Jak wynika z RODO, inspektor ochrony danych powinien posiadać wiedzę nie tylko na temat prawa, ale i praktyk w dziedzinie ochrony danych osobowych. Może ona obejmować np. wiedzę o sposobie tworzenia dokumentacji dotyczącej ochrony danych osobowych, sposobach realizacji uprawnień osób, których dane dotyczą (po tym, gdy zgłoszą odpowiednie żądania), umiejętność dokonywania analizy ryzyka, jak również dobierania odpowiednich zabezpieczeń związanych z ochroną informacji. W tym zakresie wymagana jest również wiedza z zakresu cyberbezpieczeństwa.
Do zadań inspektora ochrony danych należy:
Co oczywiste, poziom wiedzy i umiejętności inspektora ochrony danych muszą zapewniać mu możliwość należytego wykonywania tych obowiązków. Nie wystarczy tu teoretyczna znajomość przepisów prawa.
Zarówno w zakresie kwestii prawnych jak i praktycznych inspektor ochrony danych powinien znać się na cyberbezpieczeństwie. W jakim zakresie? W przypadku kwestii prawnych dotyczy to głównie treści niektórych decyzji Prezesa UODO lub publikowanych przez niego wytycznych, zawierających wskazówki dotyczące sposobu zabezpieczania danych, które są w takich systemach przetwarzane. Przepisy RODO nie regulują bowiem wyczerpująco kwestii związanych z bezpieczeństwem przetwarzania danych, pozostawiając je do uregulowania administratorom.
Warto, by inspektor ochrony danych znał wnioski wynikające z głośnej decyzji Prezesa UODO w sprawie incydentu w spółce Morele.net. Warto dodać, że po ponownym rozpatrzeniu sprawy organ nadzorczy orzekł o wyższej karze dla spółki. W sprawie tej nałożono na spółkę wysoką karę pieniężną za naruszenie polegające na nieprawidłowej analizie ryzyka i braku zabezpieczeń, które byłyby adekwatne do zagrożeń. Brak jakiejkolwiek wiedzy (chociaż podstawowej) na temat zapobiegania cyberatakom z pewnością utrudni inspektorowi ochrony danych zrozumienie tego, czego dotyczy ta decyzja, i np. z czym wiąże się kontrola dostępu do systemów informatycznych i uwierzytelnianie użytkowników, monitorowanie zdarzeń w ramach systemów informatycznych albo na czym polega szyfrowanie danych i dlaczego niektóre algorytmy szyfrujące mogą być wykorzystywane, a inne (te, które są uznawane za przestarzałe i niedające odpowiedniego poziomu bezpieczeństwa) nie.
Zagadnienia z zakresu cyberbezpieczeństwa dotyczą jednak przede wszystkim praktyki. W tym zakresie każdy IOD powinien posiadać choćby podstawową wiedzę. Inspektor ochrony danych powinien wypełniać swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania. Powinien przy tym uwzględniać charakter, zakres, kontekst i cele przetwarzania. Może mu to pomóc m.in. w skutecznym wspieraniu administratora w sporządzaniu oceny skutków dla ochrony danych czy też w weryfikowaniu poprawności przeprowadzonej w organizacji analizy ryzyka.’
Aby dobrać zabezpieczenia odpowiednie do poziomu ryzyka IOD powinien znać podstawowe realia rynkowe, związane z doborem zabezpieczeń informatycznych.
Administrator może wymagać od IOD, by ten zorganizował szkolenia w zakresie ochrony danych osobowych ale też cyberbezpieczeństwa dla personelu.
Zakres wiedzy inspektora o cyberbezpieczeństwie powinien być dostosowany do organizacji i charakteru jej działalności. W niewielkich organizacjach zwykle wystarczy podstawowa wiedza o cyberbezpieczeństwie. Przykładowo, w niewielkim urzędzie gminy powinny wystarczyć podstawy, natomiast w firmie, która świadczy na dużą skalę usługi chmurowe związane np. z przetwarzaniem danych medycznych, od IOD oczekiwany będzie wysoki poziom wiedzy o cyberbezpieczeństwie.
Opracowanie: Michał Kowalski na podstawie artykułu autora Michała Nosowskiego
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
