Co IOD powinien wiedzieć o cyberbezpieczeństwie
Jak wynika z RODO, inspektor ochrony danych powinien posiadać wiedzę nie tylko na temat prawa, ale i praktyk w dziedzinie ochrony danych osobowych. Może ona obejmować np. wiedzę o sposobie tworzenia dokumentacji dotyczącej ochrony danych osobowych, sposobach realizacji uprawnień osób, których dane dotyczą (po tym, gdy zgłoszą odpowiednie żądania), umiejętność dokonywania analizy ryzyka, jak również dobierania odpowiednich zabezpieczeń związanych z ochroną informacji. W tym zakresie wymagana jest również wiedza z zakresu cyberbezpieczeństwa.
Cyberbezpieczeństwo a prawo
Zarówno w zakresie kwestii prawnych jak i praktycznych inspektor ochrony danych powinien znać się na cyberbezpieczeństwie. W jakim zakresie? W przypadku kwestii prawnych dotyczy to głównie treści niektórych decyzji Prezesa UODO lub publikowanych przez niego wytycznych, zawierających wskazówki dotyczące sposobu zabezpieczania danych, które są w takich systemach przetwarzane. Przepisy RODO nie regulują bowiem wyczerpująco kwestii związanych z bezpieczeństwem przetwarzania danych, pozostawiając je do uregulowania administratorom.
Warto, by inspektor ochrony danych znał wnioski wynikające z głośnej decyzji Prezesa UODO w sprawie spółki Morele.net. W sprawie tej nałożono na spółkę wysoką karę pieniężną za to, że ta nieprawidłowo dokonała oceny ryzyka i nie wdrożyła zabezpieczeń, które byłyby adekwatne do zagrożeń. Brak jakiejkolwiek wiedzy (chociaż podstawowej) na temat cyberbezpieczeństwa z pewnością utrudni inspektorowi ochrony danych zrozumienie tego, czego dotyczy ta decyzja, i np. z czym wiąże się kontrola dostępu do systemów informatycznych i uwierzytelnianie użytkowników, monitorowanie zdarzeń w ramach systemów informatycznych albo na czym polega szyfrowanie danych i dlaczego niektóre algorytmy szyfrujące mogą być wykorzystywane, a inne (te, które są uznawane za przestarzałe i niedające odpowiedniego poziomu bezpieczeństwa) nie.
Przede wszystkim praktyka
Zagadnienia z zakresu cyberbezpieczeństwa dotyczą przede wszystkim praktyki. W tym zakresie każdy IOD powinien posiadać choćby podstawową wiedzę. Inspektor ochrony danych powinien wypełniać swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania. Powinien przy tym uwzględniać charakter, zakres, kontekst i cele przetwarzania. Może mu to pomóc m.in.w skutecznym wspieraniu administratora w sporządzaniu oceny skutków dla ochrony danych czy też w weryfikowaniu poprawności przeprowadzonej w organizacji analizy ryzyka.’
Aby dobrać zabezpieczenia odpowiednie do poziomu ryzyka IOD powinien znać podstawowe realia rynkowe, związane z doborem zabezpieczeń.
Poziom wiedzy musi być dostosowany do wielkości organizacji
Zakres wiedzy inspektora o cyberbezpieczeństwie powinien być dostosowany do organizacji i charakteru jej działalności. W niewielkich organizacjach zwykle wystarczy podstawowa wiedza o cyberbezpieczeństwie. Przykładowo, w niewielkim urzędzie gminy powinny wystarczyć podstawy, natomiast w firmie, która świadczy na dużą skalę usługi chmurowe związane np. z przetwarzaniem danych medycznych, od IOD oczekiwany będzie wysoki poziom wiedzy o cyberbezpieczeństwie.
- Ochrona sygnalistów a RODO - czy IOD może obsługiwać zgłoszenia naruszeń prawa
- Kodeks postępowania RODO w ochronie zdrowia - jakie rozwiązania przewiduje
- Roczne sprawozdanie RODO - czy jest wymagane od administratora danych osobowych lub IOD
- Czy inspektor ochrony danych może podpisać klauzulę informacyjną RODO
- Rekomendacje Urzędu Ochrony Danych Osobowych w sprawie inspektorów ochrony danych
- Czy IOD musi posiadać wiedzę na temat cyberbezpieczeństwa
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
