Jak na kvalifikaci pro ISMS standard i GDPR Nařízení

Každá organizace, která zpracovává osobní údaje je povinna dodržovat všechna povinnosti, které jí GDPR ukládá, průběžně je dokumentovat a být také schopna doložit, že tato pravidla plní. Např. standard ISO řady 27000 upravuje systém řízení bezpečnosti informací - tzv. ISMS.

Nařízení GDPR není jediným ani prvním předpisem či rámcem, který s průběžným dokumentováním činnosti organizace v oblasti bezpečnosti dat počítá a pro jeho řádnou implementaci nejsou stanoveny konkrétní požadavky na bezpečnost dat.

GDPR ponechává na každém správci a zpracovateli osobních údajů, aby posoudil rizikovost jím prováděného zpracování a na základě rozsahu osobních údajů, které zpracovává, jejich citlivosti, účelu a zvolených prostředků sám určil, jaká technická a organizační opatření na ochranu dat přijme.

Klíčové přitom je, obdobně jako při zavádění systému řízení bezpečnosti informací dle ISO řady 27000, zajistit integritu, důvěrnost a dostupnost osobních údajů. Pokud ale správce nebo zpracovatel přijmou opatření nedostatečná a dojde k úniku nebo zneužití dat, budou za tento následek samozřejmě odpovědní.

ISO řady 27000 a GDPR jsou dva odlišné nástroje

Nelze říci, že ten, kdo je certifikován dle systému řízení bezpečnosti informací, je v plném rozsahu v souladu s GDPR, a neplatí to ani naopak. Přesto lze najít užitečné synergie, které mohou implementaci GDPR usnadnit a zefektivnit.

Zejména u těch správců či zpracovatelů, kteří provádějí rozsáhlé zpracování osobních a citlivých údajů, jako je v oblasti zdravotnictví, finančních služeb, telekomunikací, ale i veřejné správě, může být právě ISO 27001 tím nejvhodnějším nástrojem k zajištění zabezpečení osobních údajů tak, jak to GDPR vyžaduje.

Nástroje, které ISO 27001 zavádí, lze pak přímo, nebo s mírnou úpravou, použít i pro splnění dalších povinností dle GDPR - analýza rizik, postupy pro jejich ošetření, vnitřní předpisy, pravidelná kontrola dodržování nastavených pravidel, vzdělávání zaměstnanců apod.

Tak, jako je ISMS (Information Security Management System) Interní Auditor / Manažer v organizaci zodpovědný za návrh a implementaci procesů, integraci do vnitřních směrnic, návrh pro úpravu právních předpisů, ale i úpravu v IT systémech - je Pověřenec pro ochranu osobních údajů ideálním rozšířením kompetencí pro integraci obou standardů do vnitřního uceleného systému řízení organizace.

Článek TAYLLORCOX s.r.o. ze dne pátek 16. února 2018

Další články od TAYLLORCOX s.r.o.