Normy regulacyjne UE a obowiązki zgłaszania incydentów

02.02.2021

Omni Modo

Naruszenia danych oraz incydenty dotyczące bezpieczeństwa stanowią główną przyczynę kar w obszarze bezpieczeństwa oraz ochrony danych. Zapobieganie im oraz właściwe zarządzanie nimi stanowi priorytet dla wielu organizacji.

By zapobiec incydentom bezpieczeństwa konieczne jest zastosowanie odpowiednich środków technicznych. Niemniej jednak chcąc zarządzać incydentami można natrafić na problem w zakresie identyfikacji oraz właściwego postrzegania obowiązujących przepisów oraz powiadomień organów regulacyjnych.

Warto jest dokonać porównania trzech głównych norm regulacyjnych UE pod kątem obowiązków zgłaszania incydentów. Należą do nich: ogólne rozporządzenie UE o ochronie danych, druga dyrektywa w sprawie usług płatniczych oraz dyrektywa w sprawie bezpieczeństwa sieci i informacji.

Naruszenia ochrony danych osobowych a RODO

Wytyczne w zakresie sposobu oceny ryzyka skutkującego powiadomieniem o naruszeniu danych osobowych zostały dostarczone przez Grupę Roboczą art. 29, która z kolei zastąpiona została Europejską Radą Ochrony Danych.

Zgodnie z raportem DLA Piper z 2020 r. od wejścia w życie RODO zgłoszono ponad 160 tysięcy powiadomień dotyczących naruszenia danych. Suma kar wyniosła zaś 114 milionów euro. Dane te obrazują istotność zarządzania naruszeniami danych.

Inne przepisy w zakresie incydentów bezpieczeństwa

RODO nie stanowi jedynego aktu prawnego UE regulującego kwestie wymogów w zakresie zarządzania incydentami. Wprowadzono trzy akty normatywne dotyczące naruszeń ochrony danych wraz z oznaczeniem praw i obowiązków.

Druga dyrektywa w sprawie usług płatniczych

Regulacja zobowiązuje dostawców usług płatniczych do wdrożenia adekwatnych środków bezpieczeństwa oraz zarządzania incydentami. W przypadku poważnego incydentu konieczne jest powiadomienie stosownego organu. Działanie powinno nastąpić bez zbędnej zwłoki.

Dyrektywa w sprawie bezpieczeństwa sieci i informacji

Dyrektywa reguluje poziom bezpieczeństwa sieci dla niektórych kategorii podmiotów. Należą do nich m.in. operatorzy usług podstawowych, bankowość, rynki finansowe. Tego typu organizacje są zobligowane do wdrożenia odpowiednich oraz proporcjonalnych środków technicznych i organizacyjnych, a także do zarządzania incydentami bezpieczeństwa. Są również zobowiązane zgłaszać do właściwego organu te incydenty, które mają znaczący wpływ. Zgłoszenie takie musi odbyć się bez zbędnej zwłoki.

Źródło: https://iapp.org/news/a/comparing-eu-regulatory-norms-with-incident-reporting-obligations/

Zaloguj się do Legalis Administracja

Normy regulacyjne UE a obowiązki zgłaszania incydentów

Bezpłatny dostęp

Wypróbuj Legalis Administracja przez 7 dni

Zaloguj się do Legalis Administracja