Kodeks dobrych praktyk w zakresie ochrony danych osobowych (ISO/IEC 29151:2017)

PII czy dane osobowe?

Definicja PII ukształtowała się w doktrynie i legislacji Stanów Zjednoczonych jako zestaw danych, który podlega szczególnej ochronie w kontekście równowagi pomiędzy działaniami handlowymi, a szkodą powstałą dla konsumenta. Definicja PII obejmuje węższy zakres informacji dotyczących osób niż definicja wynikająca z RODO. Różnice wynikają z odmiennych koncepcji systemów prawa (kontynentalnego  i common law). W Europie ochrona danych osobowych jest urzędowo chronionym, fundamentalnym prawem jednostki, natomiast w Stanach Zjednoczonych jest tylko jednym z elementów szeroko rozumianego prawa do prywatności jednostki, które może być dochodzone przez nią samą w postępowaniu cywilnym. Jednak na potrzeby tworzenia wewnętrznego systemu ochrony danych osobowych różnice te nie mają wielkiego znaczenia. Tym bardziej, że skuteczne tworzenie systemu ochrony danych osobowych wymaga zastosowania sprawdzonych rozwiązań, które znajdziemy właśnie w międzynarodowych normach bezpieczeństwa informacji.   

Rama systemu ochrony danych osobowych

Poza ww. dobrymi praktykami warto wspomnieć o nomie ISO 29100, która opisuje ramy systemu ochrony danych osobowych oraz poszczególne role i odpowiedzialności. Jednak ramy systemu ochrony danych osobowych w Europie zostały już ukształtowane przez same RODO. Innymi słowy ramy systemu ochrony danych opisane w normie ISO 29100 zostały stworzone po to by wskazać dobre praktyki tam, gdzie nie istnieją regulacje prawne w tym obszarze lub nie są one kompletne. Pozycja administratora danych osobowych, podmiotu przetwarzającego czy odbiorcy danych wraz z ich obowiązkami są określone w RODO i potrzeba precyzowania tego obszaru praktycznie nie istnieje. Jednak na niższym poziomie w samej organizacji RODO już tak głęboko nie sięga i tu pomocna staje się ww. norma. Role i odpowiedzialności poszczególnych osób w organizacji, procedury identyfikacji danych osobowych czy mechanizm domyślnej ochrony danych osobowych są elementami wewnętrznej struktury systemu ochrony danych osobowych zaczerpniętymi z norm międzynarodowych. Na tej płaszczyźnie pojawia się zapotrzebowanie w obszarze dobrych praktyk, które jest zaspokajane przez m.in. normę ISO 29151 czy ISO 29134.

Implementacja ISO 29151

Bazą systemu ochrony danych osobowych zgodnie z normą ISO 29151 są wymogi wynikające z normy ISO 27002, czyli praktyczne zasady zabezpieczania informacji. Założenie do tworzenia systemu ochrony danych osobowych jest takie, że istnieje już system bezpieczeństwa informacji i korzystając z wytycznych znajdujących się w normie ISO 29151 dodajemy do istniejącego systemu bezpieczeństwa informacji polityki i procedury dotyczące ochrony danych osobowych. Standardowo przy wdrażaniu systemu bezpieczeństwa informacji korzysta się z tzw. deklaracji stosowania, czyli dokumentu opisującego cele stosowania zabezpieczeń oraz zabezpieczenia, które odnoszą się i mają zastosowanie w SZBI (Systemie Zarządzania Bezpieczeństwem Informacji)  danej organizacji. To właśnie na poziomie deklaracji stosowania do poszczególnych wymogów dodawane są kolejne wynikające z normy ISO 29151. Poniżej przykład dodawania wymogów wynikających z normy ISO 29151 do deklaracji stosowania wynikającej z normy ISO 27001.

Image

Tabela 1. Przykład implementacji fragmentu normy ISO 29151 do deklaracji stosowania.

Posiadając konkretne wymogi w deklaracji stosowania jesteśmy w stanie przypisać im niezbędne polityki i procedury wynikające z ISO 29151. W ten sposób zaimplementowany system ochrony danych osobowych jest spójny z dotychczas wdrożonym systemem bezpieczeństwa informacji.

Osobna dokumentacja ochrony danych osobowych

Niestety znaczna część organizacji posiadająca wdrożony system bezpieczeństwa informacji zgodnie z normą ISO 27001 wciąż obawia się połączenia go z systemem ochrony danych osobowych. Konsekwencją tych obaw jest brak spójności i powielanie się wielu procedur. Przykładowo przed rozpoczęciem obowiązywania RODO organizacja opracowała i zatwierdziła osobną Politykę bezpieczeństwa danych osobowych, która przewiduje nowe funkcje (np. IOD czy właściciel procesu przetwarzania danych osobowych) i nowe procedury (np. domyślna ochrona danych osobowych czy procedura prowadzenia rejestru czynności przetwarzania). Jednak już po upływie kilku miesięcy, a najwyżej roku będzie można zaobserwować powielające się działania jak np. audyt adekwatności zastosowanych środków technicznych i organizacyjnych lub szkolenie personelu z bezpieczeństwa danych osobowych. Finałem tak stworzonego (sztucznie doklejonego) systemu ochrony danych osobowych jest ponoszenie dodatkowych kosztów przez organizację związanych z utrzymaniem dwóch systemów zamiast jednego. Różnice wynikające z ochrony danych osobowych i ochrony innych zasobów informacyjnych (np. tajemnica przedsiębiorstwa) nie są, aż tak wielkie by systemów tych nie dało się połączyć. Tu niestety pokutuje przekonanie, że niepraktycznie jest łączyć wymogi wynikające z dobrych praktyk, za nieprzestrzeganie, których nie ma konsekwencji z wymogami prawa, które przewidują nadzór organu państwowego. Warto wykorzenić to przekonanie, gdyż jest ono całkowicie nieprawdziwe i co więcej powoduje dodatkowe obciążenie dla organizacji, którego można uniknąć.

Certyfikacja ISO 27001 zgodnie z RODO

RODO przewiduje nowe mechanizmy mające dostarczyć dowody zgodności każdej organizacji w obszarze ochrony danych osobowych jak certyfikacja zgodności z RODO (przez podmiot akredytowany przez Polskie Centrum Akredytacji lub PUODO) czy też zatwierdzone kodeksy branżowe. Oba mechanizmy mają na celu zapewnienie pewności obrotu danymi osobowymi pomiędzy podmiotami. O ile przystąpienie do stosowania kodeksu branżowego nie zawsze jest łatwe do implementacji, a dodatkowo nie każda branża zamierza taki kodeks wypracować, o tyle certyfikacja zgodności z RODO jest mechanizmem prostszym i już powszechnie znanym. Najprostsza droga do posiadania w przyszłości certyfikatu zgodności z RODO prowadzi właśnie przez normę ISO 29151. Zgodność organizacji z międzynarodowym standardem w obszarze ochrony danych osobowych pozwoli zdecydowanie łatwiej uzyskać certyfikat zgodności z RODO. Tym bardziej, że jednostki, które będą akredytowane do wydawania certyfikatów zgodności z RODO to z reguły te same jednostki, które obecnie posiadają akredytację na certyfikację zgodności z normami ISO (w szczególności ISO 27001 oraz ISO 22301). Warto stosować rozwiązania, które zostały sprawdzone, obniżają koszty i ostatecznie pozwalają na szybsze i łatwiejsze zdobycie certyfikatu potwierdzającego zgodność z RODO, który może stanowić solidną przewagę konkurencyjną.

Od czego zacząć implementację?

Można wyodrębnić dwa podejścia do wdrażania ISO 29151:

• przeprowadzenie audytu zgodności systemu ISO 27001 z normą ISO 29151. W wyniku takiej operacji organizacja otrzymuje raport, który zawiera rekomendacje dotyczące implementacji poszczególnych elementów systemu ochrony danych osobowych do funkcjonującego systemu bezpieczeństwa informacji. Rozwiązanie to jest najszybsze i od razu można zaplanować działania korygujące w zakresie aktualizacji dokumentacji i wdrażania nowych procedur.
• przeprowadzenie szkolenia zamkniętego właścicieli procesów biznesowych z wymogów ISO 29151. W tym przypadku modyfikacja systemu bezpieczeństwa informacji będzie oddolna, czyli z poziomu samego procesu. W wyniku szkolenia właściciele procesów sami zaproponują modyfikację procedur ISO 27001, tak by uwzględniały one wymogi dotyczące ochrony danych osobowych. To rozwiązanie wydaje się bardziej racjonalne jednak nie sprawdzi się ono w organizacjach, gdzie właściciele procesów pozostają bierni i jedynie czekają na stwierdzone niezgodności w trakcie audytów, a dopiero wtedy podejmują działania naprawcze.

Niezależnie jednak od wybranego rozwiązania istotny jest skutek, czyli faktyczne dodanie wymogów ISO 29151 do deklaracji stosowania. Warto pamiętać, że jeżeli wybrana metoda okaże się nieskuteczne to zgodnie z cyklem ciągłego doskonalenia systemu zarządzania wszelkie braki będzie można sukcesywnie poprawiać.

Podsumowując warto sięgnąć po wypracowane rozwiązania w ramach już znanej metodyki działania, niż opierać zgodność organizacji w obszarze ochrony danych osobowych jedynie na indywidualnych interpretacjach. RODO jest aktem prawnym, który ma przetrwać próbę czasu i nie zniknie za rok czy dwa, więc warto by jego wymogi na stałe zagościły wewnątrz organizacji.

POTRZEBUJESZ PORADY CZY DODATKOWYCH INFORMACJI?
CHCIAŁBYŚ OTRZYMAĆ KOSZTORYS?