První certifikát ochrany dat s mezinárodní platností: ISO 27701

thumb

EU sice stanovila vysoké sankce za porušení ochrany osobních údajů, uznávaný certifikační proces ale doposud nebyl pro organizace k dispozici. Situace se jevila prekérně, protože vlastník údajů (správce) je spoluodpovědný za porušení ochrany údajů u zpracovatele. Samozřejmě za předpokladu, že nemá k dispozici důkazy o pečlivých postupech při správě údajů, které by jej spoluodpovědnosti zbavily. Bez uznávané certifikace bylo dokazování ale velmi obtížné.

Situaci nyní napravuje ISO 27701 systém řízení ochrany dat, které je koncipováno jako doplněk k mezinárodně uznávané normě pro informační bezpečnost ISO 27001. Náš partner CIS GmbH získal akreditaci rakouského spolkového ministerstva hospodářství, vědy a výzkumu (Bundesministerium für Bildung, Wissenschaft und Forschung) a je jednou z prvních certifikačních společností pro oblast ISO 27701.

„Vzhledem k tomu, že je standard pro management ochrany údajů založen na mezinárodní normě pro informační bezpečnost, tak jde zatím o první a jedinou certifikaci ochrany údajů s mezinárodním rozsahem. ISO 27701 se na navíc skvěle hodí pro organizace všech velikostí i průmyslových odvětví“, zdůrazňuje Klaus Veselko, prokurista společnosti CIS.

 

Globální hráči sázejí na ISO 27701

Někteří globální hráči jsou i celosvětovými průkopníky: Microsoft nechal části IT infrastruktury pro cloudové služby, jako je Dynamics nebo Azure, certifikovat podle ISO 27701. Další IT giganti jako například OneTrust nebo Infosys také spoléhají na novou certifikaci ochrany dat od ISO. Standard je v zásadě jedním z „podstandardů“ rodiny ISO 27000.

„Při rozšíření nastaveného systému řízení bezpečnosti informací jsou během certifikačního auditu zohledněny také požadavky ochrany dat podle ISO 27701. Ochrana údajů se tak stává nedílnou součástí celého systému řízení a lze ji certifikovat v této podobě," vysvětluje Veselko. „Certifikovaná společnost obdrží po úspěšném auditu samostatný certifikát pro management ochrany údajů dle ISO 27701, který podporuje vybudovanou důvěru zákazníků a dodavatelů.“

 

Právní jistota díky řádné péči

Významná je rovněž vybudovaná právní jistota. Podle aktuálního stavu jsou tyto certifikační postupy uznány Evropskou komisí, která v souladu s článkem 42 obecného nařízení o ochraně osobních údajů (GDPR) cílí na procesy a produkty – a ne na celý systém řízení, jako je tomu v případě ISO 27701. „Nálepka“ na IT službě však nepomáhá v úředním řízení ani u řízení před soudem.

„Pro minimalizaci odpovědnosti slouží certifikace dle ISO 27701 jako důkaz o tom, jak je v organizaci denně přistupováno k ochraně údajů – to znamená, jaká opatření jsou přijímána a příslušná dokumentace,“ vysvětluje advokát a odborník na ochranu údajů Dr. Markus Frank.

 

Systematické sledování souladu s GDPR

Pomocí certifikace dle ISO 27701 lze de facto dosáhnout vysokého stupně právní jistoty. Samozřejmě v případě, že je systém po certifikaci také skutečně implementován: GDPR totiž vyloženě požaduje „vhodná technická a organizační opatření a postupy“ pro to, aby zpracování dat dostatečně splňovalo požadavky nařízení.

„Takovéto systematické požadavky lze lépe splnit se zavedeným systémem řízení ochrany údajů než bez něj,“ zdůrazňuje auditor CIS Robert Jamnik. „Imanentní logika systému spočívající v nepřetržitém monitorování a optimalizaci shody s normou ISO 27701 umožňuje také nejvyšší možnou úroveň souladu s GDPR.“

Chcete se dozvědět víc? Napište nám nebo pošlete poptávku.