Portal PoradyODO

Dyrektywa CER - obowiązki podmiotów krytycznych

Zobacz na stronie WWW

 
ELETTER MERYTORYCZNY
 

26.06.2025 r.

uniwersalny uniwersalny
 
 
CYBERBEZPIECZEŃSTWO WZORY DOKUMENTÓW CZASOPISMO SZKOLENIA
 
 
 
 
 

Jakie nowe obowiązki nakłada dyrektywa CER w zakresie ochorny danych oosobwych

 
 
 
Drogi Czytelniku
 

W najnowszym wydaniu „Ochrony danych osobowych” przyglądamy się projektowi ustawy CER, który wprowadza szereg nowych obowiązków dla podmiotów krytycznych oraz operatorów infrastruktury krytycznej. Szczególną uwagę poświęcamy zagadnieniom związanym z ochroną danych osobowych i zapewnieniem cyberbezpieczeństwa – tematom, które dziś są ważniejsze niż kiedykolwiek.

Czy wiesz, że jednym z kluczowych wymogów będzie obowiązek weryfikacji przeszłości osób współpracujących z tymi podmiotami? A może zastanawiasz się, jakie wyzwania wiążą się z przetwarzaniem danych biometrycznych? Odpowiedzi na te pytania oraz praktyczne wskazówki znajdziesz w naszym aktualnym numerze czasopisma „Ochrony danych osobowych”.

ODBIERZ SWÓJ DOSTĘP! »

Drogi Czytelniku

Anna Śmigulska- Wojciechowska

 
 
 

Odbierz dostęp do serwisu + ebook

 
 

uniwersalny

 

W 122. numerze "Ochrony Danych Osobowych"

 
 
 
Obowiązki podmiotów krytycznych w zakresie ochrony danych

Projekt ustawy UCER nakłada na podmioty krytyczne oraz operatorów infrastruktury krytycznej szereg obowiązków związanych z ochroną danych, w tym z zapewnieniem cyberbezpieczeństwa. Jednym z kluczowych aspektów przetwarzania danych osobowych jest obowiązek weryfikacji przeszłości osób współpracujących z tymi podmiotami oraz przetwarzanie danych biometrycznych.

Najważniejsze obowiązki operatora infrastruktury krytycznej:

  • Zapewnienie ochrony infrastruktury krytycznej – wdrażanie rozwiązań z zakresu cyberbezpieczeństwa, dostosowanych do wyników analizy zagrożeń.
  • Opracowanie i aktualizacja dokumentacji ochrony – przygotowywanie oraz bieżące aktualizowanie dokumentacji dotyczącej ochrony infrastruktury krytycznej, zawierającej m.in. opis zastosowanych środków cyberbezpieczeństwa.
  • Sporządzanie corocznych raportów – przygotowywanie raportu o stanie ochrony infrastruktury krytycznej za rok ubiegły, obejmującego również kwestie cyberbezpieczeństwa.
  • Weryfikacja karalności personelu – sprawdzanie niekaralności pracowników i kandydatów na stanowiska związane z wykonywaniem określonych zadań.
  • Wyznaczenie koordynatora ochrony – powołanie koordynatora ochrony infrastruktury krytycznej oraz jego zastępcy, a także zapewnienie im dostępu do niezbędnej dokumentacji.

Ponadto operatorzy mogą przetwarzać dane biometryczne, zgodnie z zasadami określonymi w projekcie ustawy UCER.

Tak przeredagowany tekst jest bardziej przejrzysty, zawiera kluczowe frazy SEO i jasno wskazuje na zakres obowiązków wynikających z dyrektywy CER w kontekście ochrony danych.

Z kolei do obowiązków podmiotów krytycznych należą m.in.:

  • wdrożenie zintegrowanego systemu zarządzania bezpieczeństwem świadczenia usługi kluczowej (dalej: ZSZ), który ma obejmować m.in. oceny ryzyka prowadzone na podstawie odrębnych przepisów (czyli np. przepisów o ochronie danych osobowych);
  • wprowadzenie w ramach ZSZ odpowiednich i proporcjonalnych do wyników oceny ryzyka rozwiązań, w tym w zakresie cyberbezpieczeństwa;
  • prowadzenie dokumentacji dotyczącej ZSZ (w tym dokumentacji dotyczącej systemu zarządzania bezpieczeństwem informacji oraz dokumentacji dotyczącej cyberbezpieczeństwa);
  • ustanowienie nadzoru nad dokumentacją dotyczącą ZSZ zapewniającego dostępność dokumentów wyłącznie dla osób upoważnionych, zgodnie z realizowanymi przez nie zadaniami;
  • ustanowienie nadzoru nad ww. dokumentacją zapewniającego ochronę dokumentów przed uszkodzeniem, zniszczeniem, utratą, nieuprawnionym dostępem, niewłaściwym użyciem lub utratą integralności;
  • zarządzanie incydentem bezpieczeństwa, w tym zgłaszanie go i przyznawanie dostępu do związanych z nim informacji na zasadach opisanych w ucer;
  • zlecanie przeprowadzenia audytu ZSZ;
  • sprawdzenie przeszłości niektórych osób, np. pełniących newralgiczną rolę w podmiocie.

M.in. w celu sprawdzenia przeszłości podmiot krytyczny musi wyznaczyć pełnomocnika bezpieczeństwa usługi kluczowej oraz zastępcę pełnomocnika usługi kluczowej.

Warto zwrócić uwagę, że dokumenty chronione przez wykonywanie ww. obowiązków mogą zawierać dane osobowe np. personelu lub odbiorców danej usługi.

Czytaj więcej »
 
 
 

uniwersalny

 
 
 
 
Lista sprawdzająca: czy musisz stosować zasady wynikające z dyrektywy CER

Lista sprawdzająca pozwala ustalić, czy podmiot powinien stosować zasady wynikające z dyrektywy CER dotyczącej odporności podmiotów krytycznych. Choć dyrektywa ta pozostaje w cieniu wdrażanej w Polsce Dyrektywy NIS-2, jej znaczenie rośnie wraz z pracami nad projektem ustawy o zmianie ustawy o zarządzaniu kryzysowym (ucer). Sprawdzenie, czy możesz zostać uznany za podmiot krytyczny lub operatora infrastruktury krytycznej, jest kluczowe, ponieważ wiąże się z nowymi obowiązkami w zakresie ochrony danych osobowych, w tym bezpieczeństwa fizycznego i szczególnych zasad przetwarzania danych. Pamiętaj, że status podmiotu krytycznego nadawany będzie na podstawie decyzji administracyjnej, a nie samego wpisu do wykazu, a lista sprawdzająca dotyczy przyszłych regulacji – warto więc regularnie ją aktualizować. Niespełnienie nowych wymogów może skutkować dotkliwymi karami finansowymi.

Czytaj więcej »
 
 
 
 
 
Dyrektywa NIS2-wymagania prawne w zakresie zarządzania ryzykiem

Zapraszamy na webinar poświęcony dyrektywie NIS2, szczególnie wymaganiom prawnym w zakresie zarządzania ryzykiem na gruncie tej dyrektywy. Progrma webianru objemuje nastepujące kwestie:

1.Obowiązki podmiotów kluczowych i ważnych wynikające z dyrektywy NIS2.

2. Bezpieczeństwo łańcucha dostaw.

3. Zgłaszanie incydentów.

4.Sankcje za niewdrożenie środków zarządzania ryzykiem i bezpieczeństwem.

5. Jak przygotować się na zmiany?

Czytaj więcej »
 
 
 

Zaloguj się do serwisu i pobierz najnowsze e-czasopismo

Przeczytasz w nim:

  • NSA: ujawnianie przynależności sędziów narusza RODO - przełomowy wyrok,
  • poradnik'25 - najważniejsze wytyczne UODO o naruszeniach danych osobowych,
  • jak udokumentować przeprowadzenie badania trzeźwości pracowników,
  • DPIA - jak uniknąć błędów przy ocenie skutków dla ochrony danych,
  • lista sprawdzająca: przygotowanie do stosowania znowelizowanych przepisów o cyberbezpieczeństwie,
  • obowiązki samorządów wynikające z dyrektywy NIS2 - kogo dotyczą nowe przepisy.
 

SPRAWDŹ NAJNOWSZE WYDANIE E-CZASOPISMA!

 
 
 
uniwersalny   DOKUMENT DO POBRANIA

DOKUMENT DO POBRANIA

Klauzula informacyjna dla czytelnika biblioteki publicznej

 
 
 
DOŁĄCZ DO NAS
w mediach społecznościowych
 
 

uniwersalny Facebook uniwersalny LinkedIn

 
 
 
Spodobał Ci się nasz e-letter? Poleć go innym! »
Jeśli jeszcze nie jesteś użytkownikiem Portal Porady ODO
skorzystaj z oferty »
 
 

Zarządzaj swoim kontem
Drogi Użytkowniku, wychodzimy naprzeciw Twoim oczekiwaniom - masz możliwość zarządzania swoim kontem.

 

Sprawdź, w jaki sposób przetwarzamy dane osobowe »