26 stycznia 2017 r. na Politechnice Warszawskiej, odbyła się konferencja „Doskonalenie wykonywania funkcji ABI – drugi rok doświadczeń”. Wydarzenie zostało zorganizowane w ramach obchodów II Dnia ABI, ustanowionego przez Zarząd Stowarzyszenia Administratorów Bezpieczeństwa Informacji (SABI) w 2015 r.

Konferencję współorganizowało Stowarzyszenie ABI oraz Dziekan Wydziału Zarządzania Politechniki Warszawskiej, dr hab. inż. Janusz Zawiła-Niedźwiecki prof. PW. Patronat honorowy nad konferencją objęli: dr Edyta Bielak-Jomaa – Generalny Inspektor Ochrony Danych Osobowych, Politechnika Warszawska oraz Wydział Zarządzania Politechniki Warszawskiej. 

Data organizacji Dnia ABI jest symboliczna, ponieważ 26 stycznia 2015 r. Generalny Inspektor Ochrony Danych Osobowych (GIODO) uruchomił system informatyczny zapewniający publiczny dostęp do ogólnopolskiego jawnego rejestru administratorów bezpieczeństwa informacji. Tym samym, tego dnia wpisano pierwszego ABI do rejestru, co oznaczało, że został po raz pierwszy zakończony proces powołania i rejestracji ABI, na podstawie przepisów znowelizowanej w dniu 7 listopada 2014 r. ustawy o ochronie danych osobowych. Ustanowienie przez Zarząd SABI otwartego Dnia ABI umożliwia środowiskowe spotkania i wymianę doświadczeń w wykonywaniu zadań ABI. Jest to o tyle istotne, że w związku z obowiązującym ogólnym rozporządzeniem Parlamentu Europejskiego i Rady Unii Europejskiej w sprawie ochrony danych osobowych pojawią się nowe zakresy zadań dotyczące nadzoru nad bezpieczeństwem danych osobowych oraz nowa funkcja inspektora ochrony danych (następcy ABI).

Na konferencji, w Małej Auli PW, zgromadziło się ponad 300 osób z całej Polski i goście z zagranicy. Wśród uczestników znaleźli się przedstawiciele: urzędów centralnych i lokalnych, organizacji pozarządowe, szkół każdego szczebla, uczelni wyższych, małych i dużych przedsiębiorstw prywatnych i państwowych, mediów, a także przedsiębiorcy indywidualni i osoby prywatne.

Uczestników przywitali i uroczyście rozpoczęli konferencję: prof. dr hab. inż. Stanisław Wincenciak - Prorektor ds. Rozwoju Politechniki Warszawskiej, dr hab. inż. Janusz Zawiła-Niedźwiecki prof. PW- Dziekan Wydziału Zarządzania Politechniki Warszawskiej, oraz Maciej Byczkowski - Prezes Zarządu Stowarzyszenia ABI.

Merytoryczna część konferencji rozpoczęła się od panelu dotyczącego nowych wymagań i trendów panujących w obszarach ochrony danych osobowych. Dr Maciej Kawecki, Doradca Ministra Cyfryzacji, opowiedział o procesie wdrażania ogólnego rozporządzenia unijnego do polskiego porządku prawnego. Temat cieszył się ogromnym zainteresowaniem, a uczestnicy zadawali wiele pytań. Podobnie rzecz się miała w przypadku tematu omawianego przez Michała Kaczorowskiego, Radcę prawnego Google Polang dotyczącego przetwarzania danych osobowych z użyciem nowych technologii w usługach chmurowych (cloud computing). Temat wywołał żywą dyskusję na temat realizacji obowiązków ochrony danych przez dostawcę usług „chmurowych”, w tym na kwestie transferu danych oraz określenia dokładenego miejsca znajdowania się serwerów usług, jak i potwierdzenia spełnienia wymagań zabezpieczenia danych przez dostawcę takich usług.

Druga część konferencji poświęcona była głównemu tematowi wydarzenia - omówieniu i podsumowaniu drugiego roku doświadczeń w wykonywaniu funkcji ABI. Prezes Maciej Byczkowski przedstawił statystyki dotyczące ABI zarejestrowanych w krajowym jawnym rejestrze ABI prowadzonym przez Biuro GIODO, w tym w odniesieniu do rodzajów podmiotów, które powołały ABI. Omówił również praktyczne wnioski z wykonywania zadań ABI, które realizowane są przez nich w ich codziennej pracy. Następnie dr Grzegorz Sibiga z Instytutu Nauk Prawnych PAN, zaprezentował swoją opinię na temat pozycji ABI oraz innych komórek organizacyjnych administratora danych i osób zajmujących się ochroną danych osobowych. Dr Sibiga odniósł do kwestii niezależności ABI w wykonywaniu jego zadań względem jego relacji z kontrolą zarządczą czy audytem wewnętrznym. Uwagi pojawiające się w trakcie dyskusji nad tym tematem, zostaną uwzględnione przez autora w ostatecznej wersji opinii, która zostanie opublikowana na stronie SABI. W ostatnim z wykładów tej części Monika Młotkiewicz, Zastępca Dyrektora Departamentu Rejestracji Administratorów Bezpieczeństwa Informacji i Zbiorów Danych Osobowych, reprezentująca Biuro GIODO, podzieliła się z zebranymi na sali doświadczeniami Biura dotyczącymi rejestracji ABI, sprawdzeń przeprowadzanych przez ABI na wniosek GIODO oraz kontroli wykonywania działań ABI przez inspektorów GIODO.

Druga cześć konferencji zakończyła się panelem dyskusyjnym na temat wykonywania funkcji ABI, w której udział wzięli: Maciej Byczkowski, adw. Xawery Konarski (Traple Konarski Podrecki i Wspólnicy), Monika Młotkiewicz, Andrzej Rutkowski (Wiceprezes Zarządu Stowarzyszenia ABI) oraz dr Grzegorz Sibiga. W trakcie dyskusji Andrzej Rutkowski podkreślił konieczności stworzenia nowego Kodeksu Etyki ABI w odniesieniu do jego nowych zadań i kompetencji, które będą wymagane dla nowej funkcji inspektora ochrony danych, a Xawery Konarski odniósł się do roli ABI w przygotowaniu do wdrożenia wymogów ogólnego rozporządzenia o ochronie danych osobowych.

W trzeciej części konferencji odbyły się specjalnie zaplanowane przez GIODO konsultacje dotyczące wytycznych Grupy Roboczej Artykułu 2 w zakresie inspektora ochrony danych (następcy ABI). Rozpoczynając trzecią cześć konferencji Piotr Drobek, Zastępca Dyrektora Departamentu Edukacji Społecznej i Współpracy Międzynarodowej Biura GIODO razem z Moniką Młotkiewicz, przedstawili założenia wytycznych Grupy Roboczej Artykułu 29 w zakresie inspektora ochrony danych, do których następnie przedstawił swoje uwagi dr Sibiga, W dalszej kolejności głos zabrali uczestnicy konferencji zgłaszają swoje uwagi do wytycznych. Większość zgłoszonych uwag dotyczyła kwestii pełnienia przez inspektora punku kontaktowego dla osób, których dane dotyczą. ABI biorący udział w dyskusji obawiają się dużej liczby zgłoszeń, które będą wpływać do inspektora, co spowoduje znaczny wzrost czasu oraz zasobów potrzebnych na ich rozpatrywanie. Wszystkie uwagi zgłoszone przez uczestników podczas konferencji zostały odnotowane i zostaną przeanalizowane przez GIODO, przed przesłaniem ostatecznych uwag do Grupy Roboczej Artykułu 29.

Konferencja zakończyła się indywidualnymi konsultacjami udzielanym przez Zarząd SABI oraz ekspertów Stowarzyszenia.

Wydarzenie cieszyło się ogromnym zainteresowaniem. Dziękujemy wszystkim uczestnikom za aktywny udział, a partnerom za wsparcie. Do zobaczenia za rok – podczas III Dnia ABI.

Materiały z konferencji będą dostępne na stronie www.sabi.org.pl.