Projekt ustawy UCER nakłada na podmioty krytyczne oraz operatorów infrastruktury krytycznej szereg obowiązków związanych z ochroną danych, w tym z zapewnieniem cyberbezpieczeństwa. Jednym z kluczowych aspektów przetwarzania danych osobowych jest obowiązek weryfikacji przeszłości osób współpracujących z tymi podmiotami oraz przetwarzanie danych biometrycznych.
Najważniejsze obowiązki operatora infrastruktury krytycznej:
- Zapewnienie ochrony infrastruktury krytycznej – wdrażanie rozwiązań z zakresu cyberbezpieczeństwa, dostosowanych do wyników analizy zagrożeń.
- Opracowanie i aktualizacja dokumentacji ochrony – przygotowywanie oraz bieżące aktualizowanie dokumentacji dotyczącej ochrony infrastruktury krytycznej, zawierającej m.in. opis zastosowanych środków cyberbezpieczeństwa.
- Sporządzanie corocznych raportów – przygotowywanie raportu o stanie ochrony infrastruktury krytycznej za rok ubiegły, obejmującego również kwestie cyberbezpieczeństwa.
- Weryfikacja karalności personelu – sprawdzanie niekaralności pracowników i kandydatów na stanowiska związane z wykonywaniem określonych zadań.
- Wyznaczenie koordynatora ochrony – powołanie koordynatora ochrony infrastruktury krytycznej oraz jego zastępcy, a także zapewnienie im dostępu do niezbędnej dokumentacji.
Ponadto operatorzy mogą przetwarzać dane biometryczne, zgodnie z zasadami określonymi w projekcie ustawy UCER.
Tak przeredagowany tekst jest bardziej przejrzysty, zawiera kluczowe frazy SEO i jasno wskazuje na zakres obowiązków wynikających z dyrektywy CER w kontekście ochrony danych.
Z kolei do obowiązków podmiotów krytycznych należą m.in.:
- wdrożenie zintegrowanego systemu zarządzania bezpieczeństwem świadczenia usługi kluczowej (dalej: ZSZ), który ma obejmować m.in. oceny ryzyka prowadzone na podstawie odrębnych przepisów (czyli np. przepisów o ochronie danych osobowych);
- wprowadzenie w ramach ZSZ odpowiednich i proporcjonalnych do wyników oceny ryzyka rozwiązań, w tym w zakresie cyberbezpieczeństwa;
- prowadzenie dokumentacji dotyczącej ZSZ (w tym dokumentacji dotyczącej systemu zarządzania bezpieczeństwem informacji oraz dokumentacji dotyczącej cyberbezpieczeństwa);
- ustanowienie nadzoru nad dokumentacją dotyczącą ZSZ zapewniającego dostępność dokumentów wyłącznie dla osób upoważnionych, zgodnie z realizowanymi przez nie zadaniami;
- ustanowienie nadzoru nad ww. dokumentacją zapewniającego ochronę dokumentów przed uszkodzeniem, zniszczeniem, utratą, nieuprawnionym dostępem, niewłaściwym użyciem lub utratą integralności;
- zarządzanie incydentem bezpieczeństwa, w tym zgłaszanie go i przyznawanie dostępu do związanych z nim informacji na zasadach opisanych w ucer;
- zlecanie przeprowadzenia audytu ZSZ;
- sprawdzenie przeszłości niektórych osób, np. pełniących newralgiczną rolę w podmiocie.
M.in. w celu sprawdzenia przeszłości podmiot krytyczny musi wyznaczyć pełnomocnika bezpieczeństwa usługi kluczowej oraz zastępcę pełnomocnika usługi kluczowej.
Warto zwrócić uwagę, że dokumenty chronione przez wykonywanie ww. obowiązków mogą zawierać dane osobowe np. personelu lub odbiorców danej usługi.
|