GDPR Nariadenie

6. 10. 2023

Aký je vzťah GDPR a štandardov ISO 27001?

Aký je vzťah GDPR a štandardov ISO 27001?

Nariadením GDPR sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov. Nariadenie GDPR predstavuje právny rámec, ktorým sa stanovujú komplexné povinnosti na úseku ochrany osobných údajov.

Normy z radu ISO sú vydané Medzinárodnou organizáciou pre normalizáciu so sídlom vo Švajčiarsku. ISO/IEC 27001:2022 je medzinárodným štandardom (z rady 27000), ktorý definuje technické požiadavky na informačnú bezpečnosť, kybernetickú bezpečnosť a ochranu súkromia, vrátane systému manažérstva informačnej bezpečnosti. Cieľom je teda úprava požiadaviek na stanovenie, implementáciu, udržiavanie a trvalé zlepšovanie systému manažérstva informačnej bezpečnosti. Systém manažérstva informačnej bezpečnosti chráni dôvernosť, integritu a dostupnosť informácií, a to uplatňovaním procesu riadenia rizík a poskytnutím dôvery v dostatočnom riadení rizík.

Medzinárodný štandard ISO/IEC 27001:2022 primárne rieši otázky informačnej bezpečnosti, ale pojednáva aj o niektorých fundamentoch, ktoré sú vlastné aj pre Nariadenie GDPR. Nižšie prikladáme ich stručný prehľad:

 

INŠTITÚT

GDPR

ISO/IEC 27001:2022

1.

Zásada zodpovednosti (preukázanie súladu)

Čl. 5 GDPR

Prevádzkovateľ zodpovedá za zabezpečenie súladu s GDPR, tento súlad zo zásadami zákonnosti, spravodlivosti, transparentnosti, obmedzenia účelu spracúvania, minimalizácie údajov, správnosti spracúvaných osobných údajov vrátane minimalizácie uchovávania musí vedieť preukázať

Štandard napr. poskytuje výpočet nasl. organizačných opatrení:

-právne, zákonné, regulačné a zmluvné požiadavky
– ochrana záznamov
– ochrana súkromia a osobných údajov (PII)
– nezávislé preskúmanie informačnej bezpečnosti,
– súlad so zásadami a normami pre informačnú bezpečnosť,
-zdokumentované prevádzkové postupy
– prenos údajov
– riadenie prístupov

2.

Povinnosti prevádzkovateľa prihliadať na riziká pre práva a slobody fyzických osôb pri spracúvaní osobných údajov

Čl. 24 GDPR

Povinnosť prevádzkovateľa prijať vhodné technické a organizačné opatrenia s ohľadom aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb

Čl. 35 GDPR

Povinnosť prevádzkovateľa vykonania posúdenia vplyvu na ochranu osobných údajov v prípadoch, ak typ spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb

Štandard napr. poskytuje výpočet nasl. organizačných opatrení:

– klasifikácia informácií (informácie sa musia klasifikovať podľa potrieb organizácie na základe požiadaviek na dôvernosť, integritu, dostupnosť)

– označovanie informácií (je potrebné vypracovanie a implementácia vhodného súboru postupov na označovanie informácií v súlade s klasifikačnou schémou organizácie)

3.

Špecificky navrhnutá a  štandardná ochrana údajov

Čl. 25 GDPR

Povinnosť prevádzkovateľa prijatia a vykonania technických opatrení

Čl. 32 GDPR

Povinnosť prevádzkovateľa prijať primerané technické a organizačné opatrenia s cieľom zaistenia primeranej úrovne bezpečnosti

Štandard poskytuje výpočet jednotlivých kontrol – opatrení informačnej bezpečnosti v rozdelení na:

Organizačné opatrenia

Personálne opatrenia

Fyzické opatrenia

Technologické opatrenia

4.

Zmluvné vzťahy s dodávateľmi

Čl. 28 GDPR

Povinnosti prevádzkovateľa v prípade spracúvania osobných údajov sprostredkovateľom

Jedná sa napr. o nasledovné kontroly v rámci organizačných opatrení:

-riešenie informačnej bezpečnosti v rámci dodávateľských dohôd

– riadenie informačnej bezpečnosti v dodávateľskom reťazci IKT

-monitorovanie, preskúmanie a riadenie zmien dodávateľských služieb

– informačná bezpečnosti pri používaní cloudových služieb

5.

Porušenie ochrany osobných údajov

Čl. 33 GDPR

Zdokumentovanie každého prípadu porušenia ochrany osobných údajov

Splnenie oznamovacej povinnosti v prípade porušenia ochrany osobných údajov dozornému orgánu

Čl. 34 GDPR

Splnenie oznamovacej povinnosti porušenia ochrany osobných údajov dotknutej osobe

Organizačné opatrenia:

-plánovanie a  príprava riadenia incidentov informačnej bezpečnosti

-posudzovanie a  rozhodovanie o udalostiach informačnej bezpečnosti

-reakcia na incidenty informačnej bezpečnosti

-poučenie z incidentov informačnej bezpečnosti

-zhromažďovanie dôkazov

-informačná bezpečnosť počas narušenia

Personálne opatrenia:

-povedomie o informačnej bezpečnosti, vzdelávanie, školenie

-disciplinárny proces

-hlásenie udalostí informačnej bezpečnosti

Záver – Vzťah GDPR a štandardov ISO 27001:

Nariadenie GDPR okrem vyššie uvedeného upravuje aj všeobecné pravidlá bezpečnosti údajov. Štandard ISO/IEC 27001:2022 poskytuje organizáciám návod pre vytvorenie a implementáciu informačnej bezpečnosti vo forme jednotlivých organizačných, personálnych, fyzických a technologických opatrení. V mnohých aspektoch sa jedná o vzájomne prepojené inštitúty, ktoré so sebou úzko súvisia. Napríklad implementácia uvedeného štandardu ISO môže organizáciám napomôcť v rámci zvýšenia povedomia, v lepšej identifikácií a riadení bezpečnostných incidentov, ktoré môžu byť zároveň porušením ochrany osobných údajov.

Záverom však dodávame, že za účelom dosiahnutia súladu samotná znalosť Nariadenia GDPR a ISO/IEC 27001:2022 v aplikačnej praxi nebude dostatočná. V prípade otázok týkajúcich sa štandardov GDPR a informačnej bezpečnosti nás neváhajte kontaktovať.

securion - poradenstvo GDPR

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Tagy článku -

Osobné údaje

Môže Vás zaujímať

Zostaňte v obraze

Legislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.

questionnaire

Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.

Zistite viac icon

Pomáhame firmám plniť legislatívne povinnosti .

POTREBUJETE PORADIŤ?

Na všetky vaše otázky vám radi odpovieme e-mailom, telefonicky alebo na osobnom stretnutí.

    Vaše osobné údaje spracúvame za účelom vybavenia dopytu. Viac sa dočítate v sekcii Privacy Policy.