Dane pod szczególną ochroną. Nowa norma ISO 27701:2019

W dobie wszechobecnej cyfryzacji, bezpieczne przechowywanie informacji staje się poważnym wyzwaniem, któremu przedsiębiorcy nie tylko powinni, ale wręcz muszą sprostać. W przeciwnym wypadku narażają się oni na straty wizerunkowe, finansowe oraz sankcje prawne przewidziane przez krajowe i międzynarodowe prawodawstwo.

Jednym z aktów prawnych, który poruszył środowisko biznesowe w Polsce i zwrócił jego uwagę na kwestię ochrony danych, jest obowiązujące od maja 2018 roku unijne rozporządzenie o ochronie danych osobowych - RODO. W przypadku naruszenia jego regulacji, przedsiębiorcom mogą grozić grzywny w wysokości nawet 20 mln EURO lub od 2 do 4% rocznych, globalnych obrotów firmy.

W odpowiedzi na rosnące wymagania technologiczne, logistyczne i prawne związane z zabezpieczeniem danych w firmach, Międzynarodowa Organizacja Normalizacyjna (ISO) wprowadziła nową normę zarządzania informacją o prywatności ISO/IEC 27701 będącą rozszerzeniem wcześniejszej normy standaryzujące systemy zarządzania bezpieczeństwem informacji - ISO/IEC 27001. Wprowadzenie nowych standardów ma pomóc przedsiębiorcom w sprostaniu wymaganiom stawianym przez prawo, niezależnie pod jaką jurysdykcją działają.

Jakie zmiany wprowadza nowa norma ISO?

Ze względu na fakt, że ISO/IEC 27701 jest normą rozszerzającą, firma musi być już wcześniej wyposażona w certyfikat ISO/IEC 27001. Nowa norma określa wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem danych osobowych (określanych jako PII - personally identifiable informations). Jednym z głównych celów ISO 27701 jest udoskonalenie ochrony danych osobowych w dobie ciągle rosnącej ilości przetwarzanych informacji tego typu i konieczności współpracy pomiędzy podmiotami, która zakłada wspólne ich wykorzystywanie.

O ile norma ISO/IEC 27001 skupia się przede wszystkim na ogólnym zarządzaniu bezpieczeństwem informacji, o tyle jej rozszerzenie 27701 dotyczy przede wszystkim zarządzania informacją o prywatności. Stworzenie jasnych standardów i procedur w tym względzie jest istotne nie tylko dlatego, że wymaga tego prawo, ale również dlatego, że zagrożenie wypłynięcia z instytucji danych osobowych jest wyższe, niż kiedykolwiek wcześniej. Wszystko to przez nowe metody przechowywania i archiwizacji dokumentów oraz akt, które coraz częściej trafiają do przestrzeni cyfrowej i narażone są na ataki ze strony cyberprzestępców.

Niezależnie zresztą od nośników, na których przechowywane są tzw. dane osobowe, wymagają one odpowiednich metod archiwizacji i zabezpieczenia. Jest to warunek konieczny do sprostania wymaganiom właściwego zarządzania informacją o prywatności. Rozbudowane kryteria oceny stosownego przechowywania danych można spełnić samodzielnie wewnątrz firmy poprzez zatrudnienie wykwalifikowanej kadry lub zlecić tę usługę specjalistycznej firmie zewnętrznej. Przykładem tego typu firmy jest Rhenus-Data, która zajmuje się pełną obsługą dokumentów fizycznych i elektronicznych w przedsiębiorstwie.

ISO/IEC 27701 jest również pierwszą normą, która odnosi się do zewnętrznego aktu prawnego, a mianowicie RODO. To szczególnie istotne z perspektywy europejskiego porządku prawnego, ponieważ mapowanie zarządzania informacją o prywatności w zgodzie z RODO (informacje te znajdują się w załączniku do normy), ułatwia wdrożenie odpowiednich procedur i praktyk w przedsiębiorstwie, a co za tym idzie - minimalizuje ryzyko sankcji wynikających ze złamania przepisów europejskiego rozporządzenia.

Czy warto wdrożyć ISO 27701 w swojej firmie?

Zalet wdrożenia nowej normy w przedsiębiorstwie jest przynajmniej kilka. Po pierwsze, firmy decydujące się na wdrożenie ISO/IEC 27001 wraz z rozszerzeniem, ukazują swoim biznesowym partnerom, klientom i dostawcom rzeczywiste zaangażowanie w doskonalenie norm bezpieczeństwa panujących w przedsiębiorstwie. Stanowi to dowód wiarygodności i może służyć jako dodatkowa przewaga konkurencyjna na rynku.

W przypadku firm, które mają wątpliwości co do zgodności panujących procedur bezpieczeństwa informacji z panującym prawem (szczególnie RODO), ISO 27701 może być wykorzystane jako potwierdzenie skuteczności działań w tym zakresie i precyzyjnie wskazać obszary, w których wymagane są udoskonalenia.

Co więcej, nowa norma pomaga również w odpowiedzi na wszelkie wątpliwości stron związane z przetwarzaniem danych osobowych oraz zapewnia kontrahentów o możliwie doskonałym zarządzaniu informacją o prywatności w ramach firmy.

Wdrożenie nowej normy ISO to kolejna propozycja dla firm, które przykładają szczególną wagę do ochrony informacji i starają się zagwarantować podmiotom zewnętrznym pełne bezpieczeństwo powierzanych im danych.