Cyberbezpieczeństwo, a ochrona danych osobowych – punkty wspólne

Cyberbezpieczeństwo, a ochrona danych osobowych – punkty wspólne
W dobie cyfryzacji przedsiębiorstwa przetwarzają coraz większe ilości danych osobowych, co niesie ze sobą konieczność ich ochrony zarówno w aspekcie technicznym, jak i prawnym. Dwa obszary regulacyjne i operacyjne, które w tym kontekście mają kluczowe znaczenie, to cyberbezpieczeństwo i ochrona danych osobowych. Choć nie są to pojęcia tożsame, istnieją wyraźne punkty styczne wynikające zarówno z wymogów prawa krajowego, jak i unijnego. 

Cyberbezpieczeństwo w świetle prawa 

Cyberbezpieczeństwo obejmuje działania mające na celu zapewnienie integralności, poufności i dostępności systemów informatycznych. W Polsce kwestie te regulują m.in.: 

  • Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2026 r. poz. 20) która określa obowiązki podmiotów w zakresie zabezpieczenia systemów teleinformatycznych; 
  • przepisy dotyczące obowiązkowego zgłaszania incydentów bezpieczeństwa systemów teleinformatycznych do CSIRT GOV w przypadku usług kluczowych; 
  • regulacje sektorowe w branżach takich jak finanse, telekomunikacja czy energetyka, nakładające wymogi w zakresie audytów i procedur bezpieczeństwa. 
Ochrona danych osobowych – ramy prawne 

Ochrona danych osobowych jest uregulowana przede wszystkim przez: 

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 – RODO, w szczególności: 
  • art. 5 RODO – zasady przetwarzania danych (legalność, rzetelność, minimalizacja); 
  • art. 32 RODO – obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych; 
  • art. 33–34 RODO – obowiązki w zakresie zgłaszania naruszeń danych osobowych. 
  • Ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781) implementującą przepisy krajowe, uzupełniające regulacje RODO. 
Punkty wspólne 

Jako, że w dzisiejszych czasach prawie każda firma przetwarza jakieś dane osobowe oraz prawie każda firma robi to za pomocą urządzeń funkcjonujących w cyberprzestrzeni, warto wiedzieć jakie są punkty styku obowiązków związanych z ochroną danych osobowych oraz obowiązków związanych z cyberbezpieczeństwem. 

Zapobieganie nieautoryzowanemu dostępowi 

Zarówno cyberbezpieczeństwo, jak i ochrona danych osobowych wymaga ograniczenia dostępu do informacji wyłącznie do osób uprawnionych (art. 32 ust. 1 RODO). W praktyce oznacza to kontrolę uprawnień, stosowanie systemów uwierzytelniania wieloskładnikowego oraz segregację danych w systemach informatycznych. 

Szyfrowanie danych 

Zgodnie z art. 32 ust. 1 lit. a RODO, administrator danych powinien stosować środki szyfrowania danych osobowych w spoczynku i w tranzycie, co wpisuje się w ramy cyberbezpieczeństwa określone w ustawie o krajowym systemie cyberbezpieczeństwa. Cyberbezpieczeństwo wykorzystuje szyfrowanie jako podstawową metodę ochrony danych w sieci – zarówno podczas przesyłania, jak i przechowywania. 

Monitorowanie i reagowanie na zagrożenia 

Przepisy nakładają obowiązek wczesnego wykrywania incydentów naruszenia bezpieczeństwa (art. 33 RODO, ustawa o KSC). Systemy monitoringu i audytu bezpieczeństwa są w tym kontekście niezbędnym narzędziem zarówno dla ochrony danych osobowych, jak i zapewnienia cyberbezpieczeństwa infrastruktury IT. 

Polityki i procedury bezpieczeństwa 

Zarówno RODO (art. 24–25), jak i ustawa o KSC wymagają opracowania polityk bezpieczeństwa, w tym procedur backupu, zarządzania incydentami, aktualizacji oprogramowania i ochrony sieci. Dokumenty te powinny być aktualizowane i weryfikowane pod kątem skuteczności. 

Działania firm w ochronie danych osobowych w cyberprzestrzeni 

Praktyczne działania, które powinny być wdrożone w przedsiębiorstwach, obejmują: 

  • stworzenie instrukcji zarządzania systemem informatycznym, określającej zasady dostępu, archiwizacji, backupu i likwidacji danych; 
  • wdrożenie systemów szyfrowania, firewalli i ochrony antywirusowej; 
  • przeprowadzanie regularnych audytów bezpieczeństwa oraz testów penetracyjnych; 
  • opracowanie procedur reagowania na incydenty i naruszenia danych osobowych w zgodzie z art. 33–34 RODO; 
  • szkolenia pracowników w zakresie bezpiecznego przetwarzania danych i ochrony systemów IT. 
Edukacja użytkowników i personelu 

RODO oraz ustawa o KSC kładą nacisk na edukację i podnoszenie świadomości osób przetwarzających dane w zakresie zagrożeń cybernetycznych i zasad ochrony danych osobowych. 

Zgodność z przepisami i nadzór 

Przestrzeganie wymogów prawnych zarówno w zakresie cyberbezpieczeństwa, jak i ochrony danych osobowych jest obowiązkiem prawnym. Nadzór nad przestrzeganiem RODO sprawuje Prezes Urzędu Ochrony Danych Osobowych (PUODO), a nad cyberbezpieczeństwem – CSIRT GOV (Rządowy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) w zakresie incydentów systemów kluczowych. 

Podsumowanie 

Nie można traktować cyberbezpieczeństwa i ochrony danych osobowych jako działań niezależnych. Cyberbezpieczeństwo i ochrona danych osobowych, mimo że regulowane przez różne akty prawne, mają wspólny cel: zapewnienie integralności, poufności i dostępności informacji w świecie cyfrowym. Integracja procedur, polityk bezpieczeństwa i działań edukacyjnych pozwala przedsiębiorstwom nie tylko spełniać obowiązki prawne wynikające z RODO i ustawy o krajowym systemie cyberbezpieczeństwa, ale także minimalizować ryzyko naruszeń danych oraz konsekwencji prawnych. 

Katarzyna Gobosz

Radca prawny
email: katarzyna.gobosz@ltca.pl

Katarzyna jest radcą prawnym, członkiem Okręgowej Izby Radców Prawnych w Szczecinie. Ukończyła prawo na Uniwersytecie Szczecińskim w Szczecinie. Posiada wieloletnie doświadczenie w obsłudze prawnej podmiotów gospodarczych w tym podmiotów prywatnych, jak i podmiotów z sektora publicznego. Ma też doświadczenie w prowadzeniu i rozwiązywaniu sporów sądowych w szczególności związanych z prawem nieruchomości oraz z branży budowlanej. Doświadczenie zdobyła pracując przy realizacji zarówno projektów budowlanych tzw. budownictwa kubaturowego (budowa obiektów użyteczności publicznej, budowa osiedli deweloperskich) jak i z zakresu infrastruktury (budowa linii kolejowych i dróg ekspresowych). Katarzyna reprezentowała klientów w procesach sądowych o wielomilionowej wartości oraz uczestniczyła w procesach inwestycyjno-budowlanych jako radca prawny przy realizacji wielu znaczących i prestiżowych inwestycji budowlanych w Szczecinie. W swoim działaniu praktykuje kompleksowe podejście do klientów, zwracając uwagę na ich różnorodne potrzeby niejednokrotnie nie tylko w zakresie pomocy prawnej, ale również pomocy o charakterze biznesowym. Preferuje wieloaspektowe podejście do problemów prawnych, które przedkłada nad literalne stosowanie prawa. W LTCA zajmuje się szeroko rozumianą obsługą podmiotów gospodarczych, w tym w szczególności obsługą procesów inwestycyjno-budowlanych oraz sporów sądowych związanych z inwestycjami budowlanymi.

Może Cię zainteresować

Call Now Button
Kalkulator
podatkowy 2026
Jak korzystać z abonamentu?
Instrukcja video
Zapisz się
na newsletter!