Bezpieczeństwo danych w firmie
Jakie dane osobowe przechowujesz? Gdzie je przechowujesz? Kto ma do nich dostęp? W jaki sposób zarządza się bezpieczeństwem IT i przypadkami naruszenia danych? I wreszcie: kto jest odpowiedzialny za przestrzeganie zgodności z RODO w Twojej firmie?
Udzielenie odpowiedzi na te pytania jest pierwszym krokiem do osiągnięcia zgodności z RODO. A zgodność ta jest obecnie koniecznością – jej brak może mieć katastrofalne skutki finansowe dla każdego biznesu. Wystarczy wspomnieć, że kary za nieprzestrzeganie przepisów wynoszą do 4% rocznego obrotu lub 20 mln EUR – w zależności od tego, która kwota jest wyższa. Lepiej więc tego nie zaniedbać.
Czy w osiągnięciu tej zgodności mogą pomóc normy?
Informacje identyfikowalne osobowo
Jednym z elementów wdrażania RODO jest określenie informacji identyfikowalnych osobowo i ich zabezpieczenie. Informacje identyfikowalne osobowo (PII) to dane dotyczące klientów, dostawców i pracowników. Dane osobowe, takie jak imię i nazwisko, adres, data urodzenia, adres e-mail, są już chronione na mocy obowiązującej ustawy o ochronie danych osobowych. RODO rozszerza tę ochronę o numery identyfikacyjne, dane o lokalizacji i dane online wraz ze wskaźnikami psychicznymi, fizycznymi, ekonomicznymi i społecznymi, a nawet informacje genetyczne i biometryczne, które mogą pomóc w ustaleniu tożsamości osoby. Wraz ze wzrostem liczby naruszeń PII, organizacje zbierające lub przetwarzające PII będą coraz bardziej potrzebować wytycznych dotyczących ochrony w celu ograniczenia wystąpienia ryzyka naruszenia prywatności i ograniczenia skutków naruszeń odnoszących się do organizacji i zainteresowanych osób.
PKN opublikował normę PN-ISO/IEC 29151 Technika informatyczna - Techniki bezpieczeństwa - Praktyczne zasady ochrony informacji o identyfikowalnych osobach. W dokumencie tym określono cele zabezpieczeń, zabezpieczenia i wytyczne dotyczące wdrożenia zabezpieczeń w celu spełnienia wymagań zidentyfikowanych w trakcie szacowania ryzyka i oceny skutków związanych z ochroną informacji o identyfikowalnych osobach (PII).
Podano wytyczne opracowane na podstawie ISO/IEC 27002, z uwzględnieniem wymagań dotyczących przetwarzania PII, mogące mieć zastosowanie w kontekście środowisk, w których występuje ryzyko związane z bezpieczeństwem informacji w organizacjach. Norma jest przeznaczona dla organizacji wszystkich typów i rozmiarów, w tym publicznych i prywatnych firm, organów rządowych i organizacji non-profit, które przetwarzają PII.
Ocena skutków dla prywatności
Ocena skutków dla prywatności (PIA) jest instrumentem służącym do oszacowania potencjalnych skutków, jakie na prywatność wywiera proces, system informacyjny, program, moduł oprogramowania, urządzenie lub inne przedsięwzięcie przetwarzające informacje o identyfikowalnych osobach (PII), i mającym na celu, w porozumieniu z interesariuszami, podjęcie odpowiednich kroków w celu wdrożenia działań dotyczących postępowania z ryzykiem dla prywatności.
PKN opublikował normę PN-EN ISO/IEC 29134:2018 Technika informatyczna - Techniki bezpieczeństwa - Wytyczne dotyczące oceny skutków dla prywatności.
W dokumencie podano wytyczne dotyczące:
- procesu oceny skutków dla prywatności, oraz
- struktury i zawartości raportu z PIA.
Dokument ma zastosowanie we wszelkiego rodzaju organizacjach różnej wielkości, w tym w przedsiębiorstwach publicznych, prywatnych, podmiotach rządowych i organizacjach pozarządowych. Jest on istotny dla osób zaangażowanych w projektowanie lub wdrażanie projektów, w tym dla podmiotów eksploatujących systemy przetwarzania danych oraz usługi związane z przetwarzaniem PII.
Obie normy zostały opracowane dzięki działalności KT 182 ds. Ochrony Informacji w Systemach Teleinformatycznych.