy realizować swoje zadania, kontaktować się z kierownictwem działów i w sposób niezależny nadzorować przetwarzanie w nich danych. Nic nie stoi na przeszkodzie, żeby pełnił jednocześnie inne funkcje. Nie powinny one jednak powodować powstania konfliktu interesu, który mógłby utrudnić administratorowi bezpieczeństwa informacji realizowanie jego zadań. 15 grudzień 2011 VI Internetowe Spotkanie ABI 10

ABI - odpowiedzialność Przyjmuje się, że niewłaściwe realizowanie obowiązków przez ABI, jako osobę zobowiązaną do ochrony danych osobowych może podlegać karze zgodnie z art.51 ustawy. Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 15 grudzień 2011 VI Internetowe Spotkanie ABI 11

Teraźniejszość: Praktyka 15 grudzień 2011 VI Internetowe Spotkanie ABI 12

Przykładowe role ABI Prawnik tworzy umowy powierzenia, upoważnienia, itd. Pracownik biurowy prowadzi szereg rejestrów. Audytor bezpieczeństwa. Specjalista od analizy ryzyka. Twórca polityki bezpieczeństwa. Informatyk - administrator bezpieczeństwa systemu. Trener. Czy ABI musi posiadać umiejętności we wszystkich powyższych dziedzinach? ABI działa na rzecz administratora danych i powinien stanowić jego prawą rękę w rozwiązywaniu problemów ochrony danych. 15 grudzień 2011 VI Internetowe Spotkanie ABI 13

ABI - cechy Umiejętność podejmowania decyzji i ponoszenia ich konsekwencji Umiejętność rozwiązywania problemów Umiejętność pracy w zespole Zdolności myślenia analitycznego Zmysł obserwacji 15 grudzień 2011 VI Internetowe Spotkanie ABI 14

ABI konflikt interesów ABI kierownik lub pracownik działu IT ABI autor polityki bezpieczeństwa ABI pracownik przetwarzający dane 15 grudzień 2011 VI Internetowe Spotkanie ABI 15

Przykładowy zakres zadań Zakres zadań ABI w MSZ: wdrożenie oraz uaktualnianie dokumentacji, o którym mowa w 3 ust. 1 oraz 4 rozporządzenia ( ) nadzór nad ochroną danych osobowych ( ) informowanie ( ) o przypadkach naruszenia( ) koordynacja i nadzór nad procesem opisu zbioru danych osobowych ( ) zgłaszanie nowych zbiorów oraz zmian dotyczących zarejestrowanych zbiorów ( ) prowadzenie ewidencji zbiorów( ) prowadzenie rejestru zdarzeń ( ) 15 grudzień 2011 VI Internetowe Spotkanie ABI 16

Oczekiwania Coraz większa potrzeba szczegółowych uregulowań w obszarach: Zadania ABI Uprawnienia ABI Umocowanie ABI w strukturze organizacyjnej Najważniejsze wydaje się zapewnienie skutecznych mechanizmów gwarantujących ABI niezależność w podejmowanych decyzjach. Mechanizmy te nie mogą nakładać dodatkowych obciążeń na administratorów danych. 15 grudzień 2011 VI Internetowe Spotkanie ABI 17

Postulaty Ustawa nie powinna określać szczegółowych czynności ABI. Ustawa powinna stanowić dla ABI narzędzie pozwalające mu skutecznie realizować podstawowy obowiązek, którym pozostaje nadzór nad stosowaniem szeroko rozumianych zabezpieczeń, ale również udział w ich tworzeniu i wdrażaniu. Proponowane rozwiązania muszą być dostosowane zarówno do dużych jak i bardzo małych podmiotów. Nie możemy tworzyć kolejnego zawodu regulowanego. 15 grudzień 2011 VI Internetowe Spotkanie ABI 18

Propozycje Planuje się rezygnację z obowiązku rejestracji zbiorów danych i zobowiązanie ABI do prowadzenia takiego rejestru. Rozwiązanie korzystne dla Urzędu i dla ADO ABI i tak powinien prowadzić taki rejestr Być może jednak ABI powinien posiadać odpowiedni mechanizm gwarantujący mu możliwość realizacji tego zadania? Możliwe wydaje się rozwiązanie w którym, w określonych odstępach czasu, ABI przesyła GIODO sprawozdanie z prowadzonych kontroli. Z takiego obowiązku mogliby być zwolnieni administratorzy bezpieczeństwa posiadający odpowiednie certyfikaty. 15 grudzień 2011 VI Internetowe Spotkanie ABI 19

ABI CZŁOWIEK GIODO, CZY ADO? Do tej pory, administrator bezpieczeństwa informacji działał na rzecz administratora danych. W proponowanych rozwiązaniach, ABI zaczyna pełnić rolę przedstawiciela GIODO w organizacji. Konieczne jest bardzo dobre wyważenie roli ABI. Podejmowane działania muszą w minimalny sposób nakładać nowe obciążenia na organizacje. 15 grudzień 2011 VI Internetowe Spotkanie ABI 20

Przyszłość: Projekt rozporządzenia Przygotowany przez Komisję Europejską projekt rozporządzenia (General Data Protection Regulation), które być może zastąpi wkrótce naszą krajową, ustawę o ochronie danych osobowych, bardzo szeroko traktuje zadania i prawa ABI, który staje się tutaj Data protection officer". Omówmy pokrótce proponowany rozwiązania. 15 grudzień 2011 VI Internetowe Spotkanie ABI 21

Rozdział 4 Data protection officer. Art. 32 Wyznaczenie DPO DPO musi być wyznaczony przez ADO lub procesora (również art. 19 ust. 2. pkt (e)): Będącego instytucją publiczną Zatrudniającego powyżej 250 pracowników Podstawowa działalność ADO lub procesora polega na regularnym i systematycznym monitorowaniu osób Inne podmioty mogą wyznaczyć DPO. DPO powinien posiadać adekwatną wiedzę i powinna być ona dostosowana do przetwarzanych danych. ADO i procesor powinni zapewnić, że DPO wykonując swoje zadania nie będzie narażony na konflikty interesów. 15 grudzień 2011 VI Internetowe Spotkanie ABI 22

Rozdział 4 Data protection officer. Art. 32 Wyznaczenie DPO ADO lub procesor wyznacza DPO na dwuletnią kadencję, która może być następnie przedłużona. W czasie swojego urzędowania, DPO może być zwolniony, jedynie, jeżeli nie spełnia wymagań koniecznych do pełnienia swoich obowiązków. DPO może być zatrudniony przez ADO lub procesora, lub wykonywać swoje zadania w oparciu o umowę o świadczenie usług. Dane DPO powinny być przekazane GIODO, podane do publicznej wiadomości oraz udostępnione osobom, których dane są przetwarzane (również w art. 12 ust. 1. pkt (a)). Osoby te muszą mieć możliwość kontaktu z DPO w wypadku incydentów i w celu skorzystania z praw nadanych przez rozporządzenie. 15 grudzień 2011 VI Internetowe Spotkanie ABI 23

Art. 33 DPO w strukturze organizacyjnej ADO lub procesor zapewnia, że DPO jest zaangażowany we wszystkie zagadnienia związane z ochroną danych. DPO wykonuje swoje zadania niezależnie i podlega bezpośrednio dyrekcji. ADO lub procesor wspierają DPO w realizacji zadań oraz zapewniają niezbędne zasoby. 15 grudzień 2011 VI Internetowe Spotkanie ABI 24

Art. 34 Zadania DPO Rozporządzenie określa jedynie minimalne zadania DPO. Informuje ADO i procesora o ich obowiązkach oraz dokumentuje te działania. Monitoruje wdrażanie i stosowanie polityki, w tym prowadzenie szkoleń, audytów. Monitoruje wdrażanie i stosowanie rozporządzenia. Zapewnia prowadzenie wymaganej rozporządzeniem dokumentacji. 15 grudzień 2011 VI Internetowe Spotkanie ABI 25

Art. 34 Zadania DPO Monitoruje skuteczność oceny skutków przetwarzania danych. Monitoruje odpowiedzi na żądania GIODO (supervisory authority) oraz współpracuje z GIODO w zakresie własnych kompetencji. Stanowi osobę kontaktową dla GIODO. W części przepisów komisja ma prawo wprowadzać dodatkowe wymagania. 15 grudzień 2011 VI Internetowe Spotkanie ABI 26

Art. 79 odpowiedzialność administracyjna W wypadku niewyznaczenia DPO lub umyślnego lub nieumyślnego niespełnienia wymagań określonych w art. 32, 33 lub 34, GIODO powinien nałożyć w karę w wysokości 100tyś.- 1mln. Euro lub 5% światowego obrotu przedsiębiorstwa. 15 grudzień 2011 VI Internetowe Spotkanie ABI 27

15 grudzień 2011 VI Internetowe Spotkanie ABI 28

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres