logo TAYLLORCOX s.r.o.

Jak na kvalifikaci pro ISMS standard i GDPR Nařízení

Každá organizace, která zpracovává osobní údaje je povinna dodržovat všechna povinnosti, které jí GDPR ukládá, průběžně je dokumentovat a být také schopna doložit, že tato pravidla plní. Např. standard ISO řady 27000 upravuje systém řízení bezpečnosti informací - tzv. ISMS.

Nařízení GDPR není jediným ani prvním předpisem či rámcem, který s průběžným dokumentováním činnosti organizace v oblasti bezpečnosti dat počítá a pro jeho řádnou implementaci nejsou stanoveny konkrétní požadavky na bezpečnost dat.

GDPR ponechává na každém správci a zpracovateli osobních údajů, aby posoudil rizikovost jím prováděného zpracování a na základě rozsahu osobních údajů, které zpracovává, jejich citlivosti, účelu a zvolených prostředků sám určil, jaká technická a organizační opatření na ochranu dat přijme.

Klíčové přitom je, obdobně jako při zavádění systému řízení bezpečnosti informací dle ISO řady 27000, zajistit integritu, důvěrnost a dostupnost osobních údajů. Pokud ale správce nebo zpracovatel přijmou opatření nedostatečná a dojde k úniku nebo zneužití dat, budou za tento následek samozřejmě odpovědní.

ISO řady 27000 a GDPR jsou dva odlišné nástroje

Nelze říci, že ten, kdo je certifikován dle systému řízení bezpečnosti informací, je v plném rozsahu v souladu s GDPR, a neplatí to ani naopak. Přesto lze najít užitečné synergie, které mohou implementaci GDPR usnadnit a zefektivnit.

Zejména u těch správců či zpracovatelů, kteří provádějí rozsáhlé zpracování osobních a citlivých údajů, jako je v oblasti zdravotnictví, finančních služeb, telekomunikací, ale i veřejné správě, může být právě ISO 27001 tím nejvhodnějším nástrojem k zajištění zabezpečení osobních údajů tak, jak to GDPR vyžaduje.

Nástroje, které ISO 27001 zavádí, lze pak přímo, nebo s mírnou úpravou, použít i pro splnění dalších povinností dle GDPR - analýza rizik, postupy pro jejich ošetření, vnitřní předpisy, pravidelná kontrola dodržování nastavených pravidel, vzdělávání zaměstnanců apod.

Tak, jako je ISMS (Information Security Management System) Interní Auditor / Manažer v organizaci zodpovědný za návrh a implementaci procesů, integraci do vnitřních směrnic, návrh pro úpravu právních předpisů, ale i úpravu v IT systémech - je Pověřenec pro ochranu osobních údajů ideálním rozšířením kompetencí pro integraci obou standardů do vnitřního uceleného systému řízení organizace.

Článek TAYLLORCOX s.r.o. ze dne 16. února 2018 - pátek

Další články od TAYLLORCOX s.r.o.

e-SALON - veletrh čisté mobility