Agenda ()

AGENDA XIX KONGRESU ABI
ABI: NOWA ROLA, NOWE OBLICZE
Pałac Żelechów, 14 – 16 kwietnia 2015 r.
(Opracował Komitet programowy XIX Kongresu ABI w składzie: Maciej Byczkowski oraz adw. dr Grzegorz Sibiga)
Nowe rozporządzenia wykonawcze do ustawy o ochronie danych osobowych dotyczące
wykonywania zadań Administratora Bezpieczeństwa Informacji
Dzień pierwszy (14.04.2015 r.):
14.00.
15.30.
wyjazd autokaru z Warszawy
planowany przyjazd do Pałacu w Żelechowie
17.00 – 19.30 Spotkanie ABI – dyskusja na temat niezbędnych kompetencji do właściwego pełnienia funkcji
ABI z udziałem administratorów bezpieczeństwa informacji, ekspertów prawnych oraz filozofa i coacha.
Prowadzący: p. Jacek Masłowski
19.30.
kolacja
Dzień drugi (15.04.2015 r.):
10.00.
Otwarcie Kongresu
10.10. - 17.00.
Wykłady i panele dyskusyjne (obiad ok. godz. 14.30)
1.
Wykład wprowadzający: „Nowe obowiązki zabezpieczenia danych osobowych”.
• Nowy status ABI po nowelizacji – fakty i mity.
• Zmiana obowiązków dotyczących zapewnienia przestrzegania przepisów o ochronie danych
osobowych:
o Zapewnianie przestrzegania przepisów o ochronie danych przez ABI powołanego na
podstawie art. 36a.
o Zapewnianie przestrzegania przepisów o ochronie danych przez osoby wyznaczone przez
Administratora danych lub procesora na podstawie art. 36b.
Prowadzący: p. Maciej Byczkowski
2.
Wykład: Nowe rozporządzenia wykonawcze do ustawy o ochronie danych osobowych dotyczące
wykonywania zadań Administratora Bezpieczeństwa Informacji:
• Przedstawienie z perspektywy Ministerstwa Administracji i Cyfryzacji aktualnego stanu prac nad
rozporządzeniami wykonawczymi:
o w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o
ochronie danych oraz
o w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru
zbiorów danych osobowych
Prowadzący: p. Michał Czerniawski
© ENSI 2015
3.
Panel dyskusyjny: „Powołanie ABI i zgłoszenie go do rejestracji GIODO”.
• Obowiązki związane z powołaniem ABI:
o Powołanie ABI – formalne zasady powołania ABI na podstawie art. 36a ust. 1.
o Rekrutacja ABI - weryfikacja kwalifikacji niezbędnych do pełnienia funkcji ABI zgodnie z art.
36a ust. 5.
o Zakres zadań powołanego ABI zgodnie z art. 36a ust. 2
o Powierzenie ABI wykonywania innych obowiązków zgodnie z art. 36a ust. 4
o Powołanie zastępców ABI zgodnie z art. 36a ust. 6
o Zapewnienie odpowiedniej podległości służbowej ABI zgodnie z art. 36a ust. 7
o Zapewnienie środków i organizacyjnej odrębności ABI niezbędnych do niezależnego
wykonywania przez niego zadań – zgodnie z art. 36a ust. 8.
o Outsourcing funkcji ABI.
o Odpowiedzialność karna ABI związana z wykonywaniem przez niego zadań, o których mowa
w art. 36a ust. 2.
o Odpowiedzialność służbowa zatrudnionych ABI. Odpowiedzialność cywilnoprawna ABI
świadczącego usługi na podstawie umowy cywilnoprawnej.
• Zgłoszenie ABI do rejestracji GIODO:
o Wymagania zgłoszenia powołania lub odwołania ABI do rejestracji GIODO zgodnie z art. 46b
oraz zgłaszanie zmian objętych zgłoszeniem.
o Rozporządzenie MAiC z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i
odwołania administratora bezpieczeństwa informacji.
o Prowadzenie jawnego rejestru ABI przez GIODO zgodnie z art. 46c.
o Sytuacje wykreślenia ABI z rejestru GIODO, o których mowa w art. 46d.
o Ponowne zgłoszenie do rejestracji GIODO powołania ABI wykreślonego z rejestru zgodnie z
art. 46e.
4.
Panel dyskusyjny: „Wykonywanie przez ABI zadań zapewniania przestrzegania przepisów
o ochronie danych osobowych. Dokumentacja ABI”.
• Obowiązki ABI związane z zapewnianiem przestrzegania przepisów o ochronie danych osobowych
określone w art. 36a ust. 2 pkt 1.
• Rozporządzenie MAiC w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania
przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji.
• Wykonywanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami
o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla ADO:
o Przygotowywanie planu sprawdzeń okresowych.
o Wykonywanie sprawdzeń okresowych zgodnie z planem.
o Wykonywanie sprawdzeń pozaplanowych.
o Czynności ABI podczas sprawdzeń i sposób ich dokumentowania - sporządzanie notatek
służbowych oraz protokołów.
o Przygotowywanie sprawozdania ze sprawdzenia, o którym mowa w art. 36c.
o Wykonywanie sprawdzeń na wniosek GIODO, o którym mowa w art. 19b ust. 1.
o Przygotowywanie sprawozdań na wniosek GIODO zgodnie z art. 19b ust. 2.
• Nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz
przestrzegania zasad w niej określonych:
o Tryb i sposób nadzoru nad dokumentacją przetwarzania danych,
o Nadzór opracowania i aktualizowania dokumentacji – rodzaje dokumentów.
o Nadzór nad przestrzeganiem zasad zawartych w dokumentacji przetwarzania – nadzór nad
realizacją procesów przetwarzania danych osobowych u Administratora danych lub procesora.
• Zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych
z przepisami o ochronie danych osobowych:
o Ustalenie formy wykonywania obowiązku zapoznawania osób z przepisami – szkolenia,
przygotowywanie i dystrybucja materiałów informacyjnych itp.
o Ustalenie programów szkoleń – zakres oraz częstotliwość ich przeprowadzania.
o Ustalanie osób, które będą prowadzić szkolenia z przepisów o ochronie danych osobowych.
Uczestnicy paneli: p. Maciej Byczkowski, p. prof. Paweł Fajgielski, p. Damian Karwala, p. Maciej Kołodziej,
p. dr Grzegorz Sibiga
19.30.
Biesiada ABI
© ENSI 2015
Dzień trzeci (16.04.2015 r.):
9.00 - 16.00.
Panele dyskusyjne (obiad ok. godz. 14.00)
5.
Panel dyskusyjny: „Prowadzenie przez ABI jawnego rejestru zbiorów danych osobowych”.
• Obowiązki ABI związane z prowadzeniem rejestru zbiorów danych osobowych określone
w art. 36a ust. 2 pkt 2.
• Rozporządzenie w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji
rejestru zbiorów danych osobowych.
o Wybór formy prowadzenia rejestru zbiorów danych osobowych przez ABI.
o Wymagany zakres informacji w rejestrze zbiorów danych osobowych.
o Czynności wykonywane przez ABI w związku z prowadzeniem rejestru zbiorów.
o Sposoby udostępniania przez ABI rejestru zbiorów danych do przeglądania.
o Odnotowywanie przez ABI historii zmian w rejestrze zbiorów danych.
6.
Panel dyskusyjny: „Wykonywanie obowiązków zapewniania przestrzegania przepisów
o ochronie danych przez Administratora danych bez powołania ABI”.
• Wykonywanie zadań zapewniania przestrzegania przepisów o ochronie danych osobowych,
o których mowa w art. 36a ust. 2 pkt 1 przez Administratora danych lub procesora na podstawie art.
36b:
o Zakres zadań, o których mowa w art. 36b.
o Wyznaczenie osoby lub osób do wykonywania zadań – formalne obowiązki.
o Wykonywanie zadań przez ABI wyznaczonego przed 1 stycznia 2015 r., który nie został
powołany i zgłoszony do rejestracji GIODO – omówienie sytuacji prawnej przed i po 30
czerwca 2015 r.
o Outsourcing zadań zapewniania przestrzegania przepisów o ochronie danych.
o Odpowiedzialność karna Administratora danych, procesora oraz osób wyznaczonych związana
z wykonywaniem zadań, o których mowa w art. 36b.
7.
Panel dyskusyjny: „Wybrane problemy dotyczące wykonywania funkcji ABI powołanego
i zgłoszonego do rejestracji GIODO oraz osób wyznaczonych do wykonywania zadań,
o których mowa w art. 36b”.
• Studium przypadku – powołanie i wykonywanie funkcji przez ABI wg nowych przepisów – na
wybranych przykładach.
• Kontrola administracyjna GIODO nad wykonywaniem zadań przez ABI.
• Wewnętrzna kontrola wykonywania obowiązków związanych ze zgłaszaniem zbiorów danych do
rejestracji GIODO po 1 stycznia 2015 r.
• Wewnętrzna kontrola wykonywania obowiązków związanych z transferem danych osobowych do
państwa trzeciego po 1 stycznia 2015 r.
Uczestnicy paneli: p. Maciej Byczkowski, p. Damian Karwala, p. Maciej Kołodziej, p. dr Grzegorz Sibiga.
16.00.
zakończenie Kongresu
16.45.
18.15.
wyjazd autokaru z Pałacu w Żelechowie
planowany przyjazd do Warszawy
Agenda może ulec zmianie.
© ENSI 2015
Prelegenci i paneliści, którzy potwierdzili swój udział w spotkaniach i dyskusjach na Kongresie:
Maciej Byczkowski - Prezes Zarządu European Network Security Institute (ENSI) i Prezes Zarządu
Stowarzyszenia Administratorów Bezpieczeństwa Informacji (SABI). Od 2007 r. brał udział w pracach nad
zmianami w przepisach o ochronie danych osobowych, w szczególności w zespole ekspertów przy GIODO
opracowującego zmiany w ramach ustawy deregulacyjnej (2011-2014). Uczestniczy w pracach Ministerstwa
Administracji i Cyfryzacji nad opracowywaniem nowych rozporządzeń wykonawczych do ustawy o ochronie
danych osobowych w zakresie wykonywania nowych zadań ABI oraz zmianą rozporządzenia określającego
środki techniczne i organizacyjne dotyczące zabezpieczenia danych osobowych. Ekspert i audytor
bezpieczeństwa informacji i systemów informatycznych, pełni funkcję administratora bezpieczeństwa informacji
w ramach outsourcingu w wielu organizacjach w Polsce. Twórca metodyk TISM, TSM oraz Zarządzania
Procesami Przetwarzania Danych Osobowych (PBDO). Absolwent Politechniki Warszawskiej – wykłada na
Wydziale Zarządzania w ramach Studium Podyplomowego „Zarządzanie Jakością i Bezpieczeństwem
Informacji w środowisku IT” oraz na Studiach Podyplomowych “Ochrona Danych Osobowych i Informacji
Niejawnych” na Akademii im. Leona Koźmińskiego w Warszawie. Autor licznych publikacji z dziedziny
bezpieczeństwa informacji i systemów informatycznych oraz ochrony danych osobowych.
Michał Czerniawski - Prawnik, absolwent Uniwersytetu Warszawskiego i University of Ottawa, główny
specjalista w Wydziale Unii Europejskiej i Spraw Międzynarodowych Departamentu Społeczeństwa
Informacyjnego Ministerstwa Administracji i Cyfryzacji. Reprezentuje MAiC na forum Grupy Roboczej Rady
UE ds. Wymiany Informacji i Ochrony Danych (DAPIX), komitetu artykułu 31 dyrektywy 95/46/WE oraz grupy
Friends of the Presidency. Specjalizuje się w ochronie danych osobowych, tak na poziomie krajowym, jak i
unijnym. Autor szeregu publikacji naukowych z zakresu prawnych aspektów nowych technologii.
prof. dr hab. Paweł Fajgielski - Doktor habilitowany nauk prawnych, profesor KUL, Kierownik Katedry Prawa
Technologii Informacyjnych i Komunikacyjnych na Wydziale Prawa Katolickiego Uniwersytetu Lubelskiego
Jana Pawła II. Specjalizuje się w problematyce prawnej ochrony danych osobowych i prawa nowych
technologii. Jest autorem kilkudziesięciu publikacji naukowych dotyczących ochrony danych osobowych, kilku
książek oraz współautorem komentarza do ustawy o ochronie danych osobowych (wspólnie z prof. J. Bartą i
prof. R. Markiewiczem). Prowadzi wykłady i szkolenia dotyczące prawnych aspektów ochrony danych
osobowych.
Damian Karwala - Radca prawny przy Okręgowej Izbie Radców Prawnych w Krakowie. Absolwent Wydziału
Prawa i Administracji Uniwersytetu Jagiellońskiego oraz stypendysta na Universiteit van Tilburg (Holandia).
Współpracuje z Kancelarią Prawną Traple Konarski Podrecki i Wspólnicy Sp.j. (członek Zespołu Technologie
Media Telekomunikacja). Ekspert prawny Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży
Internetowej IAB Polska. Specjalizuje się w prawie nowych technologii, ze szczególnym uwzględnieniem
ochrony danych osobowych i informacji (w tym tajemnic ustawowo chronionych). Doradzał w sprawach z
zakresu ochrony danych osobowych i informacji kilkudziesięciu dużym podmiotom gospodarczym, w tym
szeregu podmiotom z branży finansowej (m.in. bankom, zakładom ubezpieczeń, funduszom emerytalnym, itd.),
operatorom telekomunikacyjnym, przedsiębiorcom internetowym, podmiotom z branży farmaceutycznej, itd.
Autor publikowanych w wydawnictwach branżowych oraz naukowych licznych publikacji z zakresu tematyki
ochrony danych osobowych.
Maciej Kołodziej - Administrator Bezpieczeństwa Informacji w portalu NK.pl i Grupie Wydawniczej PWN
Specjalista informatyki śledczej FHU MatSoft, specjalista ds. bezpieczeństwa IT Konsultant i wykładowca z
zakresu bezpieczeństwa informacji, ochrony danych osobowych i systemów teleinformatycznych.
Audytor wiodący i trener/wykładowca ISO/EIC 27001 (PECB). Jest wykładowcą stowarzyszonym Wyższej
Szkoły Policji w Szczytnie. Od 2013r wiceprezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji
(SABI). Aktywnie uczestniczy w pracach grup problemowych działających przy Ministerstwie Administracji i
Cyfryzacji oraz Związku Pracodawców Branży Internetowej IAB Polska i Polskiej Konfederacji Pracodawców
Prywatnych Lewiatan, dotyczących regulacji prawnych i przyszłości Internetu, reklamy internetowej oraz
rozwoju nowych technologii, ochrony danych osobowych i prywatności użytkowników serwisów
interaktywnych. Absolwent informatyki Akademii Górniczo-Hutniczej w Krakowie.
Jacek Masłowski - Trener, coach, doradca od 2001 roku, psychoterapeuta. Absolwent Wydziału Nauk
Społecznych Uniwersytetu Śląskiego (mgr filozofii) oraz Laboratorium Psychoedukacji przy Wyższej Szkole
Psychologii Społecznej w Warszawie (trener grupowy). Studiował psychologię w Szkole Wyższej Psychologii
Społecznej w Warszawie oraz na Uniwersytecie Jagiellońskim w Krakowie. Ukończył szkołę trenerów i
© ENSI 2015
terapeutów w Instytucie Terapii Gestalt w Krakowie. Posiada bogate doświadczenie handlowe na różnych
stanowiskach: Van Seller (dystrybutor) Procter and Gamble, Przedstawiciel Handlowy, Regionalny Manager
Sprzedaży Perfetti (Van Melle Polska, Krat Jacobs Suchard, lister), Menedżer do Spraw Rozwoju Sił Sprzedaży
(Carlsberg Polska). Specjalizuje się w coachingu, szeroko pojętym kierowaniem zespołami, technikach
sprzedaży oraz zarządzaniem rozwojem kompetencji. Prowadzi także szkolenia z tematyki zarządzania sobą w
czasie, umiejętności interpersonalnych oraz asertywności, perswazji, inteligencji emocjonalnej, rekrutacji,
tworzenia systemów ocen pracowniczych. Autor artykułów oraz poradników zawodowych publikowanych na
łamach Gazety Wyborczej. W radio RDC prowadzi cyklicznie audycję w programie „Bez Laski”. Współtwórca i
prezes Fundacji Masculinum.
adw. dr Grzegorz Sibiga - Kierownik Zakładu Prawa Administracyjnego Instytutu Nauk Prawnych PAN,
adwokat i członek Rady do Spraw Cyfryzacji przy Ministrze Administracji i Cyfryzacji. Wiceprzewodniczący
Rady Naukowej Generalnego Inspektora Ochrony Danych Osobowych IV kad. oraz członek Rady
Informatyzacji przy Ministrze Administracji i Cyfryzacji (IV. kad.). Zajmuje się prawem administracyjnym, w
szczególności prawem do informacji, ochroną danych osobowych i innych informacji prawnie chronionych, eadministracją, a także postępowaniem administracyjnym. Brał udział w pracach eksperckich nad trzema
nowelizacjami ustawy o ochronie danych osobowych w latach 2003 – 2004, 2008 – 2010, 2012 – 2014, w
szczególności w zespole ekspertów przy GIODO opracowującego zmiany w ramach ustawy deregulacyjnej
(2011-2014). Uczestniczy w pracach Ministerstwa Administracji i Cyfryzacji nad opracowywaniem nowych
rozporządzeń wykonawczych do ustawy o ochronie danych osobowych w zakresie wykonywania nowych zadań
ABI. Redaktor, autor i współautor licznych publikacji naukowych w tym zakresie. Redaktor cyklicznego
dodatku do Monitora Prawniczego poświęconego prawnym aspektom ochrony danych osobowych. Członek rady
programowej "Kwartalnika Naukowego Prawo Mediów Elektronicznych" i członek rady konsultacyjnej
miesięcznika „IT w administracji”.
Wszelkich informacji na temat XIX Kongresu ABI udziela p. Aleksandra Jarzębska:
tel.(22) 620 96 95 lub 620 12 00, e-mail: [email protected], http://www.ensi.net
PATRONAT MADIALNY
© ENSI 2015