Standard ISO 27701 a ochrona danych osobowych

W jakim stopniu, po trzech latach od wejścia w życie RODO, udało się firmom dostosować do zawartych w nim wymagań? Zdaniem audytorów oceniających zgodność oraz kompletność wprowadzonych w organizacjach rozwiązań i zabezpieczeń w odniesieniu do wymagań zawartych w Rozporządzeniu – wiele jeszcze zostało do zrobienia.

W tej sytuacji pomocą dla wielu firm jest norma ISO 27701. Jej pełna nazwa to: ISO / IEC 27701: Techniki bezpieczeństwa – rozszerzenie do ISO / IEC 27001 i ISO / IEC 27002 w zakresie zarządzania informacjami dotyczącymi prywatności – Wymagania i wytyczne. Norma została opublikowana w sierpniu 2019 roku.

Budowa i doskonalenie Systemu Zarządzania Ochroną Danych Osobowych według normy ISO 27701 – z uwzględnieniem obowiązujących wymagań i regulacji prawnych – to dobry sposób na pokazanie interesariuszom, że prawidłowo, kompleksowo i aktywnie podchodzimy do ochrony ich danych osobowych.

Prywatność vs bezpieczeństwo informacji vs ochrona danych osobowych.

Warto przyjrzeć się pojęciom takim, jak: prywatność, bezpieczeństwo informacji i ochrona danych osobowych. Czy są tożsame? A jeżeli nie – czy coś je łączy?

1. Prywatność.

Pod tym pojęciem rozumiemy pewną zdolność jednostek i/lub grup do utrzymywania swoich danych, osobistych zwyczajów i zachowań w taki sposób, żeby nie były one ujawniane publicznie, czy osobom postronnym.

Prywatność jest wsparta przez normę ISO 29100, która stanowi dla niej strukturę ramową (framework), jak również przez normę ISO 29151 zawierającą wytyczne zasad danych identyfikujących osobę (PII – Personally Identifiable Information). Pewne elementy tych norm możemy w chwili obecnej zaobserwować m.in. w wytycznych Europejskiej Rady Ochrony Danych.

1. Bezpieczeństwo informacji.

Ochrona danych nie jest tożsama z bezpieczeństwem informacji, gdzie – według modelu norm serii ISO 27000 – na bezpieczeństwo informacji składają się zawsze co najmniej 3 aspekty związane z:

a) poufnością;

b) dostępnością;

c) integralnością.

W przypadku ochrony danych mogą być brane pod uwagę inne aspekty, jak chociażby;

– aspekt niezaprzeczalności,

– aspekt rozliczalności (jaki mamy w RODO), czy też

– aspekty ściśle powiązane z kontekstem, specyfiką organizacji.

1. Ochrona danych osobowych

Norma ISO 27701 dotyczy danych identyfikujących osobę (PII – Personally Identifiable Information). Czy jest to tożsame z danymi osobowymi? I tak, i nie. Rozumienie i definiowanie tych pojęć zależy bowiem od kontekstu, od tego, co jest przedmiotem naszego rozważania, tym nie mniej mamy tutaj pewne elementy wspólne.

Można powiedzieć, że norma ISO 27701 zawiera elementy ochrony danych, które są związane z wymaganiami RODO. Jeżeli organizacja będzie widziała w tym wartość i podejmie taką decyzję – może łącznie wdrożyć jej wymagania w powiązaniu z wymaganiami RODO. Pozwoli to bardziej skutecznie chronić przetwarzane dane, w tym dane osobowe.

Istota i powiązania normy ISO 27701

W ramach struktury normy ISO 27701 zawarte są:

– aspekty bezpieczeństwa informacji,

– elementy i aspekty prywatności,

– aspekty ochrony danych.

Norma ta jest swego rodzaju „nakładką” na normę ISO 27001 i zawiera dodatkowe wymagania odnośnie systemu zarządzania w rozdziałach 4- 10 normy ISO 27001, jak również dodatkowe zabezpieczenia, które powinny być stosowane dla dwóch obszarów:

1. dla administratorów przetwarzających dane identyfikujące osobę;
2. dla podmiotów przetwarzających (tzw. procesorów), które na zlecenie administratora przetwarzają dane identyfikujące osobę.

Do załącznika normatywnego A normy ISO 27001 odnosi się z kolei norma ISO 27002. Dotyczy ona zabezpieczeń, które na podstawie oceny ryzyka powinny być wdrożone w oparciu o ten załącznik.

O normach ISO 27001 i ISO 27002 można powiedzieć, że jest to tzw. spójna para norm: pierwsza zawiera wymagania, druga wytyczne wdrożenia.

ISO 27701 – to bardzo ciekawa norma, gdyż w ramach struktury zawiera zarówno wymagania, jak i wytyczne dotyczące tego, jak w praktyce wdrożyć te wymagania. Jest tym samym zbiorem dodatkowych wymagań i wytycznych do norm ISO 27001 i ISO 27002.

Norma ISO 27701, stawiając wymagania, które mogą być certyfikowane, zwraca uwagę na System Zarządzania Ochroną Prywatności, gdzie aspekty prywatności bardzo mocno nakładają się na wymagania dotyczące ochrony danych osobowych.

Norma ISO 27701 i jej powiązania z wymaganiami RODO – poszerzanie kompetencjI

Wiedzę na temat tego, w jaki sposób można powiązać wymagania Rozporządzenia o ochronie danych osobowych z normami serii ISO 27000, można zdobyć podczas szkolenia: ISO 27701 – System Zarządzania Ochroną Danych Osobowych. Uczestnicy szkolenia nie tylko zapoznają się z różnicami terminologicznymi, poznają wymagania normy w odniesieniu do norm ISO 27001 i ISO 27002, ale nabywają również wiedzę o wytycznych zawartych w normie.  Podczas szkolenia trener opowiada m.in. o swoich doświadczeniach w audytowaniu i o tym, jak jego zdaniem organizacje poradziły sobie z realizacją wymagań zawartych w RODO. Dokonuje także porównania artykułów RODO z określonymi zabezpieczeniami, czy to z normy ISO 27701, czy też w powiązaniu z normą ISO 27001.

Certyfikacja na zgodność z normą ISO 27701

Organizacje, dla których istotna jest certyfikacja systemów zarządzania, w tym certyfikacja Systemu Ochrony Danych Osobowych, na który wskazuje nam RODO, mogą zwrócić się do jednostek certyfikujących takich jak np. CIS-CERT.

Certyfikacja dotyczy oceny zgodności rozwiązań wprowadzanych w organizacjach z wymaganiami konkretnej normy ISO, a w przypadku ochrony danych osobowych również na kryteriach certyfikacji związanych z RODO.
Na polskim rynku CIS-CERT jest obecnie jedną z niewielu jednostek certyfikujących, które posiadają akredytację na zgodność z normą ISO 27701.

Co oznacza akredytacja?

Jest to potwierdzenie kompetencji danej jednostki (np. certyfikującej osoby, czy systemy) do podejmowania działań w określonym zakresie. Obszar kompetencji wynikający z zakresu akredytacji ma swoje odzwierciedlenie w wydanym certyfikacie. Jeżeli firma chce podjąć decyzję o certyfikacji ochrony danych osobowych w organizacji, to niewątpliwie norma ISO 27701, która bazuje na rdzeniu systemu zarządzania wg normy ISO 27001, może ułatwić i bardziej skutecznie przeprowadzić ten proces tak, aby skutecznie chronić przetwarzane dane osobowe. Dodatkowo uzyskany przez organizację certyfikat jest potwierdzeniem dla jej interesariuszy, że organizacja ta w aktywny i właściwy sposób podchodzi do ochrony ich danych osobowych.

Norma ISO 27701 a RODO – podsumowaniE

Norma ISO 27701 dotyczy danych identyfikujących osobę. Jest to punkt odniesienia do pojęcia danych osobowych, czyli aspektu normatywnego zawartego w normach serii ISO 27000.

Porównując pojęcie danych identyfikujących osobę oraz pojęcie danych osobowych według RODO można stwierdzić, że nie są to pojęcia tożsame, ale posiadają one elementy wspólne. Części normy ISO 27701 związane z prywatnością odnoszą się do wytycznych normy ISO 29100, która jest związana z praktycznymi zasadami ochrony informacji o identyfikowalnych osobach.  Norma ISO 27701 zawiera również odniesienia do wytycznych dotyczących oceny skutków dla prywatności zawartych w normie ISO 29134.

W ramach struktury normy ISO 27701 można wyróżnić aspekty bezpieczeństwa informacji, elementy i aspekty prywatności, jak również ochrony danych. Stanowi ona zbiór dodatkowych wymagań i wytycznych do norm ISO 27001 i ISO 27002.

Norma ISO 27701 bazuje na wspólnych elementach, które:

1.  są związane z ochroną poufności przetwarzanych danych identyfikujących osobę,
2. uwzględniają ocenę ryzyka,
3. definiują i stawiają wymagania związane z przypisaniem uprawnień
   i odpowiedzialności z naciskiem na odpowiedzialności osób zaangażowanych w proces przetwarzania danych identyfikujących osobę,
4. bazują również na aspekcie dokumentacji w formie udokumentowanych informacji, które w odniesieniu do wymagań RODO wspierają aspekt rozliczalności (czyli zdolności administratora do wykazania zgodności
   z wymaganiami RODO),
5. stawiają dodatkowe wymagania dla administratora, gdzie w ramach struktury tych wymagań wchodzą aspekty obowiązku informacyjnego oraz określone wymagania kontraktowe związane z relacjami
   z podmiotem przetwarzającym (procesorem),
6. uwzględniają respektowanie praw osób, których dane są przetwarzane,
7. uwzględniają aspekt prywatności w ustawieniach domyślnych,
8. uwzględniają aspekt ochrony danych identyfikujących osoby w fazie projektowania.

Tam, gdzie mamy wymagania dotyczące podmiotów przetwarzających (procesorów), występują aspekty, które:

1.  ograniczają zakres przetwarzanych danych na zlecenie administratora,
2. wymagają wsparcia administratora podczas realizacji praw i wolności osób fizycznych,
3. zwracają uwagę na aspekt przekazywania i ujawniania informacji związanych z naruszeniem przetwarzanych danych (w rozumieniu normy jest to incydent bezpieczeństwa informacji, w rozumieniu RODO jest to naruszenie danych),
4. zwracają uwagę na relacje z podwykonawcami.

Dopiero łączne potraktowanie czynników, o których była mowa w artykule, i konsekwentne wprowadzanie ich w życie, zapewni organizacji osiągnięcie skuteczności w postaci spełnienia wymagań prawnych, regulacyjnych itp., a dla interesariuszy i partnerów biznesowych będzie czytelnym sygnałem o prawidłowym i całościowym podejściu przez nią do ochrony danych osobowych.

Opracowanie na podstawie webinaru ” Jak chronić dane osobowe korzystając z normy ISO 27701″ z dnia 14 kwietnia 2021 r. zorganizowanego przez CIS – CERT przy współpracy z Quality Austria-Polska.