Certyfikacja ISO 27701
Certyfikacja systemu zarządzania - ISO 27701
W sierpniu 2019 r. ISO opublikowało ISO/IEC 27701:2019 („ISO 27701”), nowy międzynarodowy standard prywatności dotyczący ochrony i zarządzania przetwarzaniem danych osobowych.
Norma ISO/IEC 27701 to rozszerzenie norm ISO/IEC 27001 i ISO/IEC 27002 o rekomendacje dotyczące zarządzania ochroną danych osobowych. Norma ta zawiera wytyczne dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania danymi osobowymi (SZDO). ISO/IEC 27701 uwzględnia również postanowienia RODO. Podmioty posiadające ten certyfikat gwarantują tym samym, że prowadzą działania zapewniające ochronę danych osobowych.
Zasady certyfikacji ISO 27701
Certyfikat wydany przez niezależną jednostkę certyfikującą akredytowaną zapewnia, że system zarządzania ochroną danych osobowych jest ustanowiony,udokumentowany, stosowany oraz utrzymywany zgodnie z wymaganiami ISO 27701 oraz RODO których mapa powiązań znalazła się w załączniku D do normy.
Korzyści
Zastosowanie ISO 27701 pozwala określić wymagania przedsiębiorstwa w zakresie bezpieczeństwa, sformułować politykę ochrony i bezpieczeństwa danych osobowych oraz wybrać środki, dzięki którym bezpieczeństwo danych zostanie zapewnione. Norma wspomaga więc procesy organizacyjne w sposób umożliwiający racjonalne podwyższenie bezpieczeństwa danych koncentrując się na sferze organizacyjnej oraz kontrolując obszary związane z:
- minimalizacją przetwarzanych danych osobowych
- kontrolę nad przekazywaniem danych podmiotom zagranicznym
- poufność danych
Poufność danych ma podstawowe znaczenie dla:
- zachowania zgodności z przepisami prawa (np. Ustawa o ochronie danych osobowych i jej pochodnych)
- budowy zaufania do świadczonych usług
- przeciwdziałania ryzykom ich utraty
- uniknięcia kar o odszkodowań na wypadek ich wycieku
- ograniczeniu ryzykl prowadzonej działalności
Certyfikacja przez akredytowaną jednostkę certyfikującą
- Ocena i rejestracja wniosku o certyfikację.
- Wyznaczenie terminu przeprowadzenia certyfikacji (audytu certyfikacyjnego jest prowadzone w dwóch etapach).
- Powołanie zespołu audytorów.
- Plan kontroli procesu.
Ocena systemu w etapach:
- przegląd dokumentacji klienta,
- badanie stanu faktycznego na miejscu u klienta.
Raport z audytu certyfikacyjnego, ocena sprawozdania z audytu przez jednostkę certyfikującą i wydanie certyfikatu.
Uwagi
Certyfikat jest ważny przez 3 lata ale co roku jest prowadzony audyt nadzoru. Wyniki z audytu nadzoru są potwierdzeniem ważności certyfikatu i sprawdzeniem stosowania przyjętych standardów. W przypadku stwierdzenia istotnych odchyleń (niezgodności z normą) certyfikat może być cofnięty.
