forum

14
listopada
2019

XXVIII FORUM ABI/IOD - OCHRONA DANYCH OSOBOWYCH W ŚWIECIE NOWYCH TECHNOLOGII

koordynator: Iwona Nowosielska

Tegoroczne Forum w całości zostanie poświęcone problemom związanym z zastosowaniem nowych technologii do przetwarzania danych osobowych. W większości w ten sposób się od dawna następuje bowiem przetwarzanie. Ewolucja technik informatycznych i zagrożenia z tym związane coraz bardziej wpływają na poziom ochrony danych osobowych. Nakłada się na to coraz większy poziom skomplikowania przepisów prawa dotyczących tej samej lub zbliżonej materii, nie tylko o ochronie danych osobowych, ale także innych aktowe, czego przykładem są obowiązujące od niedawna przepisy dotyczące cyberbezpieczeństwa.
Podczas Forum poruszymy istotne problemy stosowania przepisów o ochronie danych osobowych w obrocie elektronicznym, które m.in. odnoszą się do naruszeń ochrony danych, profilowania i automatyzacji decyzji, otwierania danych osobowych pochodzących ze sfery publicznej, czy sztucznej inteligencji. W wystąpieniach wzięte pod uwagę zostaną ostatnie zmiany w prawie oraz aktualne stanowiska i działania właściwych organów.

Opracowanie programu, koordynacja merytoryczna i prowadzenie obrad – adw. dr Grzegorz Sibiga

14 listopada 2019 r.
10:00 Otwarcie i wprowadzenie do problematyki Forum.
adw. dr Grzegorz Sibiga
(Instytut Nauk Prawnych PAN, Traple, Konarski, Podrecki i Wspólnicy)
10:15 Czy za skuteczne działanie hackera odpowiada administrator i w jaki sposób temu przeciwdziałać ? Analiza i wnioski wynikające z decyzji Prezesa UODO z 10.09.2019 r. nakładającej administracyjną karę pieniężną.
  • Odpowiedzialność wynikająca z przepisów o ochronie prywatności.
  • Wskazówki dla ADO po lekturze decyzji i jej komentarzy.
  • Reakcja środowiska bezpieczeństwa danych.
  • Dołożenie należytej staranności i optymalny dobór środków ochrony.
  • Autonomia decyzyjna ADO.
  • Skutki decyzji dla procesu analizy ryzyka w ochronie danych.
Maciej Kołodziej
(wiceprezes SABI-Stowarzyszenie Inspektorów Ochrony Danych, ekspert e-Detektywi.pl)
11:10 Zarządzanie różnymi incydentami związanych z ochroną informacji w systemie informatycznym – incydent cyberbezpieczeństwa a naruszenie ochrony danych:
  • Kwalifikowanie incydentów (incydent IT, incydent cyberbezpieczeństwa, naruszenie ochrony danych).
  • Uznanie incydentu za naruszenie ochrony danych.
  • Jednolite podejście do zarządzania incydentami.
Maciej Byczkowski
(Prezes SABI – Stowarzyszenia Inspektorów Ochrony Danych, prezes European Network Security Institute)
12:00 Przerwa na lunch
12:30 Profilowanie osób fizycznych i automatyzacja rozstrzygnięć – praktyczne problemy w stosowaniu RODO i przepisów krajowych.
  • Różnica między profilowaniem a zautomatyzowanym podejmowaniem decyzji.
  • Dopuszczalność profilowania na gruncie RODO.
  • Zautomatyzowane decyzje wywołujące wobec osoby skutki prawne lub w podobny sposób istotnie na nią wpływające.
  • Przypadki, w których można podejmować decyzje w sposób całkowicie zautomatyzowany.
  • Dopuszczalność podejmowania decyzji w sposób zautomatyzowany na podstawie Prawa bankowego i w ustawy o działalności ubezpieczeniowej i reasekuracyjnej.
  • Obowiązek informowania o profilowaniu oraz o całkowicie zautomatyzowanym podejmowaniu decyzji.
  • Prawo do uzyskania wyjaśnień co do podstaw decyzji podjętej w sposób zautomatyzowany.
  • Prawo do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania decyzji podjętej w sposób zautomatyzowany.
adw. Katarzyna Syska
(Traple, Konarski, Podrecki i Wspólnicy)
13:00 Realizacja w obrocie elektronicznym wniosków osób, których dane dotyczą realizujących uprawnienia określone w RODO:
  • Ogólne zasady dotyczące weryfikacji tożsamości osób, których dane dotyczą, w kontekście wykonywania przez nich swoich praw.
  • Sytuacja braku identyfikacji osoby której dane dotyczą (art. 12 ust.2 zd.2 i art. 11 ust.2 RODO)
  • Żądanie dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą (art. 12 ust.6 RODO)
  • Ułatwienie w obrocie elektronicznym osobie, której dane dotyczą, wykonania jej praw (art. 12 ust. 2 zd.1 RODO)
  • Działanie osoby, której dane dotyczą przez pełnomocnika w obrocie elektroniczny
adw. dr Grzegorz Sibiga
(Instytut Nauk Prawnych PAN, Traple, Konarski, Podrecki i Wspólnicy)
13:30 Ochrona danych osobowych a sztuczna inteligencja.
  • rola danych w rozwoju sztucznej inteligencji (AI),
  • wykorzystanie danych osobowych dla potrzeb AI - przykłady zastosowań; ryzyka związane z wykorzystaniem AI.
  • realizacja podstawowych zasad przetwarzania danych osobowych w kontekście wykorzystania mechanizmów AI
  • problematyka przejrzystości algorytmów
  • zasady przetwarzania danych osobowych w związku z zautomatyzowanym podejmowaniem decyzji.
.r.pr. Roman Bieda
(Kancelaria Maruta Wachta)
14:00 Przerwa na kawę
14:20 Wykorzystanie danych osobowych z sektora publicznego dla potrzeb usług cyfrowych – otwieranie danych i ponowne wykorzystywanie informacji sektora publicznego.
  • Otwarte dane i ponowne wykorzystywanie – wprowadzenie w tematykę.
  • Ramy prawne ponownego wykorzystywania informacji sektora publicznego:
    1. dyrektywy re-use,
    2. regulacja krajowa.
  • Wyjaśnienie podstawowych pojęć:
    1. informacja sektora publicznego,
    2. ponowne wykorzystywanie,
    3. dane osobowe jako informacja sektora publicznego.
  • Zasady i tryby ponownego wykorzystywania danych osobowych w ramach informacji sektora publicznego:
    1. udostępnienie danych/informacji sektora publicznego w systemach teleinformatycznych,
    2. przekazanie danych/informacji sektora publicznego na wniosek,
    3. ograniczenie obowiązków informacyjnych w związku z ponownym wykorzystywaniem danych osobowych,
    4. dane osobowe jako warunek ponownego wykorzystywania.
  • Nierozwiązane problemy. Podsumowanie.
Dominik Sybilski
(Instytut Nauk Prawnych PAN, Ministerstwo Cyfryzacji)
15:00 Privacy by design – kompleksowe podejście do ochrony danych osobowych na etapie projektowania rozwiązań informatycznych.
Piotr Wojakowski
(European Network Security Institute)
15:45 Zakończenie Forum

Roman Bieda

Radca prawny w Kancelarii Radców Prawnych Maruta i Wspólnicy spółka jawna.
Ukończył również aplikację rzeczniowską i wykonuje zawód rzecznika patentowego.
Specjalizuje się w prawie własności intelektualnej oraz szeroko rozumianym prawie nowych technologii. W ramach pracy zawodowej zajmuje się między innymi negocjowaniem umów IT, w szczególności umów wdrożeniowych, umów serwisowych oraz innych umów dotyczących oprogramowania komputerowego. Na co dzień zajmuje się również doradztwem prawnym w projektach związanych z handlem elektronicznym, marketingiem internetowym oraz ochroną danych osobowych. Posiada doświadczenie w obsłudze projektów związanych z transferem technologii.
Absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego. Ukończył między innymi Podyplomowe Studium Prawa Konkurencji i Ochrony Konsumenta (Instytut Prawa Własności Intelektualnej UJ) oraz Podyplomowe Studium Prawa Własności Przemysłowej (Uniwersytet Warszawski).
Wykłada przedmioty związane z prawem Internetu w Wyższej Szkole Europejskiej im ks. Józefa Tischnera w Krakowie oraz Krakowskiej Akademii im. Andrzeja Frycza Modrzewskiego.
Od kilku lat regularnie występuje na szkoleniach i konferencjach poświęconych różnym aspektom prawa nowych technologii oraz prowadzi zajęcia w ramach szeregu studiów podyplomowych. Prowadził zajęcia z zakresu prawa nowych technologii w ramach Executive MBA in IT organizowanych przez Zachodniopomorską Szkołę Bizensu. Autor artykułów prawniczych w prasie specjalistycznej. Prowadzi serwis www.romanbieda.pl

Maciej Byczkowski

Prezes Zarządu ENSI, Prezes Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji (od 2007 r.). Pełnił funkcję wiceprzewodniczącego Komitetu Bezpieczeństwa Biznesu Krajowej Izby Gospodarczej (2004 – 2013). Brał udział w pracach: sejmowej Komisji Sprawiedliwości i Praw Człowieka nad nowelizacją ustawy o ochronie danych osobowych (2007 - 2010); pracach Zespołu ekspertów powołanego przez GIODO, który opracował projekt zmiany ustawy o ochronie danych osobowych w ramach ustawy deregulacyjnej Ministerstwa Gospodarki dla przedsiębiorców (2011 – 2014); sejmowej Komisji Nadzwyczajnej ds. związanych z ograniczeniem biurokracji nad nowelizacją ustawy o ochronie danych osobowych w ramach ustawy o ułatwieniu wykonywania działalności gospodarczej -deregulacja IV (2014) oraz pracach Ministerstwa Administracji i Cyfryzacji nad opracowywaniem nowych projektów wykonawczych do ustawy o ochronie danych osobowych w zakresie wykonywania zadań ABI (2014 – 2015). Uczestniczył również w pracach nad zmianą rozporządzenia wykonawczego w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych do ustawy o ochronie danych osobowych oraz konsultacjach w przygotowaniu polskiego stanowiska na forum Rady Europy w związku z reformą ochrony danych osobowych w Unii Europejskiej.
Ekspert i audytor bezpieczeństwa informacji i systemów informatycznych (20 lat doświadczeń). Współtwórca Metodyki TISM, Metodyki TSM – BCP, Metodyki TSM – całościowej koncepcji zarządzania bezpieczeństwem w organizacji. Twórca metodyki Zarządzania Procesami Przetwarzania Danych Osobowych (PBDO). Wraz z zespołem przygotował ponad 300 organizacji do wypełniania wymogów ustawy o ochronie danych osobowych; przeszkolił ponad 15 000 osób; pełni rolę ABI (w ramach outsourcingu) w różnych organizacjach. Prowadził wiele projektów wdrożeń Polityki Bezpieczeństwa Informacji (wg TISM oraz normy ISO 27001) w organizacjach wielu branży w Polsce. Absolwent Politechniki Warszawskiej. Wykłada na Politechnice Warszawskiej (Wydział Zarządzania) - Studium podyplomowe „Zarządzanie Jakością i Bezpieczeństwem Informacji w środowisku IT”, na Akademii im. Leona Koźmińskiego w Warszawie - Studia podyplomowe “Ochrona Danych Osobowych i Informacji Niejawnych” oraz na Polskiej Akademii Nauk - Studium podyplomowe „Wykonywanie funkcji Administratora bezpieczeństwa informacji” (w ramach którego jest również członkiem Rady Programowej). Autor licznych publikacji z dziedziny bezpieczeństwa informacji i systemów informatycznych oraz ochrony danych osobowych. Członek Rady Programowej kwartalnika „Informacja w administracji publicznej” Wydawnictwa C.H. Beck. Twórca i organizator XX Kongresów ABI (od 1999 r. do 2016 r.).

Maciej Kołodziej

Ekspert, wykładowca i konsultant w e-Detektywi.pl, specjalizuje się w ochronie danych osobowych, bezpieczeństwie informacji, informatyce śledczej i systemach IT. Wiceprezes „SABI - Stowarzyszenie Inspektorów Ochrony Danych”. Audytor wiodący i wykładowca w zakresie norm ISO/EIC 27000.
Zajmuje się doradztwem, dla podmiotów biznesowych i administracji publicznej, przy wdrażaniu procesów organizacyjnych wynikających z regulacji prawnych dotyczących prawa ochrony danych, e-commerce oraz technologii funkcjonowania usług społeczeństwa informacyjnego. Wspiera biznes w procedurach zachowania ciągłości działania, przywracania procesów po awariach, odzyskiwania danych oraz ochrony informacji, w tym danych osobowych. Doradza Inspektorom Ochrony Danych i Administratorom Systemów TeleInformatycznych.

Grzegorz Sibiga

Doktor prawa, kierownik Zakładu Prawa Administracyjnego w Instytucie Nauk Prawnych PAN w Warszawie, adwokat współpracujący w Kancelarią Traple, Konarski i Wspólnicy. Zajmuje się prawem administracyjnym, w szczególności prawem do informacji, ochroną danych osobowych i innych informacji prawnie chronionych, e-administracją, a także postępowaniem administracyjnym. Redaktor, autor i współautor licznych publikacji naukowych w tym zakresie. Członek rad programowych czasopism: "Prawo Mediów Elektronicznych" i „Informacja w Administracji Publicznej” oraz członek rady konsultacyjnej miesięcznika "IT w administracji". Ekspert sejmowy w pracach parlamentarnych nad ustawami prawa administracyjnego, w tym m.in. o ewidencji ludności, dowodach osobistych, informatyzacji działalności podmiotów realizujących zadania publicznej oraz nowelizacją ustawy o dostępie do informacji publicznej z 2011 r.

Dominik Sybilski

Asystent w Instytucie Nauk Prawnych PAN oraz główny specjalista w Departamencie Otwartych Danych i Rozwoju Kompetencji Ministerstwa Cyfryzacji. Absolwent Wydziału Prawa i Administracji Uniwersytetu Warszawskiego. Ukończył również Krajową Szkołę Administracji Publicznej oraz aplikację legislacyjną przy Rządowym Centrum Legislacji. Autor publikacji i praktyk z zakresu prawa dostępu do informacji i ponownego jej wykorzystywania.

Katarzyna Syska

Specjalizuje się w prawie ochrony danych osobowych oraz szeroko pojętym prawie nowych technologii. Prawniczka w kancelarii prawnej Traple Konarski Podrecki i Wspólnicy. Doradza klientom w wielu projektach dotyczących wdrożenia RODO i przygotowuje dokumentację mającą na celu wdrożenie RODO.
Przez prawie dwa lata pracowała w Brukseli, gdzie zajmowała się polityką europejską w zakresie ochrony danych osobowych, uregulowania sektora ICT oraz prawa własności intelektualnej. Odbyła staż w Komisji Europejskiej, w Dyrekcji Generalnej ds. Sprawiedliwości.
Autorka licznych publikacji z zakresu prawa ochrony danych osobowych i prawa do prywatności. Wykładowczyni na Podyplomowym Studium „Wykonywanie funkcji administratora bezpieczeństwa informacji” w Instytucie Nauk Prawnych Polskiej Akademii Nauk.
Absolwentka WPiA Uniwersytetu Warszawskiego oraz Podyplomowych Studiów z Prawa ICT i Mediów na Katolickim Uniwersytecie w Leuven (Belgia).

Piotr Wojakowski

Dyrektor ds. bezpieczeństwa w ENSI Sp. z o.o. Ekspert w dziedzinie zarządzania bezpieczeństwem systemów informatycznych, związany z firmą od 1999 r. Posiadacz między innymi certyfikatów CISSP (Certified Information Systems Security Professional) i audytora wiodącego ISO 27001. Współtwórca: metodyki testów i audytów ENSI, metodyki TISM – zarządzania bezpieczeństwem informacji w organizacji, metodyki TSM - BCP – zarządzania ciągłością działania biznesowego. Posiada wieloletnie doświadczenie we wdrażaniu i audytowaniu zabezpieczeń systemów informatycznych, testowaniu bezpieczeństwa aplikacji internetowych, kierowaniu projektami wdrożeń Polityki Bezpieczeństwa Informacji w przedsiębiorstwach sektora ubezpieczeniowego, finansowego, przemysłowego oraz w przedsiębiorstwach o szczególnym znaczeniu gospodarczo-obronnym. Wykładowca Politechniki Warszawskiej - Studium Podyplomowego „Zarządzanie Jakością i Bezpieczeństwem Informacji w środowisku IT” oraz Instytutu Nauk Prawnych PAN – Studium Podyplomowego „Wykonywanie funkcji administratora bezpieczeństwa informacji i inspektora ochrony danych”