ISO/IEC 27701 - Mezinárodní standard pro řízení ochrany osobních údajů
Ochrana soukromí je ve stále více propojeném světě společenskou potřebou. Vlády zavádějí nové předpisy o ochraně soukromí, jako je například obecné nařízení Evropské unie o ochraně osobních údajů (GDPR), a vyžadují, aby na ně společnosti reagovaly. Normy ISO, jako je například ISO/IEC 27701, pomohou vaší firmě splnit požadavky a řídit rizika ochrany soukromí související s osobními údaji (PII).
Zákazníci, spotřebitelé i další zúčastněné strany stále více potřebují důvěru a odpovědnost za osobní údaje. Riziko je však širší než jen dodržování předpisů. Společnosti musí mít k dispozici správné kompetence, procesy a systémy. S rostoucím počtem stížností a pokut souvisejících s ochranou soukromí a údajů se zdá, že roste potřeba poradenství.
Norma ISO/IEC 27001 vychází z požadavků normy ISO/IEC 27001 a poskytuje společnostem požadované informace a pomáhá jim řídit rizika související s ochranou osobních údajů (PII). Může také pomoci společnostem dodržovat nařízení GDPR i další předpisy o ochraně osobních údajů. Obě normy lze certifikovat v kombinaci.
Co je norma ISO/IEC 27701?
Norma ISO/IEC 27701 specifikuje požadavky a poskytuje návod pro vytvoření, zavedení, udržování a neustálé zlepšování systému správy informací o soukromí (PIMS). Vychází z požadavků normy ISO/IEC 27001, systému řízení bezpečnosti informací (ISMS), a z kodexu postupů pro kontroly bezpečnosti informací v normě ISO/IEC 27002.
Norma ISO/IEC 27701 poskytuje rámec systému řízení pro ochranu informací umožňujících osobní identifikaci (PII). Zahrnuje způsob, jakým by organizace měly spravovat osobní údaje, a pomáhá při prokazování souladu s předpisy o ochraně osobních údajů, které se na ně mohou vztahovat.
Pokud jste zavedli normu ISO/IEC 27001, norma ISO/IEC 27701 rozšiřuje vaše úsilí v oblasti zabezpečení o řízení ochrany osobních údajů. To zahrnuje zpracování osobních údajů, aby bylo možné prokázat soulad s předpisy o ochraně osobních údajů, jako je GDPR.
Pro organizace, které nemají stávající systém řízení bezpečnosti informací v souladu s normou ISO/IEC 27001, je možné zavést obě normy (ISO/IEC 27001 a ISO/IEC 27701) v rámci jednoho projektu.
Kdo by měl implementovat normu ISO/IEC 27701?
Norma ISO/IEC 27701 poskytuje pokyny pro všechny organizace odpovědné za zpracování PII (osobně identifikovatelných informací) v rámci systému řízení bezpečnosti informací. Využít ji mohou organizace všech velikostí a typů, včetně veřejných a soukromých společností, stejně jako vládních subjektů a dalších typů organizací. Poskytuje přístup založený na rizicích a pomáhá organizacím řešit konkrétní rizika, kterým čelí, i rizika ohrožení osobních údajů a soukromí.
Proč je norma ISO/IEC 27701 dobrá pro mou firmu?
Systémy správy informací o soukromí (PIMS) přinášejí několik výhod:
- Buduje důvěru ve schopnost vaší společnosti spravovat osobní údaje, a to jak u zákazníků, tak u zaměstnanců.
- Podporuje dodržování nařízení GDPR a dalších platných předpisů o ochraně osobních údajů.
- Vyjasňuje role a odpovědnosti ve vaší organizaci.
- Zlepšuje interní kompetence a procesy, aby se předešlo porušením předpisů.
- Zajišťuje transparentnost zavedených kontrolních mechanismů pro řízení ochrany osobních údajů.
- Usnadňuje uzavírání dohod s obchodními partnery v případech, kdy je zpracování osobních údajů oboustranně relevantní.
- Snadno se integruje s hlavní normou bezpečnosti informací ISO/IEC 27001.
Jak lze normu ISO/IEC 27701 použít k dosažení souladu s nařízením GDPR?
Zavedení systému řízení v souladu s normami ISO/IEC 27701 a ISO/IEC 27001 umožní vaší společnosti splnit požadavky na ochranu soukromí a zabezpečení informací stanovené v nařízení GDPR i v dalších předpisech o ochraně údajů. GDPR vyžaduje, aby organizace přijaly vhodná technická a organizační opatření (včetně zásad, postupů a procesů) k ochraně osobních údajů, které zpracovávají (Podle čl. 5 odst. 2).
ISO/IEC 27001, mezinárodní norma pro systém řízení bezpečnosti informací (ISMS), poskytuje vynikající výchozí bod pro dosažení technických a provozních požadavků nezbytných pro snížení rizika narušení.
ISO/IEC 27701 stanoví požadavky - a poskytuje návod pro vytvoření, zavedení, udržování a neustálé zlepšování - systému PIMS (systém řízení ochrany informací), který vychází z požadavků, kontrolních cílů a kontrolních mechanismů uvedených v normě ISO 27001 a je rozšířen o soubor požadavků, kontrolních cílů a kontrolních mechanismů specifických pro ochranu soukromí. Příloha obsahuje křížové odkazy na GDPR a ISO/IEC 27701. Norma nicméně není specifikována pro GDPR.
Obě normy pomáhají vyhovujícím společnostem splnit a prokázat soulad s požadavky GDPR na ochranu soukromí a zabezpečení informací.
Ačkoli norma ISO/IEC 27701 v současné době neřeší certifikační mechanismus nastíněný GDPR v článku 42, můžete získat akreditovanou certifikaci podle normy ISO/IEC 27701 v kombinaci s normou ISO/IEC 27001 od nezávislé třetí strany, jako je například DNV.
Jak se mohu na certifikaci připravit?
Ať už chcete zavést normu ISO/IEC 27701 jako rozšíření svého stávajícího systému řízení bezpečnosti informací, který je v souladu s normou ISO/IEC 27001, nebo teprve začínáte, můžeme vám poskytnout podporu v následujících oblastech:
- GAP-analýzou, která prověří vaši připravenost na certifikaci
- Školení pro ISO/IEC 27001
- Certifikace vašeho systému řízení podle ISO/IEC 27001 a ISO/IEC 27701
Kromě toho můžeme podpořit vaše potřeby v oblasti školení souvisejících s normami a GDPR (obecné nařízení Evropské unie o ochraně osobních údajů).
Abyste získali certifikaci, musíte nejprve zavést účinný systém řízení, který splňuje požadavky norem. Je důležité, abyste se vy i vaše společnost zavázali a stanovili si jasné cíle pro implementaci a hodnocení. Před certifikací se doporučuje, aby vaše společnost provedla interní audity, které odhalí případné nedostatky. Jednou z nejdůležitějších věcí, kterou je třeba mít na paměti, je, že vývoj, zavádění a certifikace systému řízení je nepřetržitá cesta, přičemž certifikační audit představuje jeden z prvků procesu neustálého zlepšování.
