ISO/IEC 27701

Zakaj certifikat za zaščito zasebnosti?

Standard za zaščito zasebnosti postavlja v ospredje skrb za zaščito osebnih podatkov, ki jih označuje mednarodna kratica PII (Personally Identifiable Information). Slovensko jih imenujemo »osebno določljive informacije«, predstavljajo pa vse podatke, ki jih lahko uporabimo za to, da iz gozda podatkov izločimo tiste, ki pripadajo posamezni (lahko anonimni) osebi, ali pa da iz anonimnih podatkov prepoznamo osebo, ki ji pripadajo. Tovrstne podatke dandanes obdeluje že skoraj vsaka organizacija.

Sodobno digitalno poslovanje vsako leto povečuje količino in tipe osebno določljivih informacij, ki se zbirajo v podjetjih in tako se povečujejo tudi potrebe organizacij po obdelavi takih podatkov. Zato je zaščita teh podatkov nujna tako z vidika varnosti digitalne družbe, kakor tudi zaradi zahtev regulative.

O standardu ISO/IEC 27701

Standard za zaščito zasebnosti (ISO/IEC 27701) nadgrajuje in razširja standarda upravljanja informacijske varnosti (ISO/IEC 27001) in varnostne kontrole (ISO/IEC 27002).

ISO/IEC 27001 opredeljuje sistem upravljanja informacijske varnosti in je zasnovan na način, da se nove zahteve lahko dodajajo, ne da bi bila potrebna vzpostavitev popolnoma novega sistema upravljanja.

Zahteve po zaščiti osebno določljivih informacij posameznikov so odvisne od vrste dejavnosti organizacije, konteksta organizacije in nacionalne zakonodaje.

Standard vključuje primerjavo z:

• okvirom in načeli zasebnosti, opredeljenimi z ISO/IEC 29100;
• pravili ravnanja za zaščito osebno prepoznavnih informacij (PII) v javnih oblakih, ki delujejo kot procesorji PII (ISO/IEC 27018);
• ISO/IEC 29151 in
• Splošno uredbo o obdelavi podatkov (GDPR).

Prednosti vzpostavitve celotnega seta relevantnih standardov v organizaciji, so:

• okrepljeno zaupanje v organizacijo v zvezi z upravljanjem občutljivih osebnih informacij;
• skladnost z zahtevami regulative na tem področju;
• zagotovljene smernice za razjasnitev in določitev vloge in odgovornosti upravljavca in obdelovalca;
• pomoč pri učinkovitem poslovanju in krepitev zaupanja vrednih medosebnih odnosov.

Komu je standard namenjen?

ISO/IEC 27701 je dobrodošlo orodje v vseh vrstah in velikostih organizacij, vključno z javnimi in zasebnimi podjetji, vladnimi subjekti in neprofitnimi organizacijami. Zagotavlja smernice za organizacije, ki so odgovorne za obdelavo osebno določljivih podatkov (PII) v okviru sistema upravljanja informacijske varnosti (ISO/IEC 27001), zlasti pa za:

• upravljavce osebnih podatkov (vključno s tistimi, ki so skupni upravljavci osebnih podatkov) in
• obdelovalce osebnih podatkov.

Sistem je primeren za vse organizacije, ki resno pristopijo in obravnavajo tematiko v zvezi z osebno določljivimi osebnimi podatki (PII), ne glede na to, ali nastopajo v vlogi obdelovalca ali upravljavca. Združljiv je tudi z ostalimi sistemi, najbolj pogosto pa ga združujemo s sistemom upravljanja neprekinjenosti poslovanja (ISO 22301).