Obowiązki organizacyjne administratorów danych osobowych i operatorów usług kluczowych — wnioski de lege lata i postulaty de lege ferenda
W artykule poddano analizie zagadnienia związane z realizacją obowiązków organizacyjnych przez administratorów danych osobowych i operatorów usług kluczowych odnoszące się do stosowania podejścia opartego na ryzyku, ciągłego doskonalenia i ochrony prywatności w fazie projektowania, budowania wewnętrznych struktur organizacyjnych odpowiedzialnych za system zarządzania bezpieczeństwem przetwarzanych informacji, a także roli dokumentacji strategicznej i operacyjnej, stosowania samoregulacji i normalizacji w celu zwiększenia skuteczności stosowania prawa. Duża dynamika rozwoju technologii informacyjno- -komunikacyjnych i powiązanych z ich wykorzystywaniem procesów biznesowych wymaga zastosowania dającego synergię, spójnego i interdyscyplinarnego podejścia do zapewniania ochrony danych osobowych i cyberbezpieczeństwa. Istotne znaczenie ma także elastyczność stosowanych rozwiązań zabezpieczających, pozwalająca na optymalną adaptację do cyklicznych zmian w otoczeniu gospodarczym i prawnym. Podstawowym celem artykułu jest analiza spójności i skuteczności regulacji prawa polskiego i UE w obszarze zapewniania bezpieczeństwa informacyjnego procesów przetwarzania danych, ze szczególnym uwzględnieniem roli zabezpieczeń organizacyjnych.
Bibliografia
Bibliografia/References
Byczkowski, M. &, Zawiła-Niedźwiecki, J. (2014). Analiza ryzyka w zarządzaniu bezpieczeństwem danych osobowych. Aktualne problemy prawnej ochrony danych osobowych. Dodatek do Monitora Prawniczego, (9), 45–46.
Cavoukian, A. (2011). Privacy by Design. The 7 foundational principles. IPC. https://www.ipc.on.ca/wp-content/uploads/resources/7foundationalprinciples.pdf (pobrano 25.07.2021).
Cavoukian, A. (2015). Evolving FIPPs: Proactive approaches to privacy, not privacy paternalism. W: S. Gutwirth, R. Leenes, & P. de Hert (red.), Reforming European data protection law. Springer. https://doi.org/10.1007/978-94-017-9385-8_12
Fischer, B. (2010). Transgraniczność prawa administracyjnego na przykładzie regulacji przekazywania danych osobowych z Polski do państw trzecich. Wolters Kluwer.
Fischer, B. (2017). Prawne aspekty norm technicznych. Normalizacja jako wsparcie legislacji administracyjnej. Wolters Kluwer.
Kaczmarek, A., Młotkiewicz, M., Łapińska, A., Miłocha, A., & Mazur, M. (2018). Jak rozumieć podejście oparte na ryzyku? UODO. https://uodo.gov.pl/pl/file/706 (pobrano 25.07.2021), s. 10.
Kister, Ł. (2019). Szacowanie ryzyka dla usług kluczowych opartych o systemy OT. Nowa Energia, (3/68).
Korczak, J. (2012). Jakość prawa administracyjnego na przykładzie materialnego, procesowego i ustrojowego prawa administracyjnego samorządu terytorialnego. W: D. Kijowski, A. Miruć, & P. Suwaj (red.), Kryzys prawa administracyjnego? Tom I. Jakość prawa administracyjnego. Wolters Kluwer.
Kowalewski, M., & Ołtarzewska, A. (2007). Polityka bezpieczeństwa informacji instytucji na przykładzie Instytutu Łączności — Państwowego Instytutu Badawczego. Telekomunikacja i Techniki Informacyjne, nr (3–4), 3–4.
Nowak, D. (2020). Podejście oparte na ryzyku w RODO w praktyce — wnioski po dwóch latach stosowania RODO. W: G Sibiga (red.), Ocena i przegląd RODO po dwóch latach obowiązywania. Aktualne problemy ochrony danych osobowych. Dodatek do Monitora Prawniczego, (23).
Papakonstantinou, V. (2022). Cybersecurity as praxis and as a state: The EU law path towards acknowledgement of a new right to cybersecurity? Computer Law and Security Review, 44. https://doi.org/10.1016/j.clsr.2022.105653
Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy — Prawo zamówień publicznych (UD68). https://legislacja.rcl.gov.pl/projekt/12337950 (pobrano 10.09.2021).
Schmitz-Berndt, S., & Schiffner., S. (2021). Don't tell them now (or at all) — responsible disclosure of security incidents under NIS Directive and GDPR. International Review of Law, Computers & Technology, 35(2). https://doi.org/10.1080/13600869.2021.1885103
Thomas, R. (2014). Accountability — a modern approach to regulating the 21st century data environment. W: H. Hijmans, & H. Kranenborg (red.), Data protection anno 2014: How to restore trust? Intersentia. https://doi.org/10.1093/idpl/ipv014
Wiewiórowski, W. (2012). Privacy by Design jako paradygmat ochrony prywatności. W: G. Szpor, & W. Wiewiórowski (red.), Internet. Prawnoinformatyczne problemy sieci, portali i e-usług. C.H.Beck.
Wniosek Dyrektywa Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylająca dyrektywę (UE) 2016/1148 (COM(2020) 823).
Wyrok WSA w Warszawie z 26.08.2020, II SA/Wa 2826/19.
Wyrok WSA w Warszawie z 5.10.2005 r., II SA/Wa 734/05.