Instytucja administratora bezpieczeństwa informacji przy obecnie obowiązujących przepisach prawa Pytania, odpowiedzi, fakty i mity

Podobne dokumenty
Obowiązek powoływania Administratora Bezpieczeństwa Informacji

Projektowane zmiany prawne statusu Administratora Bezpieczeństwa Informacji (ABI) dr Grzegorz Sibiga

Nowy status i zakres obowiązków administratora bezpieczeństwa informacji Andrzej Kaczmarek. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

Zmiana obowiązków zabezpieczania danych osobowych

Wprowadzenie. 2. Czy powołanie ABI jest obowiązkowe? [ ] Powstało mylne, powszechne przekonanie o konieczności powołania ABI [ ]

OGÓLNOKRAJOWY REJESTR ADMINISTRATORÓW BEZPIECZEŃSTWA INFORMACJI

Propozycje SABI w zakresie doprecyzowania statusu ABI

Sz. P. Michał Serzycki Generalny Inspektor Ochrony Danych Osobowych.

Od 1 stycznia 2015 r. zaczęły obowiązywać znowelizowane przepisy ustawy o ochronie danych osobowych

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

weryfikację prawidłowości zapisów dokumentacji zgodnie z ustawą o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz z późn.zm.

Szkolenie. Funkcja Administratora Bezpieczeństwa Informacji po deregulacji. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

PROWADZENIE REJESTRU ZBIORÓW DANYCH OSOBOWYCH PRZEZ ABI BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH

SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH NOWE ZADANIA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI ORAZ OMÓWIENIE

KONFERENCJA SIODO PRZYPADKI"

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

WSPÓŁTWORZENIE NOWEGO SYSTEMU MONITOROWANIA PRZESTRZEGANIA PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH. Monika Młotkiewicz

II Lubelski Konwent Informatyków i Administracji r.

Rola Administratora Bezpieczeństwa Informacji w zarządzaniu bezpieczeństwem informacji. Michał Cupiał

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

POJĘCIE, ZAKRES I TRYB SPRAWDZENIA PRZEPROWADZANEGO NA ZLECENIE GIODO

WARSZTATY PRZYGOTOWUJĄCE DO OBJĘCIA FUNKCJI ABI I ASI. NOWE ZADANIA - SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH.

Program szkolenia - Rejestracja i bezpieczeństwo danych osobowych

KRAJOWA KONFERENCJA OCHRONY DANYCH OSOBOWYCH

Profesjonalny Administrator Bezpieczeństwa Informacji

z dnia 2014 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych

Ustawa o ochronie danych osobowych po zmianach

SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH NOWE ZADANIA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI ORAZ OMÓWIENIE

Czas trwania szkolenia- 1 DZIEŃ

Planowany zakres nowelizacji ustawy o ochronie danych osobowych w 2012r. Maciej Byczkowski, Andrzej Rutkowski, Stefan Szyszko

Administrator bezpieczeństwa informacji, urzędnik do spraw ochrony danych osobowych, inspektor ochrony danych analiza porównawcza. dr Grzegorz Sibiga

Praktyczny kurs dla Administratora Bezpieczeństwa Informacji

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

MEMORANDUM INFORMACYJNE

ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski

Ochrona danych osobowych w biurach rachunkowych

WYKONYWANIE ZADAŃ ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI (ABI) WARSZTATY PRAKTYCZNE - SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR )

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI. zadania: przepisami; Nowe kompetencje GIODO: Administratora danych; Przekazywanie danych do państw trzecich:

20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

Zmiany w ustawie o ochronie danych osobowych

Nowe przepisy i zasady ochrony danych osobowych

Zadania administratora bezpieczeństwa informacji w krajowych przepisach o ochronie danych osobowych aktualny stan prawny

Administrator Bezpieczeństwa Informacji po zmianie przepisów ustawy o ochronie danych osobowych

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

Ochrona danych osobowych w służbie zdrowia

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

Art. 36a - Ustawa o ochronie danych osobowych (Dz. U r. poz. 922 z późn. zm.)

OCHRONA DANYCH OSOBOWYCH

Nowe obowiązki Administratora Bezpieczeństwa Informacji sprawdzenie

Sprawdzenie systemu ochrony danych

Ochrona danych osobowych w administracji publicznej

OCHRONA DANYCH OSOBOWYCH

Ochrona danych osobowych

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

Inspektor Ochrony Danych w podmiotach publicznych

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

Praktyczne aspekty ochrony danych osobowych w ubezpieczeniach

OFERTA Usług audytowych i doradczych w zakresie ochrony danych osobowych dla jednostek administracji publicznej

Wnioski i perspektywy dla przedsiębiorstw po najnowszych zmianach w polskiej ustawie o ochronie danych osobowych

Pierwszy rok doświadczeń w wykonywaniu nowej funkcji ABI sprawdzenia, rejestry, nadzór

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

KONFLIKT INTERESÓW PRZY POWIERZENIU DPO INNYCH ZADAŃ A NAKAZ WYKONYWANIA OBOWIĄZKÓW W SPOSÓB NIEZALEŻNY

Przewodnik po ochronie danych osobowych : vademecum dyrektora i nauczyciela placówki oświatowej / Dariusz Skrzyński. wyd. 2.

OCHRONA DANYCH OSOBOWYCH W PLACÓWKACH OŚWIATOWYCH. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z dnia 1 stycznia 2015 r.

Data ProtectionOfficer(DPO) i administrator bezpieczeństwa informacji. Porównanie instytucji

wraz z wzorami wymaganej prawem dokumentacją

SZKOLENIE: Ochrona danych osobowych w praktyce z uwzględnieniem zmian od r.

ABI I OCHRONA DANYCH OSOBOWYCH ORAZ INFORMACJI W ADMINISTRACJI PUBLICZNEJ

Sz. P. Mariusz Haładyj Podsekretarz Stanu Ministerstwo Gospodarki

Odpowiedzi na 30 najważniejszych pytań o administratora bezpieczeństwa informacji

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

Administrator Bezpieczeństwa informacji

GRUPA GUMUŁKA -KIERUNEK NA INNOWACJE OFERTA SZKOLENIA OCHRONA DANYCH OSOBOWYCH Z UWZGLĘDNIENIEM EUROPEJSKIEJ REFORMY PRZEPISÓW - RODO KATOWICE

NOWE ZADANIA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI -SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH ORAZ OMÓWIENIE

NOWE OBOWIĄZKI DYREKTORA JAKO ADMINISTRATORA DANYCH OSOBOWYCH

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

plus. Kto jest obowiązany zgłosić zbiór do GIODO?

Certyfikowany kurs dla Administratorów Bezpieczeństwa Informacji (ABI) Szczegółowe zagadnienia

GRUPA GUMUŁKA -KIERUNEK NA INNOWACJE OFERTA SZKOLENIA OCHRONA DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE

ABI EXPERT+ Ochrona danych osobowych. Warsztat specjalistyczny. Zadania Administratora danych osobowych. Skuteczne narzędzie ADO

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta. Koszt szkolenia: 1790.

R O D O - N o w e z a s a d y p r z e t w a r z a n i a d a n y c h o s o b o w y c h

UNIJNA REFORMA OCHRONY DANYCH OSOBOWYCH (GDPR) I JEJ WPŁYW NA PRZETWARZANIE DANYCH W SEKTORZE PUBLICZNYM

Główne zalety naszego szkolenia:

System bezpłatnego wsparcia dla NGO

3. Wybrane problemy dotycząc wyznaczania i działalności ABI w nowych realiach prawnych.

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

NOWE ZASADY I OBOWIĄZKI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

Jak współpracować z agencją e mail marketingową w zakresie powierzenia przetwarzania danych. Michał Sztąberek isecure Sp. z o.o.

Od Wykazu do Rejestru. Zmiany zasad dokumentowania zbiorów danych osobowych. Maciej Kołodziej

NOWE ZADANIA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI -SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH ORAZ OMÓWIENIE

Ochrona danych osobowych w praktyce

Szkolenie Ochrona danych osobowych w praktyce

Praktyczne warsztaty dla ABI i ADO, tworzenie, wdrażanie i nadzór nad systemem ochrony danych osobowych

Od ODO do RODO. Informacje o usłudze. 699,00 zł. Czy usługa może być dofinansowana? pracowników. Dostępność usługi

Transkrypt:

Partner szkolenia Instytucja administratora bezpieczeństwa informacji przy obecnie obowiązujących przepisach prawa Pytania, odpowiedzi, fakty i mity Piotr Glen Administrator bezpieczeństwa informacji Audytor SZBI wg PN-ISO/IEC 27001 www.wiknet.net.pl

Czy powołanie ABI jest obowiązkowe? Art. 36a. Ust. 1. Ustawy o ochronie danych osobowych (Dz. U. 2015 r. Poz. 2135 ze zm.): Administrator danych może powołać administratora bezpieczeństwa informacji. Powołanie ABI jest więc uprawnieniem, a nie obowiązkiem administratora danych. W przypadku niepowołania ABI, jego zadania wykonuje sam administrator danych (art. 36b u.o.d.o.), z wyłączeniem obowiązku sporządzania sprawozdania i obowiązku prowadzenia wewnętrznego rejestru zbiorów danych przetwarzanych przez administratora danych. Nowelizacja przepisów u.o.d.o. odnoszących się do ABI, nie ma wpływu na dotychczasowe obowiązki administratora danych. Był on i nadal jest odpowiedzialny za właściwe, zgodne z prawem zorganizowanie procesu przetwarzania danych osobowych.

Mity: - Każdy administrator danych jest zobowiązany powołać administratora bezpieczeństwa informacji - Administrator danych, który nie powołał ABI jest zobowiązany zgłosić to do GIODO - GIODO nakłada kary finansowe na ADO, którzy nie powołali ABI

Jakie są korzyści wynikające z powołania i zgłoszenia ABI? Do korzyści wynikających z powołania ABI należą m.in.: - Zwolnienie administratorów danych zwykłych z obowiązku zgłoszenia zbiorów takich danych do rejestracji GIODO. - Zwolnienie z obowiązku wykreślenia lub aktualizacji u GIODO zbiorów zgłoszonych lub zarejestrowanych do 1 stycznia 2015r., z wyłączeniem zbiorów z danymi wrażliwymi. - Uzyskanie przez administratora danych efektywnego wewnętrznego nadzoru nad prawidłową realizacją obowiązków wynikających z przepisów o ochronie danych osobowych. - Zwiększenie autokontroli administratorów danych i podniesienie poziomu bezpieczeństwa danych osobowych. - Wzmocnienie zaufania do administratorów danych ze strony osób, których dane dotyczą oraz innych administratorów danych, a także podmiotów współpracujących z administratorem danych.

Mity: - Administrator danych pozbywa się odpowiedzialności za nadzór nad ochroną danych

Kto może być ABI? Jakie są wymagania wobec kandydatów na ABI? W art. 36a ust. 5 i 7 u.o.d.o. określono, iż funkcję ABI może pełnić osoba, która: - ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych; - posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; - nie była karana za umyślne przestępstwo; - podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Mity: - ABI musi być certyfikowany - ABI musi mieć wykształcenie wyższe, prawnicze lub studia podyplomowe z zakresu ochrony danych Fakt: Przesłanka posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych (art. 36a ust. 5 pkt 2 u.o.d.o.) jest oceniana przez administratora danych. Działając we własnym interesie powinien on powołać na to stanowisko osobę, która ma rzeczywistą wiedzę z zakresu ochrony danych. Przepisy u.o.d.o. nie wprowadzają wymogu posiadania przez ABI jakichkolwiek certyfikatów, poświadczeń ukończenia odpowiednich szkoleń itp. Poziom odpowiedniej wiedzy powinien być dostosowany do prowadzonych u administratora danych operacji przetwarzania danych oraz wymogów ich ochrony.

Na czym polega bezpośrednia podległość ABI kierownikowi jednostki organizacyjnej oraz organizacyjna odrębność ABI? Art. 36a. U.o.d.o. Ust. 7. Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Ust. 8. Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań. Ust. 4. Administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w ust. 2.

Czy ASI może być ABI-m? Łączenie funkcji ABI z obowiązkami administratora systemu informatycznego (ASI) jest przedmiotem dyskusji. Należy mieć świadomość, że powierzenie obu tych funkcji jednej osobie może skutkować brakiem nadzoru nad prawidłową realizacją w sferze bezpieczeństwa przetwarzania danych osobowych. Konsolidacja tych funkcji generuje zagrożenia dla bezpieczeństwa przetwarzania danych osobowych, ponieważ w praktyce doprowadza do sytuacji, w której osoba odpowiadająca za bieżące prowadzenie i zabezpieczanie zbiorów danych w systemach informatycznych, jednocześnie sprawuje nadzór nad zgodnością z prawem wykonywanych przez siebie działań. Cytat z https://abi.giodo.gov.pl/pytania-i-odpowiedzi/powolanie-i-status-abi

Mity: - Administratorem bezpieczeństwa informacji musi być Członek Zarządu - ABI-m musi być pracownik jednostki - zewnętrzny ABI musi składać sprawozdanie z poziomu realizacji założeń umowy np. Kierownikowi ds. zamówień publicznych - ABI-m nie może być Prokurent

Czy ADO może powołać siebie na stanowisko ABI? Niedopuszczalne jest powołanie na ABI osób będących kierownikami jednostki organizacyjnej, a więc np. dyrektorów, wójtów, kierowników, ale również członków zarządu spółki czy stowarzyszenia. Niemożliwe jest również powołanie na stanowisko ABI samego siebie przez osoby prowadzące jednoosobową działalność gospodarczą. Powołanie na administratora bezpieczeństwa informacji osoby będącej kierownikiem jednostki organizacyjnej/osoby zarządzającej podmiotem posiadającym status administratora danych osobowych jest błędem, ponieważ prowadzi to do sytuacji, w której administrator danych nadzoruje i kontroluje samego siebie. Cytat z https://abi.giodo.gov.pl/pytania-i-odpowiedzi/powolanie-i-status-abi

Co oznacza możliwość powołania zastępców ABI? Art. 36a ust. 6. u.o.d.o. Administrator danych może powołać zastępców administratora bezpieczeństwa informacji, którzy spełniają warunki określone w ust. 5. Ustawa nie przewiduje możliwości powołania więcej niż jednego ABI. Natomiast z treści powyższego art. wynika możliwość powołania zastępców ABI (jednego lub więcej). Bez powołania ABI niemożliwe jest powoływanie jego zastępców. Zastępcy ABI nie podlegają zgłoszeniu GIODO do rejestracji.

Czy ABI musi składać regularne sprawozdania do GIODO? Art. 36a ust. 2 pkt. 1 lit. a : Do zadań administratora bezpieczeństwa informacji należy zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych; Art. 19b. 1. Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji wpisanego do rejestru, o którym mowa w art. 46c, o dokonanie sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia. 2. Po dokonaniu sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, administrator bezpieczeństwa informacji, za pośrednictwem administratora danych, przedstawia Generalnemu Inspektorowi sprawozdanie, o którym mowa w art. 36a ust. 2 pkt 1 lit. a. 3. Dokonanie przez administratora bezpieczeństwa informacji sprawdzenia w przypadku, o którym mowa w ust. 1, nie wyłącza prawa Generalnego Inspektora do przeprowadzenia kontroli, o której mowa w art. 12 pkt 1.

Mity: - Każdy ADO jest zobowiązany raz na rok (lub raz na kwartał) przesłać odpowiednie sprawozdanie do GIODO; - GIODO może zlecić sprawdzenie u ADO bez powołanego ABI; - ABI musi donosić na ADO do GIODO; - GIODO rękami ABI będzie dokonywać kontroli

Rozporządzenia wykonawcze do u.o.d.o. ROZPORZĄDZENIE MINISTRA ADMINISTRACJI I CYFRYZACJI z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji. ROZPORZĄDZENIE MINISTRA ADMINISTRACJI I CYFRYZACJI z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych Realizują je powołani, zgłoszeni do GIODO ABI.

Wiele innych zadań ABI do omówienia - Tryb i sposób sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowania sprawozdania (plany sprawdzeń, dokumentowanie czynności, sporządzanie sprawozdań) - Sposób prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych, a także wykazu zbiorów. - Opracowanie i aktualizowanie dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. - Nowe obowiązki administratorów danych i administratorów bezpieczeństwa informacji (a może inspektorów bezpieczeństwa informacji/dpo) w świetle rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych.

DZIĘKUJĘ ZA UWAGĘ Piotr Glen Konsultant ds. ochrony danych osobowych Administrator Bezpieczeństwa Informacji Audytor SZBI wg PN-ISO/IEC 27001 tel.: 501 639 692 e-mail: piotr.glen@wiknet.net.pl www.wiknet.net.pl Zapraszam na: https://odo.wip.pl/

Polecamy OCHRONA DANYCH OSOBOWYCH To kompleksowy miesięcznik poruszający aspekty: prawnicze, skoncentrowane na nowych technologiach, narzędziowe ukierunkowane na praktyczną pomoc dla ADO, ABI oraz ASI. Sprawdź atrakcyjne warunki prenumeraty na www.odo.wip.pl

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres