SlideShare une entreprise Scribd logo

ABI - teraźniejszość i przyszłość

Wyższa Szkoła Biznesu w Dąbrowie Górniczej
Wyższa Szkoła Biznesu w Dąbrowie Górniczej

Podstawy prawne działania Administratora Bezpieczeństwa Informacji zawarte w dyrektywie oraz ustawie o ochronie danych osobowych. Praktyka działań ABI. Nowe zadania ABI (data privacy officer) przewidywane w projekcie rozporządzenia komisji europejskiej

Business
1  sur  28
Télécharger pour lire hors ligne
Administrator Bezpieczeństwa informacji - teraźniejszość i przyszłość Jarosław Żabówka proinfosec@odoradca.pl 15 grudzień 2011 VI Internetowe Spotkanie ABI
Plan prezentacji • Dyrektywa i ustawa • Praktyka • Oczekiwania • Propozycje Komisji Europejskiej 15 grudzień 2011 VI Internetowe Spotkanie ABI 2
Teraźniejszość: Dyrektywa • Dyrektywie 95/46/WE Parlamentu Europejskiego I Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, wprowadza pojęcie „Data protection official”, co w naszej ustawie zostało zaimplementowane jako „Administrator bezpieczeństwa informacji”. 15 grudzień 2011 VI Internetowe Spotkanie ABI 3
DPO • Musi mieć możliwość wykonywania swoich obowiązków w sposób niezależny od Administratora danych (pkt 49 preambuły). • Współpracuje z GIODO przed przetworzeniem danych (pkt 54 preambuły). • Odpowiada za zapewnienie stosowania przepisów krajowych przyjętych na mocy Dyrektywy (art. 18 pkt 2). • Odpowiada za prowadzenie rejestru operacji przetwarzania danych (art. 18 pkt 2). • W wypadku powołania DPO, administrator może zostać zwolniony z obowiązku zawiadamiania o przetwarzaniu danych (u nas – rejestracji zbiorów). • Współpracuje z GIODO w trakcie kontroli wstępnych. 15 grudzień 2011 VI Internetowe Spotkanie ABI 4
DPO – problemy z tłumaczeniem Wersja angielska Wersja polska • Data protection official • Urzędnik odpowiedzialny za ochronę danych • Art. 18: personal data protection • Art. 18: Urzędnik do spraw official ochrony danych Rozporządzenie Nr 45/2001 Parlamentu Europejskiego I Rady z dnia 18 grudnia 2000r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych: • Data Protection Officer • Inspektor ochrony danych 15 grudzień 2011 VI Internetowe Spotkanie ABI 5
Spojrzenie w przyszłość • Czy ABI stanie się IOD? 15 grudzień 2011 VI Internetowe Spotkanie ABI 6
Teraźniejszość: Ustawa • W polskiej ustawie ABI pojawia się w wyniku nowelizacji z 2004 roku. • administrator bezpieczeństwa musi być wyznaczony przez administratora danych osobowych, chyba, że ADO sam będzie wykonywał jego czynności. • Z obowiązku powołania ABI (lub samodzielnego pełnienia jego zadań) zwolnieni są administratorzy pełniący działalność dziennikarską, literacką lub artystyczną. 15 grudzień 2011 VI Internetowe Spotkanie ABI 7
Zadania ABI • ABI nadzoruje przestrzeganie środków technicznych i organizacyjnych przetwarzania danych osobowych przyjętych u administratora danych. • W innych państwach europejskich, wymogi co do zadań i kwalifikacji ABI (DPO), zostały niejednokrotnie bardziej szczegółowo określone. • „Nadzór” oznacza, że ABI powinien mieć możliwość ingerencji, wydawania poleceń, itd. w sytuacji gdy zasady przetwarzania danych nie są przestrzegane lub w celu zapewnienia zgodnego z tymi zasadami przetwarzania danych. 15 grudzień 2011 VI Internetowe Spotkanie ABI 8
ABI • ABI może, ale nie musi być pracownikiem administratora danych. • Powinien być konkretną osobą fizyczną, wyznaczoną przez ADO. • Wyznaczenie ABI powinno mieć formę pisemną. • Czy ADO może wyznaczyć kilku ABI? 15 grudzień 2011 VI Internetowe Spotkanie ABI 9
ABI – konflikt interesów • Mimo, że nie jest to określone wprost, ABI powinien być w taki sposób umocowany w strukturze organizacji, by móc w sposób prawidłowy realizować swoje zadania, kontaktować się z kierownictwem działów i w sposób niezależny nadzorować przetwarzanie w nich danych. • Nic nie stoi na przeszkodzie, żeby pełnił jednocześnie inne funkcje. Nie powinny one jednak powodować powstania konfliktu interesu, który mógłby utrudnić administratorowi bezpieczeństwa informacji realizowanie jego zadań. 15 grudzień 2011 VI Internetowe Spotkanie ABI 10
ABI - odpowiedzialność • Przyjmuje się, że niewłaściwe realizowanie obowiązków przez ABI, jako osobę zobowiązaną do ochrony danych osobowych może podlegać karze zgodnie z art.51 ustawy. − Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 15 grudzień 2011 VI Internetowe Spotkanie ABI 11
Teraźniejszość: Praktyka 15 grudzień 2011 VI Internetowe Spotkanie ABI 12
Przykładowe role ABI • Prawnik – tworzy umowy powierzenia, upoważnienia, itd. • Pracownik biurowy – prowadzi szereg rejestrów. • Audytor bezpieczeństwa. • Specjalista od analizy ryzyka. • Twórca polityki bezpieczeństwa. • Informatyk - administrator bezpieczeństwa systemu. • Trener. • Czy ABI musi posiadać umiejętności we wszystkich powyższych dziedzinach? • ABI działa na rzecz administratora danych i powinien stanowić jego prawą rękę w rozwiązywaniu problemów ochrony danych. 15 grudzień 2011 VI Internetowe Spotkanie ABI 13
ABI - cechy • Umiejętność podejmowania decyzji i ponoszenia ich konsekwencji • Umiejętność rozwiązywania problemów • Umiejętność pracy w zespole • Zdolności myślenia analitycznego • Zmysł obserwacji •… 15 grudzień 2011 VI Internetowe Spotkanie ABI 14
ABI – konflikt interesów • ABI – kierownik lub pracownik działu IT • ABI – autor polityki bezpieczeństwa • ABI – pracownik przetwarzający dane 15 grudzień 2011 VI Internetowe Spotkanie ABI 15
Przykładowy zakres zadań Zakres zadań ABI w MSZ: • wdrożenie oraz uaktualnianie dokumentacji, o którym mowa w § 3 ust. 1 oraz § 4 rozporządzenia (…) • nadzór nad ochroną danych osobowych (…) • informowanie (…) o przypadkach naruszenia(…) • koordynacja i nadzór nad procesem opisu zbioru danych osobowych (…) • zgłaszanie nowych zbiorów oraz zmian dotyczących zarejestrowanych zbiorów (…) • prowadzenie ewidencji zbiorów(…) • prowadzenie rejestru zdarzeń (…) 15 grudzień 2011 VI Internetowe Spotkanie ABI 16
Oczekiwania • Coraz większa potrzeba szczegółowych uregulowań w obszarach: − Zadania ABI − Uprawnienia ABI − Umocowanie ABI w strukturze organizacyjnej • Najważniejsze wydaje się zapewnienie skutecznych mechanizmów gwarantujących ABI niezależność w podejmowanych decyzjach. Mechanizmy te nie mogą nakładać dodatkowych obciążeń na administratorów danych. 15 grudzień 2011 VI Internetowe Spotkanie ABI 17
Postulaty • Ustawa nie powinna określać szczegółowych czynności ABI. • Ustawa powinna stanowić dla ABI narzędzie pozwalające mu skutecznie realizować podstawowy obowiązek, którym pozostaje nadzór nad stosowaniem szeroko rozumianych zabezpieczeń, ale również udział w ich tworzeniu i wdrażaniu. • Proponowane rozwiązania muszą być dostosowane zarówno do dużych jak i bardzo małych podmiotów. • Nie możemy tworzyć kolejnego zawodu regulowanego. 15 grudzień 2011 VI Internetowe Spotkanie ABI 18
Propozycje • Planuje się rezygnację z obowiązku rejestracji zbiorów danych i zobowiązanie ABI do prowadzenia takiego rejestru. − Rozwiązanie korzystne dla Urzędu i dla ADO − ABI i tak powinien prowadzić taki rejestr − Być może jednak ABI powinien posiadać odpowiedni mechanizm gwarantujący mu możliwość realizacji tego zadania? • Możliwe wydaje się rozwiązanie w którym, w określonych odstępach czasu, ABI przesyła GIODO sprawozdanie z prowadzonych kontroli. Z takiego obowiązku mogliby być zwolnieni administratorzy bezpieczeństwa posiadający odpowiednie certyfikaty. 15 grudzień 2011 VI Internetowe Spotkanie ABI 19
ABI – CZŁOWIEK GIODO, CZY ADO? • Do tej pory, administrator bezpieczeństwa informacji działał na rzecz administratora danych. W proponowanych rozwiązaniach, ABI zaczyna pełnić rolę przedstawiciela GIODO w organizacji. • Konieczne jest bardzo dobre wyważenie roli ABI. • Podejmowane działania muszą w minimalny sposób nakładać nowe obciążenia na organizacje. 15 grudzień 2011 VI Internetowe Spotkanie ABI 20
Przyszłość: Projekt rozporządzenia • Przygotowany przez Komisję Europejską projekt rozporządzenia (General Data Protection Regulation), które być może zastąpi wkrótce naszą krajową, ustawę o ochronie danych osobowych, bardzo szeroko traktuje zadania i prawa ABI, który staje się tutaj „Data protection officer". • Omówmy pokrótce proponowany rozwiązania. 15 grudzień 2011 VI Internetowe Spotkanie ABI 21
Rozdział 4 – Data protection officer. Art. 32 – Wyznaczenie DPO • DPO musi być wyznaczony przez ADO lub procesora (również art. 19 ust. 2. pkt (e)): − Będącego instytucją publiczną − Zatrudniającego powyżej 250 pracowników − Podstawowa działalność ADO lub procesora polega na regularnym i systematycznym monitorowaniu osób • Inne podmioty mogą wyznaczyć DPO. • DPO powinien posiadać adekwatną wiedzę i powinna być ona dostosowana do przetwarzanych danych. • ADO i procesor powinni zapewnić, że DPO wykonując swoje zadania nie będzie narażony na konflikty interesów. 15 grudzień 2011 VI Internetowe Spotkanie ABI 22
Rozdział 4 – Data protection officer. Art. 32 – Wyznaczenie DPO • ADO lub procesor wyznacza DPO na dwuletnią kadencję, która może być następnie przedłużona. W czasie swojego urzędowania, DPO może być zwolniony, jedynie, jeżeli nie spełnia wymagań koniecznych do pełnienia swoich obowiązków. • DPO może być zatrudniony przez ADO lub procesora, lub wykonywać swoje zadania w oparciu o umowę o świadczenie usług. • Dane DPO powinny być przekazane GIODO, podane do publicznej wiadomości oraz udostępnione osobom, których dane są przetwarzane (również w art. 12 ust. 1. pkt (a)). Osoby te muszą mieć możliwość kontaktu z DPO w wypadku incydentów i w celu skorzystania z praw nadanych przez rozporządzenie. 15 grudzień 2011 VI Internetowe Spotkanie ABI 23
Art. 33 – DPO w strukturze organizacyjnej • ADO lub procesor zapewnia, że DPO jest zaangażowany we wszystkie zagadnienia związane z ochroną danych. • DPO wykonuje swoje zadania niezależnie i podlega bezpośrednio dyrekcji. • ADO lub procesor wspierają DPO w realizacji zadań oraz zapewniają niezbędne zasoby. 15 grudzień 2011 VI Internetowe Spotkanie ABI 24
Art. 34 –Zadania DPO • Rozporządzenie określa jedynie minimalne zadania DPO. • Informuje ADO i procesora o ich obowiązkach oraz dokumentuje te działania. • Monitoruje wdrażanie i stosowanie polityki, w tym prowadzenie szkoleń, audytów. • Monitoruje wdrażanie i stosowanie rozporządzenia. • Zapewnia prowadzenie wymaganej rozporządzeniem dokumentacji. 15 grudzień 2011 VI Internetowe Spotkanie ABI 25
Art. 34 –Zadania DPO • Monitoruje skuteczność oceny skutków przetwarzania danych. • Monitoruje odpowiedzi na żądania GIODO (supervisory authority) oraz współpracuje z GIODO w zakresie własnych kompetencji. • Stanowi osobę kontaktową dla GIODO. • W części przepisów komisja ma prawo wprowadzać dodatkowe wymagania. 15 grudzień 2011 VI Internetowe Spotkanie ABI 26
Art. 79 – odpowiedzialność administracyjna • W wypadku niewyznaczenia DPO lub umyślnego lub nieumyślnego niespełnienia wymagań określonych w art. 32, 33 lub 34, GIODO powinien nałożyć w karę w wysokości 100tyś.- 1mln. Euro lub 5% światowego obrotu przedsiębiorstwa. 15 grudzień 2011 VI Internetowe Spotkanie ABI 27
15 grudzień 2011 VI Internetowe Spotkanie ABI 28

Recommandé

Prezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychPrezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychSzkoleniaCognity
 
Ochrona danych osobowych
Ochrona danych osobowychOchrona danych osobowych
Ochrona danych osobowych3camp
 
Ochrona danych osobowych w e-Commerce
Ochrona danych osobowych w e-CommerceOchrona danych osobowych w e-Commerce
Ochrona danych osobowych w e-CommerceDivante
 
Cognity - Ochrona Danych Osobowych w Firmie
Cognity - Ochrona Danych Osobowych w FirmieCognity - Ochrona Danych Osobowych w Firmie
Cognity - Ochrona Danych Osobowych w FirmieSzkoleniaCognity
 
Netcamp #12 - Ochrona danych osobowych w Internecie
Netcamp #12 - Ochrona danych osobowych w InternecieNetcamp #12 - Ochrona danych osobowych w Internecie
Netcamp #12 - Ochrona danych osobowych w InternecieFundacja Rozwoju Branży Internetowej Netcamp
 
Ochrona danych osobowych (ODO2013)
Ochrona danych osobowych (ODO2013)Ochrona danych osobowych (ODO2013)
Ochrona danych osobowych (ODO2013)Krzysztof Sługocki
 
Cognity Szkolenia - Ochrona danych osobowych w działach HR i kadr
Cognity Szkolenia - Ochrona danych osobowych w działach HR i kadrCognity Szkolenia - Ochrona danych osobowych w działach HR i kadr
Cognity Szkolenia - Ochrona danych osobowych w działach HR i kadrSzkoleniaCognity
 
Odo03a 20150821
Odo03a 20150821Odo03a 20150821
Odo03a 20150821Krzysztof Sługocki
 

Recommandé

Prezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychPrezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychSzkoleniaCognity
 
Ochrona danych osobowych
Ochrona danych osobowychOchrona danych osobowych
Ochrona danych osobowych3camp
 
Ochrona danych osobowych w e-Commerce
Ochrona danych osobowych w e-CommerceOchrona danych osobowych w e-Commerce
Ochrona danych osobowych w e-CommerceDivante
 
Cognity - Ochrona Danych Osobowych w Firmie
Cognity - Ochrona Danych Osobowych w FirmieCognity - Ochrona Danych Osobowych w Firmie
Cognity - Ochrona Danych Osobowych w FirmieSzkoleniaCognity
 
Netcamp #12 - Ochrona danych osobowych w Internecie
Netcamp #12 - Ochrona danych osobowych w InternecieNetcamp #12 - Ochrona danych osobowych w Internecie
Netcamp #12 - Ochrona danych osobowych w InternecieFundacja Rozwoju Branży Internetowej Netcamp
 
Ochrona danych osobowych (ODO2013)
Ochrona danych osobowych (ODO2013)Ochrona danych osobowych (ODO2013)
Ochrona danych osobowych (ODO2013)Krzysztof Sługocki
 
Cognity Szkolenia - Ochrona danych osobowych w działach HR i kadr
Cognity Szkolenia - Ochrona danych osobowych w działach HR i kadrCognity Szkolenia - Ochrona danych osobowych w działach HR i kadr
Cognity Szkolenia - Ochrona danych osobowych w działach HR i kadrSzkoleniaCognity
 
Odo03a 20150821
Odo03a 20150821Odo03a 20150821
Odo03a 20150821Krzysztof Sługocki
 
Ochrona danych osobowych RBDO.PL
Ochrona danych osobowych RBDO.PLOchrona danych osobowych RBDO.PL
Ochrona danych osobowych RBDO.PLŁukasz Cieniak
 
Zmiany w prawie ochrony danych osobowych od 01.01.2015
Zmiany w prawie ochrony danych osobowych od 01.01.2015Zmiany w prawie ochrony danych osobowych od 01.01.2015
Zmiany w prawie ochrony danych osobowych od 01.01.2015Krzysztof Sługocki
 
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018ngopl
 
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOWebinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOngopl
 
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowejWebinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowejngopl
 
Outsourcing usług, umowa powierzenia przetwarzania danych osobowych
Outsourcing usług, umowa powierzenia przetwarzania danych osobowychOutsourcing usług, umowa powierzenia przetwarzania danych osobowych
Outsourcing usług, umowa powierzenia przetwarzania danych osobowychCyberlaw Beata Marek
 
Obowiazek informacyjny
Obowiazek informacyjnyObowiazek informacyjny
Obowiazek informacyjnyWyższa Szkoła Biznesu w Dąbrowie Górniczej
 
10 najważniejszych zmian w ochronie danych osobowych
10 najważniejszych zmian w ochronie danych osobowych10 najważniejszych zmian w ochronie danych osobowych
10 najważniejszych zmian w ochronie danych osobowychRK Legal
 
Konferencja sare
Konferencja sareKonferencja sare
Konferencja sareguest01a5a3
 
RODO - co nas czeka?
RODO - co nas czeka?RODO - co nas czeka?
RODO - co nas czeka?RK Legal
 
Webinarium SCWO/portal ngo.pl 2018: Dane osobowe
Webinarium SCWO/portal ngo.pl 2018: Dane osoboweWebinarium SCWO/portal ngo.pl 2018: Dane osobowe
Webinarium SCWO/portal ngo.pl 2018: Dane osobowengopl
 
Cognity Ochrona Danych Osobowych
Cognity Ochrona Danych OsobowychCognity Ochrona Danych Osobowych
Cognity Ochrona Danych OsobowychCOGNITY Szkolenia
 
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowychObowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowychSpodek 2.0
 
Chmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawoChmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawoKonwent2015
 
Rodo dla hr
Rodo dla hrRodo dla hr
Rodo dla hrGroMar® Sp. z o.o.
 
Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)Szymon Konkol - Publikacje Cyfrowe
 
Dane osobowe w data center
Dane osobowe w data centerDane osobowe w data center
Dane osobowe w data centerAgata Kowalska
 
Ochrona danych osobowych w hospicjum
Ochrona danych osobowych w hospicjumOchrona danych osobowych w hospicjum
Ochrona danych osobowych w hospicjumFundacja HPE
 
Chmura nie ukradnie Ci pracy
Chmura nie ukradnie Ci pracyChmura nie ukradnie Ci pracy
Chmura nie ukradnie Ci pracyKonwent2015
 
"Obyś żył w ciekawych czasach". Polska i europejska ochrona danych osobowych ...
"Obyś żył w ciekawych czasach". Polska i europejska ochrona danych osobowych ..."Obyś żył w ciekawych czasach". Polska i europejska ochrona danych osobowych ...
"Obyś żył w ciekawych czasach". Polska i europejska ochrona danych osobowych ...Wyższa Szkoła Biznesu w Dąbrowie Górniczej
 
Porady dla przyszłych informatyków.
Porady dla przyszłych informatyków.Porady dla przyszłych informatyków.
Porady dla przyszłych informatyków.SzkoleniaCognity
 
Wdrozenie rodo krok po kroku
Wdrozenie rodo krok po krokuWdrozenie rodo krok po kroku
Wdrozenie rodo krok po krokuPwC Polska
 

Contenu connexe

Tendances

Ochrona danych osobowych RBDO.PL
Ochrona danych osobowych RBDO.PLOchrona danych osobowych RBDO.PL
Ochrona danych osobowych RBDO.PLŁukasz Cieniak
 
Zmiany w prawie ochrony danych osobowych od 01.01.2015
Zmiany w prawie ochrony danych osobowych od 01.01.2015Zmiany w prawie ochrony danych osobowych od 01.01.2015
Zmiany w prawie ochrony danych osobowych od 01.01.2015Krzysztof Sługocki
 
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018ngopl
 
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOWebinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOngopl
 
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowejWebinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowejngopl
 
Outsourcing usług, umowa powierzenia przetwarzania danych osobowych
Outsourcing usług, umowa powierzenia przetwarzania danych osobowychOutsourcing usług, umowa powierzenia przetwarzania danych osobowych
Outsourcing usług, umowa powierzenia przetwarzania danych osobowychCyberlaw Beata Marek
 
10 najważniejszych zmian w ochronie danych osobowych
10 najważniejszych zmian w ochronie danych osobowych10 najważniejszych zmian w ochronie danych osobowych
10 najważniejszych zmian w ochronie danych osobowychRK Legal
 
Konferencja sare
Konferencja sareKonferencja sare
Konferencja sareguest01a5a3
 
RODO - co nas czeka?
RODO - co nas czeka?RODO - co nas czeka?
RODO - co nas czeka?RK Legal
 
Webinarium SCWO/portal ngo.pl 2018: Dane osobowe
Webinarium SCWO/portal ngo.pl 2018: Dane osoboweWebinarium SCWO/portal ngo.pl 2018: Dane osobowe
Webinarium SCWO/portal ngo.pl 2018: Dane osobowengopl
 
Cognity Ochrona Danych Osobowych
Cognity Ochrona Danych OsobowychCognity Ochrona Danych Osobowych
Cognity Ochrona Danych OsobowychCOGNITY Szkolenia
 
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowychObowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowychSpodek 2.0
 
Chmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawoChmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawoKonwent2015
 
Dane osobowe w data center
Dane osobowe w data centerDane osobowe w data center
Dane osobowe w data centerAgata Kowalska
 
Ochrona danych osobowych w hospicjum
Ochrona danych osobowych w hospicjumOchrona danych osobowych w hospicjum
Ochrona danych osobowych w hospicjumFundacja HPE
 
Chmura nie ukradnie Ci pracy
Chmura nie ukradnie Ci pracyChmura nie ukradnie Ci pracy
Chmura nie ukradnie Ci pracyKonwent2015
 

Tendances (19)

Ochrona danych osobowych RBDO.PL
Ochrona danych osobowych RBDO.PLOchrona danych osobowych RBDO.PL
Ochrona danych osobowych RBDO.PL
 
Zmiany w prawie ochrony danych osobowych od 01.01.2015
Zmiany w prawie ochrony danych osobowych od 01.01.2015Zmiany w prawie ochrony danych osobowych od 01.01.2015
Zmiany w prawie ochrony danych osobowych od 01.01.2015
 
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018
 
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOWebinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
 
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowejWebinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
 
Outsourcing usług, umowa powierzenia przetwarzania danych osobowych
Outsourcing usług, umowa powierzenia przetwarzania danych osobowychOutsourcing usług, umowa powierzenia przetwarzania danych osobowych
Outsourcing usług, umowa powierzenia przetwarzania danych osobowych
 
Obowiazek informacyjny
Obowiazek informacyjnyObowiazek informacyjny
Obowiazek informacyjny
 
10 najważniejszych zmian w ochronie danych osobowych
10 najważniejszych zmian w ochronie danych osobowych10 najważniejszych zmian w ochronie danych osobowych
10 najważniejszych zmian w ochronie danych osobowych
 
Konferencja sare
Konferencja sareKonferencja sare
Konferencja sare
 
RODO - co nas czeka?
RODO - co nas czeka?RODO - co nas czeka?
RODO - co nas czeka?
 
Webinarium SCWO/portal ngo.pl 2018: Dane osobowe
Webinarium SCWO/portal ngo.pl 2018: Dane osoboweWebinarium SCWO/portal ngo.pl 2018: Dane osobowe
Webinarium SCWO/portal ngo.pl 2018: Dane osobowe
 
Cognity Ochrona Danych Osobowych
Cognity Ochrona Danych OsobowychCognity Ochrona Danych Osobowych
Cognity Ochrona Danych Osobowych
 
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowychObowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
 
Chmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawoChmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawo
 
Rodo dla hr
Rodo dla hrRodo dla hr
Rodo dla hr
 
Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)
 
Dane osobowe w data center
Dane osobowe w data centerDane osobowe w data center
Dane osobowe w data center
 
Ochrona danych osobowych w hospicjum
Ochrona danych osobowych w hospicjumOchrona danych osobowych w hospicjum
Ochrona danych osobowych w hospicjum
 
Chmura nie ukradnie Ci pracy
Chmura nie ukradnie Ci pracyChmura nie ukradnie Ci pracy
Chmura nie ukradnie Ci pracy
 

En vedette

Porady dla przyszłych informatyków.
Porady dla przyszłych informatyków.Porady dla przyszłych informatyków.
Porady dla przyszłych informatyków.SzkoleniaCognity
 
Wdrozenie rodo krok po kroku
Wdrozenie rodo krok po krokuWdrozenie rodo krok po kroku
Wdrozenie rodo krok po krokuPwC Polska
 
Dane osobowe i prywatność on-line.
Dane osobowe i prywatność on-line. Dane osobowe i prywatność on-line.
Dane osobowe i prywatność on-line. Marta Rogalewska
 
EY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEYPoland
 
Wizerunek jak publikować legalnie?
Wizerunek jak publikować legalnie?Wizerunek jak publikować legalnie?
Wizerunek jak publikować legalnie?Krzysztof Sługocki
 
Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”EYPoland
 
Przepisy GIODO - Najwazniejsze wymagania dla systemow informatycznych
Przepisy GIODO - Najwazniejsze wymagania dla systemow informatycznychPrzepisy GIODO - Najwazniejsze wymagania dla systemow informatycznych
Przepisy GIODO - Najwazniejsze wymagania dla systemow informatycznych3e Interent Software House
 

En vedette (10)

"Obyś żył w ciekawych czasach". Polska i europejska ochrona danych osobowych ...
"Obyś żył w ciekawych czasach". Polska i europejska ochrona danych osobowych ..."Obyś żył w ciekawych czasach". Polska i europejska ochrona danych osobowych ...
"Obyś żył w ciekawych czasach". Polska i europejska ochrona danych osobowych ...
 
Porady dla przyszłych informatyków.
Porady dla przyszłych informatyków.Porady dla przyszłych informatyków.
Porady dla przyszłych informatyków.
 
Wdrozenie rodo krok po kroku
Wdrozenie rodo krok po krokuWdrozenie rodo krok po kroku
Wdrozenie rodo krok po kroku
 
Dane osobowe i prywatność on-line.
Dane osobowe i prywatność on-line. Dane osobowe i prywatność on-line.
Dane osobowe i prywatność on-line.
 
EY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa Informacji
 
Wizerunek jak publikować legalnie?
Wizerunek jak publikować legalnie?Wizerunek jak publikować legalnie?
Wizerunek jak publikować legalnie?
 
Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”
 
Wymagania rozporzadzenia ministra spraw wewnętrznych i administracji w sprawi...
Wymagania rozporzadzenia ministra spraw wewnętrznych i administracji w sprawi...Wymagania rozporzadzenia ministra spraw wewnętrznych i administracji w sprawi...
Wymagania rozporzadzenia ministra spraw wewnętrznych i administracji w sprawi...
 
Obowiązki ADO - zasady przetwarzania danych osobowych
Obowiązki ADO - zasady przetwarzania danych osobowychObowiązki ADO - zasady przetwarzania danych osobowych
Obowiązki ADO - zasady przetwarzania danych osobowych
 
Przepisy GIODO - Najwazniejsze wymagania dla systemow informatycznych
Przepisy GIODO - Najwazniejsze wymagania dla systemow informatycznychPrzepisy GIODO - Najwazniejsze wymagania dla systemow informatycznych
Przepisy GIODO - Najwazniejsze wymagania dla systemow informatycznych
 

Similaire à ABI - teraźniejszość i przyszłość

Rola ABI a kontrole GIODO
Rola ABI a kontrole GIODORola ABI a kontrole GIODO
Rola ABI a kontrole GIODOKonwent2015
 
DPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIADPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIAPwC Polska
 
Afc module 4 pl
Afc module 4 plAfc module 4 pl
Afc module 4 plSoniaNaiba
 
Webinarium SCWO/BORIS 2018: RODO – dobre i złe praktyki
Webinarium SCWO/BORIS 2018: RODO – dobre i złe praktykiWebinarium SCWO/BORIS 2018: RODO – dobre i złe praktyki
Webinarium SCWO/BORIS 2018: RODO – dobre i złe praktykingopl
 
Program szkolenia procedur ochrony danych UE (RODO) 2017/2018
Program szkolenia procedur ochrony danych UE (RODO) 2017/2018Program szkolenia procedur ochrony danych UE (RODO) 2017/2018
Program szkolenia procedur ochrony danych UE (RODO) 2017/2018Łukasz Cieniak
 
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...ecommerce poland expo
 

Similaire à ABI - teraźniejszość i przyszłość (8)

X internetowe spotkanieabiv2
X internetowe spotkanieabiv2X internetowe spotkanieabiv2
X internetowe spotkanieabiv2
 
Rola ABI a kontrole GIODO
Rola ABI a kontrole GIODORola ABI a kontrole GIODO
Rola ABI a kontrole GIODO
 
DPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIADPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIA
 
Ochrona danych osobowych 2015 przeszkoda czy ułatwienie dla firm
Ochrona danych osobowych 2015 przeszkoda czy ułatwienie dla firmOchrona danych osobowych 2015 przeszkoda czy ułatwienie dla firm
Ochrona danych osobowych 2015 przeszkoda czy ułatwienie dla firm
 
Afc module 4 pl
Afc module 4 plAfc module 4 pl
Afc module 4 pl
 
Webinarium SCWO/BORIS 2018: RODO – dobre i złe praktyki
Webinarium SCWO/BORIS 2018: RODO – dobre i złe praktykiWebinarium SCWO/BORIS 2018: RODO – dobre i złe praktyki
Webinarium SCWO/BORIS 2018: RODO – dobre i złe praktyki
 
Program szkolenia procedur ochrony danych UE (RODO) 2017/2018
Program szkolenia procedur ochrony danych UE (RODO) 2017/2018Program szkolenia procedur ochrony danych UE (RODO) 2017/2018
Program szkolenia procedur ochrony danych UE (RODO) 2017/2018
 
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
 

ABI - teraźniejszość i przyszłość

  • 1. Administrator Bezpieczeństwa informacji - teraźniejszość i przyszłość Jarosław Żabówka proinfosec@odoradca.pl 15 grudzień 2011 VI Internetowe Spotkanie ABI
  • 2. Plan prezentacji • Dyrektywa i ustawa • Praktyka • Oczekiwania • Propozycje Komisji Europejskiej 15 grudzień 2011 VI Internetowe Spotkanie ABI 2
  • 3. Teraźniejszość: Dyrektywa • Dyrektywie 95/46/WE Parlamentu Europejskiego I Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, wprowadza pojęcie „Data protection official”, co w naszej ustawie zostało zaimplementowane jako „Administrator bezpieczeństwa informacji”. 15 grudzień 2011 VI Internetowe Spotkanie ABI 3
  • 4. DPO • Musi mieć możliwość wykonywania swoich obowiązków w sposób niezależny od Administratora danych (pkt 49 preambuły). • Współpracuje z GIODO przed przetworzeniem danych (pkt 54 preambuły). • Odpowiada za zapewnienie stosowania przepisów krajowych przyjętych na mocy Dyrektywy (art. 18 pkt 2). • Odpowiada za prowadzenie rejestru operacji przetwarzania danych (art. 18 pkt 2). • W wypadku powołania DPO, administrator może zostać zwolniony z obowiązku zawiadamiania o przetwarzaniu danych (u nas – rejestracji zbiorów). • Współpracuje z GIODO w trakcie kontroli wstępnych. 15 grudzień 2011 VI Internetowe Spotkanie ABI 4
  • 5. DPO – problemy z tłumaczeniem Wersja angielska Wersja polska • Data protection official • Urzędnik odpowiedzialny za ochronę danych • Art. 18: personal data protection • Art. 18: Urzędnik do spraw official ochrony danych Rozporządzenie Nr 45/2001 Parlamentu Europejskiego I Rady z dnia 18 grudnia 2000r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych: • Data Protection Officer • Inspektor ochrony danych 15 grudzień 2011 VI Internetowe Spotkanie ABI 5
  • 6. Spojrzenie w przyszłość • Czy ABI stanie się IOD? 15 grudzień 2011 VI Internetowe Spotkanie ABI 6
  • 7. Teraźniejszość: Ustawa • W polskiej ustawie ABI pojawia się w wyniku nowelizacji z 2004 roku. • administrator bezpieczeństwa musi być wyznaczony przez administratora danych osobowych, chyba, że ADO sam będzie wykonywał jego czynności. • Z obowiązku powołania ABI (lub samodzielnego pełnienia jego zadań) zwolnieni są administratorzy pełniący działalność dziennikarską, literacką lub artystyczną. 15 grudzień 2011 VI Internetowe Spotkanie ABI 7
  • 8. Zadania ABI • ABI nadzoruje przestrzeganie środków technicznych i organizacyjnych przetwarzania danych osobowych przyjętych u administratora danych. • W innych państwach europejskich, wymogi co do zadań i kwalifikacji ABI (DPO), zostały niejednokrotnie bardziej szczegółowo określone. • „Nadzór” oznacza, że ABI powinien mieć możliwość ingerencji, wydawania poleceń, itd. w sytuacji gdy zasady przetwarzania danych nie są przestrzegane lub w celu zapewnienia zgodnego z tymi zasadami przetwarzania danych. 15 grudzień 2011 VI Internetowe Spotkanie ABI 8
  • 9. ABI • ABI może, ale nie musi być pracownikiem administratora danych. • Powinien być konkretną osobą fizyczną, wyznaczoną przez ADO. • Wyznaczenie ABI powinno mieć formę pisemną. • Czy ADO może wyznaczyć kilku ABI? 15 grudzień 2011 VI Internetowe Spotkanie ABI 9
  • 10. ABI – konflikt interesów • Mimo, że nie jest to określone wprost, ABI powinien być w taki sposób umocowany w strukturze organizacji, by móc w sposób prawidłowy realizować swoje zadania, kontaktować się z kierownictwem działów i w sposób niezależny nadzorować przetwarzanie w nich danych. • Nic nie stoi na przeszkodzie, żeby pełnił jednocześnie inne funkcje. Nie powinny one jednak powodować powstania konfliktu interesu, który mógłby utrudnić administratorowi bezpieczeństwa informacji realizowanie jego zadań. 15 grudzień 2011 VI Internetowe Spotkanie ABI 10
  • 11. ABI - odpowiedzialność • Przyjmuje się, że niewłaściwe realizowanie obowiązków przez ABI, jako osobę zobowiązaną do ochrony danych osobowych może podlegać karze zgodnie z art.51 ustawy. − Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 15 grudzień 2011 VI Internetowe Spotkanie ABI 11
  • 12. Teraźniejszość: Praktyka 15 grudzień 2011 VI Internetowe Spotkanie ABI 12
  • 13. Przykładowe role ABI • Prawnik – tworzy umowy powierzenia, upoważnienia, itd. • Pracownik biurowy – prowadzi szereg rejestrów. • Audytor bezpieczeństwa. • Specjalista od analizy ryzyka. • Twórca polityki bezpieczeństwa. • Informatyk - administrator bezpieczeństwa systemu. • Trener. • Czy ABI musi posiadać umiejętności we wszystkich powyższych dziedzinach? • ABI działa na rzecz administratora danych i powinien stanowić jego prawą rękę w rozwiązywaniu problemów ochrony danych. 15 grudzień 2011 VI Internetowe Spotkanie ABI 13
  • 14. ABI - cechy • Umiejętność podejmowania decyzji i ponoszenia ich konsekwencji • Umiejętność rozwiązywania problemów • Umiejętność pracy w zespole • Zdolności myślenia analitycznego • Zmysł obserwacji •… 15 grudzień 2011 VI Internetowe Spotkanie ABI 14
  • 15. ABI – konflikt interesów • ABI – kierownik lub pracownik działu IT • ABI – autor polityki bezpieczeństwa • ABI – pracownik przetwarzający dane 15 grudzień 2011 VI Internetowe Spotkanie ABI 15
  • 16. Przykładowy zakres zadań Zakres zadań ABI w MSZ: • wdrożenie oraz uaktualnianie dokumentacji, o którym mowa w § 3 ust. 1 oraz § 4 rozporządzenia (…) • nadzór nad ochroną danych osobowych (…) • informowanie (…) o przypadkach naruszenia(…) • koordynacja i nadzór nad procesem opisu zbioru danych osobowych (…) • zgłaszanie nowych zbiorów oraz zmian dotyczących zarejestrowanych zbiorów (…) • prowadzenie ewidencji zbiorów(…) • prowadzenie rejestru zdarzeń (…) 15 grudzień 2011 VI Internetowe Spotkanie ABI 16
  • 17. Oczekiwania • Coraz większa potrzeba szczegółowych uregulowań w obszarach: − Zadania ABI − Uprawnienia ABI − Umocowanie ABI w strukturze organizacyjnej • Najważniejsze wydaje się zapewnienie skutecznych mechanizmów gwarantujących ABI niezależność w podejmowanych decyzjach. Mechanizmy te nie mogą nakładać dodatkowych obciążeń na administratorów danych. 15 grudzień 2011 VI Internetowe Spotkanie ABI 17
  • 18. Postulaty • Ustawa nie powinna określać szczegółowych czynności ABI. • Ustawa powinna stanowić dla ABI narzędzie pozwalające mu skutecznie realizować podstawowy obowiązek, którym pozostaje nadzór nad stosowaniem szeroko rozumianych zabezpieczeń, ale również udział w ich tworzeniu i wdrażaniu. • Proponowane rozwiązania muszą być dostosowane zarówno do dużych jak i bardzo małych podmiotów. • Nie możemy tworzyć kolejnego zawodu regulowanego. 15 grudzień 2011 VI Internetowe Spotkanie ABI 18
  • 19. Propozycje • Planuje się rezygnację z obowiązku rejestracji zbiorów danych i zobowiązanie ABI do prowadzenia takiego rejestru. − Rozwiązanie korzystne dla Urzędu i dla ADO − ABI i tak powinien prowadzić taki rejestr − Być może jednak ABI powinien posiadać odpowiedni mechanizm gwarantujący mu możliwość realizacji tego zadania? • Możliwe wydaje się rozwiązanie w którym, w określonych odstępach czasu, ABI przesyła GIODO sprawozdanie z prowadzonych kontroli. Z takiego obowiązku mogliby być zwolnieni administratorzy bezpieczeństwa posiadający odpowiednie certyfikaty. 15 grudzień 2011 VI Internetowe Spotkanie ABI 19
  • 20. ABI – CZŁOWIEK GIODO, CZY ADO? • Do tej pory, administrator bezpieczeństwa informacji działał na rzecz administratora danych. W proponowanych rozwiązaniach, ABI zaczyna pełnić rolę przedstawiciela GIODO w organizacji. • Konieczne jest bardzo dobre wyważenie roli ABI. • Podejmowane działania muszą w minimalny sposób nakładać nowe obciążenia na organizacje. 15 grudzień 2011 VI Internetowe Spotkanie ABI 20
  • 21. Przyszłość: Projekt rozporządzenia • Przygotowany przez Komisję Europejską projekt rozporządzenia (General Data Protection Regulation), które być może zastąpi wkrótce naszą krajową, ustawę o ochronie danych osobowych, bardzo szeroko traktuje zadania i prawa ABI, który staje się tutaj „Data protection officer". • Omówmy pokrótce proponowany rozwiązania. 15 grudzień 2011 VI Internetowe Spotkanie ABI 21
  • 22. Rozdział 4 – Data protection officer. Art. 32 – Wyznaczenie DPO • DPO musi być wyznaczony przez ADO lub procesora (również art. 19 ust. 2. pkt (e)): − Będącego instytucją publiczną − Zatrudniającego powyżej 250 pracowników − Podstawowa działalność ADO lub procesora polega na regularnym i systematycznym monitorowaniu osób • Inne podmioty mogą wyznaczyć DPO. • DPO powinien posiadać adekwatną wiedzę i powinna być ona dostosowana do przetwarzanych danych. • ADO i procesor powinni zapewnić, że DPO wykonując swoje zadania nie będzie narażony na konflikty interesów. 15 grudzień 2011 VI Internetowe Spotkanie ABI 22
  • 23. Rozdział 4 – Data protection officer. Art. 32 – Wyznaczenie DPO • ADO lub procesor wyznacza DPO na dwuletnią kadencję, która może być następnie przedłużona. W czasie swojego urzędowania, DPO może być zwolniony, jedynie, jeżeli nie spełnia wymagań koniecznych do pełnienia swoich obowiązków. • DPO może być zatrudniony przez ADO lub procesora, lub wykonywać swoje zadania w oparciu o umowę o świadczenie usług. • Dane DPO powinny być przekazane GIODO, podane do publicznej wiadomości oraz udostępnione osobom, których dane są przetwarzane (również w art. 12 ust. 1. pkt (a)). Osoby te muszą mieć możliwość kontaktu z DPO w wypadku incydentów i w celu skorzystania z praw nadanych przez rozporządzenie. 15 grudzień 2011 VI Internetowe Spotkanie ABI 23
  • 24. Art. 33 – DPO w strukturze organizacyjnej • ADO lub procesor zapewnia, że DPO jest zaangażowany we wszystkie zagadnienia związane z ochroną danych. • DPO wykonuje swoje zadania niezależnie i podlega bezpośrednio dyrekcji. • ADO lub procesor wspierają DPO w realizacji zadań oraz zapewniają niezbędne zasoby. 15 grudzień 2011 VI Internetowe Spotkanie ABI 24
  • 25. Art. 34 –Zadania DPO • Rozporządzenie określa jedynie minimalne zadania DPO. • Informuje ADO i procesora o ich obowiązkach oraz dokumentuje te działania. • Monitoruje wdrażanie i stosowanie polityki, w tym prowadzenie szkoleń, audytów. • Monitoruje wdrażanie i stosowanie rozporządzenia. • Zapewnia prowadzenie wymaganej rozporządzeniem dokumentacji. 15 grudzień 2011 VI Internetowe Spotkanie ABI 25
  • 26. Art. 34 –Zadania DPO • Monitoruje skuteczność oceny skutków przetwarzania danych. • Monitoruje odpowiedzi na żądania GIODO (supervisory authority) oraz współpracuje z GIODO w zakresie własnych kompetencji. • Stanowi osobę kontaktową dla GIODO. • W części przepisów komisja ma prawo wprowadzać dodatkowe wymagania. 15 grudzień 2011 VI Internetowe Spotkanie ABI 26
  • 27. Art. 79 – odpowiedzialność administracyjna • W wypadku niewyznaczenia DPO lub umyślnego lub nieumyślnego niespełnienia wymagań określonych w art. 32, 33 lub 34, GIODO powinien nałożyć w karę w wysokości 100tyś.- 1mln. Euro lub 5% światowego obrotu przedsiębiorstwa. 15 grudzień 2011 VI Internetowe Spotkanie ABI 27
  • 28. 15 grudzień 2011 VI Internetowe Spotkanie ABI 28