W części 1 artykułu opisującego Wytyczne2/2023 w sprawie zakresu technicznego art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej wydane przez Europejską Radę Ochrony Danych (EROD) pisaliśmy o celach samej dyrektywy ePrivacy oraz celach przyjęcia przez EROD wytycznych, a także wyjaśniliśmy, jakie są kluczowe pojęcia z art. 5 ust. 3 dyrektywy i dokonaliśmy analizy kilku z nich.

Czasami nie wystarczy zgłoszenie naruszenia ochrony danych do Prezesa UODO. Organizacje mające status operatorów usług kluczowych lub dostawców usług cyfrowych muszą zgłaszać poważne incydenty w zakresie cyberbezpieczeństwa do CSIRT. Mają na to tylko 24 godziny. To samo dotyczy większości podmiotów publicznych. Jest to niezwykle ważny obowiązek zwłaszcza w obecnej sytuacji geopolitycznej i utrzymującym się wysokim poziome zagrożenia cyberatakami. Sprawdź, jak dokonać zgłoszenia incydentu w zakresie cyberbezpieczeństwa w CSIRT.

Dnia 14 listopada 2023 r. Europejska Rada Ochrony Danych (dalej: EROD) przyjęła „Wytyczne w sprawie zakresu technicznego art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej” (dyrektywa ta znana jest pod nazwą „ePrivacy”). Do tej pory wskazany przepis kojarzył nam się głównie z plikami cookie. Celem EROD było usunięcie wątpliwości w zakresie tego, czy tę regulację możemy stosować również względem innych narzędzi śledzenia w Internecie.

Pytanie:  Czy administrator musi prowadzić ewidencję napraw, przeglądów i konserwacji systemu informatycznego?

Czy warto przystąpić do stosowania kodeksu postępowania RODO? Niewątpliwie tak. Urząd Ochrony Danych Osobowych bierze bowiem pod uwagę fakt przystąpienia przez danego administratora z sektora zdrowia do kodeksu. Sprawdźmy więc, w jaki sposób przystąpić do stosowania kodeksu postępowania RODO dla małych placówek medycznych opracowanego przez Porozumienie Zielonogórskie.

Pytanie:  W jaki sposób przeprowadzać weryfikację tożsamości w dostępie do dokumentacji spółdzielni mieszkaniowej w postaci elektronicznej? Pytanie dotyczy osoby będącej właścicielem lokalu mieszkalnego, która musi założyć konto w eBOK spółdzielni.

W związku z organizacją pracy zdalnej pracodawca jako administrator danych osobowych musi przyjąć procedury ochrony danych osobowych. Jest to obowiązek, o którym nie można zapomnieć – przepisy nie przewidują tu żadnych wyjątków. Sprawdź, czy należy stworzyć także procedurę ochrony danych osobowych w ramach okazjonalnej pracy zdalnej.

Samo wdrożenie RODO nie wystarczy. Administrator danych osobowych musi być bowiem zdolny do zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Poza tym musi mieć możliwość szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Do tego powinien zapewnić regularne testowanie, mierzenie i ocenianie skuteczności środków bezpieczeństwa danych osobowych. W tym wszystkim pomoże mu plan ciągłości działania RODO.

W sektorze publicznym obowiązują liczne wymogi w zakresie bezpieczeństwa informacji, w tym danych osobowych. Składają się one na Krajowe Ramy Interoperacyjności (KRI). To, czy podmiot publiczny spełnia te wymogi, musi być systematycznie sprawdzane. Temu właśnie służy audyt KRI. Dowiedz się, jak przeprowadzić taki audyt – skorzystaj także z listy kontrolnej.

Pytanie:  Podmiot publiczny pobiera opłatę wyłącznie drogą elektroniczną. W konsekwencji przetwarza dane osobowe płatnika logującego się na dedykowanej do tej czynności stronie internetowej. Czy administrator podlega wówczas wymogom stosowania środków ochrony danych określonych w ustawie o świadczeniu usług drogą elektroniczną?