Obowiązujące od maja 2016 roku, w trakcie wdrażania od maja 2018 roku - unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych (GDPR) wciąż pozostawia wiele firm zastanawiających się: Czy dotyczy nas to rozporządzenie? A jeśli tak: jak osiągnąć pewność prawną? I co możemy zrobić dla zgodności z ochroną danych?
Od maja 2018 roku firmy, które przetwarzają dane osobowe - a jest ich całkiem sporo - muszą być przygotowane na złapanie srogiej fifki. Kary za naruszenia danych mogą być znaczące. I to zawsze, jeśli nie będą w pełni zgodne z wymogami nowego GDPR. Ponadto nowa wersja niemieckiej federalnej ustawy o ochronie danych(BDSG) uzupełnia i uzasadnia GDPR. Tutaj jednak wszędzie dominuje niepewność:
- Czym w ogóle są "dane osobowe"?
- Czy jesteśmy "podmiotem odpowiedzialnym" zgodnie z GDPR?
- Kto jest "podmiotem danych"?
- Co dokładnie oznacza "zautomatyzowane przetwarzanie" danych osobowych?
- Czy musimy wyznaczyć inspektora ochrony danych?
Jakie środki muszą być wdrożone
Lista pytań dotyczących zgodności z ochroną danych, na które trzeba odpowiedzieć, jest długa.
Prawdą jest, że definicje pojęć używanych w rozporządzeniu można znaleźć w listach FAQ. Nie musi to jednak gwarantować jasności w odniesieniu do konkretnego znaczenia dla poszczególnych przedsiębiorstw. Najpóźniej, gdy czeka nas wdrożenie i przestrzeganie niezbędnych (bo wymaganych) środków i obowiązków przez pracowników, muszą istnieć właściwe odpowiedzi na takie pytania, jak na przykład:
- Co to są "środki techniczno-organizacyjne"?
- Kiedy są one konieczne?
- Co z "proporcjonalnością"?
- Co z wieloma "kontrolami" wymaganymi przez GDPR, takimi jak "kontrola dostępu lub ujawniania danych"?
- Jak można zapewnić zgodność z ochroną danych?
Ochrona danych a bezpieczeństwo informacji
W każdym przypadku właściwym krokiem dla firmy dotkniętej problemem jest utworzenie skutecznego systemu zarządzania ochroną danych - dostosowany do jej indywidualnych potrzeb, w razie potrzeby już z myślą o akredytowanej certyfikacji.
Co często jest tu mylone: Ochrona danych i bezpieczeństwo informacji to dwie pary butów, nawet jeśli się pokrywają (na przykład różne środki kontroli). Na przykład firmy, które posiadają w pełni kompleksowy system zarządzania bezpieczeństwem informacji (ISMS) zgodny z ISO 27001 pokrywają w pewnym stopniu temat ochrony danych.
Ale nawet w tym przypadku pozostaje delta, którą można odkryć i zamknąć za pomocą analizy luk z systemem ISMS lub bez niego.
"Podstawowa różnica między tymi dwoma tematami: Bezpieczeństwo informacji chroni dane firmy przed niewłaściwym wykorzystaniem przez osoby trzecie; ochrona danych ma na celu ochronę danych osobowych."
W sierpniu 2019 r. z ISO 27701 opublikowano nową normę, która formułuje wymagania dotyczące ochrony danych w zarządzaniu bezpieczeństwem informacji. ISO 27701 określa zatem system zarządzania ochroną danych oparty na ISO 27001, ISO 27002 (wytyczne dotyczące środków bezpieczeństwa informacji) i ISO 29100 (ramy ochrony danych). ISO 27701 jest uzupełnieniem ISO 27001. Certyfikacja według samej nowej normy nie jest możliwa.
Zgodność z ochroną danych - korzyści
Otrzymują Państwo
- Rzetelne informacje o obszarach wymagających działania
- Wiedzę o ukrytym potencjale
- Większe bezpieczeństwo działania i pewność prawną w postępowaniu z danymi po wdrożeniu odpowiednich środków
Po bezpiecznej stronie - dzięki audytowi ochrony danych przeprowadzonemu przez DQS
Firmy dążące do zapewnienia zgodności z przepisami w zakresie ochrony danych powinny zatem zrobić dwie rzeczy: jak najszybciej zapoznać się z tym tematem lub swoich pełnomocników ds. zgodności i zlecić niezależnemu podmiotowi, takiemu jak DQS, określenie stanu rzeczy w formie analizy luk.
Głównym punktem takiego audytu ochrony danych jest samoocena z przeglądem dokumentów. Następnie przedsiębiorstwo jest sprawdzane na miejscu, aby określić, czy spełnia ono istotne aspekty ochrony danych. Raport pokazuje, czy istnieje potrzeba działania, a jeśli tak, to jakie działania są wymagane.
DQS Analiza luk w ochronie danych
Ile pracy trzeba włożyć w analizę GAP? Dowiedz się bezpłatnie i bez zobowiązań.
Newsletter DQS
Gert Krueger
Ekspert i kierownik projektów w zakresie bezpieczeństwa informacji, BSI-KritisV i ochrony danych w DQS. Ponadto wieloletni audytor w zakresie zarządzania jakością i środowiskiem.