Prezentacja Rola ABI

Rola
Administratora Bezpieczeństwa Informacji
w zarządzaniu bezpieczeństwem informacji
Michał Cupiał
ZMIANY
od 1 stycznia 2015 roku
ABI
Metody rejestracji
zbiorów danych
osobowych
Możliwość zlecania
sprawdzeń przez GIODO
Kim jest?
Kto
powołuje?
ABI
Pozycja i
umocowania
Obowiązki
1) ma pełną zdolność do
czynności prawnych oraz
korzysta z pełni praw
publicznych
2) posiada odpowiednią wiedzę w
zakresie ochrony danych
osobowych
3) nie była karana za umyślne
przestępstwo
Kto
powołuje?
ADO
Zgłoszenie i oświadczenie
Rejestracja/odwołanie 30 dni
Zmiana 14 dni
Kim jest?
Wynikające z ustawy
ABI
Obowiązki
Pozycja i
umocowania
Podlega ADO
Można mu powierzyć dodatkowe obowiązki
Odwołanie włącznie z uzasadnieniem do GIODO
Może mieć zastępców
ADO zapewnia środki techniczne i organizacyjne
Wynikające z
rozporządzenia
Wynikające z
rozporządzenia
Wynikające z ustawy
36a ust 2. Do zadań administratora
bezpieczeństwa informacji należy:
1) zapewnianie przestrzegania przepisów o
ochronie danych osobowych, w szczególności
przez:
a) sprawdzanie zgodności przetwarzania danych
osobowych z przepisami o ochronie danych
osobowych oraz opracowanie w tym zakresie
sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania
dokumentacji, o której mowa w art. 36 ust. 2, oraz
przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych
do przetwarzania danych osobowych z przepisami
o ochronie danych osobowych
2) prowadzenie rejestru zbiorów danych
przetwarzanych przez administratora danych, z
wyjątkiem zbiorów, o których mowa w art. 43
ust. 1, zawierającego nazwę zbioru oraz
informacje, o których mowa w art. 41 ust. 1 pkt 2–
4a i 7
Obowiązki
ABI
sprawdzenie
zweryfikowanie zgodności
przetwarzania DO z przepisami
sprawozdanie
dokument zawierający elementy
określone w ustawie, opracowany
przez administratora bezpieczeństwa
informacji po dokonaniu sprawdzenia
nadzór
weryfikacja – opracowania i
kompletności dokumentacji, jej
zgodności z przepisami, stanu
faktycznego, skuteczności
przewidzianych śr. technicznych i
organizacyjnych, przestrzegania
obowiązków wynikających z
dokumentacji
plan sprawdzeń
sprawdzenia planowe i doraźne
sprawdzenia na wniosek GIODO
zawiadomienie do ADO o sprawdzeniu doraźnym
zakres sprawdzeń - art. 23-27, 31-35, 36-39, 41, 47-48
program sprawdzenia
określenie uprawnień ABI (zakres czynności i dokumentowania
sprawdzeń, wyjaśnienia, oględziny, dostęp do materiałów i pomieszczeń)
ustalenie ram sprawdzeń i jego dokumentowania
forma protokołu
sprawdzenie/nadzór
jako wynik nadzoru i sprawdzeń ABI informuje ADO i POUCZA
naruszającego przepisy
TERMINY
7 dni uprzedzenia przed ww. czynnościami
plan obejmuje 3-12 m-cy, przedkładany ADO do 14 dni przed
rozpoczęciem realizacji, obejmuje co najmniej jedno sprawdzenie
ze sprawdzenia planowego sprawozdanie 30 dni; pozaplanowego
niezwłocznie; na zlecenie GIODO w terminie umożliwiającym ADO
spełnienie żądania GIODO
Inna działalność ABI w organizacji
Działania informacyjne
Współpraca z działem IT (ASI)
Współpraca z audytorem
Współpraca z działami merytorycznymi
Nie wszystko
rejestrujemy,
ale za wszystko
odpowiadamy
Ewidencja
zbiorów
danych
Zbiory
powierzone
Inwentaryzacja
zbiorów
Zbiory obce
minimalizacja
liczby źródeł
danych
KRI
ZAKRES I CEL
Zlecenie zadań
ABI
KLAUZULA
POUFNOŚCI
WYMAGANIA
Powierzanie
przetwarzania
danych
osobowych w
drodze umowy
NASZE
UPRAWNIENIA
Rejestracja zbioru danych osobowych
1
Decyzja o konieczności przetwarzania
2
Określenie wymagań prawnych
przetwarzania
3
Wypełnienie tych wymagań
4
Rejestracja zbioru przez ABI
4
Zgłoszenie zbioru do GIODO
Dane zwykłe
5
Przetwarzamy
Dane sensytywne
5
Informacja o zarejestrowaniu zbioru
przez GIODO
6
Przetwarzamy
Dziękuję za uwagę
MICHAŁ CUPIAŁ
tel.: 89-523-27-91
[email protected]