Wiele krajów na całym świecie zaczęło uchwalać przepisy regulujące sposób, w jaki firmy mogą gromadzić i wykorzystywać dane konsumentów, i które nakładają pewne standardy prywatności i bezpieczeństwa, które firmy muszą spełniać, będąc w posiadaniu tych danych.
Jeden przełomowy akt prawny pojawił się w 2018 r., kiedy weszło w życie Ogólne rozporządzenie o ochronie danych (RODO) Unii Europejskiej . RODO dotyczy wszystkich państw członkowskich UE i Europejskiego Obszaru Gospodarczego (EOG).
Od tego czasu pojawiły się dodatkowe przepisy dotyczące prywatności, a zrozumienie, czego każdy z nich wymaga i na kogo wpływa, może być uciążliwe. Dzisiaj chcemy wyjaśnić dyskusję, wyjaśniając różnicę między RODO a ISO 27001 .
Co to jest RODO?
RODO nakazuje wszystkim firmom prowadzącym działalność w UE lub gromadzącym dane obywateli UE przestrzegać surowych zasad ochrony tych danych osobowych. Zachęca organizacje do zarządzania bezpieczeństwem danych zgodnie z najlepszymi praktykami normatywnymi i wymaga zgodności administratorów danych (przedsiębiorstwa zbierające dane) i przetwarzających dane (firmy przetwarzające dane w imieniu innych).
Co to jest ISO 27001?
ISO 27001 lub ISO/IEC 27001 to międzynarodowa norma dotycząca systemów zarządzania bezpieczeństwem informacji (ISMS), którą organizacje mogą przyjąć.
ISO 27001 została ustanowiona przez Międzynarodową Organizację Normalizacyjną (ISO) i Międzynarodową Komisję Elektrotechniczną (IEC) w 2005 roku, a następnie zaktualizowana w 2013 i 2017 roku.
Norma zawiera wymagania dotyczące tworzenia, wykonywania, zarządzania i doskonalenia systemu zarządzania bezpieczeństwem informacji w firmie. Gwarantuje to, że organizacje zabezpieczą swoje zasoby informacyjne i chronią przed naruszeniami danych.
Wszystkie organizacje, które mogą spełnić specyfikacje ISO 27001, mogą ubiegać się o certyfikację akredytowanej instytucji, która przeprowadzi audyt w celu zapewnienia zgodności organizacji.
Czym różnią się ISO 27001 i RODO?
ISO 27001 to dobrowolna certyfikacja, która wymaga od organizacji podejścia opartego na ryzyku do zarządzania danymi wrażliwymi. Natomiast RODO ma na celu ochronę danych osobowych obywateli UE, a zgodność z RODO jest obowiązkowa dla większości organizacji pracujących w Europie lub z obywatelami UE.
Zarówno ISO 27001, jak i RODO obracają się wokół ryzyka i obie kierują organizacje w celu zidentyfikowania pewnych zagrożeń i kontroli, które mogą doprowadzić te zagrożenia do akceptowalnego poziomu.
Jeśli chodzi o dane osobowe, ISO 27001 obejmuje szyfrowanie w ramach zarządzania ciągłością działania, a także możliwość przywracania danych w razie potrzeby w odpowiednim czasie. W podobny sposób RODO postrzega dane osobowe jako coś, do ochrony których wszystkie organizacje muszą dążyć.
Tam, gdzie te dwa rozporządzenia różnią się, są ich wymagania. Na przykład RODO obejmuje prawo konsumenta do usunięcia jego danych, a także prawo do kontrolowania sposobu udostępniania danych stronom trzecim (znane również jako przenoszenie danych). ISO 27001 nie zawiera bezpośrednio takich przepisów.
Czy ISO 27001 obejmuje RODO?
Oba są podobne, ale nie identyczne. Oto kilka przykładów nakładania się ISO 27001 i RODO, gdzie zgodność z ISO 27001 może pomóc organizacji w spełnieniu standardów RODO.
Zarówno ISO 27001, jak i RODO wymagają powiadomienia o naruszeniu, ale na różnych poziomach.
Zgodnie zarówno z ISO 27001, jak i RODO, firmy muszą powiadomić organy nadzorcze o naruszeniu danych osobowych w ciągu 72 godzin od jego wykrycia. ISO 27001 zawiera również normy mające na celu zapewnienie spójnego postępowania z incydentami związanymi z bezpieczeństwem informacji.
Główna różnica polega jednak na tym, że RODO stanowi, że konsumenci (lub osoby, których dane dotyczą) są powiadamiani, gdy naruszenie stwarza wysokie ryzyko naruszenia ich indywidualnych praw.
Zarówno RODO, jak i ISO 27001 nakazują określenie wszystkich wymogów prawnych i umownych.
Aby uzyskać certyfikat ISO 27001, organizacje muszą udostępnić audytorom wszystkie wymagania prawne i umowne związane z ich działalnością i klientami, aby zespół audytowy mógł potwierdzić zgodność.
Podobnie RODO nakazuje udostępnienie wszystkich wymogów ustawowych i umownych w celu zapewnienia zgodności.
Ocena ryzyka ISO 27001 może pomóc organizacjom uniknąć kar wynikających z RODO
Kary pieniężne związane z naruszeniem wymagań dotyczących cyberbezpieczeństwa i przetwarzania danych określonych w RODO mogą wynieść do 4 procent globalnych przychodów organizacji. Konsekwencje są tak boleśnie wysokie, że firmy nie mogą sobie pozwolić na zaniedbanie odpowiedniej oceny ryzyka .
W rzeczywistości RODO nakazuje ocenę wpływu na ochronę danych, która wymaga od organizacji oceny zagrożeń i podatności na prywatność. ISO 27001 również wymaga tego samego rodzaju oceny ryzyka. Dlatego zdobywając certyfikat ISO 27001, organizacja może jednocześnie zapewnić zgodność z RODO i zmniejszyć ryzyko kosztownych kar.
Wymogi ISO 27001 dotyczące zarządzania aktywami pomagają zapewnić zgodność z RODO
ISO 27001 traktuje dane osobowe jako aktywa bezpieczeństwa informacji. W związku z tym zasoby te podlegają ograniczeniom dotyczącym przechowywania, długości przechowywania, gromadzenia i dostępu. To również wymagania RODO.
Przyszłość wymagań RODO wskazuje, że prywatność zostanie wbudowana w procesy biznesowe zgodnie z ISO 27001
Przepisy dotyczące prywatności danych stają się coraz bardziej złożone, a nie mniej; z dodatkowymi przepisami i zabezpieczeniami dodawanymi co roku. Patrząc w przyszłość, firmy, które chcą uzyskać strategiczną przewagę nad konkurencją, będą musiały uwzględnić standardy bezpieczeństwa we wszystkich aspektach swojej działalności.
Firmy dążące do przestrzegania ISO 27001 (i innych norm ISO, takich jak ISO 27701 i ISO 27000) będą dobrze przygotowane do spełnienia tych przyszłych oczekiwań, ponieważ norma ISO dotyczy tylko tego, jak chronić zasoby informacyjne – dane osobowe lub w inny sposób.
Wniosek
RODO dotyczy głównie sposobu gromadzenia danych osobowych, przy czym norma ISO 27001 zawiera wskazówki dotyczące tego, w jaki sposób zebrane dane mogą pozostać poufne i bezpieczne.
Ponadto główna dyrektywa RODO ma na celu ochronę prawa do prywatności osób fizycznych i daje konsumentom pewne prawa do kontrolowania, w jaki sposób ich dane są gromadzone, przechowywane i udostępniane. Z drugiej strony ISO 27001 dotyczy bardziej kontroli bezpieczeństwa wokół danych.
Jeśli chcesz dowiedzieć się więcej o tym, jak zapewnić zgodność z RODO lub ISO 27001 w swojej organizacji, skontaktuj się z nami, aby uzyskać demonstrację , aby zobaczyć, jak możemy pomóc Twojej organizacji w uzyskaniu zaufania do ryzyka związanego z informacją i zgodnością.
