Jakie nowe obowiązki nakłada dyrektywa CER w zakresie ochorny danych oosobwych

Projekt ustawy UCER nakłada na podmioty krytyczne oraz operatorów infrastruktury krytycznej szereg obowiązków związanych z ochroną danych, w tym z zapewnieniem cyberbezpieczeństwa. Jednym z kluczowych aspektów przetwarzania danych osobowych jest obowiązek weryfikacji przeszłości osób współpracujących z tymi podmiotami oraz przetwarzanie danych biometrycznych.

Najważniejsze obowiązki operatora infrastruktury krytycznej:

• Zapewnienie ochrony infrastruktury krytycznej – wdrażanie rozwiązań z zakresu cyberbezpieczeństwa, dostosowanych do wyników analizy zagrożeń.
• Opracowanie i aktualizacja dokumentacji ochrony – przygotowywanie oraz bieżące aktualizowanie dokumentacji dotyczącej ochrony infrastruktury krytycznej, zawierającej m.in. opis zastosowanych środków cyberbezpieczeństwa.
• Sporządzanie corocznych raportów – przygotowywanie raportu o stanie ochrony infrastruktury krytycznej za rok ubiegły, obejmującego również kwestie cyberbezpieczeństwa.
• Weryfikacja karalności personelu – sprawdzanie niekaralności pracowników i kandydatów na stanowiska związane z wykonywaniem określonych zadań.
• Wyznaczenie koordynatora ochrony – powołanie koordynatora ochrony infrastruktury krytycznej oraz jego zastępcy, a także zapewnienie im dostępu do niezbędnej dokumentacji.

Ponadto operatorzy mogą przetwarzać dane biometryczne, zgodnie z zasadami określonymi w projekcie ustawy UCER.

Tak przeredagowany tekst jest bardziej przejrzysty, zawiera kluczowe frazy SEO i jasno wskazuje na zakres obowiązków wynikających z dyrektywy CER w kontekście ochrony danych.

Z kolei do obowiązków podmiotów krytycznych należą m.in.:

• wdrożenie zintegrowanego systemu zarządzania bezpieczeństwem świadczenia usługi kluczowej (dalej: ZSZ), który ma obejmować m.in. oceny ryzyka prowadzone na podstawie odrębnych przepisów (czyli np. przepisów o ochronie danych osobowych);
• wprowadzenie w ramach ZSZ odpowiednich i proporcjonalnych do wyników oceny ryzyka rozwiązań, w tym w zakresie cyberbezpieczeństwa;
• prowadzenie dokumentacji dotyczącej ZSZ (w tym dokumentacji dotyczącej systemu zarządzania bezpieczeństwem informacji oraz dokumentacji dotyczącej cyberbezpieczeństwa);
• ustanowienie nadzoru nad dokumentacją dotyczącą ZSZ zapewniającego dostępność dokumentów wyłącznie dla osób upoważnionych, zgodnie z realizowanymi przez nie zadaniami;
• ustanowienie nadzoru nad ww. dokumentacją zapewniającego ochronę dokumentów przed uszkodzeniem, zniszczeniem, utratą, nieuprawnionym dostępem, niewłaściwym użyciem lub utratą integralności;
• zarządzanie incydentem bezpieczeństwa, w tym zgłaszanie go i przyznawanie dostępu do związanych z nim informacji na zasadach opisanych w ucer;
• zlecanie przeprowadzenia audytu ZSZ;
• sprawdzenie przeszłości niektórych osób, np. pełniących newralgiczną rolę w podmiocie.

M.in. w celu sprawdzenia przeszłości podmiot krytyczny musi wyznaczyć pełnomocnika bezpieczeństwa usługi kluczowej oraz zastępcę pełnomocnika usługi kluczowej.

Warto zwrócić uwagę, że dokumenty chronione przez wykonywanie ww. obowiązków mogą zawierać dane osobowe np. personelu lub odbiorców danej usługi.

Lista sprawdzająca pozwala ustalić, czy podmiot powinien stosować zasady wynikające z dyrektywy CER dotyczącej odporności podmiotów krytycznych. Choć dyrektywa ta pozostaje w cieniu wdrażanej w Polsce Dyrektywy NIS-2, jej znaczenie rośnie wraz z pracami nad projektem ustawy o zmianie ustawy o zarządzaniu kryzysowym (ucer). Sprawdzenie, czy możesz zostać uznany za podmiot krytyczny lub operatora infrastruktury krytycznej, jest kluczowe, ponieważ wiąże się z nowymi obowiązkami w zakresie ochrony danych osobowych, w tym bezpieczeństwa fizycznego i szczególnych zasad przetwarzania danych. Pamiętaj, że status podmiotu krytycznego nadawany będzie na podstawie decyzji administracyjnej, a nie samego wpisu do wykazu, a lista sprawdzająca dotyczy przyszłych regulacji – warto więc regularnie ją aktualizować. Niespełnienie nowych wymogów może skutkować dotkliwymi karami finansowymi.

Zapraszamy na webinar poświęcony dyrektywie NIS2, szczególnie wymaganiom prawnym w zakresie zarządzania ryzykiem na gruncie tej dyrektywy. Progrma webianru objemuje nastepujące kwestie:

1.Obowiązki podmiotów kluczowych i ważnych wynikające z dyrektywy NIS2.

2. Bezpieczeństwo łańcucha dostaw.

3. Zgłaszanie incydentów.

4.Sankcje za niewdrożenie środków zarządzania ryzykiem i bezpieczeństwem.

5. Jak przygotować się na zmiany?

• Dyrektywa NIS2-wymagania prawne w zakresie zarządzania ryzykiem​

Zaloguj się do serwisu i pobierz najnowsze e-czasopismo

Przeczytasz w nim:

• NSA: ujawnianie przynależności sędziów narusza RODO - przełomowy wyrok,
• poradnik'25 - najważniejsze wytyczne UODO o naruszeniach danych osobowych,
• jak udokumentować przeprowadzenie badania trzeźwości pracowników,
• DPIA - jak uniknąć błędów przy ocenie skutków dla ochrony danych,
• lista sprawdzająca: przygotowanie do stosowania znowelizowanych przepisów o cyberbezpieczeństwie,
• obowiązki samorządów wynikające z dyrektywy NIS2 - kogo dotyczą nowe przepisy.