Prawną definicję cyberbezpieczeństwa możemy znaleźć w ustawie o krajowym systemie cyberbezpieczeństwa. Zgodnie z nią cyberbezpieczeństwo oznacza odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Posiadanie właściwego planu w zakresie cyberbezpieczeństwa stanowi konieczny warunek zabezpieczenia danych osobowych przetwarzanych w systemach informacyjnych. Jest to szczególnie istotne w kontekście obowiązków administratorów danych osobowych oraz inspektorów ochrony danych.

Od 1 stycznia 2024 r. obowiązywać będzie nowe rozporządzenie w sprawie systemów teleinformatycznych stosowanych w jednostkach organizacyjnych pomocy społecznej. Warto sprawdzić, dlaczego wydano nowe przepisy oraz spojrzeć na wymogi w zakresie zabezpieczenia takich systemów.

W części 1 artykułu opisującego Wytyczne2/2023 w sprawie zakresu technicznego art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej wydane przez Europejską Radę Ochrony Danych (EROD) pisaliśmy o celach samej dyrektywy ePrivacy oraz celach przyjęcia przez EROD wytycznych, a także wyjaśniliśmy, jakie są kluczowe pojęcia z art. 5 ust. 3 dyrektywy i dokonaliśmy analizy kilku z nich.

Czasami nie wystarczy zgłoszenie naruszenia ochrony danych do Prezesa UODO. Organizacje mające status operatorów usług kluczowych lub dostawców usług cyfrowych muszą zgłaszać poważne incydenty w zakresie cyberbezpieczeństwa do CSIRT. Mają na to tylko 24 godziny. To samo dotyczy większości podmiotów publicznych. Jest to niezwykle ważny obowiązek zwłaszcza w obecnej sytuacji geopolitycznej i utrzymującym się wysokim poziome zagrożenia cyberatakami. Sprawdź, jak dokonać zgłoszenia incydentu w zakresie cyberbezpieczeństwa w CSIRT.

Dnia 14 listopada 2023 r. Europejska Rada Ochrony Danych (dalej: EROD) przyjęła „Wytyczne w sprawie zakresu technicznego art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej” (dyrektywa ta znana jest pod nazwą „ePrivacy”). Do tej pory wskazany przepis kojarzył nam się głównie z plikami cookie. Celem EROD było usunięcie wątpliwości w zakresie tego, czy tę regulację możemy stosować również względem innych narzędzi śledzenia w Internecie.

Pytanie:  Czy administrator musi prowadzić ewidencję napraw, przeglądów i konserwacji systemu informatycznego?

Czy warto przystąpić do stosowania kodeksu postępowania RODO? Niewątpliwie tak. Urząd Ochrony Danych Osobowych bierze bowiem pod uwagę fakt przystąpienia przez danego administratora z sektora zdrowia do kodeksu. Sprawdźmy więc, w jaki sposób przystąpić do stosowania kodeksu postępowania RODO dla małych placówek medycznych opracowanego przez Porozumienie Zielonogórskie.

Pytanie:  W jaki sposób przeprowadzać weryfikację tożsamości w dostępie do dokumentacji spółdzielni mieszkaniowej w postaci elektronicznej? Pytanie dotyczy osoby będącej właścicielem lokalu mieszkalnego, która musi założyć konto w eBOK spółdzielni.

W związku z organizacją pracy zdalnej pracodawca jako administrator danych osobowych musi przyjąć procedury ochrony danych osobowych. Jest to obowiązek, o którym nie można zapomnieć – przepisy nie przewidują tu żadnych wyjątków. Sprawdź, czy należy stworzyć także procedurę ochrony danych osobowych w ramach okazjonalnej pracy zdalnej.

Samo wdrożenie RODO nie wystarczy. Administrator danych osobowych musi być bowiem zdolny do zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Poza tym musi mieć możliwość szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Do tego powinien zapewnić regularne testowanie, mierzenie i ocenianie skuteczności środków bezpieczeństwa danych osobowych. W tym wszystkim pomoże mu plan ciągłości działania RODO.