forum

14
listopada
2019

XXVIII FORUM ABI/IOD - OCHRONA DANYCH OSOBOWYCH W ŚWIECIE NOWYCH TECHNOLOGII

koordynator: Iwona Nowosielska

Tegoroczne Forum w całości zostanie poświęcone problemom związanym z zastosowaniem nowych technologii do przetwarzania danych osobowych. W większości w ten sposób się od dawna następuje bowiem przetwarzanie. Ewolucja technik informatycznych i zagrożenia z tym związane coraz bardziej wpływają na poziom ochrony danych osobowych. Nakłada się na to coraz większy poziom skomplikowania przepisów prawa dotyczących tej samej lub zbliżonej materii, nie tylko o ochronie danych osobowych, ale także innych aktowe, czego przykładem są obowiązujące od niedawna przepisy dotyczące cyberbezpieczeństwa.
Podczas Forum poruszymy istotne problemy stosowania przepisów o ochronie danych osobowych w obrocie elektronicznym, które m.in. odnoszą się do naruszeń ochrony danych, profilowania i automatyzacji decyzji, otwierania danych osobowych pochodzących ze sfery publicznej, czy sztucznej inteligencji. W wystąpieniach wzięte pod uwagę zostaną ostatnie zmiany w prawie oraz aktualne stanowiska i działania właściwych organów.

Opracowanie programu, koordynacja merytoryczna i prowadzenie obrad – adw. dr Grzegorz Sibiga

14 listopada 2019 r.
10:00 Otwarcie i wprowadzenie do problematyki Forum.
adw. dr Grzegorz Sibiga
(Instytut Nauk Prawnych PAN, Traple, Konarski, Podrecki i Wspólnicy)
10:15 Czy za skuteczne działanie hackera odpowiada administrator i w jaki sposób temu przeciwdziałać ? Analiza i wnioski wynikające z decyzji Prezesa UODO z 10.09.2019 r. nakładającej administracyjną karę pieniężną.
  • Odpowiedzialność wynikająca z przepisów o ochronie prywatności.
  • Wskazówki dla ADO po lekturze decyzji i jej komentarzy.
  • Reakcja środowiska bezpieczeństwa danych.
  • Dołożenie należytej staranności i optymalny dobór środków ochrony.
  • Autonomia decyzyjna ADO.
  • Skutki decyzji dla procesu analizy ryzyka w ochronie danych.
Maciej Kołodziej
(wiceprezes SABI-Stowarzyszenie Inspektorów Ochrony Danych, ekspert e-Detektywi.pl)
11:10 Zarządzanie różnymi incydentami związanych z ochroną informacji w systemie informatycznym – incydent cyberbezpieczeństwa a naruszenie ochrony danych:
  • Kwalifikowanie incydentów (incydent IT, incydent cyberbezpieczeństwa, naruszenie ochrony danych).
  • Uznanie incydentu za naruszenie ochrony danych.
  • Jednolite podejście do zarządzania incydentami.
Maciej Byczkowski
(Prezes SABI – Stowarzyszenia Inspektorów Ochrony Danych, prezes European Network Security Institute)
12:00 Przerwa na lunch
12:30 Profilowanie osób fizycznych i automatyzacja rozstrzygnięć – praktyczne problemy w stosowaniu RODO i przepisów krajowych.
  • Różnica między profilowaniem a zautomatyzowanym podejmowaniem decyzji.
  • Dopuszczalność profilowania na gruncie RODO.
  • Zautomatyzowane decyzje wywołujące wobec osoby skutki prawne lub w podobny sposób istotnie na nią wpływające.
  • Przypadki, w których można podejmować decyzje w sposób całkowicie zautomatyzowany.
  • Dopuszczalność podejmowania decyzji w sposób zautomatyzowany na podstawie Prawa bankowego i w ustawy o działalności ubezpieczeniowej i reasekuracyjnej.
  • Obowiązek informowania o profilowaniu oraz o całkowicie zautomatyzowanym podejmowaniu decyzji.
  • Prawo do uzyskania wyjaśnień co do podstaw decyzji podjętej w sposób zautomatyzowany.
  • Prawo do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania decyzji podjętej w sposób zautomatyzowany.
adw. Katarzyna Syska
(Traple, Konarski, Podrecki i Wspólnicy)
13:00 Realizacja w obrocie elektronicznym wniosków osób, których dane dotyczą realizujących uprawnienia określone w RODO:
  • Ogólne zasady dotyczące weryfikacji tożsamości osób, których dane dotyczą, w kontekście wykonywania przez nich swoich praw.
  • Sytuacja braku identyfikacji osoby której dane dotyczą (art. 12 ust.2 zd.2 i art. 11 ust.2 RODO)
  • Żądanie dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą (art. 12 ust.6 RODO)
  • Ułatwienie w obrocie elektronicznym osobie, której dane dotyczą, wykonania jej praw (art. 12 ust. 2 zd.1 RODO)
  • Działanie osoby, której dane dotyczą przez pełnomocnika w obrocie elektroniczny
adw. dr Grzegorz Sibiga
(Instytut Nauk Prawnych PAN, Traple, Konarski, Podrecki i Wspólnicy)
13:30 Ochrona danych osobowych a sztuczna inteligencja.
  • rola danych w rozwoju sztucznej inteligencji (AI),
  • wykorzystanie danych osobowych dla potrzeb AI - przykłady zastosowań; ryzyka związane z wykorzystaniem AI.
  • realizacja podstawowych zasad przetwarzania danych osobowych w kontekście wykorzystania mechanizmów AI
  • problematyka przejrzystości algorytmów
  • zasady przetwarzania danych osobowych w związku z zautomatyzowanym podejmowaniem decyzji.
.r.pr. Roman Bieda
(Kancelaria Maruta Wachta)
14:00 Przerwa na kawę
14:20 Wykorzystanie danych osobowych z sektora publicznego dla potrzeb usług cyfrowych – otwieranie danych i ponowne wykorzystywanie informacji sektora publicznego.
  • Otwarte dane i ponowne wykorzystywanie – wprowadzenie w tematykę.
  • Ramy prawne ponownego wykorzystywania informacji sektora publicznego:
    1. dyrektywy re-use,
    2. regulacja krajowa.
  • Wyjaśnienie podstawowych pojęć:
    1. informacja sektora publicznego,
    2. ponowne wykorzystywanie,
    3. dane osobowe jako informacja sektora publicznego.
  • Zasady i tryby ponownego wykorzystywania danych osobowych w ramach informacji sektora publicznego:
    1. udostępnienie danych/informacji sektora publicznego w systemach teleinformatycznych,
    2. przekazanie danych/informacji sektora publicznego na wniosek,
    3. ograniczenie obowiązków informacyjnych w związku z ponownym wykorzystywaniem danych osobowych,
    4. dane osobowe jako warunek ponownego wykorzystywania.
  • Nierozwiązane problemy. Podsumowanie.
Dominik Sybilski
(Instytut Nauk Prawnych PAN, Ministerstwo Cyfryzacji)
15:00 Privacy by design – kompleksowe podejście do ochrony danych osobowych na etapie projektowania rozwiązań informatycznych.
Piotr Wojakowski
(European Network Security Institute)
15:45 Zakończenie Forum

Roman Bieda

Radca prawny w Kancelarii Radców Prawnych Maruta i Wspólnicy spółka jawna.
Ukończył również aplikację rzeczniowską i wykonuje zawód rzecznika patentowego.
Specjalizuje się w prawie własności intelektualnej oraz szeroko rozumianym prawie nowych technologii. W ramach pracy zawodowej zajmuje się między innymi negocjowaniem umów IT, w szczególności umów wdrożeniowych, umów serwisowych oraz innych umów dotyczących oprogramowania komputerowego. Na co dzień zajmuje się również doradztwem prawnym w projektach związanych z handlem elektronicznym, marketingiem internetowym oraz ochroną danych osobowych. Posiada doświadczenie w obsłudze projektów związanych z transferem technologii.
Absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego. Ukończył między innymi Podyplomowe Studium Prawa Konkurencji i Ochrony Konsumenta (Instytut Prawa Własności Intelektualnej UJ) oraz Podyplomowe Studium Prawa Własności Przemysłowej (Uniwersytet Warszawski).
Wykłada przedmioty związane z prawem Internetu w Wyższej Szkole Europejskiej im ks. Józefa Tischnera w Krakowie oraz Krakowskiej Akademii im. Andrzeja Frycza Modrzewskiego.
Od kilku lat regularnie występuje na szkoleniach i konferencjach poświęconych różnym aspektom prawa nowych technologii oraz prowadzi zajęcia w ramach szeregu studiów podyplomowych. Prowadził zajęcia z zakresu prawa nowych technologii w ramach Executive MBA in IT organizowanych przez Zachodniopomorską Szkołę Bizensu. Autor artykułów prawniczych w prasie specjalistycznej. Prowadzi serwis www.romanbieda.pl

Maciej Byczkowski

Prezes Zarządu ENSI, Prezes Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji (od 2007 r.). Pełnił funkcję wiceprzewodniczącego Komitetu Bezpieczeństwa Biznesu Krajowej Izby Gospodarczej (2004 – 2013). Brał udział w pracach: sejmowej Komisji Sprawiedliwości i Praw Człowieka nad nowelizacją ustawy o ochronie danych osobowych (2007 - 2010); pracach Zespołu ekspertów powołanego przez GIODO, który opracował projekt zmiany ustawy o ochronie danych osobowych w ramach ustawy deregulacyjnej Ministerstwa Gospodarki dla przedsiębiorców (2011 – 2014); sejmowej Komisji Nadzwyczajnej ds. związanych z ograniczeniem biurokracji nad nowelizacją ustawy o ochronie danych osobowych w ramach ustawy o ułatwieniu wykonywania działalności gospodarczej -deregulacja IV (2014) oraz pracach Ministerstwa Administracji i Cyfryzacji nad opracowywaniem nowych projektów wykonawczych do ustawy o ochronie danych osobowych w zakresie wykonywania zadań ABI (2014 – 2015). Uczestniczył również w pracach nad zmianą rozporządzenia wykonawczego w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych do ustawy o ochronie danych osobowych oraz konsultacjach w przygotowaniu polskiego stanowiska na forum Rady Europy w związku z reformą ochrony danych osobowych w Unii Europejskiej.
Ekspert i audytor bezpieczeństwa informacji i systemów informatycznych (20 lat doświadczeń). Współtwórca Metodyki TISM, Metodyki TSM – BCP, Metodyki TSM – całościowej koncepcji zarządzania bezpieczeństwem w organizacji. Twórca metodyki Zarządzania Procesami Przetwarzania Danych Osobowych (PBDO). Wraz z zespołem przygotował ponad 300 organizacji do wypełniania wymogów ustawy o ochronie danych osobowych; przeszkolił ponad 15 000 osób; pełni rolę ABI (w ramach outsourcingu) w różnych organizacjach. Prowadził wiele projektów wdrożeń Polityki Bezpieczeństwa Informacji (wg TISM oraz normy ISO 27001) w organizacjach wielu branży w Polsce. Absolwent Politechniki Warszawskiej. Wykłada na Politechnice Warszawskiej (Wydział Zarządzania) - Studium podyplomowe „Zarządzanie Jakością i Bezpieczeństwem Informacji w środowisku IT”, na Akademii im. Leona Koźmińskiego w Warszawie - Studia podyplomowe “Ochrona Danych Osobowych i Informacji Niejawnych” oraz na Polskiej Akademii Nauk - Studium podyplomowe „Wykonywanie funkcji Administratora bezpieczeństwa informacji” (w ramach którego jest również członkiem Rady Programowej). Autor licznych publikacji z dziedziny bezpieczeństwa informacji i systemów informatycznych oraz ochrony danych osobowych. Członek Rady Programowej kwartalnika „Informacja w administracji publicznej” Wydawnictwa C.H. Beck. Twórca i organizator XX Kongresów ABI (od 1999 r. do 2016 r.).

Maciej Kołodziej

Ekspert, wykładowca i konsultant w e-Detektywi.pl, specjalizuje się w ochronie danych osobowych, bezpieczeństwie informacji, informatyce śledczej i systemach IT. Wiceprezes „SABI - Stowarzyszenie Inspektorów Ochrony Danych”. Audytor wiodący i wykładowca w zakresie norm ISO/EIC 27000.
Zajmuje się doradztwem, dla podmiotów biznesowych i administracji publicznej, przy wdrażaniu procesów organizacyjnych wynikających z regulacji prawnych dotyczących prawa ochrony danych, e-commerce oraz technologii funkcjonowania usług społeczeństwa informacyjnego. Wspiera biznes w procedurach zachowania ciągłości działania, przywracania procesów po awariach, odzyskiwania danych oraz ochrony informacji, w tym danych osobowych. Doradza Inspektorom Ochrony Danych i Administratorom Systemów TeleInformatycznych.

prof. Grzegorz Sibiga

Doktor habilitowany nauk prawnych, profesor nadzwyczajny w Instytucie Nauk Prawnych PAN, adwokat, wykładowca akademicki, partner w kancelarii Traple, Konarski, Podrecki i Wspólnicy kierujący zespołem zajmującym się wdrażaniem i stosowaniem RODO, kierownik Zakładu Prawa Administracyjnego w Instytucie Nauk Prawnych PAN, kierownik studiów podyplomowych w INP PAN dla inspektorów ochrony danych, przewodniczący Rady Naukowej SABI – Stowarzyszenia Inspektorów Ochrony Danych.
Specjalizuje się w prawie administracyjnym, w szczególności w problematyce ochrony danych osobowych i innych informacji prawnie chronionych, dostępu do informacji publicznej, ponownego wykorzystywania informacji sektora publicznego, e-administracji, a także postępowania administracyjnego. Redaktor, autor i współautor licznych publikacji naukowych i popularnonaukowych w tym zakresie.
Uczestniczył w pracach organów doradczych specjalizujących się w cyfryzacji i ochronie danych osobowych: wiceprzewodniczący Rady Naukowej Generalnego Inspektora Ochrony Danych Osobowych (IV kadencja GIODO) oraz członek: Rady do Spraw Cyfryzacji Ministra Cyfryzacji (I kadencja), Rady Informatyzacji Ministra Administracji i Cyfryzacji (IV kadencja) oraz Komitetu Naukowego Giełdy Papierów Wartościowych. Obecnie członek Rady Służby Publicznej przy Prezesie Rady Ministrów. W 2020 r. otrzymał doroczną Nagrodę im Michała Serzyckiego przyznawaną przez Prezesa Urzędu Ochrony Danych Osobowych.

Dominik Sybilski

Naczelnik Wydziału w Departamencie Zarządzania Danymi w Kancelarii Prezesa Rady Ministrów; asystent w Zakładzie Prawa Administracyjnego Instytutu Nauk Prawnych Polskiej Akademii Nauk. Członek Public Sector Information Group przy Komisji Europejskiej. Prawnik i legislator. Autor publikacji z zakresu dostępu do informacji publicznej, ponownego wykorzystywania informacji sektora publicznego, otwartych danych i ochrony danych osobowych.

Katarzyna Syska

Specjalizuje się w prawie ochrony danych osobowych oraz szeroko pojętym prawie nowych technologii. Doradza przedsiębiorstwom z różnych sektorów, w tym szczególnie z branży handlu elektronicznego, IT, ubezpieczeniowej, bankowej i medycznej. Przed nawiązaniem współpracy z Kancelarią pracowała w innej kancelarii prawnej, gdzie zajmowała się prawem ochrony danych osobowych, regulacją handlu elektronicznego i własnością intelektualną. Wcześniej przez prawie dwa lata pracowała w Brukseli, gdzie zajmowała się polityką europejską w zakresie ochrony danych osobowych, uregulowania sektora ICT oraz prawa własności intelektualnej. Odbyła staż w Komisji Europejskiej, w Dyrekcji Generalnej ds. Sprawiedliwości. Członkini International Association of Privacy Professionals oraz SABI – Stowarzyszenia Inspektorów Ochrony Danych.
Autorka licznych publikacji naukowych z zakresu prawa ochrony danych osobowych i prawa do prywatności, w tym Poradnika dotyczącego RODO dla radców prawnych i adwokatów. Prelegentka na konferencjach i szkoleniach w Polsce i zagranicą.
Wykładowczyni na Podyplomowym Studium „Wykonywanie funkcji inspektora ochrony danych” w Instytucie Nauk Prawnych Polskiej Akademii Nauk. Absolwentka Wydziału Prawa i Administracji Uniwersytetu Warszawskiego. W czasie studiów odbyła roczne stypendium na Wydziale Prawa Uniwersytetu im. Roberta Schumana w Strasburgu (Francja). Ponadto ukończyła Szkołę Prawa Amerykańskiego prowadzoną przez Uniwersytet Warszawski we współpracy z Uniwersytetem Floryda. Jest także absolwentką Podyplomowych Studiów z Prawa ICT i Mediów (magna cum laude) na Katolickim Uniwersytecie w Leuven (Belgia).
Biegle posługuje się językiem angielskim, zna język francuski.
publikacje
"Przepisy prawa uzupełniające RODO. Aktualne problemy prawnej ochrony danych osobowych 2018"
"Ogólne rozporządzenie o ochronie danych (RODO). Poradnik dla radców prawnych i adwokatów"

Piotr Wojakowski

Dyrektor ds. bezpieczeństwa w ENSI Sp. z o.o. Ekspert w dziedzinie zarządzania bezpieczeństwem systemów informatycznych, związany z firmą od 1999 r. Posiadacz między innymi certyfikatów CISSP (Certified Information Systems Security Professional) i audytora wiodącego ISO 27001. Współtwórca: metodyki testów i audytów ENSI, metodyki TISM – zarządzania bezpieczeństwem informacji w organizacji, metodyki TSM - BCP – zarządzania ciągłością działania biznesowego. Posiada wieloletnie doświadczenie we wdrażaniu i audytowaniu zabezpieczeń systemów informatycznych, testowaniu bezpieczeństwa aplikacji internetowych, kierowaniu projektami wdrożeń Polityki Bezpieczeństwa Informacji w przedsiębiorstwach sektora ubezpieczeniowego, finansowego, przemysłowego oraz w przedsiębiorstwach o szczególnym znaczeniu gospodarczo-obronnym. Wykładowca Politechniki Warszawskiej - Studium Podyplomowego „Zarządzanie Jakością i Bezpieczeństwem Informacji w środowisku IT” oraz Instytutu Nauk Prawnych PAN – Studium Podyplomowego „Wykonywanie funkcji administratora bezpieczeństwa informacji i inspektora ochrony danych”