Norma ISO/IEC 29151 zawiera praktyczne zasady ochrony informacji o identyfikowalnych osobach (Information technology — Security techniques — Code of practice for personally identifiable information protection). Innymi słowy określa cele zabezpieczeń, zabezpieczenia i wytyczne dotyczące ich wdrożenia. Ma to na celu spełnienie wymagań zidentyfikowanych w trakcie szacowania ryzyka i oceny skutków związanych z ochroną informacji o identyfikowalnych osobach (PII).
Rosną wymagania dotyczące ochrony danych osobowych. Od wejścia w życie Rozporządzenia RODO minął prawie rok, ale dużo organizacji nadał ma problemy z wdrożeniem jego wymagań i dostosowaniem swoich organizacji.
Problemem najczęściej jest brak prawidłowej interpretacji wymagań w odniesieniu do własnej organizacji i przetwarzanych danych osobowych (PII). Międzynarodowa Norma ISO/IEC 29151 przedstawia konkretne wskazówki odnośnie sposobu ochrony danych oraz planowania, wdrożenia, utrzymywania, monitorowania i doskonalenia zabezpieczeń organizacyjnych i technicznych. Skutkiem ma być zmniejszenie ryzyka naruszenia prywatności oraz zmniejszenie wpływu naruszeń na organizację i osoby zainteresowane.
ISO/IEC 29151 składa się z:
1) głównej części zawierającej 18 rozdziałów
2) załącznika normatywnego.
Norma ISO/IEC 29151 jest ściśle powiązana z normami z rodziny ISO/IEC 27000, zwłaszcza z normą ISO/IEC 27002. Właśnie na jej wymaganiach w znacznym stopniu opiera się wymagany standard. Oczywiście uwzględnienia wymagania ochrony prywatności oraz praw i wolności osób fizycznych, wynikających z przetwarzania danych osobowych.
Struktura głównej części normy ISO/IEC jest odzwierciedleniem normy ISO/IEC 27002 oraz Załącznika A normy ISO/IEC27001.
Wprowadzenie i kwestie ogólne zawarte są w rozdziałach 1–4 i stanowią tło dla wykorzystania normy i jej zaleceń. Rozdziały od 5 do 18 odzwierciedlają rozdziały normy ISO/IEC 27002, z uwzględnieniem zabezpieczeń specyficznych dla ochrony danych o zidentyfikowanych osobach (PII). Wiele elementów zawartych w ISO/IEC 27002 nie wymaga uzupełnienia w kontekście zabezpieczeń dla danych osobowych, jednak w niektórych przypadkach potrzebne są dodatkowe wskazówki.
Załącznik normatywny zawiera rozszerzony zestaw zabezpieczeń specyficznych dla ochrony PII, które uzupełniają zabezpieczenia i praktyki zawarte w normie ISO/IEC 27002. Te nowe kontrole ochrony PII, wraz z towarzyszącymi im wskazówkami, są podzielone na 12 kategorii, odpowiadających polityce prywatności i 11 zasadom określonym w normie ISO/IEC 29100:
– zgoda i wybór;
– cel, legalność i specyfikacja;
– ograniczenie gromadzenia;
– minimalizacja danych;
– ograniczenie użytkowania, przechowywania i ujawniania;
– dokładność i jakość;
– otwartość, przejrzystość i uwaga;
– uczestnictwo indywidualne i dostęp;
– odpowiedzialność;
– bezpieczeństwo informacji;
– zgodność z zasadami prywatności.
IKMJ proponuję usługi wdrożenia i doradztwa w zakresie zastosowania tej normy w Państwa organizacji. Chcemy również podkreślić, że wdrożenie dobrych praktyk zawartych w normie ISO/IEC 29151 pozwała spełnić wymagania Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO).
