2016-ban Európai Unió általános adatvédelmi rendelete (GDPR) egy új korszakot nyitott meg az adatvédelmi szabályozásban. Néhány év elteltével, több a GDPR mintájára készült adatvédelmi szabályozás is létrejött. Rohamosan fejlődő, digitális társadalmunkban pedig egyre nehezebb személyes adataink feletti kontrollunk gyakorlása. A rendelet támasztotta követelmények kiemelik az adatokat kezelők felelősségét. Mindennek eredményeként a szervezeteknek különféle eljárásokat kell bevezetniük egyre növekvő, rájuk nehezedő előírások betartására.
Egy információbiztonsági irányítási rendszer (ISO 27001) megfelelő kiindulási alap az általános adatvédelmi rendelet követelményeinek betartására; s hogy e két témakör még összehangoltabban tudjon együttműködni, arra egy újabb szabvány jelentheti a megoldást. Amely azon túl, hogy a személyes adatok biztonságát célzó előírásokat fogalmaz meg, alapját képezheti a GDPR tanúsítási mechanizmusának.
Egy szervezeten belül több irányítási rendszert fenntartani az egységes felépítés és az integrálhatóság miatt nem okoz különösebb nehézséget; s ezzel a szabvánnyal remélhetőleg a rendelet betartásához szükséges belső eljárások is könnyebben illeszthetők a már kiépített és jól működő Információbiztonsági keretrendszerbe (Information Security Management System, ISMS).
PIMS – Privacy Information Management System
Ez a szabvány nem más, mint az ISO/IEC 27701:2019; amely a személyes adatokra vonatkozó adatvédelmi irányítási rendszer létrehozásának és fenntarthatóságának gyakorlati követelményeit foglalja magában az ISMS kiterjesztéseként.
A PIMS szervezeti tevékenységtől, formától és mérettől függetlenül alkalmazható az adatkezelők és feldolgozók számára egyaránt. Követelményeket határoz meg és útmutatóként szolgál az adatvédelmi irányítási rendszer létrehozására, bevezetésére, karbantartására és folyamatos fejlesztésére.
Kockázatalapú megközelítéssel nyújt segítséget a szervezeteknek a személyes adatokra vonatkozó kockázatok kezelésében. A PIMS másik előnye, hogy a követelmények összehangolásán túl a fogalmakat és definíciókat is harmonizálja.
Személyazonosításra alkalmas információk (PII)
A PII, azaz a személyazonosításra alkalmas információ (Personally Identifiable Information) minden olyan konkrét személyhez köthető adat, amely alapján valaki egyértelműen beazonosítható. Ezek az adatok önmagukban vagy más adatokkal kombinálva azonosíthatnak személyeket. A PIMS tehát ezen adatok kezelésére és feldolgozására határoz meg követelményeket.
Főbb követelmények
Az ISO/IEC 27001:2013 szabvány A. mellékletéhez külön fogalmaz meg előírásokat Adatkezelőre és Adatfeldolgozóra egyaránt; így e kontrollpontokról is rendelkezni kell az alkalmazhatósági nyilatkozatban. Adatkezelőre és feldolgozóra vonatkozó főbb követelmények:
- Biztonság: Fizikai, logikai és adminisztratív eljárások, ellenőrzések bevezetése a PII-k kezelésére.
- Bizalmasság és integritás: A személyes adatokhoz való hozzáférésre jogosultak titoktartási kötelezettsége és az adatok integritásának biztosítása.
- Kockázatok kezelése: A PII-k feldolgozásával, kezelésével kapcsolatos kockázatok azonosítása és új folyamatok esetén hatásvizsgálatok elvégzése.
- Szerepek és felelősségek: Felelősök meghatározása a PIMS programjának kidolgozására, végrehajtására, figyelemmel kísérésére és fenntartására.
- Képzés: A PII-k kezelésében résztvevő személyek adatvédelmi tudatosságának növelése.
- Incidenskezelés: Folyamatok bevezetése és eljárások kidolgozása az esetleges incidensek felderítésére, kezelésére és dokumentálására.
- Nyilvántartás: Az adatkezelési tevékenységek, – ideértve az adattovábbítást és nyilvánosságra hozatalt -, dokumentálása és folyamatos vezetése.
- Adattovábbítás: PII-k továbbítása során megfelelő eljárások és garanciák biztosítása.
Adatkezelő specifikus követelmények:
- Tájékoztatás: A PII-k gyűjtését, felhasználását és feldolgozását részletesen tartalmazó adatvédelmi irányelvek, tájékoztatók kidolgozása, elérhetővé tétele az érintettek számára.
- Jogok biztosítása: Olyan eljárások működtetése, amelyek lehetővé teszik az adatkezelésben érintett személyek saját adataik feletti jogaik gyakorlását (pl.: törlés, hozzáférés).
- Szerződéses követelmények: A PII-k feldolgozó általi kezelésére írásbeli szerződések megkötése; mely többek között rendelkezik a személyes adatok védelméről, konkrét célokból történő kezeléséről, incidensek értesítéséről.
- Adattakarékosság és célhoz kötöttség: Az adatok kezelése csak azokra a PII-kre terjedhetnek ki, amelyek relevánsak, arányosak és szükségesek a cél teljesítéséhez.
Adatfeldolgozó-specifikus követelmények:
- Feldolgozás korlátozása: A PII-k feldolgozása csak az adatkezelő dokumentált utasításai alapján történhet.
- Alvállalkozók bevonása: Adatfeldolgozó további adatfeldolgozót (al-adatfeldolgozót) írásos szerződésben foglaltak alapján hatalmazza fel a PII-k feldolgozására és biztosítja a megfelelő ellenőrzések végrehajtását.
- Jogsértő utasítások: Adatkezelő általi utasításokat, amelyek sértik az alkalmazandó jogszabályokat, külső-belső szabályozásokat, közölni kell a szerződött partnerrel.
- Támogatás: Adatkezelő támogatása a PII-k feldolgozásában érintett személyek jogainak biztosításában, kezelésében.
Kire alkalmazható a szabvány?
Gyakorlatilag bárkire, aki rendelkezik Információbiztonsági irányítási rendszer tanúsítvánnyal vagy annak megfelelő irányítási rendszert működtet és személyes adatokat kezel a szervezetében. Nincs megkötés a szervezet méretében, formájában vagy a végzett tevékenység típusában, hiszen a követelmények rugalmasan illeszkedek minden szervezetre. Legyen szó tehát állami vagy magáncégről, kormányzati szervről, nonprofit szervezetekről a szabvány implementálható.
Milyen előnyökkel jár a bevezetés?
- Objektív bemutatása a szervezet elkötelezettségének a személyes adatok biztonságos kezelésére, mely bizalmat ébreszt ügyfelekben és munkavállalókban egyaránt.
- Előny lehet egy tenderen való induláskor, valamint a versenytársak közül való kiemelkedésben.
- Harmadik felek által történő ellenőrzések (auditok) vagy szerződéses tárgyalások során demonstrálható bizonyítékokat és átláthatóságot biztosít.
- Támogatja a GDPR és az egyéb vonatkozó adatvédelmi előírások betartását.
- Tisztázza a szervezeten belüli szerepeket és felelősségeket.
A bevezetés / tanúsítás főbb lépései
- A PIMS alkalmazhatóságának vizsgálata, meghatározása (alkalmazhatósági nyilatkozat).
- Követelmények alkalmazásában résztvevő kulcsszereplők kijelölése.
- Megfelelő kockázatértékelési és -kezelési eljárás bevezetése, összehangolása meglévővel.
- Képzési és tudatosságnővelő program kidolgozása és végrehajtása.
- PIMS-specifikus eljárások, folyamatok és szabályok kidolgozása vagy a meglévő ISMS dokumentumok kiterjesztése, pl. Incidensek kezelése.
- A személyes adatok jogszerű kezelésének biztosítása.
- Adatvédelmi hatásvizsgálatok (PIA – Privacy Impact Assessment) elvégzése.
- Eljárások kidolgozása a PII-k biztonságos kezelésére, továbbítására, tárolására, megsemmisítésére.
- A folyamatos fenntarthatóság (tervezés, visszaellenőrzés, javító intézkedések végrehajtása) megtervezése, működtetése
Bár a szabvány alkalmazása önmagában nem helyettesíti a GDPR követelményeinek maradéktalan betartását, nagyban hozzájárulhat a megfelelőség kialakításában. Segítséget nyújt annak folyamatos, fenntartható működtetésében. Az elszámoltathatóság elvéhez igazodóan e keretrendszer bevezetése megfelelő evidenciákat és garanciát nyújt a megfelelőség igazolásához. Személyes adatok, avagy PII-k pedig minden szervezetben jelen vannak; még egy fejlesztési folyamat során is, így az adatok biztonságának garantálása mindenki felelőssége kell legyen.
Ha adatvédelmi megfelelőség kialakításában vagy szolgáltatásod, terméked ellenőrzésében, vállalkozásod segítségére lehetünk vedd fel velünk a kapcsolatot elérhetőségeink egyikén.