ISO 27701 elegantně vyřeší regulatorních požadavky na ochranu informací a osobních údajů. A skvěle se doplňuje s ISO 27001

Jak certifikovat soulad s regulatorními požadavky na zpracování a ochranu osobních údajů? Pomocí ISO norem!

ISO 27701 elegantně vyřeší regulatorních požadavky na ochranu informací a osobních údajů. A skvěle se doplňuje s ISO 27001

Povinnost pro správce osobních údajů

Jednou ze skutečně zásadních novinek, kterou GDPR přineslo, je zavedení tzv. principu odpovědnosti (accountability). Správce osobních údajů je povinen data zpracovávat v souladu s požadavky práva, ale také být schopen tento soulad dokumentovat a kdykoliv jej doložit. Při kontrole, auditu, soudu.

GDPR pro doložení souladu nabízí několik nových nástrojů, jako je

Právní rámec klade na zpracování osobních údajů řadu požadavků.

Nejedná se přitom zdaleka jen o zabezpečení zpracovávaných dat, ale především o celkové nastavení kontroly nad celým zpracováním, tj.

  • jednoznačné definování účelů a právních titulů pro jednotlivá zpracování,

  • nastavení a dokumentování rozsahu zpracovávaných dat, doby jejich uchování a následného mazání,

  • nastavení procesů pro vyřizování podnětů dotčených osob, které uplatní např. právo na přístup k údajům či právo na jejich výmaz,

  • zavedení procesu pro řízení případů porušení zabezpečení osobních údajů, vztahů s dalšími subjekty, které se na zpracování podílejí,(zejména vztah správce-zpracovatel či vztah společných správců), a dodržování pravidel pro předávání osobních údajů mimo Evropskou unii.

Předcházejte problémům, certifikujte GDPR Compliance

Certifikace, čili nezávislé posouzení interně nastavených pravidel a procesů týkajících se osobních údajů a potvrzení jejich souladu s regulatorními požadavky, může být efektivním nástrojem pro doložení souladu činnosti organizace s požadavky GDPR, adaptačního zákona i dalších sektorových předpisů, které upravují některá specifika pro zpracování dat.

Taková certifikace může být i významnou konkurenční výhodou společností, pro kterou je právě zpracování dat hlavním předmětem činnosti. Typicky se jedná o poskytovatele IT služeb, cloudových služeb, provozovatele sledovacích či monitorovacích zařízení, společnosti zabývající se správou, uchováním nebo likvidací dat či datových nosičů atd. Certifikace je ale přínosem i pro firmy, pro které je rozsáhlé zpracování dat nezbytné k zajištění hlavního byznysu, např. banky, pojišťovny, platební instituce, poskytovatele zdravotních služeb, telekomunikačních služeb, e-commerce společnosti atd. 

GDPR předpokládá, že certifikační mechanismus nastaví dozorový úřad pro oblast ochrany osobních. Český zákon o zpracování osobních údajů Úřadu pro ochranu osobních údajů umožňuje, aby ÚOOÚ vyhláškou stanovil kritéria pro akreditaci příslušné certifikační autority či kritéria pro certifikaci jako takovou. Konkrétní pravidla však v České republice dosud stanovena nebyla. Ty organizace, které mají zájem získat certifikaci svého systému pro zpracování osobních údajů, se tak na postup upravený v GDPR spolehnout nemohou.

ISO/IEC 27701

První mezinárodní standard pro certifikaci GDPR

Organizace, které by rády certifikace pro zpracování osobních údajů využily, však mají i jinou možnost. Nástrojem pro certifikaci řádného zpracování osobních údajů je ISO norma ISO/IEC 27701, která byla oficiálně zveřejněna 6. srpna 2019.

Tato norma nastavuje rámec pro zpracování osobních údajů jak pro správce, tak pro zpracovatele osobních údajů, a její zavedení v organizaci může velmi efektivně přispět k dosažení dostatečné kontroly nad zpracováním osobních údajů a nastavení nezbytných kontrol, aby rizika vyplývající ze zpracování osobních údajů byla v dostatečné míře popsána a snížena či úplně eliminována. 

ISO 27701 nestojí zcela samostatně, ale je rozšířením ISO řady 27000. ISO normy řady 27000 upravují obecně nastavení systému řízení bezpečnosti informací (Information Security Management System, ISMS) bez ohledu na to, o jaké informace se jedná, proč jsou pro danou organizaci citlivé a proč je důležité je chránit.

Nové ISO 27701 představuje nadstavbu, která obecná pravidla ISMS specificky uplatňuje na osobní údaje a reaguje na požadavky obecně závazných předpisů a regulatorních požadavků, tedy i na požadavky GDPR.

Jinak řečeno, organizace, která hodlá zavést ISO 27701, musí být certifikována i na ISO řady 27000, a tuto certifikaci si pak může rozšířit i o certifikaci pro zpracování specifické skupiny informací, osobních údajů.

ISO/IEC 27001 Certifikace

Potvrzuje se tak, že zavedení systému bezpečnosti informací, ISMS, je velmi důležitým předpokladem pro aplikaci a dokumentování správného nastavení pravidel pro zpracování osobních dat.

Jaké jsou výhody certifikace ISO 27701?

  • Snadné a jednoznačné doložení souladu s požadavky GDPR a dalších právních předpisů

  • Posílení konkurenceschopnosti nejen v rámci České republiky, ale i na celém evropském trhu

  • Jednoduché demonstrování souladu s požadavky GDPR dozorovému úřadu, obchodním partnerům, klientům i zaměstnancům organizace

  • Snížení nákladů na řízení zpracování osobních údajů, efektivní využití synergií s již nastavenými pravidly systému řízení bezpečnosti informací, ISMS

  • Důkladné zmapování zpracování osobních údajů a toků osobních dat v organizaci, jejich evidence, správné nastavení a dokumentování souvisejících procesů a nezbytných kontrol

Začněte pracovat na svém GDPR Compliance a certifikaci.

 

Loading...