Administrator danych osobowych musi nie tylko wdrożyć środki bezpieczeństwa adekwatne do poziomu ryzyka wiążącego się z przetwarzaniem danych. Powinien on także zapewnić, by były one stosowane przez jego personel. Sprawdź, w jaki sposób monitorować to przestrzeganie.
Pytanie: Czy administrator w ramach prowadzonego audytu u procesora ma prawo wskazywać niezgodności wg norm ISO np. 27001, jeśli norma nie jest wdrożona przez podmiot przetwarzający?
Pytanie: Na terenie Polski znajdują się spółki produkcyjne wchodzące w skład grupy zakładów, dla których spółka matka znajduje się w jednym z krajów UE. Tam też znajdują się serwery główne dla wszystkich zakładów. W zakładach zlokalizowanych w Polsce znajdują się serwerownie, sieci lokalne itd. Czy dla każdego z tych zakładów należy przeprowadzić analizę ryzyka dla systemów informatycznych znajdujących się w tych zakładach?
Pytanie: Powiat wynajmował pomieszczenie lekarzowi w celu świadczenia usług lekarskich. W 2019 r lekarz zaprzestał płacenia za wynajmowane pomieszczenia i została wypowiedziana umowa najmu. Aktualnie lekarz zajmuje bezumownie pomieszczenia i nadal świadczy swoje usługi. Lekarz przetwarza dane osobowe pacjentów i zgromadził bardzo pokaźny zbiór danych osobowych w postaci papierowej (akta z okresu około 20 lat). Po zakończeniu procedury sądowej planowana jest egzekucja komornicza - usunięcia lekarza z gabinetu. Lekarz nie wykazuje żadnych chęci zabrania dokumentacji medycznej. Jak powinniśmy postępować z aktami biorąc pod uwagę że czynności komornicze często ograniczają się do fizycznego wejścia do pomieszczenia i wymiany zamków.
Jednym z obowiązków administratora określonych w RODO jest, zgodnie z brzmieniem art. 25 RODO, uwzględnienie ochrony danych w fazie projektowania (privacy by design) oraz domyślna ochrona danych (privacy by default). Sprawdzamy, jak wykonać te czynności z wykorzystaniem metodyki PMIBoK®.
Kluczem dla zrozumienia przepisów i celów rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), jest tzw. podejście oparte na ryzyku. Wyraża się ono w nałożonym na administratora obowiązku przeprowadzania analizy ryzyka związanego z przetwarzaniem danych, jakie jest realizowane w organizacji.
Coraz ciężej wyobrazić sobie administratora, który od początku do końca jest osobiście zaangażowany we wszelkie operacje przetwarzania danych wewnątrz swojej organizacji. Przeciwnie, rozwój technologii, postępująca specjalizacja czy koszty obsługi powodują, że na wielu płaszczyznach swojej działalności administratorzy decydują się na skorzystanie z pomocy podmiotów trzecich – procesorów. Wybór procesora, podobnie jak inne czynności związane z ochroną danych osobowych w organizacji, musi być traktowany jako jeden z elementów podejścia opartego na ryzyku.
Dyrektywa NIS2 ustanawia pewne obowiązki także dla tzw. podmiotów kluczowych i ważnych (PKW), do których mogą się zaliczać niektórzy administratorzy danych osobowych zarówno z sektora prywatnego, jak i publicznego, w tym także w samorządzie. Na co zatem uwagę powinny zwrócić osoby odpowiedzialne za cyberbezpieczeństwo jednostkach samorządowych w związku z dyrektywą NIS2?
04.03.2025
Otrzymuj raz w tygodniu aktualne informacje o zmianach w prawie oraz komentarze ekspertów
© Portal Poradyodo.pl
