forum

15
listopada
2018

XXVI Forum Administratorów Danych/ Inspektorów Ochrony Danych (ADO/IOD) BIEŻĄCE WYKONYWANIE OBOWIĄZKÓW Z RODO

koordynator: Iwona Nowosielska

Po intensywnym wdrażaniu podstawowych obowiązków określonych w RODO, tak aby zdążyć przed 25 maja 2018 r., przyszedł czas na stałe wykonywanie bieżących obowiązków określonych w RODO, które wymagają systematycznego i metodycznego podejścia. Szczególnie ważne pozostają obowiązki związane z szacowaniem ryzyka dla praw i wolności osób, których dane dotyczą, tym bardziej, że to szacowanie różni się w zależności od rodzaju obowiązku. Właśnie problemy związane z tymi „stałymi obowiązkami” będą przedmiotem listopadowego Forum ADO/IOD.
W związku ze zmianami w prawie i zastąpieniu administratora bezpieczeństwa informacji (ABI) przez inspektora ochrony danych (IOD) również Forum ADO/IOD zmodyfikowało swoją nazwę. Formuła wydarzenia pozostaje jednak niezmieniona – Forum od kilkunastu lat pełni rolę miejsca wymiany wiedzy i poglądów na najbardziej aktualne i praktyczne problemy ochrony danych osobowych. Serdecznie zapraszamy do wzięcia udziału w listopadowym Forum ADO/IOD !

Redakcja programu i prowadzenie obrad: adw. dr Grzegorz Sibiga

15 listopada 2018 r.
10:00 Rozpoczęcie obrad
10:10 Wprowadzenie:Aktualny stan prac legislacyjnych i regulacyjnych w obszarze ochrony danych osobowych.
adw. dr Grzegorz Sibiga
(Traple, Konarski, Podrecki i Wspólnicy, Instytut Nauk Prawnych PAN)
10:30 Dobór środków zabezpieczenia technicznego i organizacyjnego danych osobowych – sposoby wykonania obowiązku i jego rozliczenia
  • Ocena ryzyka naruszenia ochrony danych z punktu widzenia odpowiednio: ADO oraz podmiotu danych – jako podstawa do podejmowania działań w zakresie uzupełnienia lub wymiany zastosowanych środków bezpieczeństwa.
  • Klasyfikacja rodzajów naruszeń na: naruszenia w zakresie poufności
    1. naruszenia integralności
    2. naruszenia dostępności,
  • oraz przypisanie im wag w zakresie wielkości skutków, jakie ich naruszenie może powodować dla odpowiednio ADO i podmiotu danych.
  • Możliwe środki organizacyjne w zakresie odpowiednio ochrony: poufności, integralności i dostępności.
  • Kiedy zastosowane środki ochrony organizacyjnej nie są wystarczające i należy je wzmocnić środkami technicznymi? Jakie to mogą być środki?
  • Jak optymalnie podejść do stosowanie przyjętych środków ochrony i kontroli ich stosowania.
  • Praktyczne rozwiązania w zakresie szeroko stosowanych środków kontroli dostępu w postaci identyfikatora użytkownika i hasła.
  • Rozliczalność w zakresie stosowania środków bezpieczeństwa.
dr inż. Andrzej Kaczmarek
(inspektor ochrony danych, Urząd Ochrony Danych Osobowych)
11:15 Monitorowanie przez inspektora ochrony danych przestrzegania przepisów RODO oraz innych przepisów o ochronie danych osobowych – sposoby realizacji zadania.
  • Pozycja prawna Inspektora Ochrony Danych.
  • Cele i zakres zagadnień objętych monitorowaniem.
  • W jakim trybie i w jaki sposób mogą być przeprowadzane czynności monitorowania.
  • Zasady dokumentowania poszczególnych czynności.
  • Postępowanie Inspektora Ochrony Danych po przeprowadzeniu monitorowania.
r.pr. Bogusława Pilc
(inspektor ochrony danych, Ministerstwo Obrony Narodowej )
12:00 Przerwa na lunch
12:35 Ocena ryzyka przy naruszeniach ochrony danych osobowych:
  • Ryzyko jako podstawa decyzji o notyfikacji naruszenia.
  • Czynniki, które należy wziąć pod uwagę podczas oceny ryzyka naruszenia.
  • Jak zmierzyć ryzyko naruszenia i zapewnić rozliczalność.
Joanna Brylikowska
(Dyrektor Biura Ochrony Danych Osobowych i Ładu Korporacyjnego, Provident Polska S.A.)
13:20 Praktyczne problemy realizacji żądań osób, których dane dotyczą:
  • Przygotowanie jednostki organizacyjnej do rozpatrywania żądań osób, których dane dotyczą osób.
  • Etapy rozpatrywania żądań - klasyfikacja żądań.
  • Wnioski, których rozpatrzenie wymaga znacznego nakładu.
  • Prawo do kopii danych osobowych a otrzymanie dokumentów z danymi.
  • Obowiązek komunikacji z osoba, której dane dotyczą. Przykład odpowiedzi odmownie załatwiającej żądanie.
adw. dr Grzegorz Sibiga
(Traple, Konarski, Podrecki i Wspólnicy, Instytut Nauk Prawnych PAN)
14:00 Przerwa na kawę
14:20 Tworzenie tabeli retencyjnej przetwarzania danych osobowych wykonującej zasadę ograniczenia przechowywania, o której mowa w art. 5 ust.1 lit e) RODO:
  • Zakres przedmiotowy polityki retencyjnej (polityki przechowywania danych osobowych).
  • Kryteria ustalania okresu przechowywania danych osobowych.
  • Ustalanie okresu przechowywania danych na podstawie okresu przedawnienia roszczeń.
  • Zmiana ustalonego wcześniej okresu przechowywania.
  • Spójność tabeli retencyjnej z inną dokumentacją przetwarzania danych osobowych.
adw. Katarzyna Syska
(Traple, Konarski, Podrecki i Wspólnicy)
14:55 Warsztat: Ocena skutków dla ochrony danych – case study. Szacowanie ryzyka oraz przeprowadzanie oceny.
  • Ryzyko ochrony danych vs. cyber-zagrożenia.
  • Ocena Skutków dla Ochrony Danych (OSOD) podstawy prawne i dostosowanie procesu do wymogów organizacji.
  • Case study: analiza ryzyka jako podstawowe narzędzie w OSOD, czyli od czego warto zacząć oraz jakie elementy należy wziąć pod uwagę.
  • Dokumentowanie OSOD w celu wykazania obowiązków wynikających z RODO, w tym stosowania zasady ochrony danych w fazie projektowania i domyślnej ochrony danych oraz podejścia opartego na ryzyku.
  • Jak w praktyce prowadzić dokumentację oraz monitorować ustalenia OSOD?
Mariola Więckowska
(LexDigital)
16:00 Podsumowanie i zakończenie Forum

Joanna Brylikowska

Ekonomistka (Uniwersytet Łódzki), absolwentka Podyplomowych Studiów Ochrona Danych Osobowych (Akademia Leona Koźmińskiego 2008/2009). Ekspertka z zakresu ochrony danych osobowych i bezpieczeństwa informacji z kilkunastoletnim doświadczeniem jako Administrator Bezpieczeństwa Informacji. Auditor wiodący ISO/EIC 27001, certyfikat kontrolera wewnętrznego (PIKW). Członek Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji (SABI) w latach 2010-2016, członek IAPP. Dyrektor Biura Ochrony Danych Osobowych i Ładu Korporacyjnego w międzynarodowej korporacji z sektora finansowego, gdzie pełni funkcję Inspektora ochrony danych osobowych.

Andrzej Kaczmarek

Dr inż. A. Kaczmarek specjalizuje się w zarządzaniu bezpieczeństwem przetwarzania informacji oraz ocenie funkcjonalności systemów teleinformatycznych stosowanych do przetwarzania danych osobowych pod kątem ich zgodności z przepisami prawa.
Od czasu ukończenia studiów do chwili obecnej dr inż. A. Kaczmarek związany jest ze środowiskiem akademickim. Do roku 1997 był pracownikiem naukowo-dydaktycznym Politechniki Rzeszowskiej. Jest współautorem wielu projektów badawczych z dziedziny systemów ekspertowych i sztucznej inteligencji. W latach 1995−1998 pracę naukowo-badawczą łączył z praktyką w Rzeszowskim Zakładzie Energetycznym, pracując na stanowisku kierownika działu programowania. W latach 1998–2018 był dyrektorem departamentu informatyki w Biurze Generalnego Inspektora Ochrony Danych Osobowych. W latach 1999−2018 uczestniczył w pracach międzynarodowej grupy roboczej (International Working Group on Data Protection in Telecommunications). W latach 2004−2007 był członkiem grupy ekspertów branżowych PSG przy Europejskiej Agencji Bezpieczeństwa Sieci i Informacji ENISA. W latach 1999–2009 czynnie uczestniczył w pracach Komitetu Technicznego PKN nr 182 ds. Ochrony Informacji w Systemach Teleinformatycznych oraz Podkomitetu PKN ds. Systemów Zarządzania Bezpieczeństwem Informacji (ISMS). W latach 2008−2018 brał udział w pracach Podgrupy technologicznej działającej w ramach Grupy roboczej ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych.
Od roku 2012 jest członkiem międzynarodowego stowarzyszenia ISACA zrzeszającym osoby zajmujące się zawodowo zagadnieniami dotyczącymi audytu, kontroli, bezpieczeństwa oraz zarządzaniem systemami informatycznymi.
W okresie od czerwca 2018 r. do października 2020 r. pełnił funkcję inspektora ochrony danych najpierw w Urzędzie Ochrony Danych Osobowych, a następnie od października 2019 r. w Ministerstwie Cyfryzacji.
Posiada certyfikat CISA wydany przez ISACA oraz certyfikat „Audytora wewnętrznego Systemu Zarządzania Bezpieczeństwem Informacji” poświadczające wiedzę z zakresu audytu systemów informatycznych oraz prowadzenia audytów wewnętrznych. W latach 2013−2019 dr Andrzej Kaczmarek wykonał szereg audytów bezpieczeństwa w jednostkach samorządowych w zakresie zgodności z wymaganiami Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych oraz zgodności z przepisami prawa o ochronie danych osobowych.
Wykładowca na studiach podyplomowych z zakresu ochrony danych osobowych oraz ochrony informacji niejawnych na Uniwersytecie im. Kardynała Stefana Wyszyńskiego, Akademii Leona Koźmińskiego w Warszawie oraz Wyższej Szkole Informatyki i Zarządzania w Rzeszowie.
Absolwent Wydziału Elektroniki Politechniki Wrocławskiej. W 1986 r. uzyskał tytuł doktora nauk technicznych na Wydziale Elektrotechniki, Automatyki, Informatyki i Elektroniki AGH.

Bogusława Pilc

Radca prawny, wieloletni Dyrektor Departamentu Inspekcji w Biurze GIODO, Inspektor Ochrony Danych. Ukończyła wyższe studia prawnicze na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego oraz aplikację prokuratorską. Specjalizuje się w problematyce prawa do prywatności, ochrony danych osobowych, ochrony informacji niejawnych i dostępie do informacji publicznej. Wieloletni wykładowca na studiach podyplomowych z zakresu ochrony danych osobowych i informacji niejawnych na Uniwersytecie Łódzkim, Uniwersytecie im. Kardynała Stefana Wyszyńskiego w Warszawie, Akademii Leona Koźmińskiego w Warszawie, Polskiej Akademii Nauk (…) oraz autorka wielu opracowań i artykułów związanych z ochroną danych osobowych.

prof. Grzegorz Sibiga

Doktor habilitowany nauk prawnych, profesor nadzwyczajny w Instytucie Nauk Prawnych PAN, adwokat, wykładowca akademicki, partner w kancelarii Traple, Konarski, Podrecki i Wspólnicy kierujący zespołem zajmującym się wdrażaniem i stosowaniem RODO, kierownik Zakładu Prawa Administracyjnego w Instytucie Nauk Prawnych PAN, kierownik studiów podyplomowych w INP PAN dla inspektorów ochrony danych, przewodniczący Rady Naukowej SABI – Stowarzyszenia Inspektorów Ochrony Danych.
Specjalizuje się w prawie administracyjnym, w szczególności w problematyce ochrony danych osobowych i innych informacji prawnie chronionych, dostępu do informacji publicznej, ponownego wykorzystywania informacji sektora publicznego, e-administracji, a także postępowania administracyjnego. Redaktor, autor i współautor licznych publikacji naukowych i popularnonaukowych w tym zakresie.
Uczestniczył w pracach organów doradczych specjalizujących się w cyfryzacji i ochronie danych osobowych: wiceprzewodniczący Rady Naukowej Generalnego Inspektora Ochrony Danych Osobowych (IV kadencja GIODO) oraz członek: Rady do Spraw Cyfryzacji Ministra Cyfryzacji (I kadencja), Rady Informatyzacji Ministra Administracji i Cyfryzacji (IV kadencja) oraz Komitetu Naukowego Giełdy Papierów Wartościowych. Obecnie członek Rady Służby Publicznej przy Prezesie Rady Ministrów. W 2020 r. otrzymał doroczną Nagrodę im Michała Serzyckiego przyznawaną przez Prezesa Urzędu Ochrony Danych Osobowych.

Katarzyna Syska

Specjalizuje się w prawie ochrony danych osobowych oraz szeroko pojętym prawie nowych technologii. Doradza przedsiębiorstwom z różnych sektorów, w tym szczególnie z branży handlu elektronicznego, IT, ubezpieczeniowej, bankowej i medycznej. Przed nawiązaniem współpracy z Kancelarią pracowała w innej kancelarii prawnej, gdzie zajmowała się prawem ochrony danych osobowych, regulacją handlu elektronicznego i własnością intelektualną. Wcześniej przez prawie dwa lata pracowała w Brukseli, gdzie zajmowała się polityką europejską w zakresie ochrony danych osobowych, uregulowania sektora ICT oraz prawa własności intelektualnej. Odbyła staż w Komisji Europejskiej, w Dyrekcji Generalnej ds. Sprawiedliwości. Członkini International Association of Privacy Professionals oraz SABI – Stowarzyszenia Inspektorów Ochrony Danych.
Autorka licznych publikacji naukowych z zakresu prawa ochrony danych osobowych i prawa do prywatności, w tym Poradnika dotyczącego RODO dla radców prawnych i adwokatów. Prelegentka na konferencjach i szkoleniach w Polsce i zagranicą.
Wykładowczyni na Podyplomowym Studium „Wykonywanie funkcji inspektora ochrony danych” w Instytucie Nauk Prawnych Polskiej Akademii Nauk. Absolwentka Wydziału Prawa i Administracji Uniwersytetu Warszawskiego. W czasie studiów odbyła roczne stypendium na Wydziale Prawa Uniwersytetu im. Roberta Schumana w Strasburgu (Francja). Ponadto ukończyła Szkołę Prawa Amerykańskiego prowadzoną przez Uniwersytet Warszawski we współpracy z Uniwersytetem Floryda. Jest także absolwentką Podyplomowych Studiów z Prawa ICT i Mediów (magna cum laude) na Katolickim Uniwersytecie w Leuven (Belgia).
Biegle posługuje się językiem angielskim, zna język francuski.
publikacje
"Przepisy prawa uzupełniające RODO. Aktualne problemy prawnej ochrony danych osobowych 2018"
"Ogólne rozporządzenie o ochronie danych (RODO). Poradnik dla radców prawnych i adwokatów"

Mariola Więckowska

Ekspert ochrony danych oraz doświadczony Inspektor Ochrony Danych, na co dzień pracuje w LexDigital jako Head of Innovation Technologies, gdzie wspiera wdrożenia nowych projektów, zwłaszcza nowych technologii, przeprowadza audyty bezpieczeństwa i wypełniania obowiązków wynikających z RODO.
Członek IAPP (International Association of Privacy Professionals), ISSA (Information Systems Security Association) oraz Grupy Roboczej ds. Internetu Rzeczy w Ministerstwie Cyfryzacji.
Absolwentka kierunków IT, bezpieczeństwa informacji, zarządzania przedsiębiorstwem, zarządzania projektami IT oraz European Data Protection Law Summer School na Brussels Privacy Hub Vrije Universiteit Brussel.
Jako praktyk dzieli się ze studentami kierunków podyplomowych kluczowych polskich uczelni swoim doświadczeniem z zakresu ochrony danych, oceny ryzyka i oceny skutków dla ochrony danych, zabezpieczeń systemów IT, stosowania nowych technologii oraz cyberbezpieczeństwa. Jest autorką licznych artykułów i współautorką książek z zakresu ochrony danych. Odpowiada za stałą sekcję „Niezbędnik IOD” i jest członkiem rady programowej kwartalnika ABI Expert.