© 2011 ENSI
Maciej Byczkowski
Zarz
Zarz
ą
ą
dzanie bezpiecze
dzanie bezpiecze
ń
ń
stwem
stwem
danych osobowych
danych osobowych
-
-
Praktyka wykonywania zada
Praktyka wykonywania zada
ń
ń
ABI oraz
ABI oraz
konieczne zmiany statusu ABI i wymaga
konieczne zmiany statusu ABI i wymaga
ń
ń
dotycz
dotycz
ą
ą
cych bezpiecze
cych bezpiecze
ń
ń
stwa danych
stwa danych
Maciej Byczkowski
Maciej Byczkowski
© 2011 ENSI
Maciej Byczkowski
Agenda
Agenda
Dzia
Dzia
ł
ł
ania SABI w sprawie zmiany
ania SABI w sprawie zmiany
statusu ABI
statusu ABI
Praktyka wykonywania zada
Praktyka wykonywania zada
ń
ń
ABI:
ABI:
Miejsce w strukturze organizacyjnej
Miejsce w strukturze organizacyjnej
Zakres kompetencji i uprawnie
Zakres kompetencji i uprawnie
ń
ń
Zakres zada
Zakres zada
ń
ń
i obowi
i obowi
ą
ą
zk
zk
ó
ó
w ABI
w ABI
Konieczne zmiany dotycz
Konieczne zmiany dotycz
ą
ą
ce
ce
zabezpieczenia danych osobowych
zabezpieczenia danych osobowych
© 2011 ENSI
Maciej Byczkowski
Cel dzia
Cel dzia
ł
ł
a
a
ń
ń
SABI zwi
SABI zwi
ą
ą
zany
zany
ze zmian
ze zmian
ą
ą
statusu ABI
statusu ABI
Podniesienie statusu zawodowego ABI
Podniesienie statusu zawodowego ABI
Stworzenie Kodeksu Etyki zawodowej ABI
Stworzenie Kodeksu Etyki zawodowej ABI
Umo
Umo
ż
ż
liwienie rozwoju zawodowego i
liwienie rozwoju zawodowego i
podnoszenia kwalifikacji ABI
podnoszenia kwalifikacji ABI
Zwi
Zwi
ę
ę
kszenie roli kontrolnej ABI w polskich
kszenie roli kontrolnej ABI w polskich
organizacjach
organizacjach
–
–
ranga i wa
ranga i wa
ż
ż
no
no
ść
ść
stanowiska
stanowiska
Zapewnienie skutecznej realizacji ochrony
Zapewnienie skutecznej realizacji ochrony
danych w wewn
danych w wewn
ą
ą
trz organizacji
trz organizacji
Poprawa skuteczno
Poprawa skuteczno
ś
ś
ci ochrony danych
ci ochrony danych
osobowych w Polsce
osobowych w Polsce
© 2011 ENSI
Maciej Byczkowski
Wykonane dzia
Wykonane dzia
ł
ł
ania SABI
ania SABI
Stworzenie Kodeksu Etyki Zawodowej
Stworzenie Kodeksu Etyki Zawodowej
ABI
ABI
Opracowanie projektu nowelizacji
Opracowanie projektu nowelizacji
ustawy o ochronie danych osobowych
ustawy o ochronie danych osobowych
w zakresie zmian statusu ABI
w zakresie zmian statusu ABI
Przedstawienie projektu na forum
Przedstawienie projektu na forum
sejmowym i rz
sejmowym i rz
ą
ą
dowym
dowym
Przedstawienie propozycji zmian
Przedstawienie propozycji zmian
Statusu ABI w Dyrektywie KE
Statusu ABI w Dyrektywie KE
© 2011 ENSI
Maciej Byczkowski
Praktyka wykonywania
Praktyka wykonywania
zada
zada
ń
ń
ABI w Polsce
ABI w Polsce
© 2011 ENSI
Maciej Byczkowski
Praktyka ABI
Praktyka ABI
–
–
ponad 12 lat
ponad 12 lat
do
do
ś
ś
wiadcze
wiadcze
ń
ń
Faktyczny zakres zada
Faktyczny zakres zada
ń
ń
:
:
Nadz
Nadz
ó
ó
r zgodnie z ustaw
r zgodnie z ustaw
ą
ą
Wykonywanie prac zwi
Wykonywanie prac zwi
ą
ą
zanych z realizacj
zanych z realizacj
ą
ą
obowi
obowi
ą
ą
zk
zk
ó
ó
w ADO
w ADO
Zarz
Zarz
ą
ą
dzanie systemem IT
dzanie systemem IT
Inne
Inne
© 2011 ENSI
Maciej Byczkowski
Praktyka wykonywania zada
Praktyka wykonywania zada
ń
ń
ABI
ABI
Kogo wyznacza si
Kogo wyznacza si
ę
ę
na ABI:
na ABI:
Dedykowana osoba
Dedykowana osoba
–
–
niezale
niezale
ż
ż
ne
ne
stanowisko
stanowisko
Stanowisko
Stanowisko
ł
ą
ł
ą
czone:
czone:
Dyrektor IT, Administrator systemu IT
Dyrektor IT, Administrator systemu IT
Dyrektor Kadr
Dyrektor Kadr
Audytor wewn
Audytor wewn
ę
ę
trzny
trzny
–
–
role kontrolne
role kontrolne
Radca prawny
Radca prawny
Stanowiska przypadkowe
Stanowiska przypadkowe
Brak wyznaczenia ABI
Brak wyznaczenia ABI
© 2011 ENSI
Maciej Byczkowski
R
R
ó
ó
ż
ż
nice w wykonywaniu zada
nice w wykonywaniu zada
ń
ń
ABI
ABI
Specyfika bran
Specyfika bran
ż
ż
y lub rodzaju podmiotu
y lub rodzaju podmiotu
R
R
ó
ó
ż
ż
ne wymagania prawne zwi
ne wymagania prawne zwi
ą
ą
zane z
zane z
przetwarzaniem danych
przetwarzaniem danych
R
R
ó
ó
ż
ż
ne cele biznesowe w pozyskiwaniu
ne cele biznesowe w pozyskiwaniu
danych
danych
Podzia
Podzia
ł
ł
zada
zada
ń
ń
przy przetwarzaniu
przy przetwarzaniu
danych:
danych:
Role zarz
Role zarz
ą
ą
dcze, wykonawcze i kontrolne
dcze, wykonawcze i kontrolne
Umiejscowienie ABI w strukturze:
Umiejscowienie ABI w strukturze:
Ł
ą
Ł
ą
czenie stanowisk
czenie stanowisk
Samodzielne stanowisko
Samodzielne stanowisko
© 2011 ENSI
Maciej Byczkowski
R
R
ó
ó
ż
ż
nice w wykonywaniu zada
nice w wykonywaniu zada
ń
ń
ABI
ABI
Z
Z
ł
ł
o
o
ż
ż
ono
ono
ść
ść
problemu przetwarzania:
problemu przetwarzania:
R
R
ó
ó
ż
ż
ne zbiory danych
ne zbiory danych
Kana
Kana
ł
ł
y zbierania danych
y zbierania danych
Akcje marketingowe
Akcje marketingowe
Powierzanie danych procesorom
Powierzanie danych procesorom
Udost
Udost
ę
ę
pnianie danych
pnianie danych
Miejsca agregowania danych:
Miejsca agregowania danych:
System IT
System IT
Archiwa papierowe
Archiwa papierowe
© 2011 ENSI
Maciej Byczkowski
ABI a inne role kontrolne
ABI a inne role kontrolne
ABI nadzorca, kontroler czy audytor?
ABI nadzorca, kontroler czy audytor?
ABI a audytor wewn
ABI a audytor wewn
ę
ę
trzny (SZJ, SZBI,
trzny (SZJ, SZBI,
audyt/kontrola wewn
audyt/kontrola wewn
ę
ę
trzna)
trzna)
ABI a Pe
ABI a Pe
ł
ł
nomocnik ds. ochrony informacji
nomocnik ds. ochrony informacji
niejawnych
niejawnych
ABI a Pe
ABI a Pe
ł
ł
nomocnik ds. bezpiecze
nomocnik ds. bezpiecze
ń
ń
stwa
stwa
informacji
informacji
ABI a Inspektor Bezpiecze
ABI a Inspektor Bezpiecze
ń
ń
stwa
stwa
Teleinformatycznego
Teleinformatycznego
ABI a IT Security
ABI a IT Security
Officer
Officer
(ABSI)
(ABSI)
© 2011 ENSI
Maciej Byczkowski
Potrzeba okre
Potrzeba okre
ś
ś
lenia miejsca
lenia miejsca
ABI w strukturze organizacji
ABI w strukturze organizacji
Zapewnienie niezale
Zapewnienie niezale
ż
ż
no
no
ś
ś
ci
ci
Zapewnienie wykonywania zada
Zapewnienie wykonywania zada
ń
ń
nadzoru/audytu przetwarzania danych
nadzoru/audytu przetwarzania danych
Miejsce w strukturze
Miejsce w strukturze
-
-
funkcjonalny pion
funkcjonalny pion
kontrolny
kontrolny
Samodzielne stanowisko
Samodzielne stanowisko
Lub pion ABI w du
Lub pion ABI w du
ż
ż
ych strukturach
ych strukturach
Pe
Pe
ł
ł
nomocnik Zarz
nomocnik Zarz
ą
ą
du ds. ochrony danych
du ds. ochrony danych
© 2011 ENSI
Maciej Byczkowski
Potrzeba podzia
Potrzeba podzia
ł
ł
u zada
u zada
ń
ń
w
w
zarz
zarz
ą
ą
dzaniu bezpiecze
dzaniu bezpiecze
ń
ń
stwem
stwem
(przyk
(przyk
ł
ł
ad z Metodyki PBDO
ad z Metodyki PBDO
–
–
ENSI)
ENSI)
DIT
Funkcje zarządcze
Funkcje kontrolne
ZBIÓR/ZASÓB
Danych Osobowych
SYSTEM
INFORMATYCZNY
przetwarzaj
ą
cy dane
osobowe
ZZDO
ABI
ABSI
ADO
© 2011 ENSI
Maciej Byczkowski
Potrzeba okre
Potrzeba okre
ś
ś
lenia zakresu
lenia zakresu
odpowiedzialno
odpowiedzialno
ś
ś
ci ABI
ci ABI
ABI nadzorca, audytor czy wykonawca?
ABI nadzorca, audytor czy wykonawca?
Podzia
Podzia
ł
ł
roli na ABI i ABSI
roli na ABI i ABSI
–
–
w zale
w zale
ż
ż
no
no
ś
ś
ci od kompetencji
ci od kompetencji
Hierarchia ABI
Hierarchia ABI
–
–
Centrala a oddzia
Centrala a oddzia
ł
ł
y
y
Outsourcing ABI
Outsourcing ABI
© 2011 ENSI
Maciej Byczkowski
Potrzeba kompetencji ABI
Potrzeba kompetencji ABI
Propozycja zakresu kompetencji:
Propozycja zakresu kompetencji:
Wiedza dotycz
Wiedza dotycz
ą
ą
ca aspekt
ca aspekt
ó
ó
w prawnych
w prawnych
zwi
zwi
ą
ą
zanych z ochron
zanych z ochron
ą
ą
informacji
informacji
Umiej
Umiej
ę
ę
tno
tno
ś
ś
ci z zakresu prowadzenia
ci z zakresu prowadzenia
audytu wewn
audytu wewn
ę
ę
trznego
trznego
Wiedza z zakresu zarz
Wiedza z zakresu zarz
ą
ą
dzania (procesami)
dzania (procesami)
–
–
w tym zarz
w tym zarz
ą
ą
dzania ryzykiem
dzania ryzykiem
Wiedza dotycz
Wiedza dotycz
ą
ą
ca funkcjonowania
ca funkcjonowania
systemu informatycznego
systemu informatycznego
Umiej
Umiej
ę
ę
tno
tno
ś
ś
ci zwi
ci zwi
ą
ą
zane z opracowywaniem
zane z opracowywaniem
dokumentacji
dokumentacji
Umiej
Umiej
ę
ę
tno
tno
ś
ś
ci zwi
ci zwi
ą
ą
zane z prowadzeniem
zane z prowadzeniem
szkole
szkole
ń
ń
© 2011 ENSI
Maciej Byczkowski
Potrzeba okre
Potrzeba okre
ś
ś
lenia zakresu
lenia zakresu
uprawnie
uprawnie
ń
ń
ABI
ABI
Mo
Mo
ż
ż
liwo
liwo
ść
ść
wykonywania nadzoru i audytu
wykonywania nadzoru i audytu
w kom
w kom
ó
ó
rkach organizacyjnych
rkach organizacyjnych
przetwarzaj
przetwarzaj
ą
ą
cych dane
cych dane
Prawo
Prawo
żą
żą
dania wgl
dania wgl
ą
ą
du w dokumentacj
du w dokumentacj
ę
ę
dotycz
dotycz
ą
ą
c
c
ą
ą
przetwarzania danych
przetwarzania danych
Prawo wgl
Prawo wgl
ą
ą
du do systemu informatycznego
du do systemu informatycznego
przetwarzaj
przetwarzaj
ą
ą
cego dane
cego dane
Prawo wykonywania kontroli u procesor
Prawo wykonywania kontroli u procesor
ó
ó
w
w
–
–
zgodnie z umowami powierzenia
zgodnie z umowami powierzenia
© 2011 ENSI
Maciej Byczkowski
Potrzeba okre
Potrzeba okre
ś
ś
lenia zada
lenia zada
ń
ń
ABI
ABI
Nadz
Nadz
ó
ó
r nad przestrzeganiem zasad ochrony
r nad przestrzeganiem zasad ochrony
danych osobowych
danych osobowych
Przeprowadzanie audytu zgodno
Przeprowadzanie audytu zgodno
ś
ś
ci
ci
przetwarzania danych osobowych z
przetwarzania danych osobowych z
u.o.d.o
u.o.d.o
.
.
Prowadzenie dokumentacji opisuj
Prowadzenie dokumentacji opisuj
ą
ą
cej
cej
spos
spos
ó
ó
b przetwarzania danych osobowych
b przetwarzania danych osobowych
oraz
oraz
ś
ś
rodki techniczne i organizacyjne
rodki techniczne i organizacyjne
zabezpieczenia danych osobowych
zabezpieczenia danych osobowych
Prowadzenie lub nadz
Prowadzenie lub nadz
ó
ó
r nad prowadzeniem
r nad prowadzeniem
ewidencji os
ewidencji os
ó
ó
b upowa
b upowa
ż
ż
nionych do
nionych do
przetwarzania danych osobowych
przetwarzania danych osobowych
© 2011 ENSI
Maciej Byczkowski
Potrzeba okre
Potrzeba okre
ś
ś
lenia zada
lenia zada
ń
ń
ABI
ABI
Prowadzenie wykazu wszystkich zbior
Prowadzenie wykazu wszystkich zbior
ó
ó
w
w
danych osobowych
danych osobowych
Prowadzenie wykazu obszaru przetwarzania
Prowadzenie wykazu obszaru przetwarzania
danych osobowych
danych osobowych
Przygotowywanie wniosk
Przygotowywanie wniosk
ó
ó
w zg
w zg
ł
ł
oszeniowych
oszeniowych
zbior
zbior
ó
ó
w danych osobowych do
w danych osobowych do
rejestracji/aktualizacji GIODO
rejestracji/aktualizacji GIODO
Nadz
Nadz
ó
ó
r nad udost
r nad udost
ę
ę
pnianiem i powierzaniem
pnianiem i powierzaniem
danych osobowych innym podmiotom
danych osobowych innym podmiotom
Wykaz odbiorc
Wykaz odbiorc
ó
ó
w i procesor
w i procesor
ó
ó
w
w
© 2011 ENSI
Maciej Byczkowski
Potrzeba okre
Potrzeba okre
ś
ś
lenia zada
lenia zada
ń
ń
ABI
ABI
Nadz
Nadz
ó
ó
r i audyt zabezpiecze
r i audyt zabezpiecze
ń
ń
systemu
systemu
informatycznego, w kt
informatycznego, w kt
ó
ó
rym przetwarzane s
rym przetwarzane s
ą
ą
dane osobowe (lub wsp
dane osobowe (lub wsp
ó
ó
ł
ł
praca z ABSI)
praca z ABSI)
Nadz
Nadz
ó
ó
r nad wykonywaniem obowi
r nad wykonywaniem obowi
ą
ą
zk
zk
ó
ó
w
w
informacyjnych
informacyjnych
–
–
klauzule informacyjne
klauzule informacyjne
i o
i o
ś
ś
wiadczenia dotycz
wiadczenia dotycz
ą
ą
ce zgody
ce zgody
Nadz
Nadz
ó
ó
r wykonywania zada
r wykonywania zada
ń
ń
przez inne
przez inne
wyznaczone do zada
wyznaczone do zada
ń
ń
nadzorczych osoby
nadzorczych osoby
np
np
. Lokalnych czy terenowych ABI
. Lokalnych czy terenowych ABI
Podejmowanie dzia
Podejmowanie dzia
ł
ł
a
a
ń
ń
w sytuacji naruszenia
w sytuacji naruszenia
ochrony danych
ochrony danych
© 2011 ENSI
Maciej Byczkowski
Potrzeba okre
Potrzeba okre
ś
ś
lenia zada
lenia zada
ń
ń
ABI
ABI
Przygotowywanie materia
Przygotowywanie materia
ł
ł
ó
ó
w informacyjnych
w informacyjnych
dla pracownik
dla pracownik
ó
ó
w upowa
w upowa
ż
ż
nionych do
nionych do
przetwarzania danych osobowych
przetwarzania danych osobowych
Organizowanie/prowadzenie szkole
Organizowanie/prowadzenie szkole
ń
ń
dla
dla
pracownik
pracownik
ó
ó
w z zakresu ochrony danych w
w z zakresu ochrony danych w
organizacji
organizacji
Kontakt z GIODO
Kontakt z GIODO
Przygotowywanie odpowiedzi
Przygotowywanie odpowiedzi
Udzia
Udzia
ł
ł
w czasie kontroli
w czasie kontroli
Rozpatrywanie skarg i zapyta
Rozpatrywanie skarg i zapyta
ń
ń
od os
od os
ó
ó
b w
b w
zakresie ochrony danych
zakresie ochrony danych
© 2011 ENSI
Maciej Byczkowski
Wykonywanie zada
Wykonywanie zada
ń
ń
ABI
ABI
Ł
ą
Ł
ą
czenie problematyki ochrony danych
czenie problematyki ochrony danych
osobowych z ochron
osobowych z ochron
ą
ą
innych rodzaj
innych rodzaj
ó
ó
w
w
informacji:
informacji:
Informacje niejawne
Informacje niejawne
Tajemnice przedsi
Tajemnice przedsi
ę
ę
biorstwa
biorstwa
Informacje publiczne
Informacje publiczne
© 2011 ENSI
Maciej Byczkowski
Konieczne zmiany
Konieczne zmiany
dotycz
dotycz
ą
ą
ce zabezpieczenia
ce zabezpieczenia
danych osobowych
danych osobowych
© 2011 ENSI
Maciej Byczkowski
Zmiany rozdzia
Zmiany rozdzia
ł
ł
u 5 ustawy
u 5 ustawy
odo
odo
-
-
zabezpieczenia
zabezpieczenia
Okre
Okre
ś
ś
lanie zabezpiecze
lanie zabezpiecze
ń
ń
w odniesieniu do
w odniesieniu do
ryzyka przetwarzania danych
ryzyka przetwarzania danych
Dokumentacja
Dokumentacja
–
–
rejestr operacji na danych
rejestr operacji na danych
ABI
ABI
–
–
ustalenie stratusu
ustalenie stratusu
Kwestie upowa
Kwestie upowa
ż
ż
nienia do przetwarzania
nienia do przetwarzania
danych
danych
-
-
zakres i forma nadania
zakres i forma nadania
Okre
Okre
ś
ś
lenie kontroli
lenie kontroli
–
–
art. 38
art. 38
Delegacja do rozporz
Delegacja do rozporz
ą
ą
dzenia
dzenia
© 2011 ENSI
Maciej Byczkowski
Zmiany dotycz
Zmiany dotycz
ą
ą
ce powierzania
ce powierzania
przetwarzania danych
przetwarzania danych
Ustalenie kwestii zabezpieczenia
Ustalenie kwestii zabezpieczenia
w zale
w zale
ż
ż
no
no
ś
ś
ci od obszaru przetwarzania
ci od obszaru przetwarzania
Kontrola procesora przez ADO
Kontrola procesora przez ADO
Tryb kontroli i uprawnienia ADO
Tryb kontroli i uprawnienia ADO
Kwestia
Kwestia
podprocesor
podprocesor
ó
ó
w
w
Zgoda ADO
Zgoda ADO
Powiadomienie ADO
Powiadomienie ADO
Kwestia obowi
Kwestia obowi
ą
ą
zku wyznaczenia ABI przez
zku wyznaczenia ABI przez
procesora
procesora
Wprowadzenie definicji procesora
Wprowadzenie definicji procesora
© 2011 ENSI
Maciej Byczkowski
Zmiana rozporz
Zmiana rozporz
ą
ą
dzenia
dzenia
Zmieni
Zmieni
ć
ć
:
:
Zakres dokumentacji
Zakres dokumentacji
Wymogi zabezpieczenie obszaru przetwarzania
Wymogi zabezpieczenie obszaru przetwarzania
Wymogi zabezpieczenia systemu IT
Wymogi zabezpieczenia systemu IT
Kwestia odnotowywania informacji w systemie
Kwestia odnotowywania informacji w systemie
informatycznym
informatycznym
Doda
Doda
ć
ć
:
:
Kwestie wykonywania roli ABI
Kwestie wykonywania roli ABI
Kwestie kontroli (art. 38)
Kwestie kontroli (art. 38)
Kwestia nadawania upowa
Kwestia nadawania upowa
ż
ż
nie
nie
ń
ń
Kwestia szkole
Kwestia szkole
ń
ń
Kwestia szacowania ryzyka
Kwestia szacowania ryzyka
© 2011 ENSI
Maciej Byczkowski
Pytania?
Pytania?
www.sabi.org.pl
www.sabi.org.pl
www.ensi.net
www.ensi.net