Jak ISO/IEC 27001 może pomóc Twojej firmie spełnić wymagania RODO?

Jak ISO/IEC 27001 może pomóc Twojej firmie spełnić wymagania RODO?

RODO (GDPR), czyli unijne rozporządzenie o ochronie danych osobowych wchodzi w życie w maju 2018 roku. Celem tego rozporządzenia jest zapewnienie swobodnego przepływu danych osobowych pomiędzy państwami Unii Europejskiej oraz wprowadzenie zasad zgodnie, z którymi przetwarzanie danych osobowych zostanie ujednolicone na terenie całej Wspólnoty Europejskiej. RODO wprowadza zmianę podejścia do ochrony danych osobowych poprzez narzucenie obowiązku aktywnego zabiegania przez każdą organizację o ochronę prywatności na każdym etapie przetwarzania danych. Obecnie firmy szukają sposobów, aby wykazać zgodność z unijnym rozporządzeniem i uniknąć kar, które mogą wynosić do 20 milionów euro bądź 4 % całkowitego rocznego obrotu z poprzedniego roku obrotowego. Rozporządzenie przewiduje, że zgodność z przepisami można spełnić m.in. poprzez wdrożenie kodeksu postępowania, który firma opracuje. Drugim sposobem jest uzyskanie certyfikacji wraz z oznaczeniami i znakami jakości ochrony danych osobowych.

 

Prawidłowe wdrożenie RODO również można osiągnąć poprzez wdrożenie i certyfikację systemu zarządzania bezpieczeństwem informacji zgodnego z międzynarodową normą ISO/IEC 27001.

 

ISO / IEC 27001 stanowi doskonały punkt wyjścia do osiągnięcia wymagań technicznych i operacyjnych niezbędnych do zapobiegania naruszenia ochrony danych. W rzeczywistości firma, która wdrożyła i certyfikowała system ISO/IEC 27001, wykonała już, co najmniej połowę pracy, aby osiągnąć zgodność z RODO, minimalizując ryzyko naruszenia nowych wymagań prawnych. RODO wskazuje, że organizacje muszą przyjąć odpowiednią politykę, procedury i procesy w celu ochrony posiadanych przez siebie danych osobowych.

 

Rozporządzenie wymaga na przykład:

  • stosowania szyfrowania danych osobowych,
  • zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów przetwarzania i usług,
  • zapewnienia możliwości przywrócenia dostępności i dostępu do danych osobowych w odpowiednim czasie w przypadku incydentu fizycznego lub technicznego,
  • wdrożenia procesu regularnego testowania, oceny i oceny skuteczności środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania,
  • zidentyfikowania i złagodzenia ryzyka od przypadkowego lub niezgodnego z prawem zniszczenia, utraty zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych.

 

Skutecznie wdrożony i certyfikowany system zarządzania bezpieczeństwem informacji, który jest zgodny z ISO/IEC 27001 spełni wszystkie powyższe wymagania.

 

W jaki sposób ISO/IEC 27001 może pomóc w spełnieniu wymagań RODO?

  • ISO 27001 to międzynarodowy system zarządzania bezpieczeństwem informacji, określający ramy zarządzania bezpieczeństwem informacji, wykorzystując zintegrowany zestaw wyznaczonych zasad, procedur, dokumentów i technologii.
  • ISO/IEC 27001 to system, który pomaga zarządzać, monitorować, kontrolować i ulepszać praktyki bezpieczeństwa informacji w organizacji w jednym miejscu, konsekwentnie i ekonomicznie.
  • Dzięki wszechstronnemu podejściu system zarządzania bezpieczeństwem informacji dostosowany do normy ISO/IEC 27001 może pomóc organizacji w ochronie wszystkich informacji korporacyjnych i własności intelektualnej, a nie tylko danych osobowych.
  • Zgodność z ISO/IEC 27001 oznacza, że ​​firma podjęła kroki w celu regularnej identyfikacji i zarządzania ryzykiem związanym z bezpieczeństwem danych. W ten sposób jest w stanie nadążyć za stale zmieniającymi się zagrożeniami bezpieczeństwa danych.
  • ISO/IEC 27001 zawiera wskazówki dotyczące wdrażania odpowiednich środków w celu ograniczenia tych zagrożeń, wraz z zalecanymi środkami technicznymi zgodnymi z wymogami RODO.
  • System zarządzania bezpieczeństwem informacji zgodny z normą ISO/IEC 27001 zapewnia nie tylko zestaw odpowiednich kontroli technicznych, zasad i procedur, procesów monitorowania i ciągłego doskonalenia, ale także promuje kulturę i świadomość bezpieczeństwa informacji, która zapewnia bezpieczeństwo danych w całej firmie
  • Uzyskanie certyfikatu ISO/IEC 27001 zapewnia pewność, że Twój system zarządzania bezpieczeństwem informacji został przetestowany i poddany audytowi zgodnie z uznanymi międzynarodowymi standardami dobrych praktyk bezpieczeństwa informacji.
  • Uzyskanie certyfikatu ISO/IEC 27001 może również dostarczyć przekonujących dowodów na to, że firma podjęła niezbędne kroki w celu spełnienia wymogów bezpieczeństwa danych dotyczących RODO.

 

Podsumowując, wdrożony i certyfikowany system zarządzania bezpieczeństwem informacji zgodny z wymaganiami międzynarodowej normy ISO/IEC 27001 da gwarancję spełnienia wymagań RODO, ponieważ jednym z wymagań, jakie firmy muszą spełnić przy wdrożeniu systemu ISO/IEC jest zgodność z wymaganiami prawnymi.

 

Jeśli interesuje Państwa powyższe zagadnienie jesteśmy do dyspozycji pod numerem telefonu: 22 649 76 64 lub zachęcamy do kontaktu poprzez email: isoqar@isoqar.pl. Nasi eksperci pomogą Państwu zmierzyć się z tym tematem.

Skontaktuj się z nami

Zgodnie z art. 13 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016) informuję, iż:

1) administratorem Pani/Pana danych osobowych jest ISOQAR CEE  Sp. z o.o. ul. Wąwozowa 11, 02-796 Warszawa,

2) Pani/Pana dane osobowe przetwarzane będą w celach marketingowych na podstawie Art. 6 ust. 1 lit. a ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.

3) Pani/Pana dane osobowe przechowywane będą do momentu odwołania zgody

4) odbiorcami Pani/Pana danych osobowych będą wyłącznie podmioty uprawnione do uzyskania danych osobowych na podstawie przepisów prawa oraz podmioty realizujące usługę mass mailingu

5) posiada Pani/Pan prawo do żądania od administratora dostępu do danych osobowych, prawo do ich sprostowania usunięcia lub ograniczenia przetwarzania, prawo do cofnięcia zgody oraz prawo do przenoszenia danych

6) ma Pani/Pan prawo wniesienia skargi do organu` nadzorczego

7) Pani/Pana dane będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie odbywało się na zasadach określonych w regulaminie (opcje: subskrypcji, itp.) a konsekwencją takiego przetwarzania będzie otrzymywanie wyselekcjonowanej informacji marketingowej

8) podanie danych osobowych jest dobrowolne, jednakże niepodanie danych może skutkować niemożliwością uczestnictwa w (opcje: subskrypcji newslettera, otrzymywania ofert marketingowych, udziału w ankietach)

Jednocześnie zgodnie z art.6 ust.1 lit. a ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. wyrażam zgodę na przetwarzanie moich danych osobowych w celu (opcje: subskrypcji newslettera, otrzymywania ofert marketingowych, udziału w ankietach)

Regulamin plików cookies