Víte, že... ISO 27001 výrazně usnadní implementaci GDPR?

ISO 27001 má s GDPR mnoho společného. Určitě víc, než se vám na první pohled zdá. Jak může ISO 27001 pomoci se zajištěním shody EU Nařízením GDPR?

GDPR v účinnosti od 25.5.2018

Již 25. května tohoto roku nabude plné účinnosti evropské nařízení o ochraně osobních údajů, General Data Protection Regulation (GDPR).

To bude přímo účinné ve všech členských státech Evropské unie a nahradí dosavadní vnitrostátní předpisy. Jednou ze skutečných novinek, kterou GDPR přináší, je tzv. princip doložitelné odpovědnosti (accountability), podle které je každá organizace, která zpracovává osobní údaje, nejen povinna dodržovat všechna povinnosti, které jí GDPR ukládá, ale také průběžně dokumentovat a být schopna doložit, že tato pravidla plní.

Pokud by správce údaje svůj soulad s GDPR nebyl schopen doložit, vystavuje se riziku sankce až do výše 20 milionů EUR nebo 4 % z celosvětového obratu skupiny za předchozí finanční rok, podle toho, která částka bude vyšší.

GDPR není jediným ani prvním předpisem či rámcem, který s průběžným dokumentováním činnosti organizace v oblasti bezpečnosti dat počítá. Jako příklad dalšího můžeme uvést standard ISO řady 27000, který upravuje systém řízení bezpečnosti informací (Information Security Management System), resp. ISMS.

Jak ISO 27001 pomáhá implementovat požadavky GDPR

Pro řádnou implementaci GDPR nejsou stanoveny konkrétní požadavky na bezpečnost dat. GDPR ponechává na každém správci a zpracovateli osobních údajů, aby posoudil rizikovost jím prováděného zpracování a na základě rozsahu osobních údajů, které zpracovává, jejich citlivosti, účelu a zvolených prostředků sám určil, jaká technická a organizační opatření na ochranu dat přijme.

Klíčové je, obdobně jako při zavádění systému řízení bezpečnosti informací dle ISO řady 27000, zajistit integritu, důvěrnost a dostupnost osobních údajů. Pokud ale správce nebo zpracovatel přijmou opatření nedostatečná a dojde k úniku nebo zneužití dat, budou za tento následek samozřejmě odpovědní.

ISO řady 27000 a GDPR jsou dva odlišné nástroje, byť jejich cíl je do určité míry podobný.

Nelze říci, že ten, kdo je certifikován dle systému řízení bezpečnosti informací, je v plném rozsahu v souladu s GDPR, a neplatí to ani naopak. Přesto lze najít užitečné synergie, které mohou implementaci GDPR usnadnit a zefektivnit.

Zejména u těch správců či zpracovatelů, kteří provádějí rozsáhlé zpracování osobních a citlivých údajů, jako je v oblasti zdravotnictví, finančních služeb, telekomunikací, ale i veřejné správě, může být právě ISO 27001 tím nejvhodnějším nástrojem k zajištění zabezpečení osobních údajů tak, jak to GDPR vyžaduje.

Nástroje, které ISO 27001 zavádí, lze pak přímo, nebo s mírnou úpravou, použít i pro splnění dalších povinností dle GDPR (analýza rizik, postupy pro jejich ošetření, vnitřní předpisy, pravidelná kontrola dodržování nastavených pravidel, vzdělávání zaměstnanců atd.)


Tak, jako je ISMS Interní Auditor / Manažer v organizaci zodpovědný za návrh a implementaci procesů, integraci do vnitřních směrnic, návrh pro úpravu právních předpisů, ale i úpravu v IT systémech - je Pověřenec pro ochranu osobních údajů ideálním rozšířením kompetencí pro integraci obou standardů do vnitřního uceleného systému řízení organizace. 

Chcete si doplnit potřebnou kvalifikaci pro ISMS standard i GDPR Nařízení? Více informací o rozsahu a obsahu obou školení najdete zde 

ISMS Foundation  Pověřenec pro ochranu osobních údajů

Chcete získat dárek k narozeninám?