ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski

Podobne dokumenty
ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

Szkolenie. Funkcja Administratora Bezpieczeństwa Informacji po deregulacji. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Zarządzanie bezpieczeństwem danych osobowych

Planowany zakres nowelizacji ustawy o ochronie danych osobowych w 2012r. Maciej Byczkowski, Andrzej Rutkowski, Stefan Szyszko

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI. zadania: przepisami; Nowe kompetencje GIODO: Administratora danych; Przekazywanie danych do państw trzecich:

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

KONFERENCJA SIODO PRZYPADKI"

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

OFERTA Usług audytowych i doradczych w zakresie ochrony danych osobowych dla jednostek administracji publicznej

SZCZEGÓŁOWY HARMONOGRAM KURSU

Administrator bezpieczeństwa informacji, urzędnik do spraw ochrony danych osobowych, inspektor ochrony danych analiza porównawcza. dr Grzegorz Sibiga

Od 1 stycznia 2015 r. zaczęły obowiązywać znowelizowane przepisy ustawy o ochronie danych osobowych

Maciej Byczkowski ENSI 2017 ENSI 2017

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Lp. Zgłoszona uwaga do paragrafu rozporządzenia Zgłaszający Stanowisko. Ad. 3. ust. 2 pkt. 1 i 2

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Projektowane zmiany prawne statusu Administratora Bezpieczeństwa Informacji (ABI) dr Grzegorz Sibiga

Szkolenie otwarte 2016 r.

Instytucja administratora bezpieczeństwa informacji przy obecnie obowiązujących przepisach prawa Pytania, odpowiedzi, fakty i mity

Praktyczne aspekty ochrony danych osobowych w ubezpieczeniach

Warszawa, 17 marca 2014 r.

Czas trwania szkolenia- 1 DZIEŃ

Pierwsze doświadczenia w wykonywaniu funkcji IODy

Nowy status i zakres obowiązków administratora bezpieczeństwa informacji Andrzej Kaczmarek. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Warsztaty dla ABI i ADO (2-dniowe) tworzenie, wdrażanie i nadzór nad systemem ochrony danych osobowych

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta. Koszt szkolenia: 1790.

Obowiązek powoływania Administratora Bezpieczeństwa Informacji

KRAJOWA KONFERENCJA OCHRONY DANYCH OSOBOWYCH

PARTNER.

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Art. 36a - Ustawa o ochronie danych osobowych (Dz. U r. poz. 922 z późn. zm.)

II Lubelski Konwent Informatyków i Administracji r.

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

WSPÓŁTWORZENIE NOWEGO SYSTEMU MONITOROWANIA PRZESTRZEGANIA PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH. Monika Młotkiewicz

Ochrona danych osobowych w biurach rachunkowych

OBOWIĄZKI I ODPOWIEDZIALNOŚĆ ZA ZADANIA ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W SZKOLE GŁÓWNEJ HANDLOWEJ W WARSZAWIE

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

KONFLIKT INTERESÓW PRZY POWIERZENIU DPO INNYCH ZADAŃ A NAKAZ WYKONYWANIA OBOWIĄZKÓW W SPOSÓB NIEZALEŻNY

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA INFORMACJI

SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH NOWE ZADANIA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI ORAZ OMÓWIENIE

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

Zadania administratora bezpieczeństwa informacji w krajowych przepisach o ochronie danych osobowych aktualny stan prawny

Administrator bezpieczeństwa informacji /Inspektor ochrony danych

SKUTECZNE SZKOLENIA PERSONELU JAKO NOWY OBOWIĄZEK ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI

Rola Administratora Bezpieczeństwa Informacji w zarządzaniu bezpieczeństwem informacji. Michał Cupiał

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Propozycje SABI w zakresie doprecyzowania statusu ABI

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Uchwała wchodzi w życie z dniem uchwalenia.

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

3. Wybrane problemy dotycząc wyznaczania i działalności ABI w nowych realiach prawnych.

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

Administrator bezpieczeństwa informacji /Inspektor ochrony danych

Nowe przepisy i zasady ochrony danych osobowych

Profesjonalny Administrator Bezpieczeństwa Informacji

OGÓLNOKRAJOWY REJESTR ADMINISTRATORÓW BEZPIECZEŃSTWA INFORMACJI

Sz. P. Michał Serzycki Generalny Inspektor Ochrony Danych Osobowych.

weryfikację prawidłowości zapisów dokumentacji zgodnie z ustawą o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz z późn.zm.

Pozycja i zadania ABI w świetle reformy ochrony danych osobowych

WARSZTATY PRZYGOTOWUJĄCE DO OBJĘCIA FUNKCJI ABI I ASI. NOWE ZADANIA - SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH.

Załącznik 5 Ankieta dla podmiotu przetwarzającego

Status prawny i obowiązki adwokata związane z przetwarzaniem danych osobowych w świetle ogólnego rozporządzenia o ochronie danych (RODO)

Praktyczny kurs dla Administratora Bezpieczeństwa Informacji

OCHRONA DANYCH OSOBOWYCH

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Zmiany w ustawie o ochronie danych osobowych

Program szkolenia - Rejestracja i bezpieczeństwo danych osobowych

Załącznik Nr 4 do Umowy nr.

Zmiana obowiązków zabezpieczania danych osobowych

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

wraz z wzorami wymaganej prawem dokumentacją

NOWE UJĘCIE OCHRONY DANYCH OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

Umowa powierzenia przetwarzania danych osobowych. nr.. zawarta w dniu...

Ustawa o ochronie danych osobowych po zmianach

Przykład klauzul umownych dotyczących powierzenia przetwarzania

27-28 marca Warszawa. I miejsce w rankingu firm szkoleniowych wg Gazety Finansowej. Mec. Tomasz Osiej oraz Marcin Cwener

Załącznik Nr 4b Umowa powierzenia przetwarzania danych osobowych stanowiąca uzupełnienie Umowy Nr..

Szczegółowe informacje o kursach

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

Rozdział 4 Procedura DPIA (Data Protection Impact Assessment)

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA

Transkrypt:

ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce Andrzej Rutkowski Stowarzyszenie Administratorów Bezpieczeństwa Informacji Agenda 1. Pozytywy nowelizacji u.o.d.o. z 7 listopada 2014 r.: 1) w odniesieniu do ABI, 2) w odniesieniu do stosowania środków ochrony i zabezpieczenia danych osobowych. 2. Zmiany w kontrolowaniu wykonywania prawa ochrony danych osobowych: 1) większe znaczenie samokontroli, 2) konieczność kontrolowania wypełniania publicznoprawnych i prywatnoprawnych wymogów przetwarzania oraz ochrony danych osobowych i innych informacji prawnie chronionych ochrona kooperatywna. 3. Funkcja ABI z określonym statusem, którego elementem jest możliwość wykonywania innych obowiązków

Agenda 4. Przesłanki wykonywania przez ABI innych zadań dotyczących ochrony danych osobowych i innych informacji prawnie chronionych. 5. Przykłady wykonywania przez ABI innych zadań dotyczących ochrony danych osobowych i innych informacji prawnie chronionych. 6. ABI audytor wewnętrzny oraz ekspert zarządzania bezpieczeństwem informacji. 7. Dozwolony zakres kontroli działalności ABI przez audyt wewnętrzny ADO. 8. Podległość ABI pod ADO a niezależne wykonywanie zadań przez ABI zakres i formy współpracy ABI i ADO. Pozytywy nowelizacji u.o.d.o. W odniesieniu do ABI. 1. Ujednolicenie wykonywania zadań ABI poprzez określenie jego ustawowych zadań. 2. Elastyczność kształtowania wszystkich zadań ABI poprzez umożliwienie wykonywania innych zadań.

Pozytywy nowelizacji u.o.d.o. W odniesieniu do stosowania środków ochrony i zabezpieczenia danych osobowych. 1. Nowa interpretacja istniejących przepisów o stosowaniu środków ochrony i zabezpieczaniu danych zwrot od pojedynczych zabezpieczeń do katalogów środków ochrony związanych z analizą ryzyka w procesie przetwarzania danych. 2. Stosowanie środków ochrony i zabezpieczeń w odniesieniu do ochrony w fazie projektowania, ochrony jako opcji domyślnej oraz do wrażliwości operacji przetwarzania danych. Zmiany w kontrolowaniu ochrony danych osobowych 1. Mała efektywność tradycyjnych środków kontroli wobec wielkiej skali przetwarzania danych wielkiej liczby podmiotów przetwarzających, globalnej, wszechogarniającej skali przetwarzania danych. 2. Samokontrola podmiotów przetwarzających dane poprzez ustanowienie audytora wewnętrznego bardziej efektywny sposób zapewnienia wykonywania prawa ochrony danych osobowych.

Zmiany w kontrolowaniu ochrony danych osobowych 3. Praktyczna konieczność kontrolowania wypełnienia publicznoprawnych i prywatnoprawnych wymogów przetwarzania oraz ochrony danych osobowych i innych informacji prawnie chronionych ochrona kooperatywna. 4. ABI - audytor wewnętrzny oraz ekspert zarządzania bezpieczeństwem informacji umożliwiający podmiotowi przetwarzającemu efektywne zapewnienie wykonywania wymogów prawa ochrony danych osobowych i innych informacji prawnie chronionych. Funkcja i status ABI Administrator Bezpieczeństwa Informacji to funkcja z określonym statusem. Z uzasadnienia do projektu nowelizacji u.o.d.o. - Druk nr 2606 str. 21 w ramach proponowanych rozwiązań określony zostaje status ABI, na który składają się: wymogi stawiane osobie mającej pełnić omawianą funkcję, organizacyjne usytuowanie funkcji oraz dopuszczenie nałożenia na ABI innych zadań niż określone w u.o.d.o.

Inne zadania ABI Czy powołanie ABI się opłaca? Jakie zadania, oprócz określonych w u.o.d.o., może wykonywać ABI? Przesłanka 1 1. Podstawowym zadaniem ABI jest zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: art. 36a ust. 2 pkt 1 u.o.d.o. ABI już nie jest tylko nadzorcą zasad techniczno organizacyjnego bezpieczeństwa przetwarzania danych osobowych. Wypełnianie funkcji ABI to wykonywanie zadań obejmujących wszystkie obszary ochrony danych osobowych.

Przesłanka 2 2. ABI może być osoba, która posiada odpowiednią wiedzę w zakresie ochrony danych osobowych art. 36a ust. 5 pkt 2. ADO, w celu obniżenia kosztów funkcjonowania ABI, może/powinien powierzyć mu wykonywanie innych zadań niż określone w u.o.d.o., dotyczących ochrony danych osobowych Inne zadania ABI - przykłady 1. Prowadzenie szkoleń w zakresie ochrony danych osobowych. 2. Zgłaszanie do rejestru GIODO zbiorów danych osobowych wrażliwych. 3. Przygotowywanie projektów lub opiniowanie projektów umów powierzenia przetwarzania danych. 4. Dokonywanie wstępnej oceny spełniania wymogów ochrony danych przez potencjalnych procesorów. 5. Przygotowywanie projektów klauzul zgody na przetwarzanie danych i klauzul informacyjnych.

Inne zadania ABI - przykłady 6. Przygotowywanie projektów polityki prywatności oraz polityki cookies. 7. Odbieranie oświadczeń o zapoznaniu się osób z przepisami prawa o ochronie danych osobowych oraz innych informacji prawnie chronionych i zobowiązaniu do zachowania tajemnicy tych danych oraz informacji, a także ich zabezpieczeń. 8. Wydawanie upoważnień do przetwarzania danych osobowych. 9. Prowadzenie ewidencji osób upoważnionych. Przesłanka 3 3. Stosowane środki techniczne i organizacyjne powinny zapewnić ochronę przetwarzanych danych odpowiednią do zagrożeń i kategorii danych objętych ochroną. 3a. Stosowane środki techniczne i organizacyjne powinny zabezpieczać przed ( ) przetwarzaniem z naruszeniem ustawy - art. 36 ust. 1 u.o.d.o.. ABI może być inicjatorem i uczestniczyć we wdrażaniu zarządzania bezpieczeństwem przetwarzania danych opartego na ocenie ryzyka występującego podczas przetwarzania danych.

Inne zadania ABI - przykłady Uczestnictwo w: 1. tworzeniu listy procesów służących do zarządzania bezpieczeństwem, 2. identyfikowaniu podatności i zagrożeń występujących w przebiegu poszczególnych procesów, 3. przeprowadzeniu analizy ryzyka, 4. klasyfikacji procesów ze względu na wynik analizy ryzyka, 5. doborze narzędzi postępowania z ryzykiem. Przesłanka 4 4. Nowelizacja u.o.d.o. jest przygotowaniem do wykonywania nowych wymogów ochrony danych przewidzianych w ogólnym rozporządzeniu o ochronie danych osobowych UE. ABI może być inicjatorem i uczestniczyć we wdrażaniu: 1) ochrony danych w fazie projektowania, 2) ochrony danych jako opcji domyślnej, 3) procedur zgłaszania i powiadamiania o naruszeniu ochrony danych osobowych, 4) oceny skutków w zakresie ochrony danych osobowych.

Inne zadania ABI - przykłady 1. Opiniowanie potrzeby stosowania wymogów prawa ochrony danych osobowych na etapie projektowania produktu lub usługi. 2. Uczestnictwo w doborze środków ochrony danych na etapie projektowania systemu informatycznego wspomagającego produkt lub świadczenie usługi. 3. Uczestnictwo w opracowywaniu i wdrażaniu zasad i procedur postępowania z incydentami. 4. Uczestnictwo w opracowywaniu i wdrażaniu zasad i procedur zarządzania ciągłością działania lub planów awaryjnego działania. 5. Prowadzenie szkoleń z zakresie planowania ciągłości działania, czy też awaryjnego działania. Przesłanka 5 5. ABI wykonując ustawowe zadania odnoszące się do dalej idącej ochrony danych osobowych, o której mowa w art. 5 u.o.d.o., ma kompetencje w zakresie ochrony innych informacji prawnie chronionych. ABI może wykonywać zadania w zakresie np. ochrony tajemnicy przedsiębiorstwa oraz/lub ochrony tajemnicy zawodowej, czy też udostępniania informacji publicznej.

Inne zadania ABI - przykłady 1. Uczestnictwo w opracowaniu i wdrożeniu klasyfikacji informacji. 2. Uczestnictwo w opracowaniu i wdrożeniu instrukcji postępowania w dokumentami stanowiącymi tajemnicę przedsiębiorstwa. 3. Przygotowywanie projektów klauzul o poufności. 4. Prowadzenie szkoleń w zakresie ochrony tajemnicy przedsiębiorstwa oraz/lub tajemnicy zawodowej. Przesłanka 6 6. Nowelizacja u.o.d.o. poprzez uchwalenie ustawy z 7.11.2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz. U. z 2014 r. poz. 1662). ABI poprzez uczestnictwo w budowaniu procesów, zasad oraz procedur służących zarządzaniu bezpieczeństwem może ułatwić wykonywanie działalności gospodarczej ADO.

Inne zadania ABI - wniosek Wykonywanie innych zadań przez ABI nie musi kolidować z jego odrębnością organizacyjną i niezależnym wykonywaniem zadań ustawowych gdy: 1) wykonywanie innych zadań będzie uczestnictwem ABI jako specjalisty, eksperta w zespołowych przedsięwzięciach, projektach, 2) inne zadania wykonywane przez ABI indywidualnie zostaną poddane audytowi wewnętrznemu. Zakres kontroli ABI przez audyt wewnętrzny ADO Audyt wewnętrzny ADO może kontrolować czy ABI: 1) wykonuje wszystkie zadania w sposób określony w przepisach prawa i wewnętrznej regulacji określającej jego inne zadania, 2) otrzymał potrzebne środki organizacyjne, techniczne i finansowe oraz organizacyjną odrębność potrzebne do niezależnego wykonywania jego zadań. 3) wykonywanie przez ABI innych zadań. Audyt wewnętrzny ADO nie powinien oceniać merytorycznej treści decyzji ABI zawartych w jego wnioskach, rekomendacjach, pouczeniach i instruktażach.

Zakres i formy współpracy ABI i ADO 1. Formy współpracy z ADO w przygotowaniu przez ABI planu sprawdzeń. 2. Formy współpracy w przygotowaniu i wdrożeniu u ADO różnych form zapoznawania osób upoważnionych do przetwarzania danych z przepisami o ochronie danych osobowych. 3. Formy współpracy we wdrażaniu przedstawionych przez ABI projektów dokumentów aktualizujących lub usuwających stan niezgodności z prawem lub zasadami przyjętymi u ADO. Dziękuję za uwagę! Materiały z konferencji będą dostępne na: www.sabi.org.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres