Wdrożenie RODO jest jednym z najważniejszych elementów Compliance w każdej organizacji. Głównym i nadrzędnym celem obecnych ram prawnych w zakresie ochrony danych jest zapewnienie wysokiego poziomu ochrony danych wszystkim osobom fizycznym w UE. Dyrektywa ma również na celu osiągnięcie równoważnego poziomu ochrony danych we wszystkich państwach członkowskich, aby zapewnić swobodny przepływ informacji na rynku wewnętrznym.
Obecnie istnieją nowe wyzwania dla ochrony danych osobowych, związane z rozwojem technologicznym i globalizacją. W szczególności rozwój Internetu znacznie ułatwił i zwiększył skalę gromadzenia i wymiany danych, ponad granicami geograficznymi i wirtualnymi. W rezultacie dane osobowe mogą być obecnie przetwarzane łatwiej i na bezprecedensową skalę zarówno przez przedsiębiorstwa prywatne, jak i organy publiczne, co zwiększa zagrożenia dla praw osób fizycznych i podważa ich zdolność do zachowania kontroli nad własnymi danymi.
Szybki rozwój nowych technologii i globalizacja jeszcze bardziej zaostrzają ten problem. W tabeli poniżej przedstawiamy cele szczegółowe i operacyjne wdrożenia RODO.
Cele ogólne wdrożenia RODO |
Cele szczegółowe |
Cele operacyjne wdrożenia RODO |
1. Wzmocnienie wymiaru ochrony danych
związanego z rynkiem wewnętrznym. |
1.1. Harmonizacja i wyjaśnienie zasad i
procedur ochrony danych w UE w celu stworzenia równych warunków konkurencji. |
– Zapewnienie możliwości jednolitego
stosowania ram ochrony danych w całej UE. |
– Umożliwienie
elastycznego dostosowania się do szybkiego rozwoju technologicznego, przy
jednoczesnym zachowaniu neutralności technologicznej. |
||
– Zapewnienie
administratorom danych pewności prawnej. |
||
– Zajęcie się
kwestią globalizacji oraz uproszczenie i wyjaśnienie warunków transferów
międzynarodowych. |
||
1.2. Zapewnienie spójnego egzekwowania zasad
ochrony danych. |
– Ustanowienie
"punktu kompleksowej obsługi" dla administratorów danych w UE. |
|
– Zapewnienie
większych uprawnień i odpowiedniego poziomu zasobów (dla organów ochrony
danych) na potrzeby egzekwowania i kontroli. |
||
– Opracowanie
wiążących procedur współpracy i skutecznej wzajemnej pomocy między organami
ochrony danych. |
||
– Racjonalizacja
obecnego systemu zarządzania w celu zapewnienia bardziej spójnego
egzekwowania przepisów. |
||
1.3. Ograniczenie biurokracji |
–
Ograniczenie/usunięcie zbędnych formalności, takich jak obowiązki
notyfikacyjne administratorów danych (z wyjątkiem przetwarzania obarczonego
ryzykiem). |
|
– Uproszczenie
formalności związanych z przelewami międzynarodowymi. |
||
2. Zwiększenie
skuteczności podstawowego prawa do ochrony danych. |
2.1. Zapewnienie, że
osoby fizyczne mają kontrolę nad swoimi danymi osobowymi i ufają środowisku
cyfrowemu |
– Zwiększenie
przejrzystości przetwarzania danych w stosunku do osób fizycznych, w tym w
przypadku naruszenia danych. |
– Wzmocnienie i
rozszerzenie praw osób fizycznych (dostęp, sprostowanie, usunięcie
("prawo do bycia zapomnianym"), wycofanie ("możliwość
przenoszenia danych"), minimalizacja danych, znacząca zgoda). |
||
– Zapewnienie
bardziej skutecznych środków zaradczych i sankcji. |
||
– Uprawnienie
stowarzyszeń do działania w imieniu osób, których dane dotyczą. |
||
2.2. Zapewnienie, że osoby fizyczne pozostają chronione, w tym w
przypadku, gdy ich dane są przetwarzane za granicą. |
– Wyjaśnienie
zakresu stosowania prawa UE do zagranicznych administratorów danych
zapewnienie punktów odniesienia dla oceny ochrony zapewnianej przez państwa
trzecie danym z UE. |
|
2.3. Wzmocnienie
odpowiedzialności osób przetwarzających dane osobowe. |
– Zapewnienie
mechanizmów rozliczalności dla administratorów danych (uwzględnienie ochrony
danych w fazie projektowania, ocena skutków ochrony danych w przypadku
ryzykownego przetwarzania itp.). |
|
2. Ustanowienie
kompleksowych unijnych ram ochrony danych oraz zwiększenie spójności i
zgodności unijnych przepisów dotyczących ochrony danych, w tym w dziedzinie
współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach
karnych. |
3.1. Zapewnienie, że prawa osób fizycznych do ochrony danych są
zagwarantowane w tym obszarze. 3.2 Zwiększenie zaufania i ułatwienie
współpracy policyjnej i sądowej w sprawach karnych. |
– Stosowanie ogólnych zasad ochrony danych do współpracy policyjnej i
współpracy wymiarów sprawiedliwości w sprawach karnych. |
I. ORGANIZACJA SYSTEMU OCHRONY DANYCH OSOBOWYCH |
|
I.1 |
Polityka w zakresie ochrony DO (procedury przetwarzania DO) |
I.2 |
Wyznaczenie ADO |
I.3 |
Szkolenia pracowników |
I.4 |
Upoważnienie do przetwarzania DO |
I.5 |
Współadministrowanie DO |
I.6 |
Podmioty przetwarzające |
I.8 |
Umocowanie podmiotów przetwarzających |
I.9 |
Nadzór nad umowami przetwarzania DO |
I.10 |
Umowy o przetwarzanie DO |
I.11 |
Przekazywanie do państwa trzeciego lub organizacji międzynarodowej |
II. PRAWO DO PRZETWARZANIA DANYCH OSOBOWYCH |
|
II.1 |
Podstawa prawna przetwarzania DO |
II.2 |
Identyfikacja celów przetwarzania DO |
II.3 |
Zgoda na przetwarzanie DO |
II.4 |
Spełnienie warunków przetwarzania DO |
II.5 |
Zaprzestanie przetwarzania DO |
III. REALIZACJA PRAW OSOBY, KTÓREJ DANE DOTYCZĄ |
|
III.1 |
Procedura udzielania informacji osobom, których dane dotyczą DO |
III.2 |
Obowiązki informacyjne podczas pozyskiwania DO od osób, których dane dotyczą (klauzula informacyjna) |
III.3 |
Obowiązki informacyjne podczas pozyskiwania DO w inny sposób niż bezpośrednio od osób, których dane dotyczą (klauzula informacyjna) |
III.4 |
Obowiązki informacyjne wobec osób, których dane były przetwarzane przed wejściem w życie RODO |
III.5 |
Obowiązki informacyjne w przypadku zmiany celu przetwarzania DO. |
III.6 |
Prawo dostępu do DO |
III.7 |
Prawo do sprostowania i usuwania danych |
III.8 |
Prawo do ograniczenia przetwarzania |
III.9 |
Prawo do przenoszenia danych |
III.10 |
Prawo sprzeciwu wobec przetwarzania danych w zakresie profilowania oraz marketingu bezpośredniego |
III.11 |
Prawo do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowany przetwarzaniu, w tym profilowaniu |
III.12 |
Przygotowanie DO do realizacji praw osób, których te dane dotyczą |
IV. INSPEKTOR OCHRONY DANYCH |
|
IV.1 |
Powołanie IOD |
IV.2 |
Kompetencje IOD |
IV.3 |
Zasoby IOD |
IV.4 |
Niezależność IOD |
IV.5 |
Dostępność IOD |
IV.6 |
Warunki do realizacji zadań IOD |
IV.5 |
Ocena regulacji wewnętrznych w zakresie ochrony DO przez IOD |
V. REJESTROWANIE CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH |
|
V.1 |
Identyfikacja DO i zakresu ich przetwarzania w jednostce |
V.2 |
Rejestr czynności przetwarzania DO |
V.3 |
Rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu ADO albo przez podmiot przetwarzający |
VI. OCENA SKUTKÓW PRZETWARZANIA DANYCH OSOBOWYCH |
|
VI.1 |
Zarządzanie ryzykiem dla ochrony DO |
VI.2 |
Ochrona danych w fazie projektowania oraz domyślna ochrona danych |
VI.3 |
Identyfikacja istotnego ryzyka dla ochrony DO |
VI.4 |
Ocena skutków przetwarzania dla ochrony DO |
VI.5 |
Zakres oceny skutków przetwarzania dla ochrony DO |
VI.6 |
Zapewnienie udziału IOD w ocenie skutków przetwarzania dla ochrony DO |
VI.7 |
Uprzednie konsultacje |
VII. NARUSZENIE OCHRONY DANYCH OSOBOWYCH |
|
VII.1 |
Podmioty właściwe w zakresie postępowania z naruszeniami ochrony DO |
VII.2 |
Procedura postępowania z naruszeniami ochrony DO |
VII.3 |
Rejestr naruszeń ochrony DO |
VII.4 |
Zawiadomienia o naruszeniu ochrony DO |
VIII. |
CYBERBEZPIECZEŃSTWO |
VIII.1 |
Analiza ryzyka i polityka bezpieczeństwa systemów informatycznych |
VIII.2 |
Postępowanie w przypadku incydentu |
VIII.3 |
Ciągłość działania i zarządzanie kryzysowe |
VIII.4 |
Bezpieczeństwo łańcucha dostaw |
VIII.5 |
Bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych |
VIII.6 |
Polityki i procedury (z zakresu testowania i audytu) służące ocenie skuteczności środków zarządzania ryzykiem w cyberprzestrzeni |
VIII.7 |
Stosowanie kryptografii i szyfrowania |
IX. |
Ustawiczne szkolenia
i podnoszenie świadomości pracowników i kadry zarządzającej |
Każda organizacja powinna wykorzystać wszystkie możliwości, jakie daje epoka cyfrowa, a także wzmocnić swoje zdolności przemysłowe i innowacyjne, w granicach bezpieczeństwa i norm etycznych. W europejskiej strategii w zakresie danych wskazano cztery filary – ochronę danych, prawa podstawowe, bezpieczeństwo i cyberbezpieczeństwo – jako podstawowe warunki wstępne istnienia społeczeństwa posiadającego mocną pozycję dzięki korzystaniu z danych.
Na podstawie opracowań i dostępnych publikacji przedstawiamy 9 najważniejszych wyzwań w zakresie zarządzania ryzykiem i zagrożeniami cybernetycznymi na 2022 rok. W okresie sprawozdawczym (od kwietnia 2020 r. do lipca 2021 r.) do najważniejszych zidentyfikowanych zagrożeń należą:
1. Ransomware; |
2. Malware (złośliwe oprogramowanie); |
3. Cryptojacking; |
4. Zagrożenia związane z pocztą elektroniczną; |
5. Zagrożenia dla danych; |
6. Zagrożenia dla dostępności i integralności; |
7. Disinformation – misinformation; |
8. Zagrożenia inne niż złośliwe; |
9. Ataki na łańcuch dostaw. |
Strona stosuje ramki, ale przeglądarka ich nie obsługuje.
Podmioty gospodarcze powinny wprowadzać odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykami dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do świadczenia usług. Uwzględniając najnowszy stan wiedzy, środki te muszą zapewniać poziom bezpieczeństwa sieci i systemów informatycznych odpowiedni do istniejącego ryzyka. Środki obejmują przynajmniej:
a) analizę ryzyka i politykę bezpieczeństwa systemów informatycznych;
b) postępowanie w przypadku incydentu (zapobieganie incydentom, wykrywanie ich i reagowanie na nie);
c) ciągłość działania i zarządzanie kryzysowe;
d) bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego dostawcami lub usługodawcami, takimi jak dostawcy usług przechowywania i przetwarzania danych lub zarządzanych usług w zakresie bezpieczeństwa;
e) bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
f) polityki i procedury (z zakresu testowania i audytu) służące ocenie skuteczności środków zarządzania ryzykiem w cyberprzestrzeni;
g) stosowanie kryptografii i szyfrowania.
© ℗ Wszystkie prawa zastrzeżone