Organizational responsibilities of personal data controllers and essential services operators — de lege lata conclusions and de lege ferenda postulates
The article analyses the issues related to the implementation of organisational responsibilities by personal data controllers and essential services operators relating to the use of risk-based approach, continuous improvement and privacy by design, building internal organisational structures responsible for the security management system of processed information, as well as the role of strategic and operational documentation, the use of self-regulation and standardisation in order to increase the effectiveness of law enforcement. The high dynamics of the development of information and communication technologies and business processes related to their use requires the application of a coherent and interdisciplinary approach to ensuring personal data protection and cybersecurity, which gives synergy effect. Flexibility of applied security solutions, allowing for optimal adaptation to continuous changes in the economic and legal environment, is also important factor. The primary objective of the article is to analyse the consistency and effectiveness of Polish and EU law regulations in the area of ensuring information security of data processing processes, with particular emphasis on the role of organisational safeguards.
References
Bibliografia/References
Byczkowski, M. &, Zawiła-Niedźwiecki, J. (2014). Analiza ryzyka w zarządzaniu bezpieczeństwem danych osobowych. Aktualne problemy prawnej ochrony danych osobowych. Dodatek do Monitora Prawniczego, (9), 45–46.
Cavoukian, A. (2011). Privacy by Design. The 7 foundational principles. IPC. https://www.ipc.on.ca/wp-content/uploads/resources/7foundationalprinciples.pdf (pobrano 25.07.2021).
Cavoukian, A. (2015). Evolving FIPPs: Proactive approaches to privacy, not privacy paternalism. W: S. Gutwirth, R. Leenes, & P. de Hert (red.), Reforming European data protection law. Springer. https://doi.org/10.1007/978-94-017-9385-8_12
Fischer, B. (2010). Transgraniczność prawa administracyjnego na przykładzie regulacji przekazywania danych osobowych z Polski do państw trzecich. Wolters Kluwer.
Fischer, B. (2017). Prawne aspekty norm technicznych. Normalizacja jako wsparcie legislacji administracyjnej. Wolters Kluwer.
Kaczmarek, A., Młotkiewicz, M., Łapińska, A., Miłocha, A., & Mazur, M. (2018). Jak rozumieć podejście oparte na ryzyku? UODO. https://uodo.gov.pl/pl/file/706 (pobrano 25.07.2021), s. 10.
Kister, Ł. (2019). Szacowanie ryzyka dla usług kluczowych opartych o systemy OT. Nowa Energia, (3/68).
Korczak, J. (2012). Jakość prawa administracyjnego na przykładzie materialnego, procesowego i ustrojowego prawa administracyjnego samorządu terytorialnego. W: D. Kijowski, A. Miruć, & P. Suwaj (red.), Kryzys prawa administracyjnego? Tom I. Jakość prawa administracyjnego. Wolters Kluwer.
Kowalewski, M., & Ołtarzewska, A. (2007). Polityka bezpieczeństwa informacji instytucji na przykładzie Instytutu Łączności — Państwowego Instytutu Badawczego. Telekomunikacja i Techniki Informacyjne, nr (3–4), 3–4.
Nowak, D. (2020). Podejście oparte na ryzyku w RODO w praktyce — wnioski po dwóch latach stosowania RODO. W: G Sibiga (red.), Ocena i przegląd RODO po dwóch latach obowiązywania. Aktualne problemy ochrony danych osobowych. Dodatek do Monitora Prawniczego, (23).
Papakonstantinou, V. (2022). Cybersecurity as praxis and as a state: The EU law path towards acknowledgement of a new right to cybersecurity? Computer Law and Security Review, 44. https://doi.org/10.1016/j.clsr.2022.105653
Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy — Prawo zamówień publicznych (UD68). https://legislacja.rcl.gov.pl/projekt/12337950 (pobrano 10.09.2021).
Schmitz-Berndt, S., & Schiffner., S. (2021). Don't tell them now (or at all) — responsible disclosure of security incidents under NIS Directive and GDPR. International Review of Law, Computers & Technology, 35(2). https://doi.org/10.1080/13600869.2021.1885103
Thomas, R. (2014). Accountability — a modern approach to regulating the 21st century data environment. W: H. Hijmans, & H. Kranenborg (red.), Data protection anno 2014: How to restore trust? Intersentia. https://doi.org/10.1093/idpl/ipv014
Wiewiórowski, W. (2012). Privacy by Design jako paradygmat ochrony prywatności. W: G. Szpor, & W. Wiewiórowski (red.), Internet. Prawnoinformatyczne problemy sieci, portali i e-usług. C.H.Beck.
Wniosek Dyrektywa Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylająca dyrektywę (UE) 2016/1148 (COM(2020) 823).
Wyrok WSA w Warszawie z 26.08.2020, II SA/Wa 2826/19.
Wyrok WSA w Warszawie z 5.10.2005 r., II SA/Wa 734/05.
