Przygotowujemy się do wdrożenia w naszym przedsiębiorstwie rozporządzenia RODO oraz przepisów polskiej ustawy o ochronie danych osobowych. Zastanawiamy się, czy nie warto przy tym wdrożyć certyfikatu ISO 27001. Taką propozycję podsunął nam jeden z naszych doradców. Czy ten certyfikat może być pomocny w procesie przystosowywania firmy do unijnego rozporządzenia?
W ramach ogólnego unijnego rozporządzenia o ochronie danych (RODO), które wchodzi w życie w maju 2018 r., organizacje poszukują sposobów wykazania zgodności i uniknięcia ewentualnych wysokich kar. W osiągnięciu zgodności z wymaganiami RODO pomagać mają zasadniczo takie mechanizmy, jak wdrożenie kodeksu postępowania, które będą opracowane przez poszczególne branże, czy uzyskanie certyfikatu zgodności z RODO. Są to mechanizmy przewidziane wprost w treści rozporządzenia.
Normy a wymogi rozporządzenia
Niezależnie od tych mechanizmów, do prawidłowego wdrożenia RODO mogą się przyczynić także wspomniane normy techniczne ISO z grupy 27001. Są to normy międzynarodowe standaryzujące systemy zarządzania bezpieczeństwem informacji. Wiele firm przetwarzających dane osobowe, planując system bezpieczeństwa informacji w ramach swojej organizacji, opiera się właśnie na tych normach lub je wprost implementowało.
Firmy, które już to uczyniły, będą miały ułatwione zadanie przy pracach mających na celu przystosowanie się do RODO. Normy z serii ISO 27001 szczegółowo regulują bowiem kwestie identyfikacji, zarządzania i monitorowania ryzykiem, ujawnienia informacji z wykorzystaniem dogłębnej i wielowątkowej analizy ryzyka. Obejmują one różne obszary działania przedsiębiorstwa: kadrę, procesy, infrastrukturę, a nawet systemy informatyczne przedsiębiorstwa.
Przykładowo w normie ISO/IEC 27001:2014 wyróżniono 13 obszarów mających wpływ na bezpieczeństwo informacji w organizacji. Są wśród tych obszarów zabezpieczeń: polityka bezpieczeństwa, organizacja bezpieczeństwa informacji, zarządzanie aktywami, bezpieczeństwo zasobów ludzkich, bezpieczeństwo fizyczne i środowiskowe, kryptografia, kontrola dostępu, zarządzanie ciągłością działania, pozyskiwanie, rozwój i utrzymanie systemów informatycznych, relacja z dostawcami, zarządzanie incydentami związanymi z bezpieczeństwem informacji, zgodność z wymaganiami prawnymi i przeglądy bezpieczeństwa informacji.
Tak więc chociaż wspomniane normy ISO nie odnoszą się wprost do informacji będących danymi osobowymi, są w praktyce często wykorzystywane właśnie do zapewnienia bezpieczeństwa ochrony danych osobowych. Co istotne, w ramach ISO w jednej z powyżej wskazanych grup (obszarów) zabezpieczeń znajdują się mechanizmy zapewniające zgodność z wymaganiami prawnymi. Widać zatem, że ewentualne luki, jakie mogą powstać przy wdrażaniu normy w celu zachowania zgodności z RODO, uzupełnione zostaną właśnie przez wdrożenie wskazanej grupy – zgodności z wymaganiami prawnymi. W pozostałym zakresie odpowiednie normy ISO mogą zaś znaleźć bezpośrednie zastosowanie w implementacji RODO na zasadach przedstawionych na poniższych przykładach.
Podobieństwa
Podstawowym elementem stanowiącym fundament bezpieczeństwa danych osobowych jest ocena ryzyka przeprowadzona w celu zabezpieczenia ujawnienia danych osobowych w danej organizacji. RODO wymaga w tym zakresie zastosowania przed przetwarzaniem danych osobowych dokonania oceny skutków dla ochrony danych (private impact assessment). W ramach normy ISO znajduje się obszerny i drobiazgowy opis oceny ryzyka, który obejmuje identyfikację zagrożeń, a następnie znalezienie odpowiednich mechanizmów, aby uniknąć ich wystąpienie w przyszłości.
W dalszej kolejności, jednym z podstawowych obowiązków nałożonych na administratorów w ramach RODO jest zawiadomienie organu ochrony danych osobowych o naruszeniu danych w ciągu 72 godzin od chwili stwierdzenia owego naruszenia (o ile skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych). ISO reguluje zaś analogiczny proces zarządzania incydentami bezpieczeństwa informacji (np. wyciekami danych). Dodatkowo w ramach normy wskazane są obowiązki zidentyfikowania i zaimplementowania takich ulepszeń, aby w przyszłości nie dochodziło do takich incydentów.
Z kolei nowa wersja ISO 27001 z 2014 r. w znacznym stopniu reguluje tak powszechne zjawisko, jak outsourcing danych. W ramach outsourcingu norma ISO wymaga ochrony danych udostępnionych innym podmiotom (dostawcom). W RODO zaś obszar ten dotyczy zwłaszcza problematyki powierzania przetwarzania danych osobowych. W obu regulacjach znajdują się zatem wymagania wskazujące na obowiązek zabezpieczenia danych powierzonych. Różnice polegają na tym, że RODO wymaga m.in., aby podmiot, któremu zostały powierzone dane osobowe, zachował bezpieczeństwo tego przetwarzania, natomiast norma ISO zawiera konkretne wytyczne odnośnie do analizy już potencjalnych dostawców oraz nakazuje uwzględniać relacje z dostawcami w analizie ryzyka bezpieczeństwa informacji.
Konieczna analiza
Powyższa analiza konkretnych zastosowań norm ISO potwierdza, że normy te w praktyczny sposób wskazują, jak zarządzać implementacją wymagań RODO. RODO niejednokrotnie wyznacza jedynie cel, który należy osiągnąć, bez wskazania konkretnych środków do jego realizacji. Środków tych można zaś skutecznie poszukiwać w mechanizmach zapewnionych w ramach normy ISO z grupy 27001.
Zgodnie choćby z preambułą RODO: „Ochrona praw i wolności w związku z przetwarzaniem danych osobowych wymaga odpowiednich środków technicznych i organizacyjnych. Aby móc wykazać przestrzeganie rozporządzenia, administrator powinien przyjąć wewnętrzne polityki, wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania (ang. privacy by design) oraz z zasadą domyślnej ochrony danych (ang. privacy by default)”. Jak wykazać spełnienie powyższych zasad w praktyce – RODO już nie precyzuje. W tych przypadkach pomocne mogą się okazać wskazówki zawarte w normach ISO.
Podsumowując, wdrożenie ISO może zatem znacznie ułatwić implementację RODO. Nie uchroni jednak od konieczności jego wnikliwej analizy i odpowiedniego dopasowania obu regulacji. To zadanie musi wykonać każda organizacja oddzielnie, zgodnie z indywidualnymi uwarunkowaniami. Chociaż nie ma podstaw do tego, aby twierdzić, że przyszły organ kontroli danych osobowych będzie uwzględniał wdrożenie ISO jako bezpośrednie świadectwo zgodności, to jednak nie ulega wątpliwości, że odpowiednio wdrożona norma ułatwi wykazanie spełnienia zgodności z wymagającymi postanowieniami RODO.
!Aby móc wykazać przestrzeganie rozporządzenia RODO, administrator powinien przyjąć wewnętrzne polityki, które są zgodne z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych.