Security (3) Tip (17)

GDPR vs. ISO 27001

 

Už 25. mája tohto roku nadobudne plnú účinnosť európske nariadenie o ochrane osobných údajov, General Data Protection Regulation (GDPR). Nariadenie bude priamo účinné vo všetkých členských štátoch Európskej únie a nahradí doterajšie vnútroštátne predpisy.

GDPR vs. ISO 27000

 

 

 

 

 

 

 

 

Jednou z noviniek, ktorú GDPR prináša, je tzv. princíp dokázateľnej zodpovednosti (accountability), podľa ktorého je každá organizácia, ktorá spracováva osobné údaje, nielen povinná dodržiavať všetky povinnosti, ktoré jej GDPR ukladá, ale ich aj priebežne dokumentovať a byť schopná preukázať, že tieto pravidlá plní.
Ak by prevádzkovateľ svoj súlad s GDPR nebol schopný doložiť, vystavuje sa riziku sankcie až do výšky 20 miliónov EUR alebo 4% z celosvetového obratu skupiny za predchádzajúci finančný rok. 
Nariadenie GDPR nie je jediným ani prvým predpisom alebo rámcom, ktorý s priebežným dokumentovaním činnosti organizácie v oblasti bezpečnosti dát počíta. Ako príklad ďalšieho môžeme uviesť štandard ISO skupiny 27000, ktorý upravuje systém riadenia bezpečnosti informácií (Information Security Management System), resp. ISMS.

Ako ISO 27001 pomáha implementovať požiadavky GDPR

Pre riadnu implementáciu GDPR nie sú stanovené konkrétne požiadavky na bezpečnosť dát. Nariadenie ponecháva na každom prevádzkovateľovi a sprostredkovateľovi osobných údajov, aby posúdil rizikovosť ním vykonávaného spracovania a na základe rozsahu osobných údajov, ktoré spracováva, ich citlivosti, účelu a zvolených prostriedkov sám určil, aké technické a organizačné opatrenia na ochranu dát prijme.
Kľúčové je, obdobne ako pri zavádzaní systému riadenia bezpečnosti informácií podľa ISO 27001, zabezpečiť integritu, dôvernosť a dostupnosť osobných údajov. Pokiaľ ale prevádzkovateľ alebo sprostredkovateľ prijmú nedostatočné opatrenia a dôjde k úniku alebo zneužitiu dát, budú za tento následok samozrejme zodpovední.

ISO 27001 a GDPR sú dva odlišné nástroje, hoci ich cieľ  je do určitej miery podobný

Nemožno povedať, že ten, kto je certifikovaný podľa systému riadenia bezpečnosti informácií, je v plnom rozsahu v súlade s GDPR a neplatí to ani naopak. Napriek tomu možno nájsť užitočné synergie, ktoré môžu implementáciu GDPR uľahčiť a zefektívniť.
Nástroje, ktoré ISO 27001 zavádza, možno potom priamo, alebo s miernou úpravou, použiť aj pre splnenie ďalších povinností podľa GDPR (napríklad analýza rizík, postupy pre ich ošetrenie, vnútorné predpisy, pravidelná kontrola dodržiavania nastavených pravidiel, vzdelávanie zamestnancov atď.)
Tak, ako je ISMS Interný Audítor / Manažér v organizácií zodpovedný za návrh a implementáciu procesov, integráciu do vnútorných smerníc, návrh na úpravu právnych predpisov, ale aj úpravu v IT systémoch - je Zodpovedná osoba pre ochranu osobných údajov ideálnym rozšírením kompetencií pre integráciu oboch štandardov do vnútorného uceleného systému riadenia organizácie. 

 

 

 

Páči sa Vám to? Zdieľajte a pošlite ďalej...

Zobraziť všetky aktuality

Zoznam štítkov

Tip (17) PRINCE2 (7) ITIL (5) Security (3) Soft-Skills (3) Blog (3) MSP (2) MoR (1) RISK (1) BPM - Professional (1)

Najčítanejšie

Najnovšie články

Informácie k jednotlivým certifikátom.

Najbližšie termíny školení

Nájdete nás na facebooku

*

Položky označené * sú povinné.

Komentáre