Zarządzanie bezpieczeństwem
Zarządzanie bezpieczeństwem
danych osobowych
danych osobowych
- Praktyka wykonywania zadań ABI oraz
- Praktyka wykonywania zadań ABI oraz
konieczne zmiany statusu ABI i wymagań
konieczne zmiany statusu ABI i wymagań
dotyczących bezpieczeństwa danych
dotyczących bezpieczeństwa danych
Maciej Byczkowski
Maciej Byczkowski
© 2011 ENSI
Maciej Byczkowski
Agenda
Agenda
Działania SABI w sprawie zmiany
Działania SABI w sprawie zmiany
statusu ABI
statusu ABI
Praktyka wykonywania zadań ABI:
Praktyka wykonywania zadań ABI:
Miejsce w strukturze organizacyjnej
Miejsce w strukturze organizacyjnej
Zakres kompetencji i uprawnień
Zakres kompetencji i uprawnień
Zakres zadań i obowiązków ABI
Zakres zadań i obowiązków ABI
Konieczne zmiany dotyczÄ…ce
Konieczne zmiany dotyczÄ…ce
zabezpieczenia danych osobowych
zabezpieczenia danych osobowych
© 2011 ENSI
Maciej Byczkowski
Cel działań SABI związany
Cel działań SABI związany
ze zmianÄ… statusu ABI
ze zmianÄ… statusu ABI
Podniesienie statusu zawodowego ABI
Podniesienie statusu zawodowego ABI
Stworzenie Kodeksu Etyki zawodowej ABI
Stworzenie Kodeksu Etyki zawodowej ABI
Umożliwienie rozwoju zawodowego i
Umożliwienie rozwoju zawodowego i
podnoszenia kwalifikacji ABI
podnoszenia kwalifikacji ABI
Zwiększenie roli kontrolnej ABI w polskich
Zwiększenie roli kontrolnej ABI w polskich
organizacjach  ranga i ważność stanowiska
organizacjach  ranga i ważność stanowiska
Zapewnienie skutecznej realizacji ochrony
Zapewnienie skutecznej realizacji ochrony
danych w wewnÄ…trz organizacji
danych w wewnÄ…trz organizacji
Poprawa skuteczności ochrony danych
Poprawa skuteczności ochrony danych
osobowych w Polsce
osobowych w Polsce
© 2011 ENSI
Maciej Byczkowski
Wykonane działania SABI
Wykonane działania SABI
Stworzenie Kodeksu Etyki Zawodowej
Stworzenie Kodeksu Etyki Zawodowej
ABI
ABI
Opracowanie projektu nowelizacji
Opracowanie projektu nowelizacji
ustawy o ochronie danych osobowych
ustawy o ochronie danych osobowych
w zakresie zmian statusu ABI
w zakresie zmian statusu ABI
Przedstawienie projektu na forum
Przedstawienie projektu na forum
sejmowym i rzÄ…dowym
sejmowym i rzÄ…dowym
Przedstawienie propozycji zmian
Przedstawienie propozycji zmian
Statusu ABI w Dyrektywie KE
Statusu ABI w Dyrektywie KE
© 2011 ENSI
Maciej Byczkowski
Praktyka wykonywania
Praktyka wykonywania
zadań ABI w Polsce
zadań ABI w Polsce
© 2011 ENSI
Maciej Byczkowski
Praktyka ABI  ponad 12 lat
Praktyka ABI  ponad 12 lat
doświadczeń
doświadczeń
Faktyczny zakres zadań:
Faktyczny zakres zadań:
Nadzór zgodnie z ustawą
Nadzór zgodnie z ustawą
Wykonywanie prac zwiÄ…zanych z realizacjÄ…
Wykonywanie prac zwiÄ…zanych z realizacjÄ…
obowiązków ADO
obowiązków ADO
ZarzÄ…dzanie systemem IT
ZarzÄ…dzanie systemem IT
Inne
Inne
© 2011 ENSI
Maciej Byczkowski
Praktyka wykonywania zadań ABI
Praktyka wykonywania zadań ABI
Kogo wyznacza siÄ™ na ABI:
Kogo wyznacza siÄ™ na ABI:
Dedykowana osoba  niezależne
Dedykowana osoba  niezależne
stanowisko
stanowisko
Stanowisko Å‚Ä…czone:
Stanowisko Å‚Ä…czone:
Dyrektor IT, Administrator systemu IT
Dyrektor IT, Administrator systemu IT
Dyrektor Kadr
Dyrektor Kadr
Audytor wewnętrzny  role kontrolne
Audytor wewnętrzny  role kontrolne
Radca prawny
Radca prawny
Stanowiska przypadkowe
Stanowiska przypadkowe
Brak wyznaczenia ABI
Brak wyznaczenia ABI
© 2011 ENSI
Maciej Byczkowski
Różnice w wykonywaniu zadań ABI
Różnice w wykonywaniu zadań ABI
Specyfika branży lub rodzaju podmiotu
Specyfika branży lub rodzaju podmiotu
Różne wymagania prawne związane z
Różne wymagania prawne związane z
przetwarzaniem danych
przetwarzaniem danych
Różne cele biznesowe w pozyskiwaniu
Różne cele biznesowe w pozyskiwaniu
danych
danych
Podział zadań przy przetwarzaniu
Podział zadań przy przetwarzaniu
danych:
danych:
Role zarzÄ…dcze, wykonawcze i kontrolne
Role zarzÄ…dcze, wykonawcze i kontrolne
Umiejscowienie ABI w strukturze:
Umiejscowienie ABI w strukturze:
A
Ä…czenie stanowisk
A
Ä…czenie stanowisk
Samodzielne stanowisko
Samodzielne stanowisko
© 2011 ENSI
Maciej Byczkowski
Różnice w wykonywaniu zadań ABI
Różnice w wykonywaniu zadań ABI
Złożoność problemu przetwarzania:
Złożoność problemu przetwarzania:
Różne zbiory danych
Różne zbiory danych
Kanały zbierania danych
Kanały zbierania danych
Akcje marketingowe
Akcje marketingowe
Powierzanie danych procesorom
Powierzanie danych procesorom
Udostępnianie danych
Udostępnianie danych
Miejsca agregowania danych:
Miejsca agregowania danych:
System IT
System IT
Archiwa papierowe
Archiwa papierowe
© 2011 ENSI
Maciej Byczkowski
ABI a inne role kontrolne
ABI a inne role kontrolne
ABI nadzorca, kontroler czy audytor?
ABI nadzorca, kontroler czy audytor?
ABI a audytor wewnętrzny (SZJ, SZBI,
ABI a audytor wewnętrzny (SZJ, SZBI,
audyt/kontrola wewnętrzna)
audyt/kontrola wewnętrzna)
ABI a Pełnomocnik ds. ochrony informacji
ABI a Pełnomocnik ds. ochrony informacji
niejawnych
niejawnych
ABI a Pełnomocnik ds. bezpieczeństwa
ABI a Pełnomocnik ds. bezpieczeństwa
informacji
informacji
ABI a Inspektor Bezpieczeństwa
ABI a Inspektor Bezpieczeństwa
Teleinformatycznego
Teleinformatycznego
ABI a IT Security Officer (ABSI)
ABI a IT Security Officer (ABSI)
© 2011 ENSI
Maciej Byczkowski
Potrzeba określenia miejsca
Potrzeba określenia miejsca
ABI w strukturze organizacji
ABI w strukturze organizacji
Zapewnienie niezależności
Zapewnienie niezależności
Zapewnienie wykonywania zadań
Zapewnienie wykonywania zadań
nadzoru/audytu przetwarzania danych
nadzoru/audytu przetwarzania danych
Miejsce w strukturze - funkcjonalny pion
Miejsce w strukturze - funkcjonalny pion
kontrolny
kontrolny
Samodzielne stanowisko
Samodzielne stanowisko
Lub pion ABI w dużych strukturach
Lub pion ABI w dużych strukturach
Pełnomocnik Zarządu ds. ochrony danych
Pełnomocnik Zarządu ds. ochrony danych
© 2011 ENSI
Maciej Byczkowski
Potrzeba podziału zadań w
Potrzeba podziału zadań w
zarządzaniu bezpieczeństwem
zarządzaniu bezpieczeństwem
(przykład z Metodyki PBDO  ENSI)
(przykład z Metodyki PBDO  ENSI)
ADO
Funkcje kontrolne
Funkcje zarzÄ…dcze
ZBIÓR/ZASÓB
ZZDO
ABI
Danych Osobowych
SYSTEM
DIT
INFORMATYCZNY
ABSI
przetwarzajÄ…cy dane
osobowe
© 2011 ENSI
Maciej Byczkowski
Potrzeba określenia zakresu
Potrzeba określenia zakresu
odpowiedzialności ABI
odpowiedzialności ABI
ABI nadzorca, audytor czy wykonawca?
ABI nadzorca, audytor czy wykonawca?
Podział roli na ABI i ABSI 
Podział roli na ABI i ABSI 
w zależności od kompetencji
w zależności od kompetencji
Hierarchia ABI  Centrala a oddziały
Hierarchia ABI  Centrala a oddziały
Outsourcing ABI
Outsourcing ABI
© 2011 ENSI
Maciej Byczkowski
Potrzeba kompetencji ABI
Potrzeba kompetencji ABI
Propozycja zakresu kompetencji:
Propozycja zakresu kompetencji:
Wiedza dotycząca aspektów prawnych
Wiedza dotycząca aspektów prawnych
zwiÄ…zanych z ochronÄ… informacji
zwiÄ…zanych z ochronÄ… informacji
Umiejętności z zakresu prowadzenia
Umiejętności z zakresu prowadzenia
audytu wewnętrznego
audytu wewnętrznego
Wiedza z zakresu zarzÄ…dzania (procesami)
Wiedza z zakresu zarzÄ…dzania (procesami)
 w tym zarzÄ…dzania ryzykiem
 w tym zarzÄ…dzania ryzykiem
Wiedza dotyczÄ…ca funkcjonowania
Wiedza dotyczÄ…ca funkcjonowania
systemu informatycznego
systemu informatycznego
Umiejętności związane z opracowywaniem
Umiejętności związane z opracowywaniem
dokumentacji
dokumentacji
Umiejętności związane z prowadzeniem
Umiejętności związane z prowadzeniem
szkoleń
szkoleń
© 2011 ENSI
Maciej Byczkowski
Potrzeba określenia zakresu
Potrzeba określenia zakresu
uprawnień ABI
uprawnień ABI
Możliwość wykonywania nadzoru i audytu
Możliwość wykonywania nadzoru i audytu
w komórkach organizacyjnych
w komórkach organizacyjnych
przetwarzajÄ…cych dane
przetwarzajÄ…cych dane
Prawo żądania wglądu w dokumentację
Prawo żądania wglądu w dokumentację
dotyczÄ…cÄ… przetwarzania danych
dotyczÄ…cÄ… przetwarzania danych
Prawo wglÄ…du do systemu informatycznego
Prawo wglÄ…du do systemu informatycznego
przetwarzajÄ…cego dane
przetwarzajÄ…cego dane
Prawo wykonywania kontroli u procesorów 
Prawo wykonywania kontroli u procesorów 
zgodnie z umowami powierzenia
zgodnie z umowami powierzenia
© 2011 ENSI
Maciej Byczkowski
Potrzeba określenia zadań ABI
Potrzeba określenia zadań ABI
Nadzór nad przestrzeganiem zasad ochrony
Nadzór nad przestrzeganiem zasad ochrony
danych osobowych
danych osobowych
Przeprowadzanie audytu zgodności
Przeprowadzanie audytu zgodności
przetwarzania danych osobowych z u.o.d.o.
przetwarzania danych osobowych z u.o.d.o.
Prowadzenie dokumentacji opisujÄ…cej
Prowadzenie dokumentacji opisujÄ…cej
sposób przetwarzania danych osobowych
sposób przetwarzania danych osobowych
oraz środki techniczne i organizacyjne
oraz środki techniczne i organizacyjne
zabezpieczenia danych osobowych
zabezpieczenia danych osobowych
Prowadzenie lub nadzór nad prowadzeniem
Prowadzenie lub nadzór nad prowadzeniem
ewidencji osób upoważnionych do
ewidencji osób upoważnionych do
przetwarzania danych osobowych
przetwarzania danych osobowych
© 2011 ENSI
Maciej Byczkowski
Potrzeba określenia zadań ABI
Potrzeba określenia zadań ABI
Prowadzenie wykazu wszystkich zbiorów
Prowadzenie wykazu wszystkich zbiorów
danych osobowych
danych osobowych
Prowadzenie wykazu obszaru przetwarzania
Prowadzenie wykazu obszaru przetwarzania
danych osobowych
danych osobowych
Przygotowywanie wniosków zgłoszeniowych
Przygotowywanie wniosków zgłoszeniowych
zbiorów danych osobowych do
zbiorów danych osobowych do
rejestracji/aktualizacji GIODO
rejestracji/aktualizacji GIODO
Nadzór nad udostępnianiem i powierzaniem
Nadzór nad udostępnianiem i powierzaniem
danych osobowych innym podmiotom
danych osobowych innym podmiotom
Wykaz odbiorców i procesorów
Wykaz odbiorców i procesorów
© 2011 ENSI
Maciej Byczkowski
Potrzeba określenia zadań ABI
Potrzeba określenia zadań ABI
Nadzór i audyt zabezpieczeń systemu
Nadzór i audyt zabezpieczeń systemu
informatycznego, w którym przetwarzane są
informatycznego, w którym przetwarzane są
dane osobowe (lub współpraca z ABSI)
dane osobowe (lub współpraca z ABSI)
Nadzór nad wykonywaniem obowiązków
Nadzór nad wykonywaniem obowiązków
informacyjnych  klauzule informacyjne
informacyjnych  klauzule informacyjne
i oświadczenia dotyczące zgody
i oświadczenia dotyczące zgody
Nadzór wykonywania zadań przez inne
Nadzór wykonywania zadań przez inne
wyznaczone do zadań nadzorczych osoby
wyznaczone do zadań nadzorczych osoby
np. Lokalnych czy terenowych ABI
np. Lokalnych czy terenowych ABI
Podejmowanie działań w sytuacji naruszenia
Podejmowanie działań w sytuacji naruszenia
ochrony danych
ochrony danych
© 2011 ENSI
Maciej Byczkowski
Potrzeba określenia zadań ABI
Potrzeba określenia zadań ABI
Przygotowywanie materiałów informacyjnych
Przygotowywanie materiałów informacyjnych
dla pracowników upoważnionych do
dla pracowników upoważnionych do
przetwarzania danych osobowych
przetwarzania danych osobowych
Organizowanie/prowadzenie szkoleń dla
Organizowanie/prowadzenie szkoleń dla
pracowników z zakresu ochrony danych w
pracowników z zakresu ochrony danych w
organizacji
organizacji
Kontakt z GIODO
Kontakt z GIODO
Przygotowywanie odpowiedzi
Przygotowywanie odpowiedzi
Udział w czasie kontroli
Udział w czasie kontroli
Rozpatrywanie skarg i zapytań od osób w
Rozpatrywanie skarg i zapytań od osób w
zakresie ochrony danych
zakresie ochrony danych
© 2011 ENSI
Maciej Byczkowski
Wykonywanie zadań ABI
Wykonywanie zadań ABI
A
Ä…czenie problematyki ochrony danych
A
Ä…czenie problematyki ochrony danych
osobowych z ochroną innych rodzajów
osobowych z ochroną innych rodzajów
informacji:
informacji:
Informacje niejawne
Informacje niejawne
Tajemnice przedsiębiorstwa
Tajemnice przedsiębiorstwa
Informacje publiczne
Informacje publiczne
© 2011 ENSI
Maciej Byczkowski
Konieczne zmiany
Konieczne zmiany
dotyczÄ…ce zabezpieczenia
dotyczÄ…ce zabezpieczenia
danych osobowych
danych osobowych
© 2011 ENSI
Maciej Byczkowski
Zmiany rozdziału 5 ustawy
Zmiany rozdziału 5 ustawy
odo - zabezpieczenia
odo - zabezpieczenia
Określanie zabezpieczeń w odniesieniu do
Określanie zabezpieczeń w odniesieniu do
ryzyka przetwarzania danych
ryzyka przetwarzania danych
Dokumentacja  rejestr operacji na danych
Dokumentacja  rejestr operacji na danych
ABI  ustalenie stratusu
ABI  ustalenie stratusu
Kwestie upoważnienia do przetwarzania
Kwestie upoważnienia do przetwarzania
danych - zakres i forma nadania
danych - zakres i forma nadania
Określenie kontroli  art. 38
Określenie kontroli  art. 38
Delegacja do rozporzÄ…dzenia
Delegacja do rozporzÄ…dzenia
© 2011 ENSI
Maciej Byczkowski
Zmiany dotyczÄ…ce powierzania
Zmiany dotyczÄ…ce powierzania
przetwarzania danych
przetwarzania danych
Ustalenie kwestii zabezpieczenia
Ustalenie kwestii zabezpieczenia
w zależności od obszaru przetwarzania
w zależności od obszaru przetwarzania
Kontrola procesora przez ADO
Kontrola procesora przez ADO
Tryb kontroli i uprawnienia ADO
Tryb kontroli i uprawnienia ADO
Kwestia podprocesorów
Kwestia podprocesorów
Zgoda ADO
Zgoda ADO
Powiadomienie ADO
Powiadomienie ADO
Kwestia obowiÄ…zku wyznaczenia ABI przez
Kwestia obowiÄ…zku wyznaczenia ABI przez
procesora
procesora
Wprowadzenie definicji procesora
Wprowadzenie definicji procesora
© 2011 ENSI
Maciej Byczkowski
Zmiana rozporzÄ…dzenia
Zmiana rozporzÄ…dzenia
Zmienić:
Zmienić:
Zakres dokumentacji
Zakres dokumentacji
Wymogi zabezpieczenie obszaru przetwarzania
Wymogi zabezpieczenie obszaru przetwarzania
Wymogi zabezpieczenia systemu IT
Wymogi zabezpieczenia systemu IT
Kwestia odnotowywania informacji w systemie
Kwestia odnotowywania informacji w systemie
informatycznym
informatycznym
Dodać:
Dodać:
Kwestie wykonywania roli ABI
Kwestie wykonywania roli ABI
Kwestie kontroli (art. 38)
Kwestie kontroli (art. 38)
Kwestia nadawania upoważnień
Kwestia nadawania upoważnień
Kwestia szkoleń
Kwestia szkoleń
Kwestia szacowania ryzyka
Kwestia szacowania ryzyka
© 2011 ENSI
Maciej Byczkowski
Pytania?
Pytania?
www.sabi.org.pl
www.sabi.org.pl
www.ensi.net
www.ensi.net
© 2011 ENSI
Maciej Byczkowski