Ochrona danych osobowych w praktyce wg normy PN-EN ISO/IEC 29151:2019

Norma ISO/IEC 29151 zawiera praktyczne zasady ochrony informacji o identyfikowalnych osobach (Information technology — Security techniques — Code of practice for personally identifiable information protection). Innymi słowy określa cele zabezpieczeń, zabezpieczenia i wytyczne dotyczące ich wdrożenia. Ma to na celu spełnienie wymagań zidentyfikowanych w trakcie szacowania ryzyka i oceny skutków związanych z ochroną informacji o identyfikowalnych osobach (PII).

Rosną wymagania dotyczące ochrony danych osobowych. Od wejścia w życie Rozporządzenia RODO minął prawie rok, ale dużo organizacji nadał ma problemy z wdrożeniem jego wymagań i dostosowaniem swoich organizacji.

Problemem najczęściej jest brak prawidłowej interpretacji wymagań w odniesieniu do własnej organizacji i przetwarzanych danych osobowych (PII). Międzynarodowa Norma ISO/IEC 29151 przedstawia konkretne wskazówki odnośnie sposobu ochrony danych oraz  planowania, wdrożenia, utrzymywania, monitorowania i doskonalenia zabezpieczeń organizacyjnych i technicznych. Skutkiem ma być zmniejszenie ryzyka naruszenia prywatności oraz zmniejszenie wpływu naruszeń na organizację i osoby zainteresowane.

Zobacz podobne  Jakie są cele cyberbezpieczeństwa?

ISO/IEC 29151  składa się z:

1) głównej części zawierającej 18 rozdziałów

2) załącznika normatywnego.

Norma ISO/IEC 29151 jest ściśle powiązana z normami z rodziny ISO/IEC 27000, zwłaszcza z normą ISO/IEC 27002. Właśnie na jej wymaganiach w znacznym stopniu opiera się wymagany standard. Oczywiście uwzględnienia wymagania ochrony prywatności oraz praw i wolności osób fizycznych, wynikających z przetwarzania danych osobowych.

Struktura głównej części normy ISO/IEC jest odzwierciedleniem normy ISO/IEC 27002 oraz Załącznika A normy ISO/IEC27001.

Wprowadzenie i kwestie ogólne zawarte są w rozdziałach 1–4 i stanowią tło dla wykorzystania normy i jej zaleceń. Rozdziały od 5 do 18 odzwierciedlają rozdziały normy ISO/IEC 27002, z uwzględnieniem zabezpieczeń specyficznych dla ochrony danych o zidentyfikowanych osobach (PII). Wiele elementów zawartych w ISO/IEC 27002 nie wymaga uzupełnienia w kontekście zabezpieczeń dla danych osobowych, jednak w niektórych przypadkach potrzebne są dodatkowe wskazówki.

Zobacz podobne  ISO - Pytania i odpowiedzi

Załącznik normatywny zawiera rozszerzony zestaw zabezpieczeń specyficznych dla ochrony PII, które uzupełniają zabezpieczenia i praktyki zawarte w normie ISO/IEC 27002. Te nowe kontrole ochrony PII, wraz z towarzyszącymi im wskazówkami, są podzielone na 12 kategorii, odpowiadających polityce prywatności i 11 zasadom określonym w normie ISO/IEC 29100:

– zgoda i wybór;

– cel, legalność i specyfikacja;

– ograniczenie gromadzenia;

– minimalizacja danych;

– ograniczenie użytkowania, przechowywania i ujawniania;

– dokładność i jakość;

– otwartość, przejrzystość i uwaga;

– uczestnictwo indywidualne i dostęp;

– odpowiedzialność;

– bezpieczeństwo informacji;

– zgodność z zasadami prywatności.

 

IKMJ proponuję usługi wdrożenia i doradztwa w zakresie zastosowania tej normy w Państwa organizacji. Chcemy również podkreślić, że wdrożenie dobrych praktyk zawartych w normie ISO/IEC 29151 pozwała spełnić wymagania Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO).

Zobacz podobne  NIS2 - Kluczowe powiązania z normami i aktami prawnymi?
Scroll to Top