SABI – Stowarzyszenie Inspektorów Ochrony Danych
Stowarzyszenie
Władze
Statut
Kodeks Etyki
Materiały z debaty, konferencji
Konferencja 24.06.2015.
RODO/Wytyczne
Działalność
Aktualności
Kalendarium nowelizacji ustawy o ochronie danych osobowych - ustawa deregulacyjna
Akty prawne
Członkostwo
Przydatne linki
Kontakt
SABI-THE ASSOCIATION OF DATA PROTECTION OFFICERS
Facebook
Relacja z konferencji 24.06.2015.
Relacja z konferencji 24.06.2015.



II Konferencja „Zabezpieczenie danych osobowych”

„Nowa rola ABI – aspekty organizacyjne i techniczne”



24 czerwca br.  odbyła się na Politechnice Warszawskiej II Konferencja „Zabezpieczenie danych osobowych. Nowa rola ABI – aspekty organizacyjne i techniczne”. Organizatorami wydarzenia byli Zarząd Stowarzyszenia Administratorów Bezpieczeństwa Informacji oraz Dziekan Wydziału Zarządzania Politechniki Warszawskiej p. prof. Tadeusz Krupa.

Konferencja jest cyklicznym wydarzeniem organizowanym przez Wydział Zarządzania Politechniki Warszawskiej oraz SABI oraz ma na celu wymianę wiedzy, doświadczeń oraz dyskusji na temat zabezpieczania danych osobowych pomiędzy przedstawicielami świata nauki i biznesu oraz praktykami pełniącymi funkcję ABI w różnych organizacjach.

Konferencja była doskonałą okazją do spotkania środowiska ABI i wymiany doświadczeń związanych z wdrażaniem nowych wymogów zapewniania przestrzegania przepisów o ochronie danych osobowych (w tym w szczególności nową rolą ABI), jak również omówienia bieżących problemów związanych z zabezpieczeniem danych osobowych w polskich organizacjach.

Dyskutowano nad potrzebą zmian rozporządzenia MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Konferencja stała się elementem ogólnopolskiej debaty na temat nowych przepisów o ochronie danych osobowych, które obowiązują od 1 stycznia 2015 r. Jej podstawowym celem była ocena aktualnych wymogów w zakresie zabezpieczenia organizacyjnego i technicznego danych osobowych.

Głównym przedmiotem zainteresowania były przepisy rozdziału 5 ustawy o ochronie danych osobowych wraz z przepisami wykonawczymi MAiC dotyczącymi wykonywania funkcji ABI oraz rozporządzenia MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Omówione zostały zarówno wprowadzone zmiany we wspomnianych przepisach prawa, jak również potrzeba nowych uregulowań. Główny blok tematyczny poświęcony był nowej roli administratora bezpieczeństwa informacji (ABI).

Konferencję otworzyły wystąpienia  prof. Tadeusza Krupy, Dziekana Wydziału Zarządzania Politechniki Warszawskiej oraz Macieja Byczkowskiego, Prezesa Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji.

W pierwszym panelu dyskusyjnym „Zabezpieczanie danych osobowych – nowe wymagania i planowane zmiany”, który poprowadził dr hab. Janusz Zawiła-Niedźwiecki z Wydziału Zarządzania Politechniki Warszawskiej, zaprezentowane zostało między innymi  video wystąpienie dr Wojciecha Wiewiórowskiego, Zastępcy Europejskiego Inspektora Ochrony Danych Osobowych, poświęcone planowanym zmianom wymogów zabezpieczania danych osobowych w ramach reformy przepisów o ochronie danych w UE.

Kolejnym wystąpieniem była prezentacja Dyrektora Departamentu Społeczeństwa Informacyjnego MAiC Macieja Gronia, który przedstawił  uczestnikom konferencji informację o przyjętym przez Radę Unii Europejskiej podejściu do projektu ogólnego Rozporządzenia o ochronie danych osobowych. Rozporządzenie ma zastąpić Dyrektywę Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.  Działanie to ma na celu zarówno poprawę ochrony osób, których dane są przetwarzane jak i dokładne określenie obowiązków spoczywających na podmiotach przetwarzających dane.

Prezes Zarządu SABI Maciej Byczkowski, w swoim wystąpieniu „Nowe obowiązki zabezpieczenia danych osobowych po nowelizacji ustawy o ochronie danych osobowych – fakty i mity”,  poświęcił uwagę  błędnym informacjom funkcjonującym w mediach oraz na różnego rodzaju konferencjach i w ofertach szkoleń, które dotyczą nowych uregulowań na gruncie znowelizowanej ustawy. Jako współtwórca zapisów ustawowych w zakresie nowej funkcji ABI i uczestnik procesu legislacyjnego, Prezes Byczkowski przedstawił prawidłową interpretację zapisów ustawy m.in. odnoszących się do:

  • wyboru przez ADO sposobu realizacji nowych obowiązków związanych z zapewnieniem przestrzegania przepisów o ochronie danych osobowych, czyli albo powołania do tego ABI (zgodnie z art. 36a) albo samodzielnej realizacji tych zadań (zgodnie z art. 36b)
  • braku ograniczenia czasowego co do możliwości powołania ABI przez ADO w każdym momencie
  • terminu 30 czerwca 2015 r., jako terminu, do którego funkcję ABI mogą pełnić – zgodnie z nowymi przepisami – osoby wyznaczone na ABI przed 1 stycznia 2015 r., na podstawie uchylonego przepisu z art. 36 ust. 3. co w praktyce oznacza, że ADO ma czas do 30 czerwca 2015 r. na podjęcie decyzji, co zrobić z wyznaczonym wcześniej ABI: czy powołać go na nowo na podstawie art. 36a i zgłosić do rejestracji GIODO, czy pozostawić tę osobę, ale już na innym stanowisku, i zlecić wykonywanie części lub wszystkich nowych zadań zapewniania przestrzegania przepisów o ochronie danych zgodnie z art. 36b.

Omówione zostały także konieczne zmiany w przepisach rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, będące niezbędnym dopełnieniem nowelizacji ustawy dotyczącej nowej roli ABI. Prezes SABI Maciej Byczkowski przedstawił propozycje Zespołu Ekspertów Stowarzyszenia ABI. W dyskusji także udział wzięli: Michał Czerniawski (MAiC), Maciej Groń (MAiC), Andrzej Rutkowski (Stowarzyszenie ABI), dr Grzegorz Sibiga (PAN).  Przedyskutowano następujące kwestie:

  • ustalenie nowych poziomów bezpieczeństwa
  • odniesienie do obowiązków identyfikacji zagrożeń z art. 36 ust. 1
  • wskazówki do przeprowadzenia analizy zagrożeń celem określenia wymaganego poziomu bezpieczeństwa
  • uporządkowanie kwestii prowadzenia dokumentacji  w odniesieniu do artykułu 36 ust.2, w tym: rodzaje dokumentów – PBDO i IZSI, podstawową dokumentację przetwarzania danych osobowych oraz instrukcję postępowania w sytuacji naruszenia ochrony danych
  • uporządkowanie realizacji wymogów art. 38 w odniesieniu do kontroli przetwarzania, w tym: odnotowywanie danych w systemie, kwestie rozliczalności danych
  • odniesienie do innych rozporządzeń w celu unikania dublowania  realizacji wymogów zabezpieczenia danych

W drugiej części konferencji  skupiono się na  nowej roli administratora bezpieczeństwa informacji. Aktualny stan prawny w krajowych przepisach o ochronie danych osobowych dotyczący funkcjonowania  ABI przedstawił dr Grzegorz Sibiga z Instytutu Nauk Prawnych PAN.

Dr Sibiga omówił  zadania ABI dotyczące:

  • zapewniania przestrzegania przepisów o ochronie danych osobowych, w szczególności  przez sprawdzanie zgodności przetwarzania danych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla ADO  i GIODO
  • nadzorowania dokumentacji przetwarzania i ochrony danych osobowych (polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych)
  • zapewniania zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Kolejne części swojego wystąpienia poświęcił następującym kwestiom: prowadzenie wewnętrznego rejestru zbiorów danych  oraz przeprowadzanie sprawdzeń oraz przygotowywanie sprawozdań. Wyróżnił dwa rodzaje sprawdzeń, te które realizowane są dla ADO (planowe i doraźne) oraz przygotowywane na wezwanie GIODO a także  omówił  czynności poprzedzające sprawdzenia (zasady sporządzania planu sprawdzeń) oraz rodzaje czynności  podejmowanych w sprawdzeniu oraz zasady ich doboru, i sposoby ich dokumentowania. Skupił się również nad zagadnieniem nadzoru nad dokumentacją. Wskazał obszary  podlegające nadzorowi (opracowanie i kompletność  dokumentacji przetwarzania danych, aktualność dokumentacji,  przestrzeganie zasad i obowiązków określonych w dokumentacji przetwarzania danych), sposoby realizacji nadzoru (etap weryfikacji, którego podstawą jest sprawozdanie oraz etap po weryfikacyjny, który składa się zarówno z zawiadomienia ADO jak i  pouczenia oraz instrukcji dla osób dopuszczających się naruszeń) oraz omówił temat zapoznawania z przepisami, w którym istotne są zarówno efektywność podjętego działania jak i jego udokumentowanie.

Wiceprezes  Zarządu Stowarzyszenia ABI, Andrzej Rutkowski podczas wykładu „ABI nie tylko audytor i koordynator” omówił możliwości wykonywania przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych. Przypomniał, że ABI to funkcja a nowelizacja ustawy o ochronie danych osobowych określiła status ABI: ABI już nie jest tylko nadzorcą zasad techniczno – organizacyjnego bezpieczeństwa przetwarzania danych osobowych. Według prelegenta wypełnianie funkcji ABI to wykonywanie zadań obejmujących wszystkie obszary ochrony danych osobowych. Podkreślił, że Administrator danych może powierzyć ABI wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w ust. 2 – art. 36a ust. 3 u.o.d.o.  Zaznaczył, że możliwość wykonywania innych zadań przez ABI jest częścią składową zarówno wykonywania funkcji ABI jak i jego ustawowego statusu.

Jako przykłady takich zadań wskazał: prowadzenie szkoleń w zakresie ochrony danych osobowych, zgłaszanie do rejestru GIODO zbiorów danych osobowych wrażliwych, przygotowywanie projektów lub opiniowanie projektów umów powierzenia przetwarzania danych, dokonywanie wstępnej oceny spełniania wymogów ochrony danych przez potencjalnych procesorów, przygotowywanie projektów klauzul zgody na przetwarzanie danych i klauzul informacyjnych, przygotowywanie projektów polityki prywatności oraz polityki cookies, odbieranie oświadczeń o zapoznaniu się osób z przepisami prawa o ochronie danych osobowych   oraz innych informacji prawnie chronionych i zobowiązaniu do zachowania tajemnicy tych danych oraz informacji a także ich zabezpieczeń, wydawanie upoważnień do przetwarzania danych osobowych praz prowadzenie ewidencji osób upoważnionych.

Zaznaczył również, że ABI może być inicjatorem i uczestniczyć we wdrażaniu zarządzania bezpieczeństwem przetwarzania danych opartego na ocenie ryzyka występującego podczas przetwarzania danych np. w tworzeniu listy procesów służących do zarządzania bezpieczeństwem, identyfikowaniu podatności i zagrożeń występujących w przebiegu poszczególnych procesów, przeprowadzeniu analizy ryzyka, klasyfikacji procesów ze względu na wynik analizy ryzyka, doborze narzędzi postępowania z ryzykiem.  Prelegent zaakcentował, że ABI  także może być inicjatorem i uczestniczyć we wdrażaniu: ochrony danych w fazie projektowania, ochrony danych jako opcji domyślnej, procedur zgłaszania i powiadamiania o naruszeniu ochrony danych osobowych, oceny skutków w zakresie ochrony danych osobowych a także opiniować potrzeby stosowania wymogów prawa ochrony danych osobowych na etapie projektowania produktu lub usługi.

Do zadań ABI wg Andrzeja Rutkowskiego może także należeć uczestnictwo: w doborze środków ochrony danych na etapie projektowania systemu informatycznego wspomagającego produkt lub świadczenie usługi, w opracowywaniu i wdrażaniu zasad  i procedur postpowania z incydentami, w opracowywaniu i wdrażaniu zasad i procedur zarządzania ciągłością działania lub planów awaryjnego działania oraz prowadzenie szkoleń z zakresie planowania ciągłości działania, czy też  awaryjnego działania.

Wiceprezes SABI zaznaczył, że ABI wykonując ustawowe zadania odnoszące się do dalej idącej ochrony danych osobowych, o której mowa w art. 5 u.o.d.o., ma kompetencje w zakresie ochrony innych informacji prawnie chronionych  co oznacza, że ABI może wykonywać zadania w zakresie np. ochrony tajemnicy przedsiębiorstwa oraz/lub ochrony tajemnicy zawodowej.

Podsumowując swoje wystąpienie podkreślił, że  wykonywanie innych zadań przez ABI nie musi kolidować z jego odrębnością organizacyjną i niezależnym wykonywaniem zadań ustawowych, gdy wykonywanie innych zadań będzie uczestnictwem ABI jako specjalisty, eksperta w zespołowych przedsięwzięciach, projektach zaś inne zadania wykonywane przez ABI  indywidualnie zostaną poddane audytowi wewnętrznemu.

Podczas panelu dyskusyjnego dotyczącego nowej funkcji ABI omawiano między innymi:

  • kwestię relacji służbowej ABI oraz pracowników ADO  - podkreślono, że ABI może instruować i pouczać pracowników, natomiast nie może to mieć charakteru polecenia służbowego. Opcjonalnie ABI może  zawiadomić ADO o naruszeniu przepisów o ochronie danych osobowych.
  • zagadnienie kompetencji ABI  za naciskiem na fakt, że nie  musi znać się jednakowo na wszystkich zagadnieniach, może wspierać się wiedzą fachową doradców lub specjalnie zatrudnionych ekspertów zewnętrznych. Poza tym ustawa przewiduje możliwość powołania zastępców ABI co również może stanowić podstawę rozwiązania tej kwestii.
  • problematykę związaną z ewentualnym podziałem czasu pomiędzy pełnieniem funkcji ABI i innymi obowiązki związanymi z działalnością ADO, z podkreśleniem wniosku, że nie powinno być konfliktu interesów pomiędzy funkcją nadzorczą ABI, zwłaszcza gdy zachodzi np. zwierzchność osób nadzorowanych nad ABI

Ostatnia część konferencji dotyczyła tematu realizacji wymogów organizacyjnych i technicznych zabezpieczenia danych osobowych.

Jako pierwszy wystąpił dr hab. Janusz Zawiła-Niedźwiecki z Wydziału Zarządzania Politechniki Warszawskiej. Przedstawił on opracowaną wspólnie Maciejem Byczkowskim (Prezes firmy ENSI, Prezes SABI) analizę ryzyka związanego z przechowywaniem  i przetwarzaniem danych osobowych oraz niezbędnych procedur dotyczących ich zabezpieczania, przy uwzględnieniu krajowych i międzynarodowych przepisów dotyczących ochrony danych osobowych. Zwrócił uwagę na  fakt , że do realizacji wymagań wynikających z przepisów prawa można wykorzystać związane z zarządzaniem bezpieczeństwem informacji normy ISO oraz również wskazał na praktyczne aspekty i etapy postępowania dotyczące procesu analizy ryzyka przetwarzania danych osobowych w organizacjach.

Prelegent wskazał, że ryzyko można podzielić na biznesowe oraz operacyjne. Podkreślił, że to właśnie ryzyko operacyjne jest istotne dla zagadnień omawianych podczas konferencji, ponieważ obejmuje  ono także ryzyko niewypełniania obowiązków prawnych w działalności bieżącej. 

Zaznaczył, że całość działań panowania nad ryzykiem w sferze gospodarczej i administracyjnej nazywana jest zarządzaniem ryzykiem, a w sferze społecznej (funkcjonowania społeczności lokalnych lub całego kraju) zarządzaniem kryzysowym.  Podkreślił, że w obydwu przypadkach podstawą jest poznanie istoty ryzyka i konkretnych zagrożeń, podjęcie prewencji oraz przygotowanie gotowości do reagowania na zakłócenia. Natomiast naruszenie bezpieczeństwa jest spełnieniem się potencjalnego do tego momentu ryzyka i zawsze polega na utracie jakichś kluczowych zasobów lub na utracie kontroli nad nimi. Zwrócił uwagę uczestników konferencji, że wymogi dotyczące przeprowadzania analizy ryzyka procesów przetwarzania danych osobowych są zawarte w przepisach ustawy o ochronie danych osobowych. Prelegent podkreślił, że  chociaż nie występuje w przepisach sam termin „analiza ryzyka”, to z wymagań dotyczących zabezpieczenia danych osobowych określonych w art. 36 ust. 1 wynika obowiązek przeprowadzania takich działań. Zaznaczył, że celem tych działań jest poznanie istoty ryzyka i wyrażających je konkretnych zagrożeń, związanych z miejscem przetwarzania danych osobowych, systemami informatycznymi służącymi do przetwarzania danych oraz procesami ich przetwarzania, które są realizowane przez administratora danych lub procesora. W treści art. 36 ust. 1 określone są szczególne sytuacje, które należy objąć analizą w celu zapewnienia bezpieczeństwa danych, minimalizacji ryzyka ich wystąpienia oraz przygotowania działań reagowania w sytuacji naruszenia bezpieczeństwa. 

Dr Zawiła – Niedźwiecki podkreślił, że wynikiem przeprowadzenia wymaganej analizy ryzyka jest zastosowanie przez administratora danych oraz procesora, odpowiednich zabezpieczeń dla przetwarzanych danych osobowych oraz opracowanie odpowiedniej dokumentacji określającej właściwe stosowanie tych zabezpieczeń.

Kolejne wystąpienie „Od Wykazu do Rejestru” dotyczyło zmian zasad dokumentowania zbiorów danych osobowych. Wygłosił je  Maciej Kołodziej pełniący funkcję Wiceprezesa  Zarządu SABI.  W swoim wystąpieniu prelegent  przypomniał przepisy dotyczące zarówno prowadzenia rejestrów danych jak i ich zgłoszenia  oraz   przywołał artykuł 53 ustawy o ochronie danych osobowych dotyczący kar dla podmiotów, które choć mają taki obowiązek nie dokonają zgłoszenia do rejestracji zbioru danych. Omówił także  kwestie dotyczące wykazu zbiorów danych osobowych -  w  tym kontekście odniósł się do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, na podstawie którego ADO wdraża Politykę bezpieczeństwa prowadzoną w formie pisemnej, która  jak podkreślił  Maciej Kołodziej, zawiera w szczególności dane dotyczące: obszaru, w którym przetwarzane są dane osobowe, wykazu zbiorów danych osobowych wraz ze wskazaniem programów zastosowania do przetwarzania danych, opisu struktury zbiorów danych wskazującego zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi oraz sposobu przepływu danych pomiędzy poszczególnymi systemami. Prelegent omówił także: rodzaje zbiorów w Wykazie, jakie informacje o zbiorach powinny być odnotowane w Wykazie a także zagadnienie dostępu do informacji zawartych w Wykazie i Rejestrach.

Ostanie wystąpienie na Konferencji dotyczyło tematu: System ochrony danych osobowych a System zarządzania bezpieczeństwem informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności. Przedstawił go  Marcin Soczko, Członek Zarządu Stowarzyszenia ABI i jednocześnie od 10 lat ABI w CODGiK.

Podczas prezentacji prelegent omówił zarówno źródła wymagań dotyczących bezpieczeństwa informacji a także różnice i podobieństwa między Systemem Ochrony Danych Osobowych (ODO) a Systemem Zarządzania Bezpieczeństwem Informacji przede wszystkim w kontekście: analizy ryzyka, dokumentacji, sprawdzania zgodności, audytu wewnętrznego, zapoznawania, uświadamiania, szkoleń, bezpieczeństwa zasobów ludzkich, rozliczalności, kontroli dostępu, bezpieczeństwa fizycznego i środowiskowego, ochrony przed szkodliwym oprogramowaniem, ciągłości działania, kopii zapasowych, urządzeń mobilnych, postępowania z nośnikami, bezpieczeństwa sprzętu i aktywów poza siedzibą, dostępu do sieci i usług sieciowych, kryptografii oraz zgodności.

Konferencję  zakończyło wystąpienie Dziekana Wydziału Zarządzania Politechniki Warszawskiej prof. Tadeusza Krupy.

Organizatorzy: Wydział Zarządzania Politechniki Warszawskiej oraz Stowarzyszenie Administratorów Bezpieczeństwa Informacji

Patronat honorowy: Jego Magnificencja Rektor Politechniki Warszawskiej prof. dr hab. inż. Jan Szmidt

Rada programowa konferencji:

  • Maciej Byczkowski (Prezes Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji),
  • Andrzej Rutkowski (Wiceprezes Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji),
  • dr Grzegorz Sibiga (Instytut Nauk Prawnych PAN),
  • dr hab. Janusz Zawiła-Niedźwiecki (Wydział Zarządzania Politechniki Warszawskiej).

Patronat medialny: kwartalnik „Informacja w administracji publicznej” (C.H.Beck)oraz miesięcznik „Ochrona danych osobowych” (Wydawnictwo Wiedza i Praktyka)