Pytanie: Czy administrator w ramach prowadzonego audytu u procesora ma prawo wskazywać niezgodności wg norm ISO np. 27001, jeśli norma nie jest wdrożona przez podmiot przetwarzający?
Pytanie: Na terenie Polski znajdują się spółki produkcyjne wchodzące w skład grupy zakładów, dla których spółka matka znajduje się w jednym z krajów UE. Tam też znajdują się serwery główne dla wszystkich zakładów. W zakładach zlokalizowanych w Polsce znajdują się serwerownie, sieci lokalne itd. Czy dla każdego z tych zakładów należy przeprowadzić analizę ryzyka dla systemów informatycznych znajdujących się w tych zakładach?
Jednym z obowiązków administratora określonych w RODO jest, zgodnie z brzmieniem art. 25 RODO, uwzględnienie ochrony danych w fazie projektowania (privacy by design) oraz domyślna ochrona danych (privacy by default). Sprawdzamy, jak wykonać te czynności z wykorzystaniem metodyki PMIBoK®.
Kluczem dla zrozumienia przepisów i celów rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), jest tzw. podejście oparte na ryzyku. Wyraża się ono w nałożonym na administratora obowiązku przeprowadzania analizy ryzyka związanego z przetwarzaniem danych, jakie jest realizowane w organizacji.
Coraz ciężej wyobrazić sobie administratora, który od początku do końca jest osobiście zaangażowany we wszelkie operacje przetwarzania danych wewnątrz swojej organizacji. Przeciwnie, rozwój technologii, postępująca specjalizacja czy koszty obsługi powodują, że na wielu płaszczyznach swojej działalności administratorzy decydują się na skorzystanie z pomocy podmiotów trzecich – procesorów. Wybór procesora, podobnie jak inne czynności związane z ochroną danych osobowych w organizacji, musi być traktowany jako jeden z elementów podejścia opartego na ryzyku.
Wielu administratorów danych osobowych (ADO) nadal nie podchodzi poważnie do tak podstawowej kwestii jak aktualizacja oprogramowania. Również w przypadku ADO, którzy wprowadzili zaawansowane zabezpieczenia może zaistnieć problem związany z zaniedbaniem aktualizacji, nieraz oddanej do przeprowadzenia w ręce pracowników, którzy nie mają świadomości co do jej znaczenia. Warto zatem spojrzeć, jak Prezes Urzędu Ochrony Danych Osobowych (UODO) widzi kwestię aktualizacji. Jego stanowisko opiera się na zaistniałych wydarzeniach oraz wydanych interpretacjach.
04.03.2025
© Portal Poradyodo.pl