Nariadením GDPR sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov. Nariadenie GDPR predstavuje právny rámec, ktorým sa stanovujú komplexné povinnosti na úseku ochrany osobných údajov.
Normy z radu ISO sú vydané Medzinárodnou organizáciou pre normalizáciu so sídlom vo Švajčiarsku. ISO/IEC 27001:2022 je medzinárodným štandardom (z rady 27000), ktorý definuje technické požiadavky na informačnú bezpečnosť, kybernetickú bezpečnosť a ochranu súkromia, vrátane systému manažérstva informačnej bezpečnosti. Cieľom je teda úprava požiadaviek na stanovenie, implementáciu, udržiavanie a trvalé zlepšovanie systému manažérstva informačnej bezpečnosti. Systém manažérstva informačnej bezpečnosti chráni dôvernosť, integritu a dostupnosť informácií, a to uplatňovaním procesu riadenia rizík a poskytnutím dôvery v dostatočnom riadení rizík.
Medzinárodný štandard ISO/IEC 27001:2022 primárne rieši otázky informačnej bezpečnosti, ale pojednáva aj o niektorých fundamentoch, ktoré sú vlastné aj pre Nariadenie GDPR. Nižšie prikladáme ich stručný prehľad:
INŠTITÚT |
GDPR |
ISO/IEC 27001:2022 |
|
1. |
Zásada zodpovednosti (preukázanie súladu) |
Čl. 5 GDPR Prevádzkovateľ zodpovedá za zabezpečenie súladu s GDPR, tento súlad zo zásadami zákonnosti, spravodlivosti, transparentnosti, obmedzenia účelu spracúvania, minimalizácie údajov, správnosti spracúvaných osobných údajov vrátane minimalizácie uchovávania musí vedieť preukázať |
Štandard napr. poskytuje výpočet nasl. organizačných opatrení: -právne, zákonné, regulačné a zmluvné požiadavky |
2. |
Povinnosti prevádzkovateľa prihliadať na riziká pre práva a slobody fyzických osôb pri spracúvaní osobných údajov |
Čl. 24 GDPR Povinnosť prevádzkovateľa prijať vhodné technické a organizačné opatrenia s ohľadom aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb Čl. 35 GDPR Povinnosť prevádzkovateľa vykonania posúdenia vplyvu na ochranu osobných údajov v prípadoch, ak typ spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb |
Štandard napr. poskytuje výpočet nasl. organizačných opatrení: – klasifikácia informácií (informácie sa musia klasifikovať podľa potrieb organizácie na základe požiadaviek na dôvernosť, integritu, dostupnosť) – označovanie informácií (je potrebné vypracovanie a implementácia vhodného súboru postupov na označovanie informácií v súlade s klasifikačnou schémou organizácie) |
3. |
Špecificky navrhnutá a štandardná ochrana údajov |
Čl. 25 GDPR Povinnosť prevádzkovateľa prijatia a vykonania technických opatrení Čl. 32 GDPR Povinnosť prevádzkovateľa prijať primerané technické a organizačné opatrenia s cieľom zaistenia primeranej úrovne bezpečnosti |
Štandard poskytuje výpočet jednotlivých kontrol – opatrení informačnej bezpečnosti v rozdelení na: Organizačné opatrenia Personálne opatrenia Fyzické opatrenia Technologické opatrenia |
4. |
Zmluvné vzťahy s dodávateľmi |
Čl. 28 GDPR Povinnosti prevádzkovateľa v prípade spracúvania osobných údajov sprostredkovateľom |
Jedná sa napr. o nasledovné kontroly v rámci organizačných opatrení: -riešenie informačnej bezpečnosti v rámci dodávateľských dohôd – riadenie informačnej bezpečnosti v dodávateľskom reťazci IKT -monitorovanie, preskúmanie a riadenie zmien dodávateľských služieb – informačná bezpečnosti pri používaní cloudových služieb |
5. |
Porušenie ochrany osobných údajov |
Čl. 33 GDPR Zdokumentovanie každého prípadu porušenia ochrany osobných údajov Splnenie oznamovacej povinnosti v prípade porušenia ochrany osobných údajov dozornému orgánu Čl. 34 GDPR Splnenie oznamovacej povinnosti porušenia ochrany osobných údajov dotknutej osobe |
Organizačné opatrenia: -plánovanie a príprava riadenia incidentov informačnej bezpečnosti -posudzovanie a rozhodovanie o udalostiach informačnej bezpečnosti -reakcia na incidenty informačnej bezpečnosti -poučenie z incidentov informačnej bezpečnosti -zhromažďovanie dôkazov -informačná bezpečnosť počas narušenia Personálne opatrenia: -povedomie o informačnej bezpečnosti, vzdelávanie, školenie -disciplinárny proces -hlásenie udalostí informačnej bezpečnosti |
Nariadenie GDPR okrem vyššie uvedeného upravuje aj všeobecné pravidlá bezpečnosti údajov. Štandard ISO/IEC 27001:2022 poskytuje organizáciám návod pre vytvorenie a implementáciu informačnej bezpečnosti vo forme jednotlivých organizačných, personálnych, fyzických a technologických opatrení. V mnohých aspektoch sa jedná o vzájomne prepojené inštitúty, ktoré so sebou úzko súvisia. Napríklad implementácia uvedeného štandardu ISO môže organizáciám napomôcť v rámci zvýšenia povedomia, v lepšej identifikácií a riadení bezpečnostných incidentov, ktoré môžu byť zároveň porušením ochrany osobných údajov.
Záverom však dodávame, že za účelom dosiahnutia súladu samotná znalosť Nariadenia GDPR a ISO/IEC 27001:2022 v aplikačnej praxi nebude dostatočná. V prípade otázok týkajúcich sa štandardov GDPR a informačnej bezpečnosti nás neváhajte kontaktovať.
Tagy článku -
Osobné údaje
12. 8. 2022
GDPR Nariadenie, Videoškolenia11. 3. 2022
Cookies, VideoškoleniaLegislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.
Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.
Zistite viacNa všetky vaše otázky vám radi odpovieme e-mailom, telefonicky alebo na osobnom stretnutí.
Created by Wink & Nod
securion © 2021
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.