datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Auditi zaštite podataka osiguravaju usklađenost

Gert Krueger

DQS stručnjak za informacijsku sigurnost i zaštitu podataka
svi 23 , 2023
# Informacijska sigurnost i zaštita podataka

Na snazi od svibnja 2016. godine, u primjeni od svibnja 2018. godine - Opća uredba o zaštiti podataka (OUZP) EU-a još uvijek povlači pitanja za mnoge organizacije: Odnosi li se to na nas? I ako da: Kako možemo postići pravnu sigurnost? I što možemo napraviti u pogledu usklađenosti sa zaštitom podataka?

SADRŽAJ

Od svibnja 2018. godine organizacije koje obrađuju osobne podatke - a ima ih dosta - moraju biti spremne na plaćanje pozamašnih kazni. Kazne za povrede podataka mogu biti značajne. I to je uvijek slučaj ako nisu u potpunosti usklađene sa zahtjevima nove Opće uredbe o zaštiti podataka (OUZP). Osim toga, novo izdanje njemačkog Saveznog zakona o zaštiti podataka (BDSG) nadopunjuje i potkrepljuje OUZP. To je područje međutim prepuno neizvjesnosti:

  • Što su uopće "osobni podaci"?
  • Jesmo li uopće "odgovorni subjekt" prema OUZP? 
  • Tko je "subjekt podataka"?
  • Što je točno "automatizirana obrada" osobnih podataka?
  • Moramo li imenovati službenika za zaštitu podataka?

 

Koje se mjere mora implementirati

Popis pitanja usklađenosti sa zaštitom podataka koje se mora uzeti u obzir je dugačak.

Istina je da se definicija pojmova korištenih u uredbi nalazi u popisu često postavljanih pitanja. Međutim, to nužno ne jamči jasnoću u pogledu konkretnog značaja za pojedina poduzeća. Najkasnije kod implementacije i usklađivanja s potrebnim (obveznim) mjerama i obvezama zaposlenika, moraju postojati točni odgovori na pitanja poput na primjer:

  • Koje su "tehničke i organizacijske mjere"?
  • Kada su potrebne?
  • Što je s "proporcionalnošću"?
  • Što je s mnogobrojnim "kontrolama" koje zahtijeva OUZP, poput "kontrola pristupa i objave"?
  • Kako se može osigurati usklađenost sa zaštitom podataka?

Zaštita podataka vs. informacijska sigurnost

U svakom slučaju, pravi korak za svaku zahvaćenu organizaciju je uspostava djelotvornog sustava upravljanja zaštitom podataka - prilagođenog njezinim individualnim potrebama, ako je potrebno već s ciljem akreditirane certifikacije.

Dva pojma koja se često zamjenjuju u ovom kontekstu: Zaštita podataka i informacijska sigurnost su dva para cipela, čak i s preklapanjima (na primjer, razne mjere kontrole).  Na primjer, organizacije koje imaju sveobuhvatan sustav upravljanja informacijskom sigurnošću u skladu s ISO 27001 u određenoj mjeri pokrivaju temu zaštite podataka.

Ali čak i u tom slučaju postoji razlika koju se može otkriti i zatvoriti sa ili bez sustava upravljanja informacijskom sigurnošću koristeći gap analizu.

"Temeljna razlika između ove dvije teme: Informacijska sigurnost štiti podatke organizacije od zloupotrebe  trećih strana; zaštiti podataka cilj je zaštita osobnih podataka."

U kolovozu 2019. godine objavljena je nova norma ISO 27701 koja daje zahtjeve za zaštitu podataka u upravljanju informacijskom sigurnošću. ISO 27701 stoga pdređuje sustav upravljanja zaštitom podataka koji se temelji na ISO 27001, ISO 27002 (smjernice za mjere informacijske sigurnosti) i ISO 29100 (okvir za zaštitu podataka). ISO 27701 je dodatak normi ISO 27001. Certifikacija samo prema novoj normi nije moguća.

whitepaper-dqs-iso-27701-datenschutzmanagement

Upravljanje privatnošću podataka s ISO 27701

Zaštita podataka u kontekstu informacijske sigurnosti - zanimljiva tema? Saznajte više o standardu ISO 27701 od stručnjaka u našoj besplatnoj bijeloj knjizi.

Preuzmite bijelu knjigu o ISO 27701 besplatno

 

Usklađenost sa zaštitom podatka - prednosti

Dobivate

  • Pouzdane informacije o područjima za djelovanje
  • Znanje o skrivenom potencijalu
  • Više sigurnosti u djelovanju i pravna sigurnost u rukovanju podacima nakon primjene odgovarajućih mjera

 

Sigurnost - uz audit zaštite podataka DQS-a

Organizacije koje streme usklađenosti sa zaštitom podataka stoga trebaju napraviti sljedeće: upoznati se ili svoje službenike za usklađenost s tom temom što je prije moguće i odrediti svoj status quo gap analizom neovisnog tijela poput DQS-a.

Fokus takvog audita zaštite podataka je samo-procjena pregledom dokumentacije. Organizaciju se zatim provjerava na licu mjesta kako bi se utvrdilo je li usklađena s ključnim aspektima zaštite podataka. Izvještaj pokazuje postoji li potreba za djelovanjem, i ako da, koje su radnje potrebne.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

DQS gap analiza zaštite podataka

Koliko je napora potrebno za gap analizu? Saznajte besplatno i bez obveze.

How much work do you need to do for a GAP analysis? Find out free of charge and without obligation.

Pošaljite upit
Autor
Gert Krueger

Stručnjak i voditelj projekta za informacijsku sigurnost, BSI-KritisV i zaštitu podataka u DQS-u. Osim toga, dugogodišnji auditor za upravljanje kvalitetom i okolišem.

Imate li pitanja?

Tu smo za vas.
Obratite nam se