Inspektorem ochrony danych może być osoba, która posiada kwalifikacje zawodowe, a w szczególności ma odpowiednią wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań. Przy czym musi to być poparte praktyką. Ponieważ obecnie w znacznym zakresie dane osobowe przetwarza się w systemach IT, to inspektorowi potrzebna jest znajomość praktyk w zakresie cyberbezpieczeństwa.

Każdy administrator danych osobowych ma obowiązek wdrażania odpowiednich środków bezpieczeństwa przetwarzania danych. Odpowiednich czyli jakich? RODO nie definiuje takich środków, ale przykładowo wskazuje m.in. pseudonimizację. Z kolei anonimizacja to jedna z metod usunięcia danych osobowych. Zarówno pseudonimizacja jak i anonimizacja są więc narzędziami ochrony danych osobowych. Pseudonimizacja i anonimizacja to pojęcie podobnie brzmiące, a mimo tego istotnie różnią się od siebie. Różnice te przedstawiamy w artykule. Dowiesz się z niego także, jakie są metody i techniki pseudonimizacji, jak i anonimizacji danych.

Przepisy dotyczące zabezpieczenia danych mają dość ogólny charakter. Wynika to z konieczności dopasowania przyjętych rozwiązań w zakresie cyberbezpieczeństwa do indywidualnych potrzeb danej organizacji. Można jednak przytoczyć przykładowe działania służące zapewnieniu ochrony przed cyberzagrożeniami.

Niektóre przepisy dotyczące cyberbezpieczeństwa odnoszą się tylko do określonych grup podmiotów, zwłaszcza do podmiotów publicznych. Natomiast ogólne rozporządzenie o ochronie danych (RODO) zobowiązuje do zabezpieczania informacji zarówno podmioty publiczne, jak i prywatne.

Pytanie:  Czy w zakresie stosowania podpisów elektronicznych oraz usługi e-doręczeń wymagana jest w jednostce samorządowej dodatkowa dokumentacja ochrony danych osobowych?

Prawną definicję cyberbezpieczeństwa możemy znaleźć w ustawie o krajowym systemie cyberbezpieczeństwa. Zgodnie z nią cyberbezpieczeństwo oznacza odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Posiadanie właściwego planu w zakresie cyberbezpieczeństwa stanowi konieczny warunek zabezpieczenia danych osobowych przetwarzanych w systemach informacyjnych. Jest to szczególnie istotne w kontekście obowiązków administratorów danych osobowych oraz inspektorów ochrony danych.

Od 1 stycznia 2024 r. obowiązywać będzie nowe rozporządzenie w sprawie systemów teleinformatycznych stosowanych w jednostkach organizacyjnych pomocy społecznej. Warto sprawdzić, dlaczego wydano nowe przepisy oraz spojrzeć na wymogi w zakresie zabezpieczenia takich systemów.

W części 1 artykułu opisującego Wytyczne2/2023 w sprawie zakresu technicznego art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej wydane przez Europejską Radę Ochrony Danych (EROD) pisaliśmy o celach samej dyrektywy ePrivacy oraz celach przyjęcia przez EROD wytycznych, a także wyjaśniliśmy, jakie są kluczowe pojęcia z art. 5 ust. 3 dyrektywy i dokonaliśmy analizy kilku z nich.

Czasami nie wystarczy zgłoszenie naruszenia ochrony danych do Prezesa UODO. Organizacje mające status operatorów usług kluczowych lub dostawców usług cyfrowych muszą zgłaszać poważne incydenty w zakresie cyberbezpieczeństwa do CSIRT. Mają na to tylko 24 godziny. To samo dotyczy większości podmiotów publicznych. Jest to niezwykle ważny obowiązek zwłaszcza w obecnej sytuacji geopolitycznej i utrzymującym się wysokim poziome zagrożenia cyberatakami. Sprawdź, jak dokonać zgłoszenia incydentu w zakresie cyberbezpieczeństwa w CSIRT.

Dnia 14 listopada 2023 r. Europejska Rada Ochrony Danych (dalej: EROD) przyjęła „Wytyczne w sprawie zakresu technicznego art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej” (dyrektywa ta znana jest pod nazwą „ePrivacy”). Do tej pory wskazany przepis kojarzył nam się głównie z plikami cookie. Celem EROD było usunięcie wątpliwości w zakresie tego, czy tę regulację możemy stosować również względem innych narzędzi śledzenia w Internecie.