Pytanie: Czy administrator w ramach prowadzonego audytu u procesora ma prawo wskazywać niezgodności wg norm ISO np. 27001, jeśli norma nie jest wdrożona przez podmiot przetwarzający?
Pytanie: Na terenie Polski znajdują się spółki produkcyjne wchodzące w skład grupy zakładów, dla których spółka matka znajduje się w jednym z krajów UE. Tam też znajdują się serwery główne dla wszystkich zakładów. W zakładach zlokalizowanych w Polsce znajdują się serwerownie, sieci lokalne itd. Czy dla każdego z tych zakładów należy przeprowadzić analizę ryzyka dla systemów informatycznych znajdujących się w tych zakładach?
Jednym z obowiązków administratora określonych w RODO jest, zgodnie z brzmieniem art. 25 RODO, uwzględnienie ochrony danych w fazie projektowania (privacy by design) oraz domyślna ochrona danych (privacy by default). Sprawdzamy, jak wykonać te czynności z wykorzystaniem metodyki PMIBoK®.
Kluczem dla zrozumienia przepisów i celów rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), jest tzw. podejście oparte na ryzyku. Wyraża się ono w nałożonym na administratora obowiązku przeprowadzania analizy ryzyka związanego z przetwarzaniem danych, jakie jest realizowane w organizacji.
Coraz ciężej wyobrazić sobie administratora, który od początku do końca jest osobiście zaangażowany we wszelkie operacje przetwarzania danych wewnątrz swojej organizacji. Przeciwnie, rozwój technologii, postępująca specjalizacja czy koszty obsługi powodują, że na wielu płaszczyznach swojej działalności administratorzy decydują się na skorzystanie z pomocy podmiotów trzecich – procesorów. Wybór procesora, podobnie jak inne czynności związane z ochroną danych osobowych w organizacji, musi być traktowany jako jeden z elementów podejścia opartego na ryzyku.
O wyciek dokumentacji medycznej z placówki nie jest trudno. Co oczywiste, dokumentacja ta zawiera dane osobowe, w tym dane wrażliwe o stanie zdrowia pacjentów. Dlatego kierownictwo placówki medycznej musi wdrożyć rozwiązania mające na celu minimalizację ryzyka wystąpienia tego typu incydentów. Wszak to placówka medyczna jako administrator, niezależnie od odpowiedzialności zawodowej jej personelu, odpowiada za ochronę danych osobowych pacjentów. Duża w tym rola personelu placówki medycznej. Sprawdź, jakie środki bezpieczeństwa wdrożyć względem personelu placówki medycznej, by zabezpieczyć dokumentację medyczną przed wyciekiem.
08.12.2022
© Portal Poradyodo.pl