GDPR Awareness Blog - GDPR Awareness

Go to content

Εισαγωγή στο Πρότυπο ISO / IEC 27701

GDPR Awareness
Το άρθρο αυτό περιλαμβάνει μια σύντομη εισαγωγή στο πρότυπο ISO / IEC 27701.

Σχεδόν κάθε οργανισμός επεξεργάζεται Προσωπικά Αναγνωρίσιμες Πληροφορίες (ΠΑΠ) ή αλλιώς Αναγνωρίσιμες Πληροφορίες για Προσωπικά Δεδομένα (ΑΠΠΔ) - Personally Identifiable Information - PII.  Επιπλέον, η ποσότητα και οι τύποι των ΠΑΠ που υποβάλλονται σε επεξεργασία αυξάνονται, όπως και ο αριθμός των καταστάσεων όπου ένας οργανισμός πρέπει να συνεργαστεί με άλλους οργανισμούς σχετικά με την επεξεργασία των ΠΑΠ. Η προστασία της ιδιωτικής ζωής στο πλαίσιο της επεξεργασίας των ΠΑΠ είναι κοινωνική ανάγκη, καθώς και το θέμα της ειδικής νομοθεσίας ή / και της ρύθμισης σε όλο τον κόσμο.

Το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ) - Information Security Management System - ISMS που ορίζεται στο ISO / IEC 27001 έχει σχεδιαστεί για να επιτρέπει την προσθήκη συγκεκριμένων απαιτήσεων ανά τομέα, ανά κατηγορία νομικού προσώπου - εταιρίας και ανά κατηγορία επεξεργασίας, χωρίς την ανάγκη ανάπτυξης νέου Συστήματος Διαχείρισης. Τα πρότυπα του συστήματος διαχείρισης ISO, συμπεριλαμβανομένων των προδιαγραφών ανά τομέα, έχουν σχεδιαστεί ώστε να μπορούν να εφαρμοστούν είτε ξεχωριστά είτε ως συνδυασμένο σύστημα διαχείρισης.

Οι απαιτήσεις και οι οδηγίες για την προστασία των ΠΑΠ ποικίλλουν ανάλογα με το πλαίσιο λειτουργίας του οργανισμού, ιδίως όπου υπάρχει εθνική νομοθεσία ή / και κανονισμός. Το ISO / IEC 27001 απαιτεί να κατανοηθεί και να ληφθεί υπόψη αυτό το πλαίσιο λειτουργίας.

Πρότυπα που σχετίζονται με το πρότυπο ISO / IEC 27001 και ένα ΣΔΑΠ:
  • ISO / IEC 29100 και το πλαίσιο και τις αρχές απορρήτου που ορίζονται από αυτό,
  • ISO / IEC 29151,
  • ISO / IEC 27018,
  • ISO / IEC 27552 και
  • Ο Γενικός Κανονισμός Προστασίας Δεδομένων – ΓΚΠΔ της ΕΕ (EU General Data Protection Regulation - GDPR)

Ωστόσο, τα πρότυπα που αποτελούν ένα ΣΔΑΠ πρέπει να ερμηνεύονται σε συνδυασμό με την εκάστοτε τοπική εθνική νομοθεσία ή / και κανονισμούς.

Το ISO / IEC 29100 και τα άλλα πρότυπα που αποτελούν ένα  ΣΔΑΠ μπορεί να χρησιμοποιηθούν από υπεύθυνους επεξεργασίας (data controllers) ΠΑΠ (συμπεριλαμβανομένων εκείνων που είναι κοινοπραξία υπευθύνων επεξεργασίας ΠΑΠ) και από τους εκτελούντες την επεξεργασία (data processors) ΠΑΠ (συμπεριλαμβανομένων εκείνων που χρησιμοποιούν υπεργολάβους εκτελούντες την επεξεργασία και εκείνους που επεξεργάζονται ΠΑΠ ως υπεργολάβοι σε εκτελούντες την επεξεργασία).

Ένας οργανισμός που συμμορφώνεται με τις απαιτήσεις τα πρότυπα που αποτελούν ένα ΣΔΑΠ θα δημιουργήσει αποδεικτικά στοιχεία για το πώς χειρίζεται την επεξεργασία των ΠΑΠ. Τέτοια αποδεικτικά στοιχεία μπορούν να χρησιμοποιηθούν για τη διευκόλυνση συμφωνιών με επιχειρηματικούς εταίρους όπου η επεξεργασία των ΠΑΠ είναι σχετικά αμοιβαία. Αποδεικτικά στοιχεία για το πώς χειρίζεται ένας οργανισμός την επεξεργασία των ΠΑΠ μπορεί επίσης να βοηθήσει στις σχέσεις με άλλους ενδιαφερόμενους. Η χρήση του προτύπου ISO / IEC 27552 σε συνδυασμό με το ISO / IEC 27001 μπορεί, εάν είναι επιθυμητό, να παρέχει ανεξάρτητη επαλήθευση των αποδεικτικών στοιχείων για το πώς χειρίζεται ένας οργανισμός την επεξεργασία των ΠΑΠ
Συμβατότητα: Το προτύπου ISO / IEC 27552 εφαρμόζει επίσης το πλαίσιο που αναπτύχθηκε από τον ISO για τη βελτίωση της συμβατότητας και της ευθυγράμμισης μεταξύ των προτύπων των συστημάτων διαχείρισης και επιτρέπει σε έναν οργανισμό να ευθυγραμμίσει ή να ενσωματώσει τα συστημάτων διαχείρισης του με τις απαιτήσεις άλλων προτύπων συστημάτων διαχείρισης.

ISO 27701, ένα διεθνές πρότυπο που αφορά την προστασία προσωπικών δεδομένων
Το ISO 27701 είναι ένα διεθνές πρότυπο που καθορίζει το σύστημα διαχείρισης και τις απαιτήσεις ασφαλείας για την επεξεργασία προσωπικών δεδομένων με αναφορά στον ορισμό των αναγνωρίσιμων πληροφοριών για προσωπικά δεδομένα του προτύπου 27701 - ΑΠΠΔ, 27701, Personally identifiable information - PII. Το ISO 27701:2019 δημοσιεύθηκε τον Αύγουστο του 2019. Βασίζεται σε δύο πρότυπα ασφάλειας πληροφοριών και τα επεκτείνει ώστε να καλύπτει την προστασία προσωπικών δεδομένων:
  • ISO 27001, το οποίο παρέχει πιστοποίηση συστήματος διαχείρισης ασφάλειας πληροφοριών.
  • ISO 27002, το οποίο παρέχει οδηγίες για την εφαρμογή των απαραίτητων μέτρων ασφαλείας.

Προδιαγραφές ISO 27701
Προκειμένου να ομαλοποιηθεί και να ενισχυθεί η προστασία προσωπικών δεδομένων,
  • Το ISO 27701 επεκτείνει τα συστήματα διαχείρισης ασφάλειας πληροφοριών ISO ώστε να καλύπτουν τις ιδιαιτερότητες της επεξεργασίας προσωπικών δεδομένων:
    • Προσδιορισμός του ρόλου του οργανισμού ως υπευθύνου επεξεργασίας δεδομένων ή / και εκτελούντος την επεξεργασία δεδομένων (το 27701, «ελεγκτής ΑΠΠΔ» και «επεξεργαστής ΑΠΠΔ») ·
    • Ενοποιημένη διαχείριση των κινδύνων σχετικά με τους πιθανούς κινδύνους για τον οργανισμό και για τα δεδομένα των υποκειμένων επεξεργασίας  (στον 27701, "Αρχές ΑΠΠΔ"), ορισμός υπευθύνου προστασίας δεδομένων (στο ISO 27701, "Λειτουργός Ασφαλείας") ·
    • Ενημέρωση των μελών του προσωπικού, ταξινόμηση πληροφοριών, προστασία αφαιρούμενων μέσων, διαχείριση πρόσβασης, κρυπτογράφηση δεδομένων, δημιουργία αντιγράφων ασφαλείας, καταγραφή συμβάντων.
    • Προϋποθέσεις για τη μεταφορά δεδομένων, το απόρρητο από το σχεδιασμό και από προεπιλογή, διαχείριση συμβάντων ·
    • Συμμόρφωση με νομικές και κανονιστικές απαιτήσεις κ.λπ.
  • Το ISO 27701 παρέχει συγκεκριμένα μέτρα για την επεξεργασία προσωπικών δεδομένων, που σχετίζονται με το ρόλο του οργανισμού (ως υπεύθυνο επεξεργασίας, εκτελούντος την επεξεργασία ή υπεργολάβου εκτελούντος την επεξεργασία):
    • Θεμελιώδεις αρχές: σκοπός της επεξεργασίας, νομική βάση, συλλογή και απόσυρση συναίνεσης, αρχεία των εργασιών επεξεργασίας, εκτίμηση επιπτώσεων στην ιδιωτική ζωή ·
    • Δικαιώματα υποκειμένου επεξεργασίας: ειδοποίηση, πρόσβαση, διόρθωση, διαγραφή, αυτοματοποιημένη απόφαση ·
    • Απόρρητο από το σχεδιασμό και από προεπιλογή: ελαχιστοποίηση, από-ταυτοποίηση και διαγραφή δεδομένων, διατήρηση δεδομένων ·
    • Υπεργολαβίες, μεταφορά δεδομένων και κοινή χρήση δεδομένων.

Συνεισφορά από εμπειρογνώμονες και αρχές προστασίας δεδομένων.
Το πρότυπο ISO 27701 καταρτίστηκε σε διεθνές επίπεδο με συνεισφορές εμπειρογνωμόνων από όλες τις ηπείρους και τη συμμετοχή αρκετών αρχών προστασίας δεδομένων. Εμπειρογνώμονες από το CNIL συνέβαλαν ενεργά στο πρότυπο, με την υποστήριξη της AFNOR και του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων.
Ο ΓΚΠΔ ελήφθη υπόψη, καθώς και άλλες νομοθεσίες περί προστασίας δεδομένων (συμπεριλαμβανομένων της Αυστραλίας, της Βραζιλίας, της Καλιφόρνια, του Καναδά και άλλων). Η εγγύτητα του προτύπου με τον ΓΚΠΔ υλοποιείται σε ένα συγκεκριμένο παράρτημα που χαρτογραφεί κάθε ρήτρα του προτύπου με το αντίστοιχο άρθρο του ΓΚΠΔ. Η εφαρμογή ενός συστήματος διαχείρισης για την προστασία των δεδομένων είναι το κλειδί για τις γενικές διατάξεις της λογοδοσίας στον ΓΚΠΔ.

Εν συντομία, το ISO 27701 είναι ένα παγκόσμιο πρότυπο: δεν είναι ειδικό για τον ΓΚΠΔ, ούτε αποτελεί, ως τέτοιο, ένα όργανο πιστοποίησης του ΓΚΠΔ όπως περιγράφεται στο άρθρο 42 του κανονισμού. Ωστόσο, αντιπροσωπεύει την τελευταία λέξη της τεχνολογίας όσον αφορά την προστασία της ιδιωτικής ζωής και θα επιτρέψει σε οργανισμούς που το υιοθετούν να αυξήσουν την ωριμότητά τους και να επιδείξουν μια ενεργή προσέγγιση στην προστασία των προσωπικών δεδομένων.


Η CubeIQ και η KontakosMC, διαθέτοντας ομάδα εξειδικευμένων συμβούλων και δικηγόρων και σε συνεργασία με τους καλύτερους επαγγελματίες στον τομέα του ΙΤ βρίσκεται στη διάθεσή σας για να αναλάβει πλήρως ή μερικώς το Έργο Συμμόρφωσης με τον ΓΚΠΔ (GDPR) καθώς και να παράσχει διευκρινίσεις και κατευθύνσεις σχετικά με τις υποχρεώσεις που επιβάλλει ο νέος Κανονισμός με την διαχείριση δεδομένων Προσωπικού Χαρακτήρα.


####



Ποιούς Αφορά

Αφορά όλους τους οργανισμούς, εταιρίες και επαγγελματίες εντός της Ευρωπαϊκής Ένωσης εφόσον επεξεργάζονται Προσωπικά Δεδομένα Πολιτών της Ευρώπης.

Αφορά εταιρίες εκτός Ευρωπαϊκής Ένωσης εφόσον επεξεργάζονται Προσωπικά Δεδομένα Πολιτών της Ευρώπης.

© 2018 - 2020 CubeIQ Limited
Τι είναι Προσωπικά Δεδομένα

Όνομα και Επώνυμο
Διεύθυνση κατοικίας
Τηλέφωνο, email
Ηλικία, Φύλλο
Οικογενειακή κατάσταση
Επάγγελμα
Διεύθυνση εργασίας
ΑΦΜ
Οικονομική κατάσταση
Φυσικά χαρακτηριστικά
...
Τι είναι Ειδικά Δεδομένα

Ιατρικά, Θρησκευτικά, και Πολιτικά δεδομένα
Eρωτικές προτιμήσεις
Συμμετοχή σε οργανώσεις, σωματεία, ομάδες δράσης
Φυλή
Συνδικαλιστική δραστηριότητα
Άλλες δραστηριότητες
Συνήθειες και ενδιαφέροντα
...
GDPR Services On Time
GDPR Services
CubIQ Limited
KontakosMC LP
Back to content