Na stronie francuskiego organu ochrony danych osobowych (CNIL) opublikowano informacje poświęcone nowej normie ISO 27701 określającej międzynarodowy standard dotyczący ochrony danych osobowych, poniżej tłumaczenie materiału, który dostępny jest na:
https://www.cnil.fr/en/iso-27701-international-standard-addressing-personal-data-protection
ISO 27701, międzynarodowy standard dotyczący ochrony danych osobowych
W sierpniu 2019 została opublikowana międzynarodowa norma ISO, która określa system zarządzania i wymagania bezpieczeństwa dla przetwarzania danych osobowych. Opiera się ona na innych dwóch normach bezpieczeństwa informacji i rozszerza je o ochronę danych osobowych:
- ISO 27001, która zapewnia certyfikację systemu zarządzania bezpieczeństwem informacji;
- ISO 27002, która zawiera wytyczne dotyczące wdrażania niezbędnych środków bezpieczeństwa.
Aby znormalizować i zwiększyć ochronę danych osobowych na poziomie międzynarodowym, norma 27701 definiuje następujące kwestie:
- rozszerza systemy zarządzania bezpieczeństwem informacji o specyfikę przetwarzania danych osobowych:
- określenie roli organizacji jako administratora danych i / lub procesora danych;
- ujednolicenie zarządzania ryzykiem w zakresie ryzyka dla organizacji i osób, których dane dotyczą;
- wyznaczenie inspektora ochrony danych (w ISO 27701, „inspektor prywatności”);
- budowanie świadomości pracowników, klasyfikacja informacji, ochrona przenośnych dysków, zarządzanie dostępem, szyfrowanie danych, kopie zapasowe, rejestrowanie zdarzeń;
- warunki przesyłania danych, uwzględnienie prywatności w fazie projektowania i domyślna ochrona prywatności, zarządzanie incydentami;
- zgodność z wymogami prawnymi i regulacyjnymi itp.
- przewiduje szczególne środki przetwarzania danych osobowych w odniesieniu do roli organizacji (jako administratora, podmiotu przetwarzającego lub podwykonawcy):
- podstawowe zasady: cel przetwarzania, podstawa prawna, pozyskiwanie i wycofywanie zgody, rejestracja operacji przetwarzania, ocena skutków dla prywatności;
- prawa osób, których dane dotyczą: powiadomienie, dostęp, poprawianie, usuwanie, automatyczne decyzje;
- prywatność w fazie projektowania i domyślna ochrona prywatności: minimalizacja, de-identyfikacja i usuwanie danych, retencja danych;
- umowy podwykonawstwa, transfery danych i udostępnianie danych.
Norma ta została opracowana przy udziale ekspertów z całego świata oraz z Europejskiej Rady Ochrony Danych i kilku organów nadzorczych ds. ochrony danych osobowych. Podczas jej tworzenia uwzględniono nie tylko wymagania RODO, a także inne akty prawne dotyczące ochrony danych osobowych, w tym także z poza Europy (np. z Australii, Brazylii, USA – Kalifornii, Kanady). Porównanie podobieństwa normy 27701 z RODO znajduje się w załączniku, który mapuje każdą klauzulę normy z odpowiednim artykułem RODO. Wdrożenie systemu zarządzania ochroną danych jest kluczowe dla ogólnych wymagań dotyczących odpowiedzialności w RODO.
Podsumowując, ISO 27701 jest ogólnoświatowym standardem: nie jest on specyficzny dla RODO ani jako taki nie stanowi instrumentu certyfikacji RODO, jak opisano w art. 42 Rozporządzenia. Stanowi ona jednak jedną z najnowszych metodyk dla ochrony prywatności, która pozwoli organizacjom stosującym ją, zwiększyć ich dojrzałość i wykazać aktywne podejście do ochrony danych osobowych.
Norma ISO/IEC 27001:2019 Techniki bezpieczeństwa – Rozszerzenie do ISO / IEC 27001 i ISO / IEC 27002 w zakresie zarządzania informacjami o prywatności – Wymagania i wytyczne [ISO/IEC 27701:2019 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines] jest dostępna w języku angielskim bezpośrednio ze strony ISO: https://www.iso.org/standard/71670.html.