Podmioty krytyczne a ochrona danych osobowych – nowe obowiązki według dyrektywy CER

Choć uwaga sektora publicznego i prywatnego skupia się dziś głównie na wdrożeniu dyrektywy NIS2 (wdrażanej przez nowelizację przepisów ustawy o krajowym systemie cyberbezpieczeństwa), warto zwrócić uwagę na równoległy proces implementacji dyrektywy CER. Nowe przepisy, które mają zostać wprowadzone ustawą o zmianie ustawy o zarządzaniu kryzysowym (tzw. „ucer”), znacząco wpłyną na zakres obowiązków zarówno operatorów infrastruktury krytycznej, jak i podmiotów krytycznych – także w zakresie przetwarzania danych osobowych.

Dyrektywa o odporności podmiotów krytycznych (Critical Entities Resilience) ma na celu wzmocnienie odporności podmiotów świadczących usługi kluczowe dla społeczeństwa i gospodarki (wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej). Jej adresatami są m.in. podmioty krytyczne oraz operatorzy infrastruktury krytycznej, czyli właściciele obiektów i systemów wpisanych do wykazu infrastruktury krytycznej. Choć główny nacisk położono na zapewnienie ciągłości usług i ochronę infrastruktury krytycznej, dyrektywa przewiduje także konkretne obowiązki związane z przetwarzaniem danych osobowych

Dyrektywy CER oraz NIS2 funkcjonują równolegle, ta ostatnia definiuje tzw. podmioty kluczowe i ważne. Warto wiedzieć, że każdy podmiot krytyczny w rozumieniu CER jest zarazem podmiotem kluczowym w rozumieniu NIS2, ale nie odwrotnie. Kluczowa różnica polega też na tym, że CER przewiduje odgórną identyfikację podmiotów krytycznych przez państwo, zaś NIS2 wymaga samoidentyfikacji. Tym samym, obowiązki wynikające z obu dyrektyw będą się kumulować.

Projekt ustawy o zmianie ustawy o zarządzaniu kryzysowym (ucer) ma na celu wdrożenie dyrektywy CER do polskiego porządku prawnego. Zawiera on szeroki katalog obowiązków dla podmiotów krytycznych i operatorów IK, m.in. wdrożenie zintegrowanego systemu zarządzania bezpieczeństwem, opracowanie dokumentacji z zakresu cyberbezpieczeństwa czy obowiązek corocznego raportowania. W kontekście RODO i ustawy o ochronie danych osobowych, szczególnie istotne są przepisy dotyczące przetwarzania danych biometrycznych i sprawdzania przeszłości personelu.

Z punktu widzenia ADO i IOD najważniejsze są przepisy, które przewidują możliwość przetwarzania danych osobowych – w tym biometrycznych – oraz informacje dotyczące karalności. Nowe regulacje zobowiązują do szczególnej ochrony dokumentacji zawierającej dane pracowników i osób świadczących usługi na rzecz podmiotów krytycznych. Przewidziano również obowiązek wyznaczenia pełnomocników ds. bezpieczeństwa usług kluczowych.

Projektowane przepisy wprowadzają ramy prawne dla weryfikacji przeszłości wybranych pracowników i kandydatów, a także osób współpracujących z podmiotami krytycznymi. Obowiązki te są zróżnicowane w zależności od tego, czy mamy do czynienia z operatorem IK, czy z podmiotem krytycznym. ADO i IOD muszą zatem przygotować odpowiednie procedury przetwarzania danych biometrycznych i informacji o karalności zgodnie z zasadami RODO i przepisami krajowymi.