Obowiązujące od maja 2016 roku, w trakcie wdrażania od maja 2018 roku - unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych (GDPR) wciąż pozostawia wiele firm zastanawiających się: Czy dotyczy nas to rozporządzenie? A jeśli tak: jak osiągnąć pewność prawną? I co możemy zrobić dla zgodności z ochroną danych?

Loading...

Od maja 2018 roku firmy, które przetwarzają dane osobowe - a jest ich całkiem sporo - muszą być przygotowane na złapanie srogiej fifki. Kary za naruszenia danych mogą być znaczące. I to zawsze, jeśli nie będą w pełni zgodne z wymogami nowego GDPR. Ponadto nowa wersja niemieckiej federalnej ustawy o ochronie danych(BDSG) uzupełnia i uzasadnia GDPR. Tutaj jednak wszędzie dominuje niepewność:

  • Czym w ogóle są "dane osobowe"?
  • Czy jesteśmy "podmiotem odpowiedzialnym" zgodnie z GDPR?
  • Kto jest "podmiotem danych"?
  • Co dokładnie oznacza "zautomatyzowane przetwarzanie" danych osobowych?
  • Czy musimy wyznaczyć inspektora ochrony danych?

Jakie środki muszą być wdrożone

Lista pytań dotyczących zgodności z ochroną danych, na które trzeba odpowiedzieć, jest długa.

Prawdą jest, że definicje pojęć używanych w rozporządzeniu można znaleźć w listach FAQ. Nie musi to jednak gwarantować jasności w odniesieniu do konkretnego znaczenia dla poszczególnych przedsiębiorstw. Najpóźniej, gdy czeka nas wdrożenie i przestrzeganie niezbędnych (bo wymaganych) środków i obowiązków przez pracowników, muszą istnieć właściwe odpowiedzi na takie pytania, jak na przykład:

  • Co to są "środki techniczno-organizacyjne"?
  • Kiedy są one konieczne?
  • Co z "proporcjonalnością"?
  • Co z wieloma "kontrolami" wymaganymi przez GDPR, takimi jak "kontrola dostępu lub ujawniania danych"?
  • Jak można zapewnić zgodność z ochroną danych?

Ochrona danych a bezpieczeństwo informacji

W każdym przypadku właściwym krokiem dla firmy dotkniętej problemem jest utworzenie skutecznego systemu zarządzania ochroną danych - dostosowany do jej indywidualnych potrzeb, w razie potrzeby już z myślą o akredytowanej certyfikacji.

Co często jest tu mylone: Ochrona danych i bezpieczeństwo informacji to dwie pary butów, nawet jeśli się pokrywają (na przykład różne środki kontroli). Na przykład firmy, które posiadają w pełni kompleksowy system zarządzania bezpieczeństwem informacji (ISMS) zgodny z ISO 27001 pokrywają w pewnym stopniu temat ochrony danych.

Ale nawet w tym przypadku pozostaje delta, którą można odkryć i zamknąć za pomocą analizy luk z systemem ISMS lub bez niego.

"Podstawowa różnica między tymi dwoma tematami: Bezpieczeństwo informacji chroni dane firmy przed niewłaściwym wykorzystaniem przez osoby trzecie; ochrona danych ma na celu ochronę danych osobowych."

W sierpniu 2019 r. z ISO 27701 opublikowano nową normę, która formułuje wymagania dotyczące ochrony danych w zarządzaniu bezpieczeństwem informacji. ISO 27701 określa zatem system zarządzania ochroną danych oparty na ISO 27001, ISO 27002 (wytyczne dotyczące środków bezpieczeństwa informacji) i ISO 29100 (ramy ochrony danych). ISO 27701 jest uzupełnieniem ISO 27001. Certyfikacja według samej nowej normy nie jest możliwa.

 

Zgodność z ochroną danych - korzyści

Otrzymują Państwo

  • Rzetelne informacje o obszarach wymagających działania
  • Wiedzę o ukrytym potencjale
  • Większe bezpieczeństwo działania i pewność prawną w postępowaniu z danymi po wdrożeniu odpowiednich środków

 

Po bezpiecznej stronie - dzięki audytowi ochrony danych przeprowadzonemu przez DQS

Firmy dążące do zapewnienia zgodności z przepisami w zakresie ochrony danych powinny zatem zrobić dwie rzeczy: jak najszybciej zapoznać się z tym tematem lub swoich pełnomocników ds. zgodności i zlecić niezależnemu podmiotowi, takiemu jak DQS, określenie stanu rzeczy w formie analizy luk.

Głównym punktem takiego audytu ochrony danych jest samoocena z przeglądem dokumentów. Następnie przedsiębiorstwo jest sprawdzane na miejscu, aby określić, czy spełnia ono istotne aspekty ochrony danych. Raport pokazuje, czy istnieje potrzeba działania, a jeśli tak, to jakie działania są wymagane.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

DQS Analiza luk w ochronie danych

Ile pracy trzeba włożyć w analizę GAP? Dowiedz się bezpłatnie i bez zobowiązań.

Autor
Gert Krueger

Ekspert i kierownik projektów w zakresie bezpieczeństwa informacji, BSI-KritisV i ochrony danych w DQS. Ponadto wieloletni audytor w zakresie zarządzania jakością i środowiskiem.

Loading...