XX KONGRES ABI

XXI KONGRES ABI
Wiedza u źródeł
ABI 2017 – PRZYGOTOWANIE DO FUNKCJI
INSPEKTORA OCHRONY DANYCH
27 - 28 kwietnia 2017 r., Manor House, Pałac Odrowążów, Chlewiska.
Szanowni Państwo,
Zapraszamy na XXI Kongres ABI, który obędzie się w dniach 27 – 28 kwietnia 2017 r. w Pałacu
Odrowążów w Chlewiskach, a którego tematem przewodnim będą przygotowanie do pełnienia funkcji
inspektora ochrony danych oraz przygotowanie do wdrożenia i stosowania przepisów ogólnego
rozporządzenia o ochronie danych osobowych (RODO).
Pozostał ostatni rok przygotowań do stosowania RODO oraz przygotowania się do pełnienia funkcji
inspektora ochrony danych. Przygotowywać się powinni zarówno osoby pełniące funkcje ABI,
jak i Administratorzy danych oraz podmioty przetwarzające (procesorzy). Równolegle ABI powinien
brać udział w przygotowaniu swojego podmiotu do wykonywania obowiązków wynikających
z RODO, w tym w szczególności dotyczących zabezpieczania danych osobowych.
Podczas Kongresu omówimy krok po kroku i przedyskutujemy szczegółowo zagadnienia i problemy
związane z inspektorem ochrony danych, biorąc pod uwagę realizację wytycznych Grupy Roboczej
Artykułu 29, które zostały opublikowane w grudniu 2016 r.
Zajmiemy się także omówieniem podejścia do wykonywania kluczowych obowiązków RODO oraz
potrzebą stworzenia i zakresem nowej dokumentacji przetwarzania i ochrony danych. Omówimy
również bieżące problemy w wykonywaniu funkcji ABI oraz projekty legislacyjne dotyczące
przyszłości funkcji ABI w Polsce.
Nie zabraknie też okazji do kuluarowych dyskusji z ekspertami oraz ABI z różnych organizacji.
Dyskusje i wystąpienia na Kongresie poprowadzą eksperci praktycy, w tym doświadczeni ABI.
Szczegółowa agenda tematyczna XXI Kongresu ABI znajduje się w załączeniu.
Kongres ABI to najważniejsze doroczne spotkanie środowiska Administratorów Bezpieczeństwa
Informacji w Polsce, organizowane od 1999 r., na którym omawiane i dyskutowane są najważniejsze
bieżące i praktyczne problemy realizacji zadań i obowiązków ochrony danych osobowych
w podmiotach ze sfery publicznej i prywatnej, w tym wchodzących w skład międzynarodowych grup
kapitałowych.
Do zobaczenia na Kongresie,
Z pozdrowieniami
Maciej Byczkowski
Prezes Zarządu ENSI
PATRONAT
© ENSI 2017
AGENDA TEMATYCZNA XXI KONGRESU ABI
ABI 2017 – PRZYGOTOWANIE DO FUNKCJI
INSPEKTORA OCHRONY DANYCH
27 – 28 kwietnia 2017 r., Manor House, Pałac Odrowążów, Chlewiska.
Opracował Komitet programowy XXI Kongresu ABI w składzie: Maciej Byczkowski oraz adw. dr Grzegorz Sibiga
Kongres poświęcony przygotowaniu do stosowania przepisów ogólnego rozporządzenia
o ochronie danych osobowych (RODO)
Prolog (26.04.2017 r.)
Spotkanie - dyskusja: 17.00 – 19.00
„Od Administratora do Inspektora – 20 lat doświadczeń ABI”
• Rys historyczny funkcji ABI
• Doświadczenia z XX Kongresów ABI
• Przyszłość ABI.
Dzień pierwszy (27.04.2017 r.):
Otwarcie Kongresu: 10.00
Panele dyskusyjne: 10.15 – 17.00
1. Panel dyskusyjny „Inspektor ochrony danych”.
•
•
•
•
•
Wyznaczenie inspektora – obowiązek czy fakultatywność:
o kto i w jakich sytuacjach musi wyznaczyć inspektora?
o jak stosować kryteria „głównej działalności”, „dużej skali” oraz „regularnego i
systematycznego monitorowania osób, których dane dotyczą” przy ustalaniu
obowiązku wyznaczenia inspektora?
o wyznaczanie jednego inspektora w grupach kapitałowych oraz dla kilku organów lub
podmiotów publicznych.
Status inspektora:
o niezależność i zakaz karania inspektora;
o wsparcie inspektora przez ADO;
o konflikty interesów.
Tajemnica inspektora
Zakres obowiązków inspektora:
o zadania główne wynikające z art. 39 RODO;
o możliwości wykonywania innych zadań.
Procedury związane z funkcjonowaniem inspektora, w szczególności:
o informowanie i monitorowanie;
o kontaktowanie się z osobą, której dane dotyczą;
o kontaktowanie się z organem nadzorczym;
o udział we wszystkich sprawach dotyczących przetwarzania i ochrony danych;
o udział w zawiadomieniach o naruszeniach ochrony danych osobowych;
© ENSI 2017
•
•
o udział w ocenie skutków dla ochrony danych oraz uprzednich konsultacjach.
Inspektor jako punkt kontaktowy dla podmiotów danych - udział inspektora w realizacji praw
osób, których dane dotyczą:
o rodzaje uprawnień;
o zakres obowiązków inspektora;
o ustalenie tożsamości osoby, której dane dotyczą;
o współpraca z innymi komórkami organizacyjnymi ADO lub przetwarzającego.
Podejście inspektora do wykonywania obowiązków z uwzględnianiem ryzyka związanego
z operacjami przetwarzania danych.
1. Panel dyskusyjny: „Podejście do wykonywania głównych obowiązków RODO”.
•
•
•
•
•
•
•
Współadministrator:
o Sytuacje wspólnego (przez więcej co najmniej dwóch ADO) ustalania celów i
sposobów przetwarzania danych
o Wymogi dotyczące treści uzgodnień co do zakresu odpowiedzialności
administratorów dotyczącej wypełniania obowiązków wynikających z RODO.
Podmiot przetwarzający:
o wybór właściwego procesora;
o nowa treść umów powierzenia przetwarzania danych osobowych i ich relacja do
obecnych umów powierzenia.
Podstawy prawne przetwarzania danych osobowych:
o ograniczenie powoływania się na szczególny przepis prawa – wymogi wobec takiego
przepisu;
o klauzula „prawnie uzasadnionego interesu” i jej relacja do „prawnie
usprawiedliwionego celu”;
o podstawa przetwarzania danych dla organów i podmiotów publicznych.
Zgoda na przetwarzanie danych:
o różnica w stosunku do obecnej zgody na przetwarzanie;
o szczególny rodzaj zgody – „wyraźna zgoda” – sytuacje pozyskiwania oraz wymogi;
o możliwe sposoby pozyskiwania i wykazywania zgody;
o łączenie różnych celów przetwarzania w jednym oświadczeniu.
Realizacja obowiązku informacyjnego wobec osoby, której dane dotyczą:
o sposób realizacji oraz treść klauzul informacyjnych.
Nowe uprawnienia osoby, której dane dotyczą:
o prawo do kopii danych;
o prawo do przenoszalności danych;
o prawo do ograniczenia przetwarzania.
Wymogi dotyczące profilowania danych.
Biesiada ABI: od 19.00
Dzień drugi (28.04.2017 r.):
Panele dyskusyjne: 10.00 – 14.30
1. Panel dyskusyjny: „Nowa dokumentacja przetwarzania i ochrony danych”.
•
Rejestry czynności przetwarzania danych osobowych:
© ENSI 2017
doświadczenia różnych państw członkowskich UE dotyczące prowadzenia rejestrów
operacji przetwarzania danych osobowych zgodnie z wymaganiami Dyrektywy
95/46/WE;
o obowiązek prowadzenia rejestrów czynności przetwarzania danych przez ADO oraz
podmiot przetwarzający wynikający z RODO;
o jak rozpoznawać różne czynności przetwarzania danych?
o forma i sposób prowadzenia rejestrów czynności przetwarzania danych.
Polityki ochrony danych:
o czy każdy ADO powinien opracowywać polityki ochrony danych?
o jaki zakres powinny obejmować polityki ochrony danych?
o wykorzystanie dotychczasowej dokumentacji przetwarzania danych osobowych.
Upoważnienia do przetwarzania danych osobowych:
o czy zgodnie z RODO należy nadawać upoważnienia do przetwarzania danych
osobowych oraz prowadzić ewidencję osób upoważnionych?
Rejestr naruszeń ochrony danych osobowych:
o dokumentowanie naruszenia ochrony danych osobowych, w tym okoliczności
naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
o
•
•
•
2. Panel dyskusyjny: „Aktualne problemy wykonywania funkcji ABI”
•
•
Wykonywanie sprawdzeń zgodności przetwarzania danych na wezwanie GIODO.
Projekty zmian przepisów prawa dotyczące przyszłości funkcji ABI.
Planowane zakończenie Kongresu: 15.00
W dyskusjach swój udział potwierdzili :
Maciej Byczkowski – Prezes Zarządu ENSI, Prezes Zarządu Stowarzyszenia ABI
adw. dr Jan Byrski - Kancelaria Prawna Traple Konarski Podrecki i Wspólnicy
Prof. Paweł Fajgielski – KUL
adw. Xawery Konarski – Kancelaria Prawna Traple Konarski Podrecki i Wspólnicy
adw. dr Grzegorz Sibiga – Instytut Nauk Prawnych PAN
Szczegółową agendę godzinową oraz nazwiska wszystkich prelegentów prześlemy Państwu w
kolejnej informacji na temat XXI Kongresu ABI.
Uwaga: Agenda może ulec zmianie.
Wszelkich informacji na temat XXI Kongresu ABI udziela p. Aleksandra Jarzębska:
tel.(22) 620 96 95 lub 620 12 00, e-mail: [email protected], http://www.ensi.net
© ENSI 2017