Ochrana soukromí je v moderním věku nezbytností kvůli stále rostoucí míře digitalizace, přičemž řeší zpřístupnění osobních údajů oprávněným způsobem. Bezpečnost informací se vedle toho zabývá zajištěním důvěrnosti, integrity a dostupnosti osobních údajů. Bezpečnost informací a ochrana soukromí jsou vzájemně propojené, ochranu soukromí nelze zajistit bez zavedení bezpečnostních opatření.
Mezinárodní organizace pro normalizaci zveřejnila v srpnu 2019 normu ISO/IEC 27701, která rozšiřuje požadavky a doporučení ISO/IEC 27001 a ISO/IEC 27002 o problematiku ochrany soukromí. Norma specifikuje požadavky a poskytuje pokyny pro zřízení, implementaci, údržbu a neustálé zlepšování PIMS. Správcům i zpracovatelům také poskytuje návod pro řádné zajištění procesů zpracování osobních údajů s využitím systému řízení informací o soukromí (PIMS = Privacy Information Management System).
Nové pojmy v systémech řízení informací o soukromí
Norma zavádí některé nové pojmy. Zejména Privacy Information Management System (PIMS), který jsme přeložili jako systém řízení informací o soukromí. Podle definice je systém řízení, který řeší ochranu soukromí, která může být ovlivněna zpracováním PII.
V té souvislosti rozšiřuje výraz bezpečnost informací a soukromí termín bezpečnost informací používaný v systémech řízení bezpečnosti informací podle ISO/IEC 27001. Aplikace je široká, například politika bezpečnosti informací je v rámci PIMS povýšena na politiku bezpečnosti informací a soukromí, z cílů bezpečnosti informací jsou cíle bezpečnosti informací a soukromí atp.
Zkratku PII bychom si měli také zapamatovat. Znamená osobně identifikovatelné informace (Personally Identifiable Information), v kontextu GDPR tedy osobní údaje. Překlad jsme převzali z normy ISO/IEC 29100, která poskytuje rámec pro ochranu PII v ICT systémech.
Norma také definuje výraz zákazník, což může být (a) organizace, která má smlouvu se správcem PII, (b) správce PII, který má smlouvu se zpracovatelem PII, (c) zpracovatel, který má smlouvu se svým sub-zpracovatelem.
Struktura normy
Jak bylo řečeno, norma ISO/IEC 27701 rozšiřuje normy ISO/IEC 27001 a ISO/IEC 27002. Tomu odpovídá i její struktura, která obsahuje tyto podstatné články:
- Článek 5: Specifické požadavky PIMS ve vztahu k ISO/IEC 27001
- Článek 6: Specifické pokyny PIMS ve vztahu k ISO/IEC 27002
- Článek 7: Dodatečné pokyny ISO/IEC 27002 pro správce PII
- Článek 8: Dodatečné pokyny ISO/IEC 27002 pro zpracovatele PII
Aby byla organizace s normou v souladu, musí ustavit, implementovat, udržovat a průběžně zlepšovat PIMS v souladu s požadavky článků 4 až 10 normy ISO/IEC 27001:2013 rozšířené o požadavky článku 5 normy ISO/IEC 27701.
Norma obsahuje šest příloh, z nichž přílohy A a B jsou normativní. Přílohy C až F jsou informativní.
- Příloha A: Referenční cíle opatření a opatření specifická pro PIMS (správci PII)
- Příloha B: Referenční cíle opatření a opatření specifická pro PIMS (zpracovatelé PII)
- Příloha C: Mapování na ISO/IEC 29100
- Příloha D: Mapování na obecné nařízení o ochraně osobních údajů GDPR
- Příloha E: Mapování na ISO/IEC 27018 a ISO/IEC 29151
- Příloha F: Jak aplikovat ISO/IEC 27701 na ISO/IEC 27001 a ISO/IEC 27002
Specifické požadavky PIMS ve vztahu ISO/IEC 27001
Specifické požadavky PIMS ve vztahu k ISO/IEC 27001 se týkají “pouze” několika článků, které souvisejí s kontextem organizace (články 4.1 až 4.4 normy ISO/IEC 27001) a procesy řízení rizik (články 6.1.2 a 6.1.3 normy ISO/IEC 27001). Ostatní požadavky normy ISO/IEC 27001 jsou prakticky nezměněny.
V rámci řešení kontextu musí organizace určit svou roli správce a/nebo zpracovatele PII. Musí také určit externí a interní faktory, které jsou relevantní pro její kontext, a které ovlivňují její schopnost dosáhnout zamýšleného výstupu(ů) PIMS. Organizace musí mezi zainteresované strany zahrnout ty strany, které mají zájmy nebo povinnosti spojené se zpracováním PII, včetně subjektů PII. Do stanoveného rozsahu PIMS musí organizace zahrnout zpracování PII.
Podstatné také je, že organizace musí nejen aplikovat proces posuzování rizik bezpečnosti informací spojených se ztrátou důvěrnosti, integrity a dostupnosti informací v rozsahu PIMS, ale musí také zavést proces posuzování rizik soukromí pro identifikaci rizik spojených se zpracováním osobně identifikovatelných informací (PII) v rozsahu PIMS. Platí požadavek, aby byl vztah mezi bezpečností informací a ochranou osobně identifikovatelných informací (PII) náležitě řízen. Prohlášení o aplikovatelnosti dle přílohy A ISO/IEC 27001 se rozšiřuje o opatření ochrany soukromí dle přílohy A (pro správce) a přílohy B (pro zpracovatele) normy ISO/IEC 27701.
Specifické pokyny PIMS ve vztahu ISO/IEC 27002
Norma ISO/IEC 27701 rozšiřuje ISO/IEC 27002 o pokyny související s ochranou soukromí, které by mohlo být zpracováním PII ovlivněno. V článku 6 tedy najdeme dodatečné pokyny týkající se: politik pro bezpečnost informací, rolí a odpovědností bezpečnosti informací, politiky mobilních zařízení, povědomí, vzdělávání a školení, klasifikace informací, manipulace s médii, řízení přístupu uživatelů atd.
Cíle opatření a opatření ochrany soukromí pro správce PII a pro zpracovatele PII
Cíle opatření ochrany soukromí pro správce PII (příloha A) a pro zpracovatele (příloha B) se neliší a zahrnují:
- Podmínky shromažďování a zpracování
- Povinnosti vůči subjektům PII
- Záměrnou a standardní ochranu soukromí
- Sdílení, předávání a zpřístupnění PII
Liší se však počet jednotlivých opatření i jejich obsah. Pro správce PII definuje norma 32 opatření a pro zpracovatele 18 opatření ochrany soukromí. Články 7 a 8 pak poskytují správcům, resp. zpracovatelům dodatečné pokyny.
Mapování ISO/IEC 27701 s dalšími normami a GDPR
Informativní přílohy C, D a E řeší mapování ISO/IEC 27701 na další normy (ISO/IEC 29100, ISO/IEC 27018, ISO/IEC 29151) i na obecné nařízení GDPR. Pokud máte zájem o přehled mapování s GDPR, obraťte se nás na adrese info@krucek.cz.
Závěr
Systém řízení informací o soukromí (PIMS) dle ISO/IEC 27701 je skvělým pomocníkem pro řádné řízení rozsáhlého zpracování osobních údajů. Organizacím pomůže zavést všechny potřebné procesy a opatření pro náležité zpracování PII a tyto efektivně začlenit do řídících a kontrolních procesů organizace.