Úton a GDPR tanúsítvány felé? – Új adatvédelmi ISO szabvány
2019 augusztusában a Nemzetközi Szabványügyi Szervezet (ISO) kiadta az első személyes adatok védeleméről szóló globális szabványt, az ISO/IEC-27701:2019-et (Privacy Information Management Systems (PIMS) szabványt).
A szabvány jelentősége, hogy meghatározza egy szervezeten belül a személyes adatvédelemre vonatkozó adatvédelmi irányítási rendszer létrehozásának és fenntarthatóságának gyakorlati követelményeit, azaz a személyes adatok védelmének irányítási rendszerét.
A szabvány különlegességét adja, hogy megalkotására azzal a nem titkolt céllal került sor, hogy a GDPR 42. cikke szerinti tanúsítvány létrehozásnak alapja legyen. Kialakítását egy adatvédelmi szakértőkből, adatvédelmi hatóságokból, információbiztonsági szakértőkből és iparági képviselőkből álló bizottság alakította ki, amely elősegítette, hogy a PIMS szabvány nem csupán a GDPR-on, de számos tagállami adatvédelmi jogszabályok ismeretén és információbiztonsági jó gyakorlatokon és sztenderdeken alapuljon.
„A PIMS tanúsítvány egyértelmű út a GDPR szerinti tanúsítási mechanizmusig, amely igazolni tudja mind az ügyfelek, mind a munkavállalók és egyéb harmadik személyek felé, hogy a tanúsítvánnyal rendelkező társaság a GDPR követelményeinek megfelelően működik. Érdemes tehát a PIMS tanúsítvány megszerzésére mielőbb felkészülni, mely éppúgy jelenthet védelmet, mint üzleti előnyt is a személyes adatokat kezelő vállalkozásoknak”
– mondta Dr. Bánczi Lea, a Deloitte Legal ügyvédje.
A szabvány az ISO/IEC 27001 Információbiztonsági Irányítási Rendszer szabvánnyal már rendelkező vállalatok számára érhető el, a szükséges tanúsítási folyamatot követően. Olyan kézzelfogható gyakorlati iránymutatásokat, követelményeket és intézkedéseket fogalmaz meg, amelyek biztosításával elősegíthető egy gyakorlati szinten működő GDPR-nak megfelelő adatvédelmi rendszer kialakítása. Ez köszönhető annak is, hogy a GDPR alapelvi keretrendszerét konkrét kontrollokra és megoldásokra fordítja le. Ez a megoldás segíti a csoportszintű vállalkozásokat is abban, hogy egy globális adatvédelmi keretrendszert alakítsanak ki, helyi lokális szabályoknak való megfeleltetési lehetőséggel.
„Az ISO/IEC 27701 folyamatokat határoz meg és útmutatót ad a személyazonosító adatok védelmére. Mivel ez egy irányítási rendszer, meghatározza az adatvédelem folyamatos fejlesztésének folyamatait, amely különösen fontos egy olyan világban, ahol a technológiai fejlődés nem áll meg.”
– mondta dr. Andreas Wolf, a szabványt kidolgozó ISO/IEC bizottság elnöke.
A szabvány további célja, hogy informatikai oldalról is iránymutatást adjon a szükséges technikai intézkedések bevezetésére. Az információbiztonságot magában foglaló fejezetek alapvetően az ISO 27001 „A” mellékletében definiált és az ISO 27002-ben kifejtett kontrollokból építkeznek, azonban azok alkalmazásán túl, további követelményeket fogalmaz meg.
„Az eddigi tapasztalataink azt mutatják, hogy számos technikai és megvalósíthatósági probléma merül fel az adatbiztonsági kontrollok technológiai bevezetése és működtetése során, pl. az adatok transzparens osztályozása, informatikai rendszerek jogosultságkezelése, a személyes adatokat tároló rendszerek naplózása és naplóelemzése, az adatszivárgás figyelése, vagy akár a tényleges adattörlési képesség megvalósítása. Véleményünk szerint a szabványt implementáló és a tanúsítványt megszerezni szándékozó szervezetek immáron ismerős struktúrában, egy tematikailag rendszerezett keretrendszer alapján lesznek képesek a technikai kontrollok kialakítására és bevezetésére a szabvány segítségével”
– mondta Szöllősi Zoltán, a Deloitte információbiztonsági szakértője.