© 2011 ENSI

Maciej Byczkowski

Zarz

Zarz

ą

ą

dzanie bezpiecze

dzanie bezpiecze

ń

ń

stwem

stwem

danych osobowych

danych osobowych

-

-

Praktyka wykonywania zada

Praktyka wykonywania zada

ń

ń

ABI oraz

ABI oraz

konieczne zmiany statusu ABI i wymaga

konieczne zmiany statusu ABI i wymaga

ń

ń

dotycz

dotycz

ą

ą

cych bezpiecze

cych bezpiecze

ń

ń

stwa danych

stwa danych

Maciej Byczkowski

Maciej Byczkowski

© 2011 ENSI

Maciej Byczkowski

Agenda

Agenda

Dzia

Dzia

ł

ł

ania SABI w sprawie zmiany

ania SABI w sprawie zmiany

statusu ABI

statusu ABI

Praktyka wykonywania zada

Praktyka wykonywania zada

ń

ń

ABI:

ABI:

Miejsce w strukturze organizacyjnej

Miejsce w strukturze organizacyjnej

Zakres kompetencji i uprawnie

Zakres kompetencji i uprawnie

ń

ń

Zakres zada

Zakres zada

ń

ń

i obowi

i obowi

ą

ą

zk

zk

ó

ó

w ABI

w ABI

Konieczne zmiany dotycz

Konieczne zmiany dotycz

ą

ą

ce

ce

zabezpieczenia danych osobowych

zabezpieczenia danych osobowych

© 2011 ENSI

Maciej Byczkowski

Cel dzia

Cel dzia

ł

ł

a

a

ń

ń

SABI zwi

SABI zwi

ą

ą

zany

zany

ze zmian

ze zmian

ą

ą

statusu ABI

statusu ABI

Podniesienie statusu zawodowego ABI

Podniesienie statusu zawodowego ABI

Stworzenie Kodeksu Etyki zawodowej ABI

Stworzenie Kodeksu Etyki zawodowej ABI

Umo

Umo

ż

ż

liwienie rozwoju zawodowego i

liwienie rozwoju zawodowego i

podnoszenia kwalifikacji ABI

podnoszenia kwalifikacji ABI

Zwi

Zwi

ę

ę

kszenie roli kontrolnej ABI w polskich

kszenie roli kontrolnej ABI w polskich

organizacjach

organizacjach

–

–

ranga i wa

ranga i wa

ż

ż

no

no

ść

ść

stanowiska

stanowiska

Zapewnienie skutecznej realizacji ochrony

Zapewnienie skutecznej realizacji ochrony

danych w wewn

danych w wewn

ą

ą

trz organizacji

trz organizacji

Poprawa skuteczno

Poprawa skuteczno

ś

ś

ci ochrony danych

ci ochrony danych

osobowych w Polsce

osobowych w Polsce

© 2011 ENSI

Maciej Byczkowski

Wykonane dzia

Wykonane dzia

ł

ł

ania SABI

ania SABI

Stworzenie Kodeksu Etyki Zawodowej

Stworzenie Kodeksu Etyki Zawodowej

ABI

ABI

Opracowanie projektu nowelizacji

Opracowanie projektu nowelizacji

ustawy o ochronie danych osobowych

ustawy o ochronie danych osobowych

w zakresie zmian statusu ABI

w zakresie zmian statusu ABI

Przedstawienie projektu na forum

Przedstawienie projektu na forum

sejmowym i rz

sejmowym i rz

ą

ą

dowym

dowym

Przedstawienie propozycji zmian

Przedstawienie propozycji zmian

Statusu ABI w Dyrektywie KE

Statusu ABI w Dyrektywie KE

© 2011 ENSI

Maciej Byczkowski

Praktyka wykonywania

Praktyka wykonywania

zada

zada

ń

ń

ABI w Polsce

ABI w Polsce

© 2011 ENSI

Maciej Byczkowski

Praktyka ABI

Praktyka ABI

–

–

ponad 12 lat

ponad 12 lat

do

do

ś

ś

wiadcze

wiadcze

ń

ń

Faktyczny zakres zada

Faktyczny zakres zada

ń

ń

:

:

Nadz

Nadz

ó

ó

r zgodnie z ustaw

r zgodnie z ustaw

ą

ą

Wykonywanie prac zwi

Wykonywanie prac zwi

ą

ą

zanych z realizacj

zanych z realizacj

ą

ą

obowi

obowi

ą

ą

zk

zk

ó

ó

w ADO

w ADO

Zarz

Zarz

ą

ą

dzanie systemem IT

dzanie systemem IT

Inne

Inne

© 2011 ENSI

Maciej Byczkowski

Praktyka wykonywania zada

Praktyka wykonywania zada

ń

ń

ABI

ABI

Kogo wyznacza si

Kogo wyznacza si

ę

ę

na ABI:

na ABI:

Dedykowana osoba

Dedykowana osoba

–

–

niezale

niezale

ż

ż

ne

ne

stanowisko

stanowisko

Stanowisko

Stanowisko

ł

ą

ł

ą

czone:

czone:

Dyrektor IT, Administrator systemu IT

Dyrektor IT, Administrator systemu IT

Dyrektor Kadr

Dyrektor Kadr

Audytor wewn

Audytor wewn

ę

ę

trzny

trzny

–

–

role kontrolne

role kontrolne

Radca prawny

Radca prawny

Stanowiska przypadkowe

Stanowiska przypadkowe

Brak wyznaczenia ABI

Brak wyznaczenia ABI

© 2011 ENSI

Maciej Byczkowski

R

R

ó

ó

ż

ż

nice w wykonywaniu zada

nice w wykonywaniu zada

ń

ń

ABI

ABI

Specyfika bran

Specyfika bran

ż

ż

y lub rodzaju podmiotu

y lub rodzaju podmiotu

R

R

ó

ó

ż

ż

ne wymagania prawne zwi

ne wymagania prawne zwi

ą

ą

zane z

zane z

przetwarzaniem danych

przetwarzaniem danych

R

R

ó

ó

ż

ż

ne cele biznesowe w pozyskiwaniu

ne cele biznesowe w pozyskiwaniu

danych

danych

Podzia

Podzia

ł

ł

zada

zada

ń

ń

przy przetwarzaniu

przy przetwarzaniu

danych:

danych:

Role zarz

Role zarz

ą

ą

dcze, wykonawcze i kontrolne

dcze, wykonawcze i kontrolne

Umiejscowienie ABI w strukturze:

Umiejscowienie ABI w strukturze:

Ł

ą

Ł

ą

czenie stanowisk

czenie stanowisk

Samodzielne stanowisko

Samodzielne stanowisko

© 2011 ENSI

Maciej Byczkowski

R

R

ó

ó

ż

ż

nice w wykonywaniu zada

nice w wykonywaniu zada

ń

ń

ABI

ABI

Z

Z

ł

ł

o

o

ż

ż

ono

ono

ść

ść

problemu przetwarzania:

problemu przetwarzania:

R

R

ó

ó

ż

ż

ne zbiory danych

ne zbiory danych

Kana

Kana

ł

ł

y zbierania danych

y zbierania danych

Akcje marketingowe

Akcje marketingowe

Powierzanie danych procesorom

Powierzanie danych procesorom

Udost

Udost

ę

ę

pnianie danych

pnianie danych

Miejsca agregowania danych:

Miejsca agregowania danych:

System IT

System IT

Archiwa papierowe

Archiwa papierowe

© 2011 ENSI

Maciej Byczkowski

ABI a inne role kontrolne

ABI a inne role kontrolne

ABI nadzorca, kontroler czy audytor?

ABI nadzorca, kontroler czy audytor?

ABI a audytor wewn

ABI a audytor wewn

ę

ę

trzny (SZJ, SZBI,

trzny (SZJ, SZBI,

audyt/kontrola wewn

audyt/kontrola wewn

ę

ę

trzna)

trzna)

ABI a Pe

ABI a Pe

ł

ł

nomocnik ds. ochrony informacji

nomocnik ds. ochrony informacji

niejawnych

niejawnych

ABI a Pe

ABI a Pe

ł

ł

nomocnik ds. bezpiecze

nomocnik ds. bezpiecze

ń

ń

stwa

stwa

informacji

informacji

ABI a Inspektor Bezpiecze

ABI a Inspektor Bezpiecze

ń

ń

stwa

stwa

Teleinformatycznego

Teleinformatycznego

ABI a IT Security

ABI a IT Security

Officer

Officer

(ABSI)

(ABSI)

© 2011 ENSI

Maciej Byczkowski

Potrzeba okre

Potrzeba okre

ś

ś

lenia miejsca

lenia miejsca

ABI w strukturze organizacji

ABI w strukturze organizacji

Zapewnienie niezale

Zapewnienie niezale

ż

ż

no

no

ś

ś

ci

ci

Zapewnienie wykonywania zada

Zapewnienie wykonywania zada

ń

ń

nadzoru/audytu przetwarzania danych

nadzoru/audytu przetwarzania danych

Miejsce w strukturze

Miejsce w strukturze

-

-

funkcjonalny pion

funkcjonalny pion

kontrolny

kontrolny

Samodzielne stanowisko

Samodzielne stanowisko

Lub pion ABI w du

Lub pion ABI w du

ż

ż

ych strukturach

ych strukturach

Pe

Pe

ł

ł

nomocnik Zarz

nomocnik Zarz

ą

ą

du ds. ochrony danych

du ds. ochrony danych

© 2011 ENSI

Maciej Byczkowski

Potrzeba podzia

Potrzeba podzia

ł

ł

u zada

u zada

ń

ń

w

w

zarz

zarz

ą

ą

dzaniu bezpiecze

dzaniu bezpiecze

ń

ń

stwem

stwem

(przyk

(przyk

ł

ł

ad z Metodyki PBDO

ad z Metodyki PBDO

–

–

ENSI)

ENSI)

DIT

Funkcje zarządcze

Funkcje kontrolne

ZBIÓR/ZASÓB

Danych Osobowych

SYSTEM

INFORMATYCZNY

przetwarzaj

ą

cy dane

osobowe

ZZDO

ABI

ABSI

ADO

© 2011 ENSI

Maciej Byczkowski

Potrzeba okre

Potrzeba okre

ś

ś

lenia zakresu

lenia zakresu

odpowiedzialno

odpowiedzialno

ś

ś

ci ABI

ci ABI

ABI nadzorca, audytor czy wykonawca?

ABI nadzorca, audytor czy wykonawca?

Podzia

Podzia

ł

ł

roli na ABI i ABSI

roli na ABI i ABSI

–

–

w zale

w zale

ż

ż

no

no

ś

ś

ci od kompetencji

ci od kompetencji

Hierarchia ABI

Hierarchia ABI

–

–

Centrala a oddzia

Centrala a oddzia

ł

ł

y

y

Outsourcing ABI

Outsourcing ABI

© 2011 ENSI

Maciej Byczkowski

Potrzeba kompetencji ABI

Potrzeba kompetencji ABI

Propozycja zakresu kompetencji:

Propozycja zakresu kompetencji:

Wiedza dotycz

Wiedza dotycz

ą

ą

ca aspekt

ca aspekt

ó

ó

w prawnych

w prawnych

zwi

zwi

ą

ą

zanych z ochron

zanych z ochron

ą

ą

informacji

informacji

Umiej

Umiej

ę

ę

tno

tno

ś

ś

ci z zakresu prowadzenia

ci z zakresu prowadzenia

audytu wewn

audytu wewn

ę

ę

trznego

trznego

Wiedza z zakresu zarz

Wiedza z zakresu zarz

ą

ą

dzania (procesami)

dzania (procesami)

–

–

w tym zarz

w tym zarz

ą

ą

dzania ryzykiem

dzania ryzykiem

Wiedza dotycz

Wiedza dotycz

ą

ą

ca funkcjonowania

ca funkcjonowania

systemu informatycznego

systemu informatycznego

Umiej

Umiej

ę

ę

tno

tno

ś

ś

ci zwi

ci zwi

ą

ą

zane z opracowywaniem

zane z opracowywaniem

dokumentacji

dokumentacji

Umiej

Umiej

ę

ę

tno

tno

ś

ś

ci zwi

ci zwi

ą

ą

zane z prowadzeniem

zane z prowadzeniem

szkole

szkole

ń

ń

© 2011 ENSI

Maciej Byczkowski

Potrzeba okre

Potrzeba okre

ś

ś

lenia zakresu

lenia zakresu

uprawnie

uprawnie

ń

ń

ABI

ABI

Mo

Mo

ż

ż

liwo

liwo

ść

ść

wykonywania nadzoru i audytu

wykonywania nadzoru i audytu

w kom

w kom

ó

ó

rkach organizacyjnych

rkach organizacyjnych

przetwarzaj

przetwarzaj

ą

ą

cych dane

cych dane

Prawo

Prawo

żą

żą

dania wgl

dania wgl

ą

ą

du w dokumentacj

du w dokumentacj

ę

ę

dotycz

dotycz

ą

ą

c

c

ą

ą

przetwarzania danych

przetwarzania danych

Prawo wgl

Prawo wgl

ą

ą

du do systemu informatycznego

du do systemu informatycznego

przetwarzaj

przetwarzaj

ą

ą

cego dane

cego dane

Prawo wykonywania kontroli u procesor

Prawo wykonywania kontroli u procesor

ó

ó

w

w

–

–

zgodnie z umowami powierzenia

zgodnie z umowami powierzenia

© 2011 ENSI

Maciej Byczkowski

Potrzeba okre

Potrzeba okre

ś

ś

lenia zada

lenia zada

ń

ń

ABI

ABI

Nadz

Nadz

ó

ó

r nad przestrzeganiem zasad ochrony

r nad przestrzeganiem zasad ochrony

danych osobowych

danych osobowych

Przeprowadzanie audytu zgodno

Przeprowadzanie audytu zgodno

ś

ś

ci

ci

przetwarzania danych osobowych z

przetwarzania danych osobowych z

u.o.d.o

u.o.d.o

.

.

Prowadzenie dokumentacji opisuj

Prowadzenie dokumentacji opisuj

ą

ą

cej

cej

spos

spos

ó

ó

b przetwarzania danych osobowych

b przetwarzania danych osobowych

oraz

oraz

ś

ś

rodki techniczne i organizacyjne

rodki techniczne i organizacyjne

zabezpieczenia danych osobowych

zabezpieczenia danych osobowych

Prowadzenie lub nadz

Prowadzenie lub nadz

ó

ó

r nad prowadzeniem

r nad prowadzeniem

ewidencji os

ewidencji os

ó

ó

b upowa

b upowa

ż

ż

nionych do

nionych do

przetwarzania danych osobowych

przetwarzania danych osobowych

© 2011 ENSI

Maciej Byczkowski

Potrzeba okre

Potrzeba okre

ś

ś

lenia zada

lenia zada

ń

ń

ABI

ABI

Prowadzenie wykazu wszystkich zbior

Prowadzenie wykazu wszystkich zbior

ó

ó

w

w

danych osobowych

danych osobowych

Prowadzenie wykazu obszaru przetwarzania

Prowadzenie wykazu obszaru przetwarzania

danych osobowych

danych osobowych

Przygotowywanie wniosk

Przygotowywanie wniosk

ó

ó

w zg

w zg

ł

ł

oszeniowych

oszeniowych

zbior

zbior

ó

ó

w danych osobowych do

w danych osobowych do

rejestracji/aktualizacji GIODO

rejestracji/aktualizacji GIODO

Nadz

Nadz

ó

ó

r nad udost

r nad udost

ę

ę

pnianiem i powierzaniem

pnianiem i powierzaniem

danych osobowych innym podmiotom

danych osobowych innym podmiotom

Wykaz odbiorc

Wykaz odbiorc

ó

ó

w i procesor

w i procesor

ó

ó

w

w

© 2011 ENSI

Maciej Byczkowski

Potrzeba okre

Potrzeba okre

ś

ś

lenia zada

lenia zada

ń

ń

ABI

ABI

Nadz

Nadz

ó

ó

r i audyt zabezpiecze

r i audyt zabezpiecze

ń

ń

systemu

systemu

informatycznego, w kt

informatycznego, w kt

ó

ó

rym przetwarzane s

rym przetwarzane s

ą

ą

dane osobowe (lub wsp

dane osobowe (lub wsp

ó

ó

ł

ł

praca z ABSI)

praca z ABSI)

Nadz

Nadz

ó

ó

r nad wykonywaniem obowi

r nad wykonywaniem obowi

ą

ą

zk

zk

ó

ó

w

w

informacyjnych

informacyjnych

–

–

klauzule informacyjne

klauzule informacyjne

i o

i o

ś

ś

wiadczenia dotycz

wiadczenia dotycz

ą

ą

ce zgody

ce zgody

Nadz

Nadz

ó

ó

r wykonywania zada

r wykonywania zada

ń

ń

przez inne

przez inne

wyznaczone do zada

wyznaczone do zada

ń

ń

nadzorczych osoby

nadzorczych osoby

np

np

. Lokalnych czy terenowych ABI

. Lokalnych czy terenowych ABI

Podejmowanie dzia

Podejmowanie dzia

ł

ł

a

a

ń

ń

w sytuacji naruszenia

w sytuacji naruszenia

ochrony danych

ochrony danych

© 2011 ENSI

Maciej Byczkowski

Potrzeba okre

Potrzeba okre

ś

ś

lenia zada

lenia zada

ń

ń

ABI

ABI

Przygotowywanie materia

Przygotowywanie materia

ł

ł

ó

ó

w informacyjnych

w informacyjnych

dla pracownik

dla pracownik

ó

ó

w upowa

w upowa

ż

ż

nionych do

nionych do

przetwarzania danych osobowych

przetwarzania danych osobowych

Organizowanie/prowadzenie szkole

Organizowanie/prowadzenie szkole

ń

ń

dla

dla

pracownik

pracownik

ó

ó

w z zakresu ochrony danych w

w z zakresu ochrony danych w

organizacji

organizacji

Kontakt z GIODO

Kontakt z GIODO

Przygotowywanie odpowiedzi

Przygotowywanie odpowiedzi

Udzia

Udzia

ł

ł

w czasie kontroli

w czasie kontroli

Rozpatrywanie skarg i zapyta

Rozpatrywanie skarg i zapyta

ń

ń

od os

od os

ó

ó

b w

b w

zakresie ochrony danych

zakresie ochrony danych

© 2011 ENSI

Maciej Byczkowski

Wykonywanie zada

Wykonywanie zada

ń

ń

ABI

ABI

Ł

ą

Ł

ą

czenie problematyki ochrony danych

czenie problematyki ochrony danych

osobowych z ochron

osobowych z ochron

ą

ą

innych rodzaj

innych rodzaj

ó

ó

w

w

informacji:

informacji:

Informacje niejawne

Informacje niejawne

Tajemnice przedsi

Tajemnice przedsi

ę

ę

biorstwa

biorstwa

Informacje publiczne

Informacje publiczne

© 2011 ENSI

Maciej Byczkowski

Konieczne zmiany

Konieczne zmiany

dotycz

dotycz

ą

ą

ce zabezpieczenia

ce zabezpieczenia

danych osobowych

danych osobowych

© 2011 ENSI

Maciej Byczkowski

Zmiany rozdzia

Zmiany rozdzia

ł

ł

u 5 ustawy

u 5 ustawy

odo

odo

-

-

zabezpieczenia

zabezpieczenia

Okre

Okre

ś

ś

lanie zabezpiecze

lanie zabezpiecze

ń

ń

w odniesieniu do

w odniesieniu do

ryzyka przetwarzania danych

ryzyka przetwarzania danych

Dokumentacja

Dokumentacja

–

–

rejestr operacji na danych

rejestr operacji na danych

ABI

ABI

–

–

ustalenie stratusu

ustalenie stratusu

Kwestie upowa

Kwestie upowa

ż

ż

nienia do przetwarzania

nienia do przetwarzania

danych

danych

-

-

zakres i forma nadania

zakres i forma nadania

Okre

Okre

ś

ś

lenie kontroli

lenie kontroli

–

–

art. 38

art. 38

Delegacja do rozporz

Delegacja do rozporz

ą

ą

dzenia

dzenia

© 2011 ENSI

Maciej Byczkowski

Zmiany dotycz

Zmiany dotycz

ą

ą

ce powierzania

ce powierzania

przetwarzania danych

przetwarzania danych

Ustalenie kwestii zabezpieczenia

Ustalenie kwestii zabezpieczenia

w zale

w zale

ż

ż

no

no

ś

ś

ci od obszaru przetwarzania

ci od obszaru przetwarzania

Kontrola procesora przez ADO

Kontrola procesora przez ADO

Tryb kontroli i uprawnienia ADO

Tryb kontroli i uprawnienia ADO

Kwestia

Kwestia

podprocesor

podprocesor

ó

ó

w

w

Zgoda ADO

Zgoda ADO

Powiadomienie ADO

Powiadomienie ADO

Kwestia obowi

Kwestia obowi

ą

ą

zku wyznaczenia ABI przez

zku wyznaczenia ABI przez

procesora

procesora

Wprowadzenie definicji procesora

Wprowadzenie definicji procesora

© 2011 ENSI

Maciej Byczkowski

Zmiana rozporz

Zmiana rozporz

ą

ą

dzenia

dzenia

Zmieni

Zmieni

ć

ć

:

:

Zakres dokumentacji

Zakres dokumentacji

Wymogi zabezpieczenie obszaru przetwarzania

Wymogi zabezpieczenie obszaru przetwarzania

Wymogi zabezpieczenia systemu IT

Wymogi zabezpieczenia systemu IT

Kwestia odnotowywania informacji w systemie

Kwestia odnotowywania informacji w systemie

informatycznym

informatycznym

Doda

Doda

ć

ć

:

:

Kwestie wykonywania roli ABI

Kwestie wykonywania roli ABI

Kwestie kontroli (art. 38)

Kwestie kontroli (art. 38)

Kwestia nadawania upowa

Kwestia nadawania upowa

ż

ż

nie

nie

ń

ń

Kwestia szkole

Kwestia szkole

ń

ń

Kwestia szacowania ryzyka

Kwestia szacowania ryzyka

© 2011 ENSI

Maciej Byczkowski

Pytania?

Pytania?

www.sabi.org.pl

www.sabi.org.pl

www.ensi.net

www.ensi.net