Wielu administratorów mylnie utożsamia wdrożenie RODO ze spełnieniem wymogów KRI. Choć oba akty prawne mają wspólny cel – ochronę danych – ich zakres i metodyka są różne.
Zakres ochrony
| Cecha | RODO | KRI |
|---|---|---|
| Przedmiot ochrony | Dane osobowe osób fizycznych | Wszystkie informacje (jawne i niejawne) oraz systemy IT |
| Adresaci | Wszyscy przetwarzający dane osobowe | Podmioty realizujące zadania publiczne |
| Audyt | Brak sztywnego wymogu częstotliwości | Obowiązkowy raz w roku |
Dlaczego samo RODO nie wystarczy?
RODO skupia się na prywatności. Możesz mieć świetne procedury upoważnień i klauzule informacyjne (zgodność z RODO), ale jeśli Twój serwer stoi w niezabezpieczonym pokoju, a system nie ma aktualizacji od 3 lat – nie spełniasz wymogów KRI.
KRI jest bardziej techniczne. Wymaga konkretnych działań w sferze infrastruktury IT, takich jak zarządzanie incydentami, ciągłość działania (BCP) czy konkretne standardy szyfrowania, które w RODO są ujęte ogólnie jako "odpowiednie środki techniczne".
