Kodeks dobrych praktyk w zakresie ochrony danych osobowych (ISO/IEC 29151:2017)

KODEKS DOBRYCH PRAKTYK W ZAKRESIE OCHRONY DANYCH OSOBOWYCH (ISO/IEC 29151:2017)

25/04/19

Przemysł
Budownictwo
Przemysł
QHSE

Share

Jak skutecznie połączyć bezpieczeństwo informacji
z RODO?

W sierpniu 2017r., czyli 9 miesięcy przez rozpoczęciem obowiązywania RODO została opublikowana norma ISO 29151 w zakresie ochrony tzw. PII (Personaly Identifiable Information). Norma ta jest jednak dostępna w języku polskim dopiero od 24 stycznie br. Poza wskazówkami ERODO (Europejskiej Rady Ochrony Danych Osobowych) czy PUODO (Prezesa Urzędu Ochrony Danych Osobowych) w zakresie zgodności z RODO, warto do niej sięgnąć by dowiedzieć się jak skutecznie zaimplementować postanowienia RODO do istniejącego już systemu bezpieczeństwa informacji (np. ISO 27001).

PII czy dane osobowe?

Definicja PII ukształtowała się w doktrynie i legislacji Stanów Zjednoczonych jako zestaw danych, który podlega szczególnej ochronie w kontekście równowagi pomiędzy działaniami handlowymi, a szkodą powstałą dla konsumenta. Definicja PII obejmuje węższy zakres informacji dotyczących osób niż definicja wynikająca z RODO. Różnice wynikają z odmiennych koncepcji systemów prawa (kontynentalnego  i common law). W Europie ochrona danych osobowych jest urzędowo chronionym, fundamentalnym prawem jednostki, natomiast w Stanach Zjednoczonych jest tylko jednym z elementów szeroko rozumianego prawa do prywatności jednostki, które może być dochodzone przez nią samą w postępowaniu cywilnym. Jednak na potrzeby tworzenia wewnętrznego systemu ochrony danych osobowych różnice te nie mają wielkiego znaczenia. Tym bardziej, że skuteczne tworzenie systemu ochrony danych osobowych wymaga zastosowania sprawdzonych rozwiązań, które znajdziemy właśnie w międzynarodowych normach bezpieczeństwa informacji.   

Rama systemu ochrony danych osobowych

Poza ww. dobrymi praktykami warto wspomnieć o nomie ISO 29100, która opisuje ramy systemu ochrony danych osobowych oraz poszczególne role i odpowiedzialności. Jednak ramy systemu ochrony danych osobowych w Europie zostały już ukształtowane przez same RODO. Innymi słowy ramy systemu ochrony danych opisane w normie ISO 29100 zostały stworzone po to by wskazać dobre praktyki tam, gdzie nie istnieją regulacje prawne w tym obszarze lub nie są one kompletne. Pozycja administratora danych osobowych, podmiotu przetwarzającego czy odbiorcy danych wraz z ich obowiązkami są określone w RODO i potrzeba precyzowania tego obszaru praktycznie nie istnieje. Jednak na niższym poziomie w samej organizacji RODO już tak głęboko nie sięga i tu pomocna staje się ww. norma. Role i odpowiedzialności poszczególnych osób w organizacji, procedury identyfikacji danych osobowych czy mechanizm domyślnej ochrony danych osobowych są elementami wewnętrznej struktury systemu ochrony danych osobowych zaczerpniętymi z norm międzynarodowych. Na tej płaszczyźnie pojawia się zapotrzebowanie w obszarze dobrych praktyk, które jest zaspokajane przez m.in. normę ISO 29151 czy ISO 29134.

Implementacja ISO 29151

Bazą systemu ochrony danych osobowych zgodnie z normą ISO 29151 są wymogi wynikające z normy ISO 27002, czyli praktyczne zasady zabezpieczania informacji. Założenie do tworzenia systemu ochrony danych osobowych jest takie, że istnieje już system bezpieczeństwa informacji i korzystając z wytycznych znajdujących się w normie ISO 29151 dodajemy do istniejącego systemu bezpieczeństwa informacji polityki i procedury dotyczące ochrony danych osobowych. Standardowo przy wdrażaniu systemu bezpieczeństwa informacji korzysta się z tzw. deklaracji stosowania, czyli dokumentu opisującego cele stosowania zabezpieczeń oraz zabezpieczenia, które odnoszą się i mają zastosowanie w SZBI (Systemie Zarządzania Bezpieczeństwem Informacji)  danej organizacji. To właśnie na poziomie deklaracji stosowania do poszczególnych wymogów dodawane są kolejne wynikające z normy ISO 29151. Poniżej przykład dodawania wymogów wynikających z normy ISO 29151 do deklaracji stosowania wynikającej z normy ISO 27001.

A.6 Organizacja bezpieczeństwa informacji
Cel: Ustanowić strukturę zarządzania w celu zainicjowania oraz nadzorowania wdrażania i eksploatacji bezpieczeństwa informacji w organizacji.
A.6.1 Organizacja wewnętrzna
A.6.1 1 Role i odpowiedzialność za bezpieczeństwo informacji Role i odpowiedzialność osób za poszczególne obszary funkcjonowania SZBI zostały opisane w pkt. 7 SZBI_01_Polityka_bezpieczenstwa_informacji.
A.6 1.2 Rozdzielanie obowiązków Podział obowiązków w zakresie działania SZBI, nadzoru nad SZBI oraz w obszarze decyzyjnym został rozdzielony tak by nie powodować konfliktów w ww. obszarach. (pkt. 7 SZBI_01_Polityka_bezpieczenstwa_informacji).
A.6.1.2
ISO 29151
Rozdzielenie obowiązków w obszarze ochrony danych osobowych Wyznaczono członka zarządu spółki jako osobę odpowiedzialną za obszar ochrony danych osobowych (CPO – Chief Privacy Officer) zgodnie z (pkt. 6 SZBI_01_Polityka_bezpieczenstwa_informacji) oraz powołano Inspektora Ochrony Danych zgodnie z SZBI-P-9 Powołanie i odwołanie IOD.
A.6.1.3
ISO 29151
Kontakty z organami władzy Zgodnie z SZBI-P-9 Powołanie i odwołanie IOD Inspektor Ochrony Danych podlega zgłoszeniu do Prezesa Urzędu Ochrony Danych Osobowych i pozostaje punktem kontaktowym dla urzędu.
A.6.1.4 Kontakty z grupami zainteresowanych specjalistów Spółka utrzymuje stosowne kontakty z grupami zainteresowanych specjalistów oraz innymi specjalistycznymi forami oraz stowarzyszeniami zawodowymi z obszaru bezpieczeństwa informacji.
A.6.1.5 Bezpieczeństwo informacji w zarządzaniu projektami Zgodnie z procedurą domyślnej ochrony danych osobowych SZBI-P-6 Domyślna ochrona danych osobowych przewidziana jest ocena ryzyka dla bezpieczeństwa informacji.

Tabela 1. Przykład implementacji fragmentu normy ISO 29151 do deklaracji stosowania.

Posiadając konkretne wymogi w deklaracji stosowania jesteśmy w stanie przypisać im niezbędne polityki i procedury wynikające z ISO 29151. W ten sposób zaimplementowany system ochrony danych osobowych jest spójny z dotychczas wdrożonym systemem bezpieczeństwa informacji.

Osobna dokumentacja ochrony danych osobowych

Niestety znaczna część organizacji posiadająca wdrożony system bezpieczeństwa informacji zgodnie z normą ISO 27001 wciąż obawia się połączenia go z systemem ochrony danych osobowych. Konsekwencją tych obaw jest brak spójności i powielanie się wielu procedur. Przykładowo przed rozpoczęciem obowiązywania RODO organizacja opracowała i zatwierdziła osobną Politykę bezpieczeństwa danych osobowych, która przewiduje nowe funkcje (np. IOD czy właściciel procesu przetwarzania danych osobowych) i nowe procedury (np. domyślna ochrona danych osobowych czy procedura prowadzenia rejestru czynności przetwarzania). Jednak już po upływie kilku miesięcy, a najwyżej roku będzie można zaobserwować powielające się działania jak np. audyt adekwatności zastosowanych środków technicznych i organizacyjnych lub szkolenie personelu z bezpieczeństwa danych osobowych. Finałem tak stworzonego (sztucznie doklejonego) systemu ochrony danych osobowych jest ponoszenie dodatkowych kosztów przez organizację związanych z utrzymaniem dwóch systemów zamiast jednego. Różnice wynikające z ochrony danych osobowych i ochrony innych zasobów informacyjnych (np. tajemnica przedsiębiorstwa) nie są, aż tak wielkie by systemów tych nie dało się połączyć. Tu niestety pokutuje przekonanie, że niepraktycznie jest łączyć wymogi wynikające z dobrych praktyk, za nieprzestrzeganie, których nie ma konsekwencji z wymogami prawa, które przewidują nadzór organu państwowego. Warto wykorzenić to przekonanie, gdyż jest ono całkowicie nieprawdziwe i co więcej powoduje dodatkowe obciążenie dla organizacji, którego można uniknąć.

Certyfikacja ISO 27001 zgodnie z RODO

RODO przewiduje nowe mechanizmy mające dostarczyć dowody zgodności każdej organizacji w obszarze ochrony danych osobowych jak certyfikacja zgodności z RODO (przez podmiot akredytowany przez Polskie Centrum Akredytacji lub PUODO) czy też zatwierdzone kodeksy branżowe. Oba mechanizmy mają na celu zapewnienie pewności obrotu danymi osobowymi pomiędzy podmiotami. O ile przystąpienie do stosowania kodeksu branżowego nie zawsze jest łatwe do implementacji, a dodatkowo nie każda branża zamierza taki kodeks wypracować, o tyle certyfikacja zgodności z RODO jest mechanizmem prostszym i już powszechnie znanym. Najprostsza droga do posiadania w przyszłości certyfikatu zgodności z RODO prowadzi właśnie przez normę ISO 29151. Zgodność organizacji z międzynarodowym standardem w obszarze ochrony danych osobowych pozwoli zdecydowanie łatwiej uzyskać certyfikat zgodności z RODO. Tym bardziej, że jednostki, które będą akredytowane do wydawania certyfikatów zgodności z RODO to z reguły te same jednostki, które obecnie posiadają akredytację na certyfikację zgodności z normami ISO (w szczególności ISO 27001 oraz ISO 22301). Warto stosować rozwiązania, które zostały sprawdzone, obniżają koszty i ostatecznie pozwalają na szybsze i łatwiejsze zdobycie certyfikatu potwierdzającego zgodność z RODO, który może stanowić solidną przewagę konkurencyjną.

Od czego zacząć implementację?

Można wyodrębnić dwa podejścia do wdrażania ISO 29151. Pierwsze z nich przewiduje przeprowadzenie audytu zgodności systemu ISO 27001 z normą ISO 29151. W wyniku takiej operacji organizacja otrzymuje raport, który zawiera rekomendacje dotyczące implementacji poszczególnych elementów systemu ochrony danych osobowych do funkcjonującego systemu bezpieczeństwa informacji. Rozwiązanie to jest najszybsze i od razu można zaplanować działania korygujące w zakresie aktualizacji dokumentacji i wdrażania nowych procedur. Drugim rozwiązaniem nieco bardziej długofalowym jest przeprowadzenie szkolenia zamkniętego właścicieli procesów biznesowych z wymogów ISO 29151. W tym przypadku modyfikacja systemu bezpieczeństwa informacji będzie oddolna, czyli z poziomu samego procesu. W wyniku szkolenia właściciele procesów sami zaproponują modyfikację procedur ISO 27001, tak by uwzględniały one wymogi dotyczące ochrony danych osobowych. To rozwiązanie wydaje się bardziej racjonalne jednak nie sprawdzi się ono w organizacjach, gdzie właściciele procesów pozostają bierni i jedynie czekają na stwierdzone niezgodności w trakcie audytów, a dopiero wtedy podejmują działania naprawcze. Niezależnie jednak od wybranego rozwiązania istotny jest skutek, czyli faktyczne dodanie wymogów ISO 29151 do deklaracji stosowania. Warto pamiętać, że jeżeli wybrana metoda okaże się nieskuteczne to zgodnie z cyklem ciągłego doskonalenia systemu zarządzania wszelkie braki będzie można sukcesywnie poprawiać.

Podsumowując warto sięgnąć po wypracowane rozwiązania w ramach już znanej metodyki działania, niż opierać zgodność organizacji w obszarze ochrony danych osobowych jedynie na indywidualnych interpretacjach. RODO jest aktem prawnym, który ma przetrwać próbę czasu i nie zniknie za rok czy dwa, więc warto by jego wymogi na stałe zagościły wewnątrz organizacji.

Konrad Gałaj-Emiliańczyk

Prawnik, inspektor ochrony danych, audytor wiodący systemu zarządzania ciągłością działania wg normy PN-EN ISO 22301. Trener z zakresu bezpieczeństwa informacji wg. ISO 27001, RODO oraz cyberbezpieczeństwa.  Wykładowca Politechniki Białostockiej na Wydziale Inżynierii Zarządzania. Autor publikacji pt. „Wdrożenie RODO w małych i średnich organizacjach”, „Inspektor ochrony danych. Kompetencje, obowiązki i odpowiedzialność. Poradnik praktyka z wzorami dokumentów (z suplementem elektronicznym)” oraz „Dokumentacja wdrożenia RODO (z suplementem elektronicznym)”. Występuje na licznych konferencjach i seminariach branżowych w obszarze ochrony danych i bezpieczeństwa informacji, samodzielnie przeprowadził ponad 700 otwartych szkoleń i warsztatów dla administratorów bezpieczeństwa informacji (ABI) i inspektorów ochrony danych (IOD). Zawodowo zajmuje się m.in. kontrolą i audytem w zakresie ochrony danych osobowych (RODO), bezpieczeństwa informacji (ISO/IEC 27001), ciągłości działania (ISO/IEC 22301), weryfikowaniem wewnętrznych procedur i dokumentacji oraz sporządzaniem opinii prawnych. Przez szereg lat odpowiedzialny za bezpieczeństwo informacji w kilkunastu podmiotach. Przed 25 maja 2018r. koordynator projektów wdrażania RODO w szeregu organizacji zarówno sektora prywatnego jak i publicznego.

Udostępnij

Share