Szanowni Państwo, XX KONGRES ABI ABI DPO: WIEDZA, PRAKTYKA, PRZYSZŁOŚĆ Kongres poświęcony doświadczeniu ABI w stosowaniu przepisów oraz przygotowaniu do nowych zmian 12-14 kwietnia 2016 r., Pałac Żelechów Zapraszamy na jubileuszowy XX Kongres ABI, który planowany jest w dniach 12 14 kwietnia 2016 r. w Pałacu Żelechów SPA & Wellness w Żelechowie, w pobliżu Garwolina pod Warszawą, a którego tematem przewodnim będą praktyczne aspekty wykonywania funkcji ABI oraz przygotowanie do pełnienia nowych zadań DPO opisanych w ogólnym rozporządzeniu o ochronie danych osobowych w UE, które wejdzie w życie w 2018 r. Od ponad roku obowiązują w Polsce nowe przepisy dotyczące wykonywania funkcji ABI. Wielu powołanych ABI ma już za sobą pierwsze doświadczenia w wykonywaniu sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych w swoich organizacjach oraz prowadzi jawne rejestry zbiorów danych osobowych. Jeszcze dobrze nie przywykliśmy jako ABI do wykonywania nowych zadań, a już pojawiły się przed nami nowe wyzwania i perspektywa przyszłej funkcji ABI. Nowe ogólne rozporządzenie o ochronie danych osobowych, którego treść uzgodniono w grudniu 2015 r. wprowadza funkcję DPO (Data Protection Officer), która zastąpi obecną funkcję ABI. Na Kongresie omówimy krok po kroku i przedyskutujemy szczegółowo nową rolę i zadania DPO - porównamy z obecną funkcją ABI i jego zadaniami, wskażemy zbieżności i różnice oraz omówimy w jakim kierunku, w związku ze zmianami, powinien rozwijać swoją, wiedzę i umiejętności obecny ABI. W kolejnej części omówimy i przedyskutujemy praktyczne aspekty wykonywania zadań ABI zarówno dotyczących zapewniania przestrzegania przepisów o ochronie danych oraz prowadzenia jawnego rejestru zbiorów danych osobowych, jak również dokumentacji ABI. Zajmiemy się także omówieniem nowych bieżących i bardzo istotnych problemów związanych ze zmianami przepisów o ochronie danych osobowych w odniesieniu do ochrony danych osób fizycznych będących przedsiębiorcami oraz zmian zasad ochrony danych osobowych do całej sfery publicznej. Nie zabraknie też okazji do kuluarowych dyskusji z ekspertami oraz ABI z różnych organizacji. Dyskusje i wystąpienia na Kongresie poprowadzą eksperci praktycy, w tym doświadczeni ABI, który brali bezpośredni udział w przygotowywaniu projektów nowych przepisów o ochronie danych osobowych. Szczegółowa agenda XX Kongresu ABI znajduje się w załączeniu. Kongres ABI to najważniejsze doroczne spotkanie środowiska Administratorów Bezpieczeństwa Informacji w Polsce, organizowane od 1999 r., na którym omawiane i dyskutowane są najważniejsze bieżące i praktyczne problemy realizacji zadań i obowiązków ochrony danych osobowych w podmiotach ze sfery publicznej i prywatnej, w tym wchodzących w skład międzynarodowych grup kapitałowych. Do zobaczenia na Kongresie, Z pozdrowieniami Maciej Byczkowski Prezes Zarządu ENSI
AGENDA XX KONGRESU ABI ABI DPO: WIEDZA, PRAKTYKA, PRZYSZŁOŚĆ Pałac Żelechów, 12 14 kwietnia 2016 r. Opracował Komitet programowy XX Kongresu ABI w składzie: Maciej Byczkowski oraz adw. dr Grzegorz Sibiga Dzień pierwszy (12.04.2016 r.): 11.30. wyjazd autokaru z Warszawy 13.00. planowany przyjazd do Pałacu w Żelechowie 14.00. obiad Dzień pierwszy (12.04.2016 r.): DATA PROTECTION OFFICER (DPO) - NASTĘPCA ABI 14.30 Rejestracja uczestników 15.00 Otwarcie XX Kongresu Maciej Byczkowski, Prezes Zarządu ENSI 15.00 18.00 wykład i panel dyskusyjny 1. DPO w ogólnym rozporządzeniu o ochronie danych osobowych: Sytuacje obowiązkowego powołania DPO. Wymogi kwalifikacyjne DPO. Status DPO. Zadania DPO. Kompetencje GIODO wobec DPO. Porównanie ABI i DPO - podobieństwa i różnice. o Nowe zadania DPO. o Potrzeby w zakresie uzupełnienia kwalifikacji ABI. Prowadzący wykład: adw. dr Grzegorz Sibiga (INP PAN) Uczestnicy panelu dyskusyjnego: Maciej Byczkowski, Andrzej Rutkowski (SABI), Maciej Kołodziej (SABI) 19.00. kolacja Dzień drugi (13.04.2016 r.): PODSUMOWANIE PIERWSZEGO ROKU DOŚWIADCZEŃ ABI 10.00 17.00 panele dyskusyjne (obiad ok. godz. 14.00) 1. Panel dyskusyjny Organizacja pracy ABI. Obowiązki związane z powołaniem ABI: o Powołanie ABI formalne zasady powołania ABI na podstawie art. 36a ust. 1. o Rekrutacja ABI - weryfikacja kwalifikacji niezbędnych do pełnienia funkcji ABI zgodnie z art. 36a ust. 5. o Zakres zadań powołanego ABI zgodnie z art. 36a ust. 2. o Powierzanie ABI wykonywania innych obowiązków zgodnie z art. 36a ust. 4. o Powołanie zastępców ABI zgodnie z art. 36a ust. 6. o Zapewnianie odpowiedniej podległości służbowej ABI zgodnie z art. 36a ust. 7.
o Zapewnianie środków i organizacyjnej odrębności ABI niezbędnych do niezależnego wykonywania przez niego zadań zgodnie z art. 36a ust. 8. o Odpowiedzialność ABI. o Outsourcing funkcji ABI. Zgłaszanie ABI do rejestracji GIODO: o Zgłoszenie powołania lub odwołania ABI do GIODO zgodnie z art. 46b. o Prowadzenie jawnego rejestru ABI przez GIODO zgodnie z art. 46c. o Sytuacje wykreślenia ABI z rejestru GIODO, o których mowa w art. 46d. o Ponowne zgłoszenie do rejestracji GIODO powołania ABI wykreślonego z rejestru zgodnie z art. 46e. 2. Panel dyskusyjny: Doświadczenia w wykonywaniu zadań ABI. Wykonywanie sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla ADO: o Przygotowywanie planów sprawdzeń. o Wykonywanie sprawdzeń planowych. o Wykonywanie sprawdzeń doraźnych. o Wykonywanie sprawdzeń na wezwanie GIODO, o których mowa w art. 19b ust. 1. o Przygotowywanie sprawozdań z wykonywania wszystkich rodzajów sprawdzeń. Nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych: o Tryb i sposób nadzoru nad dokumentacją przetwarzania danych. o Nadzór opracowania i aktualizowania dokumentacji rodzaje dokumentów. o Nadzór nad przestrzeganiem zasad zawartych w dokumentacji przetwarzania nadzór nad realizacją procesów przetwarzania danych osobowych u ADO lub procesora. Zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych: o Ustalenie sposobu wykonywania obowiązku zapoznawania osób z przepisami szkolenia, przygotowywanie i dystrybucja materiałów informacyjnych itp. o Ustalenie programów szkoleń zakres oraz częstotliwość ich przeprowadzania. o Ustalanie osób, które będą prowadzić szkolenia z przepisów o ochronie danych osobowych. Prowadzenie i udostępnianie do przeglądania rejestru zbiorów danych osobowych:. o Wybór formy prowadzenia rejestru zbiorów danych osobowych przez ABI. o Wymagany zakres informacji w rejestrze zbiorów danych osobowych. o Czynności wykonywane przez ABI w związku z prowadzeniem rejestru zbiorów. o Sposoby udostępniania przez ABI rejestru zbiorów danych do przeglądania. o Odnotowywanie przez ABI historii zmian w rejestrze zbiorów danych. Wykonywanie dodatkowych obowiązków powierzanych ABI na podstawie art. 36a ust. 4: o Prowadzenie dokumentacji polityka, instrukcja, wykazy zbiorów i pomieszczeń. o Nadawanie upoważnień do przetwarzania danych osobowych. o Przygotowywanie zgłoszeń zbiorów danych zawierających dane osobowe wrażliwe do rejestracji GIODO oraz aktualizacja takich zgłoszeń. o Analiza zagrożeń dla przetwarzania danych osobowych. o Podejmowanie działań w sytuacji naruszenia ochrony danych osobowych. 3. Panel dyskusyjny: Dokumentacja ABI. Zmiany w polityce bezpieczeństwa, instrukcji zarządzania systemem informatycznym oraz instrukcji postępowania w sytuacji naruszenia ochrony danych, związane z powołaniem ABI. Rodzaje dokumentów ABI. Dokumenty przygotowujące sprawdzenie (plan sprawdzeń, zawiadomienia).
Dokumenty z przeprowadzanych sprawdzeń (notatki ABI, pisemne wyjaśnienia, dokumentowania działania systemu informatycznego oraz danych osobowych w nim przetwarzanych). Sprawozdania ze sprawdzeń (planowych, doraźnych, na wezwanie GIODO). Zawiadomienia, pouczenia, instrukcje w nadzorze nad dokumentacją przetwarzania danych osobowych. 4. Panel dyskusyjny: ADO bez ABI. Wykonywanie obowiązków zapewnienia przepisów o ochronie danych osobowych przez ADO, bez powołanego ABI. o Możliwe sposoby wykonywania obowiązków wynikających z art. 36b organizacyjne, personalne, proceduralne. o Przeprowadzanie sprawdzeń zgodności przetwarzania danych z przepisami. Zmiany w polityce bezpieczeństwa, instrukcji zarządzania systemem informatycznym oraz instrukcji postępowania w sytuacji naruszenia ochrony danych, związane brakiem powołania ABI. Aktualizacja zgłoszeń zbiorów danych do rejestracji GIODO związana z brakiem powołania ABI. Prowadzący panele dyskusyjne: Maciej Byczkowski, adw. dr Grzegorz Sibiga (INP PAN) 19.00. Biesiada ABI Dzień trzeci (14.04.2016 r.): BIEŻĄCE PROBLEMY OCHRONY DANYCH OSOBOWYCH W DZIAŁALNOŚCI ABI 10.00 14.00 wykład i panele dyskusyjne 1. Wykład i panel dyskusyjny: Zgoda na przetwarzanie danych osobowych dziś i jutro Konstrukcja zgody na podstawie przepisów ustawy o ochronie danych osobowych. Zgody wymagane przepisami sektorowymi (ustawa o świadczeniu usług drogą elektroniczną, prawo telekomunikacyjne). Rodzaje i charakter prawny zgody na podstawie przepisów rozporządzenia o ochronie danych osobowych. Prowadzący wykład: adw. Xawery Konarski Uczestnicy panelu dyskusyjnego: prof. KUL dr hab. Paweł Fajgielski (KUL), adw. dr Grzegorz Sibiga (INP PAN) 2. Panel dyskusyjny: Ograniczenie stosowania przepisów o ochronie danych osobowych do danych przedsiębiorców będących osobami fizycznymi zmiany w ustawie o swobodzie działalności gospodarczej : Nowelizacja ustawy o swobodzie działalności gospodarczej z dnia 25 września 2015 r. (Dz. U. 2015 r. poz. 1893) dodanie art. 39b obowiązującego od 18 maja 2016 r. Zakres ograniczenia stosowania przepisów o ochronie danych osobowych do danych przedsiębiorców będących osobami fizycznymi. Przepisy ochronie danych osobowych znajdujące zastosowanie do danych przedsiębiorców będących osobami fizycznymi oraz sposób wykonania tych przepisów. Konsekwencje wejścia w życie zmienionych przepisów dla ADO i ABI. Prowadzący panel dyskusyjny: prof. KUL dr hab. Paweł Fajgielski (KUL), adw. dr Grzegorz Sibiga (INP PAN)
3. Panel dyskusyjny: Wspólny administrator danych w sektorze publicznym oraz powierzenie danych osobowych w sektorze publicznym zmiany w ustawie o ochronie danych osobowych wprowadzone w ramach ustawy o pomocy państwa w wychowaniu dzieci Zmiany w ustawie o ochronie danych osobowych (bezpośrednio nie związane z programem), które znacząco zmieniają zasady ochrony danych osobowych do całej sfery publicznej, czyli do wszystkich organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych (tj. podmiotów określonych w art. 3 ust.1 ustawy o ochronie danych osobowych): wspólny administrator danych oraz powierzenie przetwarzania danych osobowych. Wspólny administrator danych - nowy art. 23 ust.2a u.o.d.o.: - wspólny administrator danych a indywidualny administrator danych różnice w pojęciach, - zgodność rozwiązania wspólnego administratora danych z przepisami Unii Europejskiej (dyrektywy 95/46/WE oraz ogólnego rozporządzenia o ochronie danych) - sposób wykonywania obowiązków przed wspólnego administratora danych. - odpowiedzialność za naruszenie ochrony danych osobowych a rozumienie pojęcia wspólnego administratora danych. Powierzenie przetwarzania danych osobowych w sektorze publicznym wyłączenie warunku zawierania umów na piśmie Konsekwencje wejścia w życie zmienionych przepisów dla ADO i ABI Prowadzący panel dyskusyjny: prof. KUL dr hab. Paweł Fajgielski (KUL), adw. dr Grzegorz Sibiga (INP PAN) 14.00. zakończenie Kongresu 14.15. obiad 15.00. wyjazd autokaru z Pałacu w Żelechowie 16.30. planowany przyjazd do Warszawy Uwaga: Agenda może ulec zmianie. Zaproszeni paneliści, którzy potwierdzili swój udział w dyskusjach i wystąpieniach podczas Kongresu: Maciej Byczkowski Prezes Zarządu ENSI, Prezes Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji (od 2007 r.). Pełnił funkcję wiceprzewodniczącego Komitetu Bezpieczeństwa Biznesu Krajowej Izby Gospodarczej (2004 2013). Brał udział w pracach: sejmowej Komisji Sprawiedliwości i Praw Człowieka nad nowelizacją ustawy o ochronie danych osobowych (2007-2010); pracach Zespołu ekspertów powołanego przez GIODO, który opracował projekt zmiany ustawy o ochronie danych osobowych w ramach ustawy deregulacyjnej Ministerstwa Gospodarki dla przedsiębiorców (2011 2014); sejmowej Komisji Nadzwyczajnej ds. związanych z ograniczeniem biurokracji nad nowelizacją ustawy o ochronie danych osobowych w ramach ustawy o ułatwieniu wykonywania działalności gospodarczej deregulacja IV (2014) oraz pracach Ministerstwa Administracji i Cyfryzacji nad opracowywaniem nowych projektów wykonawczych do ustawy o ochronie danych osobowych w zakresie wykonywania zadań ABI (2014 2015). Uczestniczy również w pracach nad zmianą rozporządzenia wykonawczego w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych do ustawy o ochronie danych osobowych oraz konsultacjach w przygotowaniu polskiego stanowiska na forum Rady Europy w związku z reformą ochrony danych osobowych w Unii Europejskiej.
Ekspert i audytor bezpieczeństwa informacji i systemów informatycznych (18 lat doświadczeń). Współtwórca Metodyki TISM, Metodyki TSM BCP, Metodyki TSM całościowej koncepcji zarządzania bezpieczeństwem w organizacji. Twórca metodyki Zarządzania Procesami Przetwarzania Danych Osobowych (PBDO). Wraz z zespołem przygotował ponad 300 organizacji do wypełniania wymogów ustawy o ochronie danych osobowych; przeszkolił ponad 15 000 osób; pełni rolę ABI (w ramach outsourcingu) w różnych organizacjach. Prowadził wiele projektów wdrożeń Polityki Bezpieczeństwa Informacji (wg TISM oraz normy ISO 27001) w organizacjach wielu branży w Polsce. Absolwent Politechniki Warszawskiej. Wykłada na Politechnice Warszawskiej (Wydział Zarządzania) Studium podyplomowe Zarządzanie Jakością i Bezpieczeństwem Informacji w środowisku IT, na Akademii im. Leona Koźmińskiego w Warszawie Studia podyplomowe Ochrona Danych Osobowych i Informacji Niejawnych oraz na Polskiej Akademii Nauk Studium podyplomowe Wykonywanie funkcji Administratora bezpieczeństwa informacji (w ramach którego jest również członkiem Rady Programowej). Autor licznych publikacji z dziedziny bezpieczeństwa informacji i systemów informatycznych oraz ochrony danych osobowych. prof. KUL dr hab. Paweł Fajgielski doktor habilitowany nauk prawnych, prof. KUL, Kierownik Katedry Prawa Technologii Informacyjnych i Komunikacyjnych na Wydziale Prawa Katolickiego Uniwersytetu Lubelskiego Jana Pawła II. Specjalizuje się w problematyce prawnej ochrony danych osobowych. Jest autorem kilkudziesięciu publikacji naukowych dotyczących ochrony danych osobowych, kilku książek oraz współautorem komentarza do ustawy (wspólnie z prof. J. Bartą i prof. R. Markiewiczem). Maciej Kołodziej - Wiceprezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji (SABI); Wykładowca, doradca, specjalista informatyki śledczej FHU MatSoft i e-detektywi sp. z o.o.; ABI w Związku Pracodawców Branży Internetowej IAB Polska; Konsultant ds. ochrony danych osobowych, bezpieczeństwa informacji i systemów IT; Audytor wiodący i trener/wykładowca ISO/EIC 27001 (PECB). Wykładowca studiów podyplomowych dla ABI w Instytucie Nauk Prawnych Polskiej Akademii Nauk oraz Wyższej Szkole Bankowej w Poznaniu. Wykładowca stowarzyszony Wyższej Szkoły Policji w Szczytnie. Uczestnik grup problemowych, działających przy Ministerstwie Cyfryzacji oraz ZPBI IAB Polska i Polskiej Konfederacji Pracodawców Prywatnych Lewiatan, dotyczących regulacji prawnych i przyszłości Internetu, reklamy internetowej, e-commerce oraz rozwoju nowych technologii, ochrony danych osobowych oraz prywatności użytkowników. Autor publikacji związanych z ochroną danych osobowych, m.in. Vademecum ABI wydanego przez C.H. Beck. Absolwent informatyki Akademii Górniczo-Hutniczej w Krakowie. Od 1995 roku prowadzi firmę FHU MatSoft, oferującą specjalistyczne doradztwo w dziedzinie ochrony informacji, teleinformatyki i bezpieczeństwa w branży nowych technologii. Kierował Działem Technicznym w Grupie Solidex. W Grupie Onet.pl pełnił funkcje dyrektora Działu Bezpieczeństwa, CSO i ABI. Nadzorował realizację Polityki Bezpieczeństwa Informacji w spółkach Grupy TVN. Był Administratorem Bezpieczeństwa Informacji w portalu NK.pl i Grupie Wydawniczej PWN. Świadczy usługi doradcze, outsourcing ABI i IT. Xawery Konarski adwokat, starszy partner i współzałożyciel kancelarii Traple Konarski Podrecki i Wspólnicy. Doradza polskim i międzynarodowym przedsiębiorstwom w zakresie prawa nowych technologii, ochrony danych osobowych oraz prawa reklamy. Zasiada w Radzie Polskiej Izby Informatyki i Telekomunikacji (PIIT). Jest doradcą prawnym Związku Pracodawców Branży Internetowej IAB Polska oraz Polskiej Izby Ubezpieczeń (PIU). Jako ekspert brał udział w pracach legislacyjnych nad szeregiem ustaw z zakresu prawa nowych technologii. Jest arbitrem Sądu Polubownego ds. domen internetowych przy PIIT. Autor kilkudziesięciu pozycji naukowych z zakresu prawa nowych technologii, ochrony danych osobowych oraz prawa reklamy. Wielokrotnie nominowany i rekomendowany w polskich i zagranicznych rankingach prawników specjalizujących się w TMT (min. Chambers Europe, Legal 500, Rzeczpospolita). Andrzej Rutkowski Administrator Bezpieczeństwa Informacji w Krajowej Izbie Rozliczeniowej S.A., wiceprezes Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji, uczestniczył
w pracach nad ostatnią nowelizacją ustawy o ochronie danych osobowych i nad rozporządzeniami do tej nowelizacji. adw. dr Grzegorz Sibiga kierownik Zakładu Prawa Administracyjnego w Instytucie Nauk Prawnych Polskiej Akademii Nauk, adwokat współpracujący z Kancelarią Traple, Konarski, Podrecki i Wspólnicy, członek Rady ds. Cyfryzacji Ministra Administracji i Cyfryzacji, a w poprzedniej kadencji wiceprzewodniczący Rady Naukowej Generalnego Inspektora Ochrony Danych Osobowych. Ekspert Stowarzyszenia Administratorów Bezpieczeństwa Informacji. PATRONAT MEDIALNY