Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

Monitorowanie bezpieczeństwa pracy przez IOD

02-06-2020 Autor: Tomasz Ochocki

Dla wielu IOD monitorowanie przestrzegania przepisów i polityk o ochronie danych osobowych w warunkach pracy zdalnej to jakościowo nowa sytuacja, której największą trudność stanowi pozyskanie i analiza informacji na temat środków bezpieczeństwa stosowanych przez pracowników w ich prywatnych mieszkaniach.

 

Konieczność organizacji pracy zdalnej związana z wprowadzonymi przez władze obostrzeniami dotyczącymi m.in. sposobu prowadzenia działalności gospodarczej oraz przemieszczania się sprawiła, że na pierwszy plan wysunęły się zagadnienia związane z utrzymaniem ciąg­łości działania kluczowych procesów biznesowych. W tym celu wiele firm i instytucji dopuściło możliwość wykonywania przez pracowników swoich obowiązków z prywatnych mieszkań oraz używania należących do nich komputerów i smartfonów oraz komercyjnych narzędzi umożliwiających komunikację (Slack, Zoom, Skype, Webex) lub gromadzenie informacji (Dropbox, G Dysk, OneDrive).

 

Takie działania jednak ze względu na swoją dynamikę lub niską kulturę bezpieczeństwa organizacji nie zostały poprzedzone wymaganą analizą ryzyka oraz nie uwzględniały podstawowego założenia, że w niekorzystnych sytuacjach wymagania w zakresie bezpieczeństwa informacji (w tym danych osobowych), a więc zachowanie ich poufności, dostępności i integralności, pozostają takie same jak w normalnych warunkach eksploatacyjnych (pkt 17.1.1. ISO/IEC 27002).

Wszystko to sprawiło, że pod znakiem zapytania stanęła zgodność prowadzonej działalności z wymaganiami prawa, zawartymi kontraktami oraz wewnętrznymi politykami. W obszarze ochrony danych osobowych dotyczy to w szczególności zagadnień związanych z bezpieczeństwem przetwarzanych danych, warunkami powierzenia danych osobowych do przetwarzania czy ich transferu do państw trzecich.

Szczególna rola w zakresie monitorowania przestrzegania przepisów o ochronie danych osobowych przypada inspektorowi ochrony danych jako niezależnemu specjaliście odpowiedzialnemu za nadzór nad funkcjonowaniem systemu ochrony danych osobowych. Wytyczna Europejskiej Rady Ochrony Danych WP 243 dotycząca inspektorów ochrony danych wskazuje, że w ramach monitorowania przestrzegania przepisów IOD powinien m.in.:

  •     zbierać informacje w celu identyfikacji procesów przetwarzania;
  •     analizować i sprawdzać zgodność tego przetwarzania;
  •     informować, doradzać i rekomendować określone działania administratorowi.

Monitorowanie zgodności – podstawowe uregulowania

 

Zgodnie z treścią art. 39 ust. 1 lit. b rodo inspektor ochrony danych odpowiada m.in. za monitorowanie przestrzegania przepisów o ochronie danych osobowych oraz wewnętrznych polityk ustanowionych w tym zakresie przez administratora lub podmiot przetwarzający.

Rodo nie określa przy tym formalnych wymagań dotyczących wewnętrznych mechanizmów utrzymania systemu ochrony danych osobowych, dając tym samym dużą swobodę administratorowi danych w kształtowaniu polityk i procedur w tym zakresie. Oznacza to, że sposoby wprowadzenia nadzoru nad zgodnością z przepisami o ochronie danych osobowych, tryb ich planowania, przeprowadzania, dokumentowania oraz dystrybucji wniosków powinien zostać określony przez administratora. Funkcjonujące w danej organizacji rozwiązania powinny pozwalać na prowadzenie skutecznego nadzoru nad systemem ochrony danych osobowych w ramach każdej zidentyfikowanej lokalizacji biorącej udział w operacjach przetwarzania (w tym również w ramach pracy zdalnej, jeżeli taka możliwość jest dopuszczana przez administratora).

Na potrzebę posiadania procedur związanych z monitorowaniem zgodności z przepisami o ochronie danych osobowych wskazuje również Prezes UODO. Odwołuje się on w tym zakresie do art. 24 ust. 1 rodo, podkreślając, że administrator danych ma być w stanie wykazać całościowo zgodność przetwarzania, co w praktyce oznacza, że ma on obowiązek wykazać m.in. zapewnienie kontroli nad procesem przetwarzania danych w postaci monitorowania przestrzegania przepisów i przyjętych procedur przetwarzania przez inspektora ochrony danych.

Prezes UODO zwraca uwagę na mechanizmy monitorowania, przeglądu oraz doskonalenia systemu zarządzania bezpieczeństwem informacji, o których mowa w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Odwołuje się on w tym zakresie do wymagań § 20 ust. 2 pkt 14 przywołanego rozporządzenia, które wymagają przeprowadzania okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji nie rzadziej niż raz na rok.

 

[...]

 

Autor pracuje jako kierownik zespołu merytorycznego, jest specjalistą ds. zarządzania kryzysowego, analizy bezpieczeństwa, zagrożeń terrorystycznych oraz ochrony informacji niejawnych, pracuje w ODO 24 sp. z o.o.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.