03 Maciej Byczkowski Konferencja SABI PW odblokowany

background image

© 2011 ENSI

Maciej Byczkowski

Zarz

Zarz

ą

ą

dzanie bezpiecze

dzanie bezpiecze

ń

ń

stwem

stwem

danych osobowych

danych osobowych

-

-

Praktyka wykonywania zada

Praktyka wykonywania zada

ń

ń

ABI oraz

ABI oraz

konieczne zmiany statusu ABI i wymaga

konieczne zmiany statusu ABI i wymaga

ń

ń

dotycz

dotycz

ą

ą

cych bezpiecze

cych bezpiecze

ń

ń

stwa danych

stwa danych

Maciej Byczkowski

Maciej Byczkowski

background image

© 2011 ENSI

Maciej Byczkowski

Agenda

Agenda

Dzia

Dzia

ł

ł

ania SABI w sprawie zmiany

ania SABI w sprawie zmiany

statusu ABI

statusu ABI

Praktyka wykonywania zada

Praktyka wykonywania zada

ń

ń

ABI:

ABI:

Miejsce w strukturze organizacyjnej

Miejsce w strukturze organizacyjnej

Zakres kompetencji i uprawnie

Zakres kompetencji i uprawnie

ń

ń

Zakres zada

Zakres zada

ń

ń

i obowi

i obowi

ą

ą

zk

zk

ó

ó

w ABI

w ABI

Konieczne zmiany dotycz

Konieczne zmiany dotycz

ą

ą

ce

ce

zabezpieczenia danych osobowych

zabezpieczenia danych osobowych

background image

© 2011 ENSI

Maciej Byczkowski

Cel dzia

Cel dzia

ł

ł

a

a

ń

ń

SABI zwi

SABI zwi

ą

ą

zany

zany

ze zmian

ze zmian

ą

ą

statusu ABI

statusu ABI

Podniesienie statusu zawodowego ABI

Podniesienie statusu zawodowego ABI

Stworzenie Kodeksu Etyki zawodowej ABI

Stworzenie Kodeksu Etyki zawodowej ABI

Umo

Umo

ż

ż

liwienie rozwoju zawodowego i

liwienie rozwoju zawodowego i

podnoszenia kwalifikacji ABI

podnoszenia kwalifikacji ABI

Zwi

Zwi

ę

ę

kszenie roli kontrolnej ABI w polskich

kszenie roli kontrolnej ABI w polskich

organizacjach

organizacjach

ranga i wa

ranga i wa

ż

ż

no

no

ść

ść

stanowiska

stanowiska

Zapewnienie skutecznej realizacji ochrony

Zapewnienie skutecznej realizacji ochrony

danych w wewn

danych w wewn

ą

ą

trz organizacji

trz organizacji

Poprawa skuteczno

Poprawa skuteczno

ś

ś

ci ochrony danych

ci ochrony danych

osobowych w Polsce

osobowych w Polsce

background image

© 2011 ENSI

Maciej Byczkowski

Wykonane dzia

Wykonane dzia

ł

ł

ania SABI

ania SABI

Stworzenie Kodeksu Etyki Zawodowej

Stworzenie Kodeksu Etyki Zawodowej

ABI

ABI

Opracowanie projektu nowelizacji

Opracowanie projektu nowelizacji

ustawy o ochronie danych osobowych

ustawy o ochronie danych osobowych

w zakresie zmian statusu ABI

w zakresie zmian statusu ABI

Przedstawienie projektu na forum

Przedstawienie projektu na forum

sejmowym i rz

sejmowym i rz

ą

ą

dowym

dowym

Przedstawienie propozycji zmian

Przedstawienie propozycji zmian

Statusu ABI w Dyrektywie KE

Statusu ABI w Dyrektywie KE

background image

© 2011 ENSI

Maciej Byczkowski

Praktyka wykonywania

Praktyka wykonywania

zada

zada

ń

ń

ABI w Polsce

ABI w Polsce

background image

© 2011 ENSI

Maciej Byczkowski

Praktyka ABI

Praktyka ABI

ponad 12 lat

ponad 12 lat

do

do

ś

ś

wiadcze

wiadcze

ń

ń

Faktyczny zakres zada

Faktyczny zakres zada

ń

ń

:

:

Nadz

Nadz

ó

ó

r zgodnie z ustaw

r zgodnie z ustaw

ą

ą

Wykonywanie prac zwi

Wykonywanie prac zwi

ą

ą

zanych z realizacj

zanych z realizacj

ą

ą

obowi

obowi

ą

ą

zk

zk

ó

ó

w ADO

w ADO

Zarz

Zarz

ą

ą

dzanie systemem IT

dzanie systemem IT

Inne

Inne

background image

© 2011 ENSI

Maciej Byczkowski

Praktyka wykonywania zada

Praktyka wykonywania zada

ń

ń

ABI

ABI

Kogo wyznacza si

Kogo wyznacza si

ę

ę

na ABI:

na ABI:

Dedykowana osoba

Dedykowana osoba

niezale

niezale

ż

ż

ne

ne

stanowisko

stanowisko

Stanowisko

Stanowisko

ł

ą

ł

ą

czone:

czone:

Dyrektor IT, Administrator systemu IT

Dyrektor IT, Administrator systemu IT

Dyrektor Kadr

Dyrektor Kadr

Audytor wewn

Audytor wewn

ę

ę

trzny

trzny

role kontrolne

role kontrolne

Radca prawny

Radca prawny

Stanowiska przypadkowe

Stanowiska przypadkowe

Brak wyznaczenia ABI

Brak wyznaczenia ABI

background image

© 2011 ENSI

Maciej Byczkowski

R

R

ó

ó

ż

ż

nice w wykonywaniu zada

nice w wykonywaniu zada

ń

ń

ABI

ABI

Specyfika bran

Specyfika bran

ż

ż

y lub rodzaju podmiotu

y lub rodzaju podmiotu

R

R

ó

ó

ż

ż

ne wymagania prawne zwi

ne wymagania prawne zwi

ą

ą

zane z

zane z

przetwarzaniem danych

przetwarzaniem danych

R

R

ó

ó

ż

ż

ne cele biznesowe w pozyskiwaniu

ne cele biznesowe w pozyskiwaniu

danych

danych

Podzia

Podzia

ł

ł

zada

zada

ń

ń

przy przetwarzaniu

przy przetwarzaniu

danych:

danych:

Role zarz

Role zarz

ą

ą

dcze, wykonawcze i kontrolne

dcze, wykonawcze i kontrolne

Umiejscowienie ABI w strukturze:

Umiejscowienie ABI w strukturze:

Ł

ą

Ł

ą

czenie stanowisk

czenie stanowisk

Samodzielne stanowisko

Samodzielne stanowisko

background image

© 2011 ENSI

Maciej Byczkowski

R

R

ó

ó

ż

ż

nice w wykonywaniu zada

nice w wykonywaniu zada

ń

ń

ABI

ABI

Z

Z

ł

ł

o

o

ż

ż

ono

ono

ść

ść

problemu przetwarzania:

problemu przetwarzania:

R

R

ó

ó

ż

ż

ne zbiory danych

ne zbiory danych

Kana

Kana

ł

ł

y zbierania danych

y zbierania danych

Akcje marketingowe

Akcje marketingowe

Powierzanie danych procesorom

Powierzanie danych procesorom

Udost

Udost

ę

ę

pnianie danych

pnianie danych

Miejsca agregowania danych:

Miejsca agregowania danych:

System IT

System IT

Archiwa papierowe

Archiwa papierowe

background image

© 2011 ENSI

Maciej Byczkowski

ABI a inne role kontrolne

ABI a inne role kontrolne

ABI nadzorca, kontroler czy audytor?

ABI nadzorca, kontroler czy audytor?

ABI a audytor wewn

ABI a audytor wewn

ę

ę

trzny (SZJ, SZBI,

trzny (SZJ, SZBI,

audyt/kontrola wewn

audyt/kontrola wewn

ę

ę

trzna)

trzna)

ABI a Pe

ABI a Pe

ł

ł

nomocnik ds. ochrony informacji

nomocnik ds. ochrony informacji

niejawnych

niejawnych

ABI a Pe

ABI a Pe

ł

ł

nomocnik ds. bezpiecze

nomocnik ds. bezpiecze

ń

ń

stwa

stwa

informacji

informacji

ABI a Inspektor Bezpiecze

ABI a Inspektor Bezpiecze

ń

ń

stwa

stwa

Teleinformatycznego

Teleinformatycznego

ABI a IT Security

ABI a IT Security

Officer

Officer

(ABSI)

(ABSI)

background image

© 2011 ENSI

Maciej Byczkowski

Potrzeba okre

Potrzeba okre

ś

ś

lenia miejsca

lenia miejsca

ABI w strukturze organizacji

ABI w strukturze organizacji

Zapewnienie niezale

Zapewnienie niezale

ż

ż

no

no

ś

ś

ci

ci

Zapewnienie wykonywania zada

Zapewnienie wykonywania zada

ń

ń

nadzoru/audytu przetwarzania danych

nadzoru/audytu przetwarzania danych

Miejsce w strukturze

Miejsce w strukturze

-

-

funkcjonalny pion

funkcjonalny pion

kontrolny

kontrolny

Samodzielne stanowisko

Samodzielne stanowisko

Lub pion ABI w du

Lub pion ABI w du

ż

ż

ych strukturach

ych strukturach

Pe

Pe

ł

ł

nomocnik Zarz

nomocnik Zarz

ą

ą

du ds. ochrony danych

du ds. ochrony danych

background image

© 2011 ENSI

Maciej Byczkowski

Potrzeba podzia

Potrzeba podzia

ł

ł

u zada

u zada

ń

ń

w

w

zarz

zarz

ą

ą

dzaniu bezpiecze

dzaniu bezpiecze

ń

ń

stwem

stwem

(przyk

(przyk

ł

ł

ad z Metodyki PBDO

ad z Metodyki PBDO

ENSI)

ENSI)

DIT

Funkcje zarządcze

Funkcje kontrolne

ZBIÓR/ZASÓB

Danych Osobowych

SYSTEM

INFORMATYCZNY

przetwarzaj

ą

cy dane

osobowe

ZZDO

ABI

ABSI

ADO

background image

© 2011 ENSI

Maciej Byczkowski

Potrzeba okre

Potrzeba okre

ś

ś

lenia zakresu

lenia zakresu

odpowiedzialno

odpowiedzialno

ś

ś

ci ABI

ci ABI

ABI nadzorca, audytor czy wykonawca?

ABI nadzorca, audytor czy wykonawca?

Podzia

Podzia

ł

ł

roli na ABI i ABSI

roli na ABI i ABSI

w zale

w zale

ż

ż

no

no

ś

ś

ci od kompetencji

ci od kompetencji

Hierarchia ABI

Hierarchia ABI

Centrala a oddzia

Centrala a oddzia

ł

ł

y

y

Outsourcing ABI

Outsourcing ABI

background image

© 2011 ENSI

Maciej Byczkowski

Potrzeba kompetencji ABI

Potrzeba kompetencji ABI

Propozycja zakresu kompetencji:

Propozycja zakresu kompetencji:

Wiedza dotycz

Wiedza dotycz

ą

ą

ca aspekt

ca aspekt

ó

ó

w prawnych

w prawnych

zwi

zwi

ą

ą

zanych z ochron

zanych z ochron

ą

ą

informacji

informacji

Umiej

Umiej

ę

ę

tno

tno

ś

ś

ci z zakresu prowadzenia

ci z zakresu prowadzenia

audytu wewn

audytu wewn

ę

ę

trznego

trznego

Wiedza z zakresu zarz

Wiedza z zakresu zarz

ą

ą

dzania (procesami)

dzania (procesami)

w tym zarz

w tym zarz

ą

ą

dzania ryzykiem

dzania ryzykiem

Wiedza dotycz

Wiedza dotycz

ą

ą

ca funkcjonowania

ca funkcjonowania

systemu informatycznego

systemu informatycznego

Umiej

Umiej

ę

ę

tno

tno

ś

ś

ci zwi

ci zwi

ą

ą

zane z opracowywaniem

zane z opracowywaniem

dokumentacji

dokumentacji

Umiej

Umiej

ę

ę

tno

tno

ś

ś

ci zwi

ci zwi

ą

ą

zane z prowadzeniem

zane z prowadzeniem

szkole

szkole

ń

ń

background image

© 2011 ENSI

Maciej Byczkowski

Potrzeba okre

Potrzeba okre

ś

ś

lenia zakresu

lenia zakresu

uprawnie

uprawnie

ń

ń

ABI

ABI

Mo

Mo

ż

ż

liwo

liwo

ść

ść

wykonywania nadzoru i audytu

wykonywania nadzoru i audytu

w kom

w kom

ó

ó

rkach organizacyjnych

rkach organizacyjnych

przetwarzaj

przetwarzaj

ą

ą

cych dane

cych dane

Prawo

Prawo

żą

żą

dania wgl

dania wgl

ą

ą

du w dokumentacj

du w dokumentacj

ę

ę

dotycz

dotycz

ą

ą

c

c

ą

ą

przetwarzania danych

przetwarzania danych

Prawo wgl

Prawo wgl

ą

ą

du do systemu informatycznego

du do systemu informatycznego

przetwarzaj

przetwarzaj

ą

ą

cego dane

cego dane

Prawo wykonywania kontroli u procesor

Prawo wykonywania kontroli u procesor

ó

ó

w

w

zgodnie z umowami powierzenia

zgodnie z umowami powierzenia

background image

© 2011 ENSI

Maciej Byczkowski

Potrzeba okre

Potrzeba okre

ś

ś

lenia zada

lenia zada

ń

ń

ABI

ABI

Nadz

Nadz

ó

ó

r nad przestrzeganiem zasad ochrony

r nad przestrzeganiem zasad ochrony

danych osobowych

danych osobowych

Przeprowadzanie audytu zgodno

Przeprowadzanie audytu zgodno

ś

ś

ci

ci

przetwarzania danych osobowych z

przetwarzania danych osobowych z

u.o.d.o

u.o.d.o

.

.

Prowadzenie dokumentacji opisuj

Prowadzenie dokumentacji opisuj

ą

ą

cej

cej

spos

spos

ó

ó

b przetwarzania danych osobowych

b przetwarzania danych osobowych

oraz

oraz

ś

ś

rodki techniczne i organizacyjne

rodki techniczne i organizacyjne

zabezpieczenia danych osobowych

zabezpieczenia danych osobowych

Prowadzenie lub nadz

Prowadzenie lub nadz

ó

ó

r nad prowadzeniem

r nad prowadzeniem

ewidencji os

ewidencji os

ó

ó

b upowa

b upowa

ż

ż

nionych do

nionych do

przetwarzania danych osobowych

przetwarzania danych osobowych

background image

© 2011 ENSI

Maciej Byczkowski

Potrzeba okre

Potrzeba okre

ś

ś

lenia zada

lenia zada

ń

ń

ABI

ABI

Prowadzenie wykazu wszystkich zbior

Prowadzenie wykazu wszystkich zbior

ó

ó

w

w

danych osobowych

danych osobowych

Prowadzenie wykazu obszaru przetwarzania

Prowadzenie wykazu obszaru przetwarzania

danych osobowych

danych osobowych

Przygotowywanie wniosk

Przygotowywanie wniosk

ó

ó

w zg

w zg

ł

ł

oszeniowych

oszeniowych

zbior

zbior

ó

ó

w danych osobowych do

w danych osobowych do

rejestracji/aktualizacji GIODO

rejestracji/aktualizacji GIODO

Nadz

Nadz

ó

ó

r nad udost

r nad udost

ę

ę

pnianiem i powierzaniem

pnianiem i powierzaniem

danych osobowych innym podmiotom

danych osobowych innym podmiotom

Wykaz odbiorc

Wykaz odbiorc

ó

ó

w i procesor

w i procesor

ó

ó

w

w

background image

© 2011 ENSI

Maciej Byczkowski

Potrzeba okre

Potrzeba okre

ś

ś

lenia zada

lenia zada

ń

ń

ABI

ABI

Nadz

Nadz

ó

ó

r i audyt zabezpiecze

r i audyt zabezpiecze

ń

ń

systemu

systemu

informatycznego, w kt

informatycznego, w kt

ó

ó

rym przetwarzane s

rym przetwarzane s

ą

ą

dane osobowe (lub wsp

dane osobowe (lub wsp

ó

ó

ł

ł

praca z ABSI)

praca z ABSI)

Nadz

Nadz

ó

ó

r nad wykonywaniem obowi

r nad wykonywaniem obowi

ą

ą

zk

zk

ó

ó

w

w

informacyjnych

informacyjnych

klauzule informacyjne

klauzule informacyjne

i o

i o

ś

ś

wiadczenia dotycz

wiadczenia dotycz

ą

ą

ce zgody

ce zgody

Nadz

Nadz

ó

ó

r wykonywania zada

r wykonywania zada

ń

ń

przez inne

przez inne

wyznaczone do zada

wyznaczone do zada

ń

ń

nadzorczych osoby

nadzorczych osoby

np

np

. Lokalnych czy terenowych ABI

. Lokalnych czy terenowych ABI

Podejmowanie dzia

Podejmowanie dzia

ł

ł

a

a

ń

ń

w sytuacji naruszenia

w sytuacji naruszenia

ochrony danych

ochrony danych

background image

© 2011 ENSI

Maciej Byczkowski

Potrzeba okre

Potrzeba okre

ś

ś

lenia zada

lenia zada

ń

ń

ABI

ABI

Przygotowywanie materia

Przygotowywanie materia

ł

ł

ó

ó

w informacyjnych

w informacyjnych

dla pracownik

dla pracownik

ó

ó

w upowa

w upowa

ż

ż

nionych do

nionych do

przetwarzania danych osobowych

przetwarzania danych osobowych

Organizowanie/prowadzenie szkole

Organizowanie/prowadzenie szkole

ń

ń

dla

dla

pracownik

pracownik

ó

ó

w z zakresu ochrony danych w

w z zakresu ochrony danych w

organizacji

organizacji

Kontakt z GIODO

Kontakt z GIODO

Przygotowywanie odpowiedzi

Przygotowywanie odpowiedzi

Udzia

Udzia

ł

ł

w czasie kontroli

w czasie kontroli

Rozpatrywanie skarg i zapyta

Rozpatrywanie skarg i zapyta

ń

ń

od os

od os

ó

ó

b w

b w

zakresie ochrony danych

zakresie ochrony danych

background image

© 2011 ENSI

Maciej Byczkowski

Wykonywanie zada

Wykonywanie zada

ń

ń

ABI

ABI

Ł

ą

Ł

ą

czenie problematyki ochrony danych

czenie problematyki ochrony danych

osobowych z ochron

osobowych z ochron

ą

ą

innych rodzaj

innych rodzaj

ó

ó

w

w

informacji:

informacji:

Informacje niejawne

Informacje niejawne

Tajemnice przedsi

Tajemnice przedsi

ę

ę

biorstwa

biorstwa

Informacje publiczne

Informacje publiczne

background image

© 2011 ENSI

Maciej Byczkowski

Konieczne zmiany

Konieczne zmiany

dotycz

dotycz

ą

ą

ce zabezpieczenia

ce zabezpieczenia

danych osobowych

danych osobowych

background image

© 2011 ENSI

Maciej Byczkowski

Zmiany rozdzia

Zmiany rozdzia

ł

ł

u 5 ustawy

u 5 ustawy

odo

odo

-

-

zabezpieczenia

zabezpieczenia

Okre

Okre

ś

ś

lanie zabezpiecze

lanie zabezpiecze

ń

ń

w odniesieniu do

w odniesieniu do

ryzyka przetwarzania danych

ryzyka przetwarzania danych

Dokumentacja

Dokumentacja

rejestr operacji na danych

rejestr operacji na danych

ABI

ABI

ustalenie stratusu

ustalenie stratusu

Kwestie upowa

Kwestie upowa

ż

ż

nienia do przetwarzania

nienia do przetwarzania

danych

danych

-

-

zakres i forma nadania

zakres i forma nadania

Okre

Okre

ś

ś

lenie kontroli

lenie kontroli

art. 38

art. 38

Delegacja do rozporz

Delegacja do rozporz

ą

ą

dzenia

dzenia

background image

© 2011 ENSI

Maciej Byczkowski

Zmiany dotycz

Zmiany dotycz

ą

ą

ce powierzania

ce powierzania

przetwarzania danych

przetwarzania danych

Ustalenie kwestii zabezpieczenia

Ustalenie kwestii zabezpieczenia

w zale

w zale

ż

ż

no

no

ś

ś

ci od obszaru przetwarzania

ci od obszaru przetwarzania

Kontrola procesora przez ADO

Kontrola procesora przez ADO

Tryb kontroli i uprawnienia ADO

Tryb kontroli i uprawnienia ADO

Kwestia

Kwestia

podprocesor

podprocesor

ó

ó

w

w

Zgoda ADO

Zgoda ADO

Powiadomienie ADO

Powiadomienie ADO

Kwestia obowi

Kwestia obowi

ą

ą

zku wyznaczenia ABI przez

zku wyznaczenia ABI przez

procesora

procesora

Wprowadzenie definicji procesora

Wprowadzenie definicji procesora

background image

© 2011 ENSI

Maciej Byczkowski

Zmiana rozporz

Zmiana rozporz

ą

ą

dzenia

dzenia

Zmieni

Zmieni

ć

ć

:

:

Zakres dokumentacji

Zakres dokumentacji

Wymogi zabezpieczenie obszaru przetwarzania

Wymogi zabezpieczenie obszaru przetwarzania

Wymogi zabezpieczenia systemu IT

Wymogi zabezpieczenia systemu IT

Kwestia odnotowywania informacji w systemie

Kwestia odnotowywania informacji w systemie

informatycznym

informatycznym

Doda

Doda

ć

ć

:

:

Kwestie wykonywania roli ABI

Kwestie wykonywania roli ABI

Kwestie kontroli (art. 38)

Kwestie kontroli (art. 38)

Kwestia nadawania upowa

Kwestia nadawania upowa

ż

ż

nie

nie

ń

ń

Kwestia szkole

Kwestia szkole

ń

ń

Kwestia szacowania ryzyka

Kwestia szacowania ryzyka

background image

© 2011 ENSI

Maciej Byczkowski

Pytania?

Pytania?

www.sabi.org.pl

www.sabi.org.pl

www.ensi.net

www.ensi.net


Wyszukiwarka

Podobne podstrony:
04 Pawe, Litwi ski Konferencja SABI PW odblokowany
02 Wojciech Cellary Konferencja SABI PW odblokowany
06 Andrzej Kaczmarek Konferencja SABI PW odblokowany
05 Grzegorz Sibiga Konferencja SABI PW odblokowany
01 Wojciech Wiewi rowski Konferencja SABI PW odblokowany
07 Stefan Szyszko Konferencja SABI PW odblokowany
03 właściwości ok, Technologia chemiczna pw, 1rok, chemia kolosy egz
G2 4 PW Z Rys 03 03
G2 4 PW Odw Rys 03 05
G2 4 PW ORD Rys 03
2015 Diagnoza 2 ST amnezje itp 23 03 15 do pdf odblokowanyid 28580
G2 PW S DS Rys 03 05
G2 4 PW Odw Rys 03 02
Neuropsychologia kliniczna PRZYBORSKA W5A afazje cd 02 03 15 do pdf odblokowany
G2 4 PW KS Rys 03
G2 4 PW T tpsa Rys 03 01
G2 PW S DS Rys 03 03
G2 4 PW CO Rys 03 02

więcej podobnych podstron