IT Security Management GIGACON 2012 już za nami…

Czy warto uczestniczyć w bezpłatnych konferencjach? Przyznam się, że często miewam opory przed poświęceniem czasu i spędzeniem kolejnego dna na słuchaniu powtarzanych w kółko, tych samych marketingowych frazesów.

Tym razem jednak pozytywnie się zaskoczyłem (i nie tylko dlatego, że pierwszą z prezentacji przedstawiałem ja ;)). Organizatorom udało się w znaleźć złoty środek pomiędzy różnymi zagadnieniami – tymi bardziej technicznymi, tymi bliższymi zarządzaniu bezpieczeństwem i tymi dotyczącymi danych osobowych.

Niemały udział w powodzeniu konferencji mieli prowadzący prezentacje – nie było mowy o tym, żeby chociaż na chwilę oderwać się od tematu i „odpłynąć” myślami.

To że Pan Krzysztof Wagner z TÜV NORD przykuje naszą uwagę, było oczywiste. Ale sprawienie, że będę z zainteresowaniem po raz kolejny słuchać w jaki sposób radzić sobie z nadmiarem ciepła w DataCenter wymagało już wyjątkowych umiejętności prelegenta. Pan Michał Pyter z APC dał radę :).

Ale to wszystko nie spowodowałoby, żeby tak dobrze wspominał konferencję, gdyby pozostali prelegenci nie stali na równie wysokim poziomie.

Zapraszam Was do dzielenia się opiniami na temat konferencji.

Zgodnie z obietnicą Organizatorów, prezentacje można pobrać ze strony – http://gigacon.org/itsec/2012

Jarosław Żabówka

I Dzień Otwarty Biura GIODO W Dąbrowie Górniczej

22 listopada 2012, w Dąbrowie Górniczej odbędzie się:

I Dzień Otwarty Biura GIODO

 

 

 

 

Konferencja – „Prawo nowych technologii w zakresie ochrony danych osobowych i prawa do prywatności”
Miejsce: Wyższa Szkoła Biznesu w Dąbrowie Górniczej, Audytorium Maximum

Agenda:
Godz.11.00-11.10
Powitanie Gości oraz rozpoczęcie Konferencji
prof. Zdzisława Dacko- Pikiewicz- Rektor Wyższej Szkoły Biznesu w Dąbrowie Górniczej

Godz. 11.10-11.35
„Prawo do bycia zapomnianym. Podstawowe prawo człowieka czy groźba stworzenia Ministerstwa Prawdy?”
dr Wojciech Wiewiórowski – Generalny Inspektor Ochrony Danych Osobowych

Godz. 11.35-11.50
„Bezpieczeństwo danych osobowych w systemie informatycznym  – aktualnie obowiązujące przepisy a obecne zagrożenia bezpieczeństwa”
dr Grzegorz Sibiga-  adiunkt w Zakładzie Prawa Administracyjnego w Instytucie Nauk Prawnych PAN , adwokat.

Godz. 11.50- 12.00 Przerwa Kawowa

Godz. 12.00- 12.30
„Kontrola GIODO w praktyce” – Panel dyskusyjny dla przedsiębiorców”
Moderator:
dr Adrian Kapczyński – Prezes Zarządu Oddziału Górnośląskiego Polskiego Towarzystwa Informatycznego
Uczestnicy Panelu:
dr Wojciech Wiewiórowski- Generalny Inspektor Ochrony Danych Osobowych
Pani Bogusława Pilc-Dyrektor Departamentu Inspekcji Biura GIODO
prof. Aleksander Nawrat- Członek Zarządu firmy WASKO S.A.
Jarosław Żabówka- Administrator Bezpieczeństwa Informacji, właściciel firmy proInfoSec

Godz. 12.30-12.45
„Jak zbudować bezpieczeństwo w systemach IT służących do przetwarzania danych osobowych?. Przegląd narzędzi od ISO 27001do OCTAVE i ich znaczenia dla polityki bezpieczeństwa danych osobowych”
dr Marek Pyka- Adiunkt w Katedrze Informatyki Wyższej Szkoły Biznesu w Dąbrowie Górniczej, Dyrektor, ITC-Partners Sp z o.o.

Godz. 12.45- 13.20
„Odpowiedzialność  prawna za naruszenie obowiązków bezpieczeństwa danych osobowych”
adw. Przemysław Kral adwokat, Kancelaria Adwokacka Tychy

Godz. 13.20- 13.30
„Ochrona danych osobowych w aspekcie zawierania umów o dostarczanie energii elektrycznej oraz ciepła”
Marzena Czarnecka- Radca Prawny TAURON Sprzedaż GZE Sp. z o.o.,

godz. 14.30-16.00 Seminarium Szkoleniowe kierowane dla przedstawicieli Administracji Publicznej (Sala Sesyjna Urzędu Miasta w Dąbrowie Górniczej)

Więcej informacji na stronie spotkanie GL oraz stronie WSB

Refleksje po debacie „Od Administratora do Inspektora”

19 października odbyła się, zorganizowana przez SABI, niezwykle interesująca debata pod hasłem „Od Administratora do Inspektora”. Więcej informacji na temat spotkania oraz materiały znajdziecie na stronie Stowarzyszenia – http://www.sabi.org.pl/page22.php. Poniżej, jedynie kilka moich refleksji.

Debata, była jedną z najciekawszych imprez zorganizowanych w ostatnim czasie. Na Sali 200 osób – najbardziej zaangażowanych w ochronę danych w naszym kraju. Prelegenci – najlepsze możliwe źródło informacji o tym, co nas czeka w najbliższym czasie. I oczywiście najważniejsze – nieocenione wypowiedzi Generalnego Inspektora.

Takie spotkania są świetną okazją do przekazania informacji na temat prac prowadzonych w związku z reformą systemu ochrony danych osobowych. Zbyt często, informacje te docierają do jednie do bardzo wąskiego grona osób. I przy całym uznaniu dla ostatnich działań Stowarzyszenia ABI (chciałoby się powiedzieć – nareszcie jakieś widoczne działania), istnieje liczne grono osób zajmujących się ochroną danych, które nie są członkami Stowarzyszenia.

Debata miała jeszcze inne korzyści – pozwoliła wypowiedzieć się części osób, które najwyraźniej nie miały dotąd takiej możliwości. Wypowiedzi takie, pozwalają zwrócić uwagę na specyficzne problemy występujące w niektórych organizacjach – nie tylko innych ABI-ich, ale również osób pracujących nad reformą.

Bardzo brakowało mi informacji na temat propozycji nowelizacji rozporządzenia „technicznego”. Wiem, że nie taki był temat debaty, ale skoro już wspomniano o tej propozycji, wydawałoby się, że warto przekazać nieco więcej informacji. Tym bardziej, że Generalny Inspektor wykazał zainteresowanie propozycją SABI. Uważam, że propozycja taka powinna być poddana szerokim konsultacjom. Zapewne, będą one prowadzone przez Ministerstwo, jednak przy tak dużej złożoności problemu, wydaje się, że powinien być zagwarantowany wystarczający czas takich konsultacji – a różnie z tym bywa…

Mam nadzieję, że takie imprezy będą się odbywały częściej. Może planowane w najbliższym czasie „Dni Otwarte” będą dobrą okazją do dyskusji?

Dziękując Organizatorom za udaną imprezę, apeluję o więcej takich spotkań!

 

Jarosław Żabówka

 

IT Security Management GigaCon

13 listopada 2012 zapraszamy do Warszawy, na IT Security Management GigaCon.

W tej edycji konferencji, bardzo dużo będziemy mówić o bezpieczeństwie informacji i ochronie danych osobowych. Zapraszamy!
Tematy prezentacji:

  • Czy reforma systemu ochrony danych osobowych umożliwi lepsze współdziałanie systemów zarządzania bezpieczeństwem informacji i zarządzania ochroną danych? – Jarosław Żabówka (proInfoSec)
  • Bezpieczeństwo przetwarzania danych w urządzeniach mobilnych – Jarosław Bartniczuk (Niemczyk i Wspólnicy Interguard Sp. z o. o.)
  • Rozwiązania dla bezpiecznej serwerowni – Michał Pyter (APC by Schneider Electric)
  • Nowe normy ISO 27035:2011 oraz ISO 22301:2012, jako narzędzia doskonalenia zarządzania incydentami oraz ciągłością działania – Krzysztof Wagner (TÜV NORD Polska Sp. z o.o.)
  • Kontrola bezpieczeństwa własnej sieci w oparciu o źródła zewnętrzne –  Mirosław Maj (ComCERT)
  • op5 Monitor – Wydajny monitoring IT na bazie Enterprise Opensource – Mikołaj Oracz (EM&CA S.A.)
  • Człowiek – najsłabsze ogniwo bezpieczeństwa informacji – Jacek Bajorek
  • Ryzyka prawne przetwarzania danych w „chmurze obliczeniowej”. – Gerard Karp

Bezpieczeństwo informacji i ochrona danych osobowych w mśp

Trzeciego dnia II Europejskiego Kongresu Małych i Średnich Przedsiębiorstw odbędzie się sesja „Bezpieczeństwo informacji i ochrona danych osobowych w MŚP”.

 

 

Normy i standardy bezpieczeństwa informacji.

Spora ilość norm i standardów związanych z bezpieczeństwem informacji i zapewnieniem ciągłości działania bywa przytłaczająca dla osób rozpoczynających swoją przygodę z tą tematyką.

Pod adresem http://wiki.iso27001standard.com/index.php… znajdziecie zwięzłe zestawienie najważniejszych standardów z tej dziedziny.

XI Internetowe Spotkanie Administratorów Bezpieczeństwa Informacji.

Serdecznie zapraszam na kolejne XI Internetowe Spotkanie Administratorów Bezpieczeństwa Informacji.

Spotkania, organizowane co miesiąc przy współpracy firm 2Business Consulting Group, ProInfoSec oraz VidCom, uruchamiane są w formie bezpłatnej, otwartej telekonferencji, dostępnej dla każdego przez przeglądarkę www (szczegóły na stronie http://www.2business.pl/index.php?page=Spotkania-ABI).

W spotkaniach zwykle uczestniczą osoby pełniące funkcję Administratora Bezpieczeństwa Informacji (ABI), ale zapraszamy oczywiście wszystkich zainteresowanych.

Spotkania mają formułę otwartą, umożliwiającą każdemu uczestnikowi przedstawienie dowolnej prezentacji, dotyczącej pracy Administratora Bezpieczeństwa Informacji (np. ochrona danych osobowych, ISO 27001, ciągłości działania (BS25999), itp.). Dla usprawnienia przebiegu spotkań, prosimy o wcześniejsze zgłaszanie organizatorom takiej propozycji.

Jedenaste spotkanie odbędzie się w środę 30 maja 2012r. Wideokonferencję rozpoczynamy o 14:00 (rejestracja od 13:45).

Agenda ramowa:

13.45 – 14.00 – rejestracja uczestników

14.00 – 14.40 – Prezentacje

14.40 – 15.30 – panel dyskusyjny

15.30 – podsumowanie i zamknięcie spotkania

W razie pytań lub wątpliwości proszę o kontakt telefoniczny lub mailowy.

Informacje o dotychczasowych spotkaniach dostępne są na stronie: http://www.2business.pl/index.php?page=Spotkania-ABI

Więcej informacji na stronie spotkania: http://www.goldenline.pl/spotkanie/xi-internetowe-spotkanie-abi

X Internetowe Spotkanie Administratorów Bezpieczeństwa Informacji

Serdecznie zapraszam na jubileuszowe, X Internetowe Spotkanie Administratorów Bezpieczeństwa Informacji.

Temat przewodni: Pierwsze Międzynarodowe Forum Bezpieczeństwa Informacji i Zarządzania Usługami IT

 

Spotkania, organizowane co miesiąc przy współpracy firm 2Business Consulting Group, ProInfoSec oraz VidCom, uruchamiane są w formie bezpłatnej, otwartej telekonferencji, dostępnej dla każdego przez przeglądarkę www (szczegóły na stronie http://www.2business.pl/index.php?page=Spotkania-ABI)

W spotkaniach zwykle uczestniczą osoby pełniące funkcję Administratora Bezpieczeństwa Informacji (ABI), ale zapraszamy oczywiście wszystkich zainteresowanych.

 

Spotkania mają formułę otwartą, umożliwiającą każdemu uczestnikowi przedstawienie dowolnej prezentacji, dotyczącej pracy Administratora Bezpieczeństwa Informacji (np. ochrona danych osobowych, ISO 27001, ciągłości działania (BS25999), itp.). Dla usprawnienia przebiegu spotkań, prosimy o wcześniejsze zgłaszanie organizatorom takiej propozycji.

Dziesiąte już spotkanie odbędzie się w czwartek 19 kwietnia 2012r. Wideokonferencję rozpoczynamy o 14:00 (rejestracja od 13:45).

 

Agenda ramowa:

13.45 – 14.00 – rejestracja uczestników

14.00 – 14.40 – Prezentacje

14.40 – 15.30 – panel dyskusyjny

15.30 – podsumowanie i zamknięcie spotkania

 

W razie pytań lub wątpliwości proszę o kontakt telefoniczny lub mailowy.  Informacje o dotychczasowych spotkaniach dostępne są na stronie: http://www.2business.pl/index.php?page=Spotkania-ABI

 

Zapraszamy do wcześniejszej rejestracji na stronie spotkania (nie jest to obowiązkowe, ale ułatwia organizację) –

http://www.goldenline.pl/spotkanie/x-internetowe-spotkanie-abi

IX Internetowe Spotkanie Administratorów Bezpieczeństwa Informacji

Serdecznie zapraszam na IX Internetowe Spotkanie Administratorów Bezpieczeństwa Informacji.

Spotkania, organizowane co miesiąc przy współpracy firm 2Business Consulting Group, ProInfoSec oraz VidCom, uruchamiane są w formie bezpłatnej, otwartej telekonferencji, dostępnej dla każdego przez przeglądarkę www (szczegóły na stronie http://www.2business.pl/index.php?page=Spotkania-ABI).

W spotkaniach zwykle uczestniczą osoby pełniące funkcję Administratora Bezpieczeństwa Informacji (ABI), ale zapraszamy oczywiście wszystkich zainteresowanych.

Spotkania mają formułę otwartą, umożliwiającą każdemu uczestnikowi przedstawienie dowolnej prezentacji, dotyczącej pracy Administratora Bezpieczeństwa Informacji (np. ochrona danych osobowych, ISO 27001, ciągłości działania (BS25999), itp.). Dla usprawnienia przebiegu spotkań, prosimy o wcześniejsze zgłaszanie organizatorom takiej propozycji.

Dziewiąte już spotkanie odbędzie się w czwartek 29 marca 2012r. Wideokonferencję rozpoczynamy o 14:00 (rejestracja od 13:45).

Agenda ramowa:
13.45 – 14.00 – rejestracja uczestników
14.00 – 14.20 – Odpowiedzialność finansowa Administratora Danych – Adwokat Tomasz Cygan
14.20 – 14.40 – Bezpieczeństwo danych na urządzeniach mobilnych podłączonych do Internetu – Karolina Pilarczyk IBM Polska
14.40 – 15.30 – panel dyskusyjny
15.30 – podsumowanie i zamknięcie spotkania

W razie pytań lub wątpliwości proszę o kontakt telefoniczny lub mailowy.

Informacje o dotychczasowych spotkaniach dostępne są na stronie: http://www.2business.pl/index.php?page=Spotkania-ABI

Więcej informacji tutaj: http://www.goldenline.pl/spotkanie/ix-internetowe-spotkanie-abi

Warszawskie spotkanie ABI

Dobrze rozpocząć nowy miesiąc od spotkania w gronie najlepszych polskich specjalistów w ochronie danych osobowych? Jeżeli tak jak my, uważasz, że nie ma lepszego sposobu spędzenia czwartkowego popołudnia, zapraszamy na kolejne warszawskie spotkanie ABI.

Więcej informacji tutaj: http://www.goldenline.pl/spotkanie/vi-spotkanie-administratorow-bezpieczenstwa-informacji-warszawa

Sejm przyjął sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych z działalności w roku 2009 i 2010

17 lutego 2012 roku, Sejm przyjął sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych z działalności w roku 2009 i 2010.
Wystąpienie GIODO, opinie Klubów Parlamentarnych, pytania Posłów oraz odpowiedzi Ministra Wiewiórowskiego można wysłuchać pod tym adresem:
http://www.tvpparlament.pl/retransmisje/sejm-rp/8-posiedzenie-sejmu-rp-17022012-godz-0900/6525176  

Na wysłuchanie całości materiału, trzeba poświęcić nieco czasu. Poniżej pozwalam sobie przedstawić wybór, moim zdaniem najważniejszych tematów, na które w swojej wypowiedzi zwrócił uwagę GIODO:

  • Zauważalny jest wzrost liczby wpływających do Biura GIODO skarg i zapytań.
  • Występują problemy z ustawą o dostępie do informacji publicznej. Zbyt często, urzędy, zwłaszcza samorządowe, zasłaniają się ustawą o ochronie danych osobowych, by nie udostępniać informacji publicznych.
  • Bardzo często brak jest realizowania obowiązku informacyjnego, lub jest on realizowany w sposób niedbały.
  • Występują problemy w zabezpieczaniu danych.
    • Operatorzy telekomunikacyjni i urzędy miejskie – przesyłają niezabezpieczoną korespondencję i w wypadku nieobecności adresata zostawiają ją u sąsiada lub w drzwiach.
    • Komornicy sądowi i naczelnicy urzędów skarbowych przesyłają wezwania pozbawione koperty.
    • Zdarza się ujawnianie danych wrażliwych w opisach na kopertach.
  • Nastąpił spadek liczby skarg w stosunku do podmiotów działających na rynku marketingu bezpośredniego i na rynku finansowym.
  • Nastąpił wzrost liczby skarg względem podmiotów przetwarzających dane w Internecie (na podstawie prawa telekomunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną).
  • W latach których dotyczyły sprawozdania, nastąpiło nieznaczne zmniejszenie ilości przeprowadzanych kontroli.
  • Zdaniem GIODO liczba przeprowadzanych kontroli jest zdecydowanie za niska.
  • Utrzymywał się stały poziom liczby decyzji administracyjnych oraz kierowanych do Biura GIODO projektów aktów prawnych (2009r. – 624, 2010r. – 614)
  • Bardzo niepokoi GIODO tendencja do tworzenia przez organy megabaz danych osobowych, jak również próby zbierania danych jedynie dla usprawnienia funkcjonowania, co stanowi naruszenie konstytucyjnego prawa obywateli.
  • Nastąpił zdecydowany wzrost liczby zgłaszanych do rejestracji zbiorów danych osobowych.
  • GIODO uważa, że przepisy karne ustawy powinny być zamienione na przepisy o charakterze karno-administracyjnym.
  • GIODO zwrócił uwagę, że ochrona danych osobowych to nie tylko przymus. Ochrona danych osobowych to wiarygodność wobec klientów i wobec kontrahentów. A zgodnie z Agendą cyfrową „Europejczycy nie będą korzystali z usług którym nie ufają”.
  • Generalny Inspektor uważa, że w sytuacji gdy administracja nie jest konkurencyjnym pracodawcą (w szczególności dla prawników i informatyków), praca w Biurze GIODO jest traktowana jako przygotowanie do życia w prywatnych firmach.
  • Problemem niedostatecznie uregulowanym w polskim prawie jest jawny dostęp do danych i otwarty dostęp do danych w Internecie. Cały czas posługujemy się pojęciem jawności formalnej rejestrów publicznych, które pochodzi z lat 30 XX wieku.
  • Należy zwrócić uwagę na retencję danych telekomunikacyjnych.
  • Konieczne są działania uświadamiające, skierowane do młodego pokolenia.
  • Jeszcze nierozpoznane są problemy wynikające ze stosowania inteligentnych liczników energii.

W wygłoszonych opiniach Klubów Poselskich, odniesiono się bardzo pozytywne  do przedstawionych sprawozdań oraz deklarowano większe zaangażowanie – oby rzeczywiście miało to miejsce.

Odpowiadając na pytania Posłów, Generalny Inspektor zwrócił uwagę na kolejne problemy:

  • System informacji oświatowej.
  • Przetwarzanie danych osobowych przez kościoły i związki wyznaniowe.
  • System informacji w ochronie zdrowia.
  • Problem nielegalności rejestrów medycznych.
  • Biometria i wykorzystanie danych biometrycznych w stosunkach pracy.
  • Kontrole w urzędach kontroli skarbowej – problemy informatyczne powodowane przez software dostarczony przez ministra finansów.
  • Monitoring losów absolwentów przez szkół wyższych – będzie prowadzony jedynie za zgodą absolwenta.
  • ACTA.
  • Współpraca GIODO z Parlamentem i Rządem.
  • Ustawa fotoradarowa.
  • Trudna sytuacja finansowa i kadrowa odpowiedników GIODO w innych państwach UE – czy nie grożą nam takie same problemy.
  • Karty zdrowia przy łóżku chorego.
  • Wyłączenie IPN spod kontroli GIODO.
  • Konieczność stworzenia precyzyjnych przepisów dotyczących przetwarzania danych osobowych w Policji i służbach bezpieczeństwa.

Na przesłuchanie całości materiału trzeba poświęcić trochę czasu, ale moim zdaniem warto. Mam również nadzieję, że Posłowie dotrzymają swojego zobowiązania i sprawozdanie GIODO za 2011 rok, zostanie przyjęte jeszcze w tym półroczu.

VIII Internetowe Spotkanie ABI

Zapraszamy do udziału w VIII Internetowym Spotkaniu Administratorów Bezpieczeństwa Informacji – w czwartek 23 lutego.
Jak zawsze, zapraszamy chętnych do wygłoszenia krótkich prezentacji związanych z tematyką ochrony danych, zarówno w instytucjach, jak i przedsiębiorstwach oraz firmach.
Wideokonferencję rozpoczniemy o 14:00 (rejestracja od 13:45) w czwartek, 23 lutego 2012.

Plan spotkania:
13.45 – 14.00 – rejestracja uczestników
14.00 – 14.20 – Praktyka – powierzanie danych w wypadku hostingu i chmury
14.20 – 14.40 – Zarządzanie usługami IT w kontekście normy ISO 20000
14.40 – 15.30 – panel dyskusyjny
15.30 – podsumowanie i zamknięcie spotkania

Jak zawsze, liczymy na ożywione dyskusje.

W spotkaniu można wziąć udział po zainstalowaniu komunikatora:
http://www.vidcom.pl/pobierz.php
lub przez przeglądarkę, po wejściu na stronę:
http://flashvico.vidcom.pl/conference/join/spotkanie_abi

Nazwa konferencji: spotkanie_abi

Zachęcamy do korzystania z kamerki i mikrofonu. Jeżeli jednak z jakiegokolwiek powodu nie chcecie lub nie możecie skorzystać z tej formy komunikacji, możecie rozmawiać z innymi uczestnikami spotkania, za pośrednictwem czatu.
Zapraszamy do rejestrowania się na stronie spotkania – http://www.goldenline.pl/spotkanie/viii-internetowe-spotkanie-abi

Dzień Ochrony Danych Osobowych 2012

28 stycznia 2012 obchodzimy kolejny Dzień Ochrony Danych Osobowych. Czy takie święto jest potrzebne? Dyskutowaliśmy na ten temat w trakcie ostatniego Internetowego Spotkania ABI. Zapraszam do wysłuchania wypowiedzi Europejskiego Inspektora Ochrony Danych Osobowych z okazji DODO 2012 – http://www.edps.europa.eu/EDPSWEB/edps/site/mySite/data_protection_day_2012

Oficjalny projekt nowego, unijnego prawa ochrony danych osobowych

Opublikowany został oficjalnie, oczekiwany projekt nowego, unijnego prawa ochrony danych osobowych:

http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm

http://europa.eu/rapid/pressReleasesAction.do?reference=IP/12/46&format=HTML&aged=0&language=PL&guiLanguage=en

ABI – teraźniejszość i przyszłość

Tekst został opublikowany 21 stycznia 2012 i nie uwzględnia nowelizacji ustawy o ochronie danych osobowych, która weszła w życie 1 stycznia 2015.

ABI

Badania pokazują, że nasze społeczeństwo jest coraz bardziej świadome swoich praw wynikających z ustawy o ochronie danych osobowych. Świadomość ta zwykle koncentruje się wokół kilku pojęć. „Zgoda na przetwarzanie danych osobowych”, „GIODO”, „ABI” – są najczęściej używanymi słowami-kluczami, z którymi ludzie kojarzą ochronę danych. W praktyce, niejednokrotnie przedsiębiorcy ograniczają się jedynie do wyznaczenia Administratora Bezpieczeństwa Informacji, traktując to jako dopełnienie swoich obowiązków oraz jako przerzucenie ewentualnej odpowiedzialności na inną osobę.

Ale kim zgodnie z ustawą jest ABI? Jakie zadania pełni w praktyce? Jakie zmiany w tym zakresie są niezbędne? W założeniu tent tekst miał odpowiadać na te pytania oraz pokrótce zebrać opinie pojawiające się w toczonych ostatnio na różnych forach dyskusjach o przyszłości tej profesji. W międzyczasie pojawiły się „przecieki” o planowanych zmianach w europejskim prawie ochrony danych, w tym dotyczących pozycji i zadań ABI. Ponieważ zmiany te w dużym stopniu wydają się wychodzić naprzeciw oczekiwaniom środowiska (w każdym razie, ja uważam je za interesujące), postanowiłem nie zmieniać istotnie tego tekstu, a jedynie dodać fragment mówiący o planowanych zmianach.

TERAŹNIEJSZOŚĆ

KIM JEST OFICJALNIE

DYREKTYWA

Europejskie prawo ochrony danych osobowych opiera się na dyrektywie 95/46/WE Parlamentu Europejskiego I Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

Dyrektywa wprowadza pojęcie Urzędnika do spraw ochrony danych, któremu w ustawie o ochronie danych osobowych odpowiada Administrator bezpieczeństwa informacji. Od razu należy jednak zwrócić uwagę na kilka szczegółów. Angielska wersja Dyrektywy, mówi o „data protection official” (DPO) czemu w polskim tłumaczeniu odpowiada „Urzędnik odpowiedzialny za ochronę danych”. Jednak w art. 18 tłumaczenia pojawia się „Urzędnik do spraw ochrony danych”. Czy jest to celowe rozróżnienie? Tym bardziej, że w wersji angielskiej też pojawia się drobna różnica. Mamy tutaj „personal data protection official”.

Jednak nieco więcej zamieszania może wyniknąć z rozporządzenia Nr 45/2001 Parlamentu Europejskiego I Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych. Rozporządzenie mówi o „Data Protection Officer”, co zostało przetłumaczone jako „inspektor ochrony danych”. Powrócę do tego tematu na końcu tekstu.

Co Dyrektywa mówi o DPO:

  • Musi mieć on możliwość wykonywania swoich obowiązków w sposób niezależny od Administratora danych (pkt 49 preambuły).
  • Współpracuje z GIODO przed przetworzeniem danych (pkt 54 preambuły).
  • Odpowiada za zapewnienie stosowania przepisów krajowych przyjętych na mocy Dyrektywy (art. 18 pkt 2).
  • Odpowiada za prowadzenie rejestru operacji przetwarzania danych (art. 18 pkt 2).
  • W wypadku powołania DPO, administrator może zostać zwolniony z obowiązku zawiadamiania o przetwarzaniu danych (u nas – rejestracji zbiorów).
  • Współpracuje z GIODO w trakcie kontroli wstępnych.
USTAWA

W polskiej ustawie ABI pojawia się w wyniku nowelizacji z 2004 roku. Nie będę tutaj rozważał sytuacji sprzed tej nowelizacji. Zgodnie z art. 36 ustawy o ochronie danych osobowych, administrator bezpieczeństwa musi być wyznaczony przez administratora danych osobowych, chyba, że ADO sam będzie wykonywał jego czynności. Zgodnie z ustawą, ABI nadzoruje przestrzeganie środków technicznych i organizacyjnych przetwarzania danych osobowych przyjętych u administratora danych. Zapis ten możemy uznać za bardzo ogólny i w rzeczywistości zakres zadań realizowanych przez ABI bywa bardzo różny. Warto zwrócić uwagę, że w innych państwach europejskich, wymogi co do zadań i kwalifikacji ABI (DPO), zostały niejednokrotnie bardziej szczegółowo określone.

Z obowiązku powołania ABI (lub samodzielnego pełnienia jego zadań) zwolnieni są administratorzy pełniący działalność dziennikarską, literacką lub artystyczną.

„Nadzór” oznacza, że ABI powinien mieć możliwość ingerencji, wydawania poleceń, itd. w sytuacji gdy zasady przetwarzania danych nie są przestrzegane lub w celu zapewnienia zgodnego z tymi zasadami przetwarzania danych.

ABI może, ale nie musi być pracownikiem administratora danych. Należy jednak zwrócić uwagę, że powinien być konkretną osobą fizyczną, wyznaczoną przez ADO. Nic nie stoi na przeszkodzie, żeby pełnił jednocześnie inne funkcje. Nie powinny one jednak powodować powstania konfliktu interesu, który mógłby utrudnić administratorowi bezpieczeństwa informacji realizowanie jego zadań. Zwykle postuluje się tutaj, że nie powinien on być pracownikiem pionu IT, podlegającego zwykle szczególnej uwadze ABI. Ze względów dowodowych, wyznaczenie ABI powinno mieć formę pisemną.

Mimo, że nie jest to określone wprost, ABI powinien być w taki sposób umocowany w strukturze organizacji, by móc w sposób prawidłowy realizować swoje zadania, kontaktować się z kierownictwem działów i w sposób niezależny nadzorować przetwarzanie w nich danych.

Istnieją podzielone opinie, co do tego, czy ADO może wyznaczyć kilku ABI. Ja skłaniałbym się do tego, że jest dopuszczalne, a w wielu organizacjach nawet wskazane.

Przyjmuje się, że niewłaściwe realizowanie obowiązków przez ABI, jako osobę zobowiązaną do ochrony danych osobowych może podlegać karze zgodnie z art.51 ustawy.

Art. 51.
1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

KIM JEST W RZECZYWISTOŚCI

W rzeczywistości zakres zadań realizowanych przez ABI bywa bardzo szeroki. Chciałbym jednak zwrócić uwagę na jeszcze jeden aspekt jego roli – bardzo często, ochrona danych osobowych bywa utożsamiana z powołaniem ABI (obok zgłoszenia zbioru i zgody na przetwarzanie danych), szkoda, że często administratorem bezpieczeństwa informacji staje się osoba przypadkowa, niezdająca sobie sprawy ze spoczywających na niej obowiązków i co gorsza, z grożącej jej odpowiedzialności. Na szczęście wydaje się, że możemy obserwować stałą poprawę tej sytuacji.

Zbyt często jednak, moim zdaniem, ABI znajduje się w sytuacji konfliktu interesów. Bardzo trudno jest pełnić tę rolę będąc jednocześnie kierownikiem, lub co gorsza, pracownikiem działu IT. Wyobraźmy sobie takiego ABI-ego, przychodzącego do swojego szefa:

-(ABI/Informatyk) Szefie, musimy w naszych systemach wdrożyć mechanizm pozwalający użytkownikom na zmianę haseł.
-(Kierownik IT) Zgadzam się całkowicie. Jesteś informatykiem, zrób to.
-Ale tego się nie da zrobić narzędziami które mamy…
-To, po co do mnie przychodzisz?!

Niejednokrotnie też, ABI jest autorem procedur, których funkcjonowanie musi później nadzorować. Czy jest w stanie dobrze i wiarygodnie to robić?

Rola administratora bezpieczeństwa ma wiele twarzy:

  • Prawnik – tworzy umowy powierzenia, upoważnienia, itd.
  • Pracownik biurowy – prowadzi szereg rejestrów.
  • Audytor bezpieczeństwa.
  • Specjalista od analizy ryzyka.
  • Twórca polityki bezpieczeństwa.
  • Informatyk – administrator bezpieczeństwa systemu.
  • Trener.

Zwykle ABI musi łączyć wszystkie lub większość z tych funkcji. Przykładowe zakresy obowiązków administratora bezpieczeństwa informacji, które możemy znaleźć w literaturze, liczą nieraz po kilka stron. Czy to źle? Myślę, że nie można w ten sposób powiedzieć. Każda organizacja jest inna, a i każdy ABI ma nieco inne predyspozycje i doświadczenie. Moim zdaniem, że dopóki nie obniża to bezpieczeństwa przetwarzanych danych, taka różnorodność może być korzystna. Na szczęście ABI przestał już być utożsamiany z informatykiem.

ABI nie powinien jednak zapominać, że działa na rzecz administratora danych i powinien stanowić jego prawą rękę w rozwiązywaniu problemów ochrony danych.

W Internecie można znaleźć mnóstwo przykładowych zakresów czynności ABI. Ważne żeby nie traktować żadnego z nich jako obowiązującego wzoru. Obowiązująca ustawa nakłada na administratora bezpieczeństwa konkretne obowiązki, nie oznacza to jednak, że konkretny zakres czynności nie może być dostosowany do potrzeb konkretnej organizacji. Czy ABI powinien prowadzić szkolenia? Bardzo dobrze, jeżeli to robi i taka jest potrzeba w konkretnej organizacji. Jeżeli jednak ograniczy się do nadzoru, czy pracownicy posiadają wymaganą wiedzę, a szkolenia będzie prowadzić wyspecjalizowana, zatrudniająca trenerów firma zewnętrzna, to również będzie dobre rozwiązanie.

ABI, zwykle jest osobą, która koordynuje działania związane z ochroną danych osobowych odpowiada za kontakty z GIODO, wspiera pracowników i kierownictwo. I taka rola bardzo mi się podoba. Oby w jak największej ilości organizacji, zarząd rozumiał obowiązki ochrony danych i postrzegał administratorów bezpieczeństwa informacji jako wsparcie w rozwiązywaniu związanych z tym problemów.

JAKIE KWALIFIKACJE SĄ NIEZBĘDNE WSPÓŁCZESNEMU ABI-EMU?

Z powyższych rozważań wynika, że ABI powinien posiadać bardzo szerokie kwalifikacje. Z pewnością powinien dobrze orientować się w zagadnieniach prawa przetwarzania danych osobowych. Powinien posiadać również wiedzę informatyczną, w przeciwnym wypadku może być świetnym specjalistą od zagadnień ochrony danych osobowych, ale we współczesnych organizacjach, trudno będzie mu prawidłowo realizować nakładany przez ustawę obowiązek nadzoru.

Z pewnością nie powinna być to osoba przypadkowa. Umiejętność współpracy i skutecznego prowadzenia nadzoru wydaje się kluczowa. Musi posiadać umiejętność podejmowania decyzji i być gotowym na ponoszenie ich konsekwencji.

ODPOWIEDZIALNOŚĆ

Pełnienie roli administratora bezpieczeństwa informacji wiąże się z dużą odpowiedzialnością. O możliwości odpowiedzialności karnej już wspominałem. Oczywiście, w wyniku zaniedbania swoich obowiązków, ABI może ponieść również konsekwencje służbowe.

Administrator bezpieczeństwa informacji, powinien mieć zawsze świadomość konsekwencji swoich decyzji. Czasami, mogą się one wiązać się ze sporymi kosztami dla pracodawcy. I mam tu na myśli, nie tylko ewentualne odszkodowania, ale np. prowadzone przez niektóre organizacje akcje rozsyłania do tysięcy swoich klientów druków zgody na przetwarzanie danych osobowych, w sytuacjach, gdy taka zgoda w ogóle nie była potrzebna…

„SYSTEMATYKA”

Zadania ABI

PRZYSZŁOŚĆ

JAKI ABI JEST NAM POTRZEBNY

Coraz bardziej widoczna stała się potrzeba uregulowania zadań i pozycji administratora bezpieczeństwa informacji w organizacjach. Na różnych forach przetoczyła się dyskusja i pojawiły się różne, czasami bardzo sprzeczne propozycje uregulowań. Jako o jednym z najbardziej spójnych rozwiązań, wypada wspomnieć o propozycji Stowarzyszenia ABI. Można się z nimi zapoznać na stronie stowarzyszenia.

Wydaje się, że bardziej szczegółowe określenie zadań ABI w ustawie jest wskazane. Nie powinno to jednak oznaczać, że wpisujemy poszczególne czynności, jak prowadzenie szkoleń, czy rejestru pomieszczeń. Zapisy ustawowe powinny stanowić dla administratora bezpieczeństwa informacji narzędzie pozwalające mu skutecznie realizować podstawowy obowiązek, którym jest nadzór nad stosowaniem szeroko rozumianych zabezpieczeń, ale również udział w ich tworzeniu i wdrażaniu. Najważniejsze wydaje się zapewnienie skutecznych mechanizmów gwarantujących administratorowi bezpieczeństwa informacji niezależność w podejmowanych decyzjach. Mechanizmy te nie powinny jednocześnie nakładać dużych obowiązków na administratorów danych.

Rozmawiając o roli nowego ABI, zbyt często, moim zdaniem, koncentrujemy się na dużych organizacjach. Rzecz w tym, że duże organizacje zwykle zagadnienia ochrony danych mają uporządkowane. Nawet, jeżeli powodują one ogromne problemy, to w skali dużego podmiotu, są one rozwiązywalne. Inaczej wygląda sprawa małych organizacji. Niewielki zakład, nawet jeżeli przetwarza jedynie dane pracowników, staje często przed problemami, które w jego skali są nierozwiązywalne. Inny przykład mogą stanowić szkoły – sytuacja jest tutaj katastrofalna, a dane niejednokrotnie bardzo wrażliwe (stan zdrowia, rozwój psychiczny, współpraca z innymi podmiotami, np. ośrodkami pomocy społecznej). Wprowadzenie nowych uregulowań, nie spowoduje automatycznego uzdrowienia sytuacji. Konieczne wydaje się niezbędne wypracowanie rozwiązań możliwych do wdrożenia przez takie podmioty.

Pojawiają się również propozycje, by znieść obowiązek rejestrowania zbiorów danych i w zamian powierzyć administratorom bezpieczeństwa informacji obowiązek prowadzenia rejestru takich zbiorów. Co prawda głównym celem tej zmiany wydaje się odciążenie urzędu, spowoduje to jednak również zmniejszenie ilości pracy wykonywanej przez administratorów bezpieczeństwa informacji. Przecież rejestr zbiorów i tak muszą oni prowadzić. Może warto jednak pomyśleć o jakimś wzmocnieniu pozycji ABI. Wielu administratorów danych utożsamia rejestrację zbiorów z ochroną danych osobowych. Oby nie doszło tu do sytuacji, w której ABI usłyszy od prezesa – „ty mi tu głowy nie zawracaj, przecież tą całą ochronę danych już znieśli”.

Planując zmiany w zakresie przepisów dotyczących ABI, wyróżnić możemy podstawowe obszary:

  • Zadania ABI
  • Uprawnienia ABI
  • Umocowanie ABI w strukturze organizacyjnej

KWALIFIKACJE. ZAWÓD REGULOWANY? CERTYFIKATY?

Z pewnością warto zagwarantować posiadanie przez administratora bezpieczeństwa informacji odpowiednich kwalifikacji. Wydaje się jednak, że wpisanie do ustawy obowiązku posiadania wykształcenia prawniczego lub informatycznego może spowodować więcej szkody niż korzyści. Być może dobrym rozwiązaniem jest prosty zapis mówiący o tym żeby ABI musiał posiadać odpowiednie kwalifikacje w stosunku do konkretnego zakresu realizowanych zadań.

Z pewnością, bardzo ważne jest posiadanie przez ABI odpowiednich cech osobistych. Jakiekolwiek próby odgórnej regulacji, może spowodować, że do zawodu dostaną się osoby nie posiadające odpowiednich predyspozycji.

Kuszącym pomysłem wydaje się początkowo utworzenie nowego zawodu regulowanego. ABI musi zdać egzamin kwalifikujący, uzyskać akceptację GIODO, posiadać odpowiednie certyfikaty zawodowe… Po głębszej analizie, okazuje się jednak, że takie rozwiązanie nie tylko nie ma szansy bycia przyjętym (bo kto się odważy powiedzieć, że w imię ochrony danych osobowych, przedsiębiorcy będą musieli ponosić nowe, wysokie koszty, które w rezultacie przeniosą się na społeczeństwo), ale prawdopodobnie doprowadziłoby do obniżenia poziomu zabezpieczenia danych. Musielibyśmy się liczyć z ukrywaniem faktu przetwarzania danych, z opanowaniem rynku przez pojedyncze podmioty i w konsekwencji dyktowaniem cen i poziomu realizacji usług.

Wydaje się jednak, że posiadanie pewnych uprawnień, np. certyfikatów zawodowych mogłoby być premiowane, np. możliwością prowadzenia rejestru zbiorów danych osobowych i braku konieczności ich zgłaszania GIODO.

Możliwe wydaje się również przyjęcie rozwiązania, zgodnie z którym, w określonych odstępach czasu ABI przesyła GIODO sprawozdanie z prowadzonych kontroli. Z takiego obowiązku mogliby być zwolnieni administratorzy bezpieczeństwa posiadający odpowiednie certyfikaty (zakres wymieniony w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych z dnia 10 września 2010 r. wydaje się dobrym przykładem).

ODPOWIEDZIALNOŚĆ?

Uważam, że uszczegółowienie obowiązków ABI, zapewnienie mu swego rodzaju nienaruszalności, powinno wiązać się również z większą odpowiedzialnością. Chcemy mieć gwarancję, że ABI będzie korzystał ze zwiększenia swoich obowiązków w sposób prawidłowy. Nie koniecznie musi to być odpowiedzialność karna. Podobałaby mi się możliwość ponoszenia odpowiedzialności służbowej, np. jeżeli ABI nie dopełni swoich obowiązków i zostanie to stwierdzone przez GIODO.

ABI – CZŁOWIEK GIODO, CZY ADO?

Do tej pory, administrator bezpieczeństwa informacji działał na rzecz administratora danych. Nadzorował, doradzał, ale zawsze występował po stronie administratora danych. W proponowanych rozwiązaniach, ABI zaczyna pełnić rolę przedstawiciela GIODO w organizacji. Z jednej strony nie chcemy tworzyć nowego zawodu regulowanego, nie chcemy istotnie podnosić kosztów administratora danych, z drugiej jednak strony planujemy wprowadzić obowiązek wyznaczania osoby, która będzie po części pełniła rolę urzędnika biura GIODO. Nie twierdzę że ABI nie powinien mieć pewnych obowiązków, do których spełnienia będzie zobowiązany, nawet gdy ADO będzie miał inne zdanie. Uważam, że danie ABI takich możliwości jest mocno wskazane. W połączeniu z zagwarantowaniem pewnej niezależności i podniesieniem ewentualnej odpowiedzialności, może to dać bardzo dobre efekty. Konieczne jest jednak bardzo dobre wyważenie roli ABI, a jednocześnie podejmowane działania muszą w minimalny sposób nakładać nowe obciążenia na organizacje.

PROJEKT ROZPORZĄDZENIA

Przygotowany przez Komisję Europejską projekt rozporządzenia (General Data Protection Regulation), które być może zastąpi wkrótce naszą krajową, ustawę o ochronie danych osobowych, bardzo szeroko traktuje zadania i prawa ABI, który staje się tutaj „Data protection officer”. Omówmy pokrótce proponowany rozwiązania.

PODSTAWOWE ZNACZENIE MA ROZDZIAŁ 4 – DATA PROTECTION OFFICER.
ART. 32 – WYZNACZENIE DPO
  • DPO musi być wyznaczony przez ADO lub procesora (również art. 19 ust. 2. pkt (e)):
    • Będącego instytucją publiczną
    • Zatrudniającego powyżej 250 pracowników
    • Podstawowa działalność ADO lub procesora polega na regularnym i systematycznym kontrolowaniu osób
  • Inne podmioty mogą wyznaczyć DPO.
  • DPO powinien posiadać adekwatną wiedzę i powinna być ona dostosowana do przetwarzanych danych.
  • ADO i procesor powinni zapewnić, że DPO wykonując swoje zadania nie będzie narażony na konflikty interesów.
  • ADO lub procesor wyznacza DPO na dwuletnią kadencję, która może być następnie przedłużona. W czasie swojego urzędowania, DPO może być zwolniony, jedynie, jeżeli nie spełnia wymagań koniecznych do pełnienia swoich obowiązków.
  • DPO może być zatrudniony przez ADO lub procesora, lub wykonywać swoje zadania w oparciu o umowę o świadczenie usług.
  • Dane DPO powinny być przekazane GIODO, podane do publicznej wiadomości oraz udostępnione osobom, których dane są przetwarzane (również w art. 12 ust. 1. pkt (a)). Osoby te muszą mieć możliwość kontaktu z DPO w wypadku incydentów i w celu skorzystania z praw nadanych przez rozporządzenie.
ART. 33 –DPO W STRUKTURZE ORGANIZACYJNEJ
  • ADO lub procesor zapewnia, że DPO jest zaangażowany we wszystkie zagadnienia związane z ochroną danych.
  • DPO wykonuje swoje zadania niezależnie i podlega bezpośrednio dyrekcji.
  • ADO lub procesor wspierają DPO w realizacji zadań oraz zapewniają niezbędne zasoby.
ART. 34 –ZADANIA DPO
  • Rozporządzenie określa jedynie minimalne zadania DPO.
  • Informuje ADO i kontrolera o ich obowiązkach oraz dokumentuje te działania.
  • Monitoruje wdrażanie i stosowanie polityki, w tym prowadzenie szkoleń, audytów i przypisywanie obowiązków.
  • Monitoruje wdrażanie i stosowanie rozporządzenia.
  • Zapewnia prowadzenie wymaganej rozporządzeniem dokumentacji.
  • Monitoruje skuteczność oceny skutków przetwarzania danych.
  • Monitoruje odpowiedzi na żądania GIODO (supervisory authority) oraz współpracuje z GIODO w zakresie własnych kompetencji.
  • Stanowi osobę kontaktową dla GIODO.

W części przepisów komisja ma prawo wprowadzać dodatkowe wymagania.

ART. 79 – ODPOWIEDZIALNOŚĆ ADMINISTRACYJNA

W wypadku niewyznaczenia DPO lub umyślnego lub nieumyślnego niespełnienia wymagań określonych w art. 32, 33 lub 34, GIODO powinien nałożyć w karę w wysokości 100 tyś. – 1 mln. Euro lub 5% światowego obrotu przedsiębiorstwa.

PKT 62 PREAMBUŁY

DPO może, ale nie musi być pracownikiem ADO. Swoje zadania wykonuje niezależnie.

SPRÓBUJMY PRZEWIDZIEĆ PRZYSZŁOŚĆ

W najbliższym czasie możemy się spodziewać nowej wersji rozporządzenia MSWiA z 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służą ce do przetwarzania danych osobowych, a być może również ustawy o ochronie danych osobowych. Generalny Inspektor wydaje się zdeterminowany by przeprowadzić te zmiany, zresztą nie ma innego wyjścia – rozporządzenie w obecnej postaci nie nadaje się do stosowania.

Następnie możemy spodziewać się zastąpienia Dyrektywy i Ustawy przez rozporządzenie UE. Ucieczki nie ma – prawo ochrony danych osobowych musi zostać zmienione albo przestanie funkcjonować.

Jaka będzie po tych zmianach rola Administratorów Bezpieczeństwa Informacji? Starajmy się na to wpłynąć już teraz.

 

 

 

VII Internetowe Spotkanie ABI

Szósta edycja Internetowych Spotkań Administratorów Bezpieczeństwa Informacji za nami. Tym razem, uwzględniając prośby wielu sympatyków, spotkaliśmy się po raz pierwszy w godzinach popołudniowych. I jak się okazało termin ten okazał się strzałem w dziesiątkę. Wśród uczestników pojawił się bowiem Pan doktor Wojciech Wiewiórowski – Generalny Inspektor Ochrony Danych Osobowych.
Stworzyło to doskonałą okazję do niemal dwugodzinnej bezpośredniej rozmowy o planowanych zmianach w przepisach ODO, z najlepiej poinformowaną w tym zakresie osobą. Mamy nadzieję, że nie była to ostania wizyta na naszym spotkaniu.

Zapraszamy na kolejne VII Internetowe Spotkanie Administratorów Bezpieczeństwa Informacji – tym razem 26.01.2012 (czwartek).

Proponujemy dyskusję na temat kolejnego już VI Dnia Ochrony Danych Osobowych. Spróbujmy odpowiedzieć na pytanie: „Czy takie święto jest komuś potrzebne i czemuś służy?”.

Jak zawsze, zapraszamy chętnych do wygłoszenia krótkich prezentacji związanych z tematyką ochrony danych, zarówno w instytucjach, jak i przedsiębiorstwach oraz firmach.
—————————————————————————–

Wideokonferencję rozpoczniemy o 17:00 (rejestracja od 16:30), w czwartek, 26 stycznia 2012.

16.30 – 17.00 – rejestracja uczestników
17.00 – 17.20 – wykład – „Dzień ochrony danych osobowych – czy takie święto jest komuś potrzebne i czemuś służy?”.
17.20 – 17.40 – wykład – „Obyś żył w ciekawych czasach. Polska i europejska ochrona danych osobowych – remont czy przebudowa?”
17.40 – 18.30 panel dyskusyjny
18.30 – podsumowanie i zamknięcie spotkania

Jak zawsze, liczymy na ożywione dyskusje.

Więcej szczegółów tutaj: http://www.goldenline.pl/spotkanie/vii-internetowe-spotkanie-abi2