Wpływ ustawy o krajowym systemie cyberbezpieczeństwa na procedury ochrony danych osobowych w przedsiębiorstwie

W dniu 28.08.2018 r. weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa („KSC”), implementująca dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6.07.2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Oba akty prawne dążą do optymalnego zabezpieczenia cyberprzestrzeni przed działaniami naruszającymi jej integralność, których celem jest często bezprawne wejście w posiadanie danych osobowych użytkowników korzystających z usług online.

Ze względu na dążenie do zabezpieczenia danych osobowych przed nieuprawnionym do nich dostępem KSC bywa w przestrzeni medialnej nazywana „młodszą siostrą RODO” bądź ustawą doprecyzowującą RODO od strony technicznej. RODO nakłada bowiem na przedsiębiorców zobowiązania, których efektem ma być skuteczna ochrona danych osobowych osoby fizycznej w ramach dokonywanych przez nich czynności przetwarzania. Natomiast KSC systematyzuje obowiązki przedsiębiorców w zakresie zabezpieczenia swojej infrastruktury organizacyjno-technicznej, za pomocą której dane osobowe są przetwarzane.

Nasuwa się więc pytanie, w jaki sposób KSC wpływa na rea­lizację obowiązków wynikających z RODO? Czy przedsiębiorcy, którzy wdrożyli RODO, będą zobowiązani do podjęcia kolejnych dodatkowych działań w celu optymalizacji poziomu cyberbezpieczeństwa?

KSC nie dla wszystkich

Nie każdy podmiot gospodarczy, który miał obowiązek wdrożenia RODO, jest zobowiązany do implementacji KSC w ramach swojej działalności. W tym zakresie KSC ogranicza się jedynie do szczególnego katalogu podmiotów, tj. operatorów usług kluczowych i dostawców usług cyfrowych.

Zgodnie z art. 5 KSC operatorem usług kluczowych jest podmiot, który świadczy tzw. usługi kluczowe, konieczne dla utrzymania krytycznej (podstawowej) działalności społecznej lub gospodarczej, przy użyciu systemów informacyjnych, oraz dla którego incydent (rozumiany jako zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo – przyp. autora) miałby istotny skutek zakłócający świadczenie przezeń usługi kluczowej. O kwalifikacji podmiotu do tej kategorii decyduje w drodze decyzji organ właściwy ds. cyberbezpieczeństwa, tj. minister właściwy do spraw danego sektora gospodarczego (art. 41 KSC). Innymi słowy, operatorami usług kluczowych są jednostki gospodarcze, których działalność jest istotna z punktu widzenia funkcjonowania państwa, należące w szczególności do następujących sektorów gos­podarki: energetyka, transport, bankowość i infrastruktura rynków finansowych, infrastruktura cyfrowa, zaopatrzenie w wodę pitną i jej dystrybucja czy ochrona zdrowia.

Zgodnie natomiast z art. 17 ust. 1 KSC dostawcą usługi cyfrowej jest osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej, mająca siedzibę lub zarząd na terytorium RP albo przedstawiciela mającego jednostkę organizacyjną na terytorium RP, świadcząca usługę cyfrową.

KSC wymienia przy tym kilka rodzajów usług cyfrowych, tj.:

  • usługi platform internetowych, które umożliwiają podmiotom z nich korzystającym zawieranie umów drogą elektroniczną z przedsiębiorcami bądź na stronie internetowej platformy handlowej bądź na stronie internetowej przedsiębiorcy, który korzysta z usług internetowej platformy handlowej; przykładami tego rodzaju dostawców cyfrowych są takie platformy, jak: Allegro, eBay, AliExpress czy Google Play;
  • usługi chmurowe, które umożliwiają użytkownikom dostęp online do skalowalnego oraz elastycznego zbioru danych; w tym przypadku chodzi o takie platformy, jak: iCloud, DropBox, Microsoft Azure;
  • wyszukiwarki internetowe, które umożliwiają użytkownikom wyszukiwanie haseł i stron internetowych za pomocą zapytania (słowa kluczowego, wyrażenia lub innego elementu) i które przedstawiają w wyniku odnośniki do stron związanych z ww. zapytaniem, np.: Google.com, Yahoo.com, DuckDuckGo.com, bing.com, yandex.ru.

Dodatkowo, stosownie do dyspozycji art. 17 ust. 1 in fine KSC, spod obowiązywania ustawy wyłączeni są mikro- oraz mali przedsiębiorcy w rozumieniu art. 7 ust. 1 pkt 1 i 2 ustawy z dnia 6 marca 2018 r. Prawo przedsię­biorców1.