ISO 27701: alternativa certifikace GDPR

Ačkoli je Obecné nařízení o ochraně osobních údajů („GDPR“) účinné již dva roky, k dnešnímu datu na našem trhu nadále neexistují oficiální osvědčení či certifikace, dle kterých by bylo možné posuzovat a prokázat soulad s tímto Nařízením. Pokud se podíváme na časovou osu implementace certifikačního systému u nás, v současné době Úřad pro ochranu osobních údajů připravil požadavky a kritéria pro akreditaci a vydávání osvědčení a nyní čekáme na schválení Evropským sborem pro ochranu osobních údajů, po nichž agendu převezme Český institut pro akreditaci.1 Do té doby jsme odkázáni na alternativní řešení. S vlastním přišla mezinárodní organizace ISO v podobě svého nového standardu ISO/IEC 27701.

GDPR     ochrana soukromí      Privacy Information Management System

Mezinárodní organizace pro standardizaci ISO (International Organization for Standardization) propojující odborníky celého světa v srpnu loňského roku vydala standard ISO/IEC 27701. Tento standard definuje a popisuje systém řízení informací o soukromí, anglicky Privacy Information Management System („PIMS“ nebo také „nový standard“). PIMS je nadstavbou Systému řízení bezpečnosti informací („ISMS“) definovaného ve standardu ISO 27001, kdy rozvíjí již definované postupy v oblasti ochrany osobních údajů. Nový standard byl dle prohlášení tvůrců² vytvořen s odkazem na GDPR se snahou vytvořit jednotný a konsolidovaný rámec systému řízení informací o soukromí v organizacích a cílem sjednotit řízení souladu GDPR ochrana soukromí ISO 27701 Privacy Information Management System s požadavky rozdílných regulací ochrany soukromí v Evropě i zbytku světa. Standard ISO 27701 definuje požadavky a doporučení pro návrh, implementaci, provozování a průběžné zlepšování systému PIMS jako celistvého ekosystému ochrany soukromí, přičemž stejně jako ISMS vychází z analýzy kontextu zpracování konkrétní organizace a rizik spojených s tímto zpracováním.

Hlavní novinky standardu ISO 27701

Jak bylo uvedeno výše, Systém řízení informací o soukromí PIMS rozšiřuje stávající požadavky ISMS o prvky ochrany soukromí. Tyto prvky lze stručně rozdělit do tří následujících kategorií:

1. Specifické požadavky k ISO 27001

V případě PIMS jsou hlavní fáze, resp. kapitoly ISMS (Kontext organizace, Vůdčí role, Plánování, Podpora, Provozování, Hodnocení výkonnosti, Průběžné zlepšování) rozšířeny o specifika ochrany soukromí. To v praxi v řadě případů znamená pouze doplnění kouzelného slovíčka „Privacy“ do původního znění standardu ISO 27001 či nahrazení zkratky ISMS zkratkou PIMS. Tato malá záměna nicméně přináší celou řadu implikací včetně potřeby definice postavení organizace ve vztahu ke zpracování osobních údajů, definice dalších stran podílejících se na zpracování osobních údajů, definice rozsahu zpracování osobních údajů, systému jejich ochrany v organizaci či systému řízení rizik ochrany soukromí (pozn. specificky pro řízení rizik spojené s ochranou osobních údajů byly na počátku letošního roku započaty práce na tvorbě standardu ISO 27557: Organizational Privacy Risk Management³). Obdobným způsobem jsou rozšířena opatření v příloze A standardu ISO 27001: ISMS o dodatečná doporučení využití pro ochranu informací o soukromí, případně naopak o úskalí jednotlivých opatření a jejich dopadu do soukromí (např. tvorba auditní stopy a logů, jež de facto může znamenat další databázi osobních údajů, kterou je potřeba dostatečným způsobem chránit).

2. Dodatečná opatření pro ochranu soukromí pro správce a zpracovatele

Nad rámec původních opatření nový ISO standard definuje dodatečná opatření specifická pro ochranu soukromí. Opatření jsou separátně rozdělena do pohledů správce a zpracovatele osobních údajů. Jednotlivá opatření jsou rozdělena do následujících tematických okruhů:

a) Podmínky pro sběr a zpracování osobních údajů, jejichž cílem je jasně definovat a dokumentovat účel zpracování, právní důvod zpracování (tedy právní opora pro zpracování), využití souhlasu, smluvní ujednání s dalšími stranami, proces hodnocení dopadu do soukromí (Privacy Impact Assessment) a dalších aspektů zpracování.

b) Povinnosti vůči subjektům údajů (zákazníci, zaměstnanci a další osoby, jejichž osobní údaje zpracovávám), kde jsou definována opatření pro zajištění práv subjektů údajů včetně informování, odvolání souhlasu, přístupu, opravy osobních údajů a dalších povinností vůči subjektům údajů.

c) Záměrná a standardní ochrana osobních údajů (Privacy by Design and Default), která definuje opatření v kontextu omezení zpracování, doby uložení, přesnosti, aplikace retenčních lhůt, de-identifikace a dalších opatření v celém životním cyklu zpracování osobních údajů a navázaných podpůrných aktiv, pomocí kterých jsou zpracovány (aplikace, databáze, úložiště, e-mailové služby, případně fyzické dokumenty a prostředky pro zpracování).

d) Sdílení, transfer a poskytování osobních údajů upravující podmínky předávání osobních údajů mimo prostředí společnosti zejména s ohledem na mezinárodní předávání dat.

3. Mapování

Součástí standardu ISO 27701 je mapování v přílohách C, D, E, z nichž bych vypíchl především mapování na požadavky GDPR, které může být vodítkem pro řízení souladu s tímto Nařízením. Dále zde můžeme nalézt mapování na ISO 29100, ISO 27018 a ISO 29151. Bohužel v současné verzi chybí mapování na další rámce mimo svět ISO, např. NIST Privacy Framework⁴ (mimo jiné také kvůli tomu, že NIST Privacy Framework byl zveřejněn až po zveřejnění ISO 27701).

Možné využití a benefity nového standardu

Vzhledem k mezinárodní rozeznatelnosti standardů ISO napříč prakticky všemi státy světa má implementace nového standardu řadu benefitů včetně:

• Konsolidace požadavků regulací: standardu je možno využít jako jednotného rámce napříč jednotlivými regulacemi upravujícími ochranu osobních údajů jako GDPR v Evropě, California Customer Privacy Act v USA či The Act on the Protection of Personal Information v Japonsku.

• Systematizace a standardizace: ISO 27701 nabízí jednotný a srozumitelný standard pro implementaci, řízení a hodnocení systému ochrany soukromí ve společnosti využitelný menšími, středními i velkými organizacemi.

• Prokazatelnost: Certifikace dle standardu ISO 27701 má prokázat nastavení vysoké úrovně ochrany soukromí Petr Šimsa Je Senior Associate v týmu Cybersecurity & Privacy⁷ společnosti PricewaterhouseCoopers, kde se zaměřuje primárně na analýzu, implementaci a audit Systému řízení bezpečnosti informací a ochranu osobních údajů včetně zajištění souladu se Zákonem o kybernetické bezpečnosti, GDPR a dalšími regulacemi. v organizaci a nezbytných implementovaných opatření pro soulad s regulacemi jako GDPR.

• Vazba na ISMS: ISO 27701 vychází z ověřeného „zlatého standardu informační bezpečnosti“ ISO 27001. Při implementaci lze proto využít již implementovaných opatření a procesů ve společnosti a využít synergie namísto implementace dalšího separátního systému a procesů.

• Přístup založený na riziku: Stejně jako ISMS nebo GDPR je i PIMS postaven na přístupu založeném na riziku v kontextu konkrétní organizace. Na rozdíl od „tvrdých“ standardů typu PCI DSS tak nabízí větší flexibilitu a možnost přizpůsobení danému typu organizace na základě identifikovaného rizika.

Při využití se není potřeba omezovat pouze na vlastní organizaci, nicméně certifikace ISO 27701 může sloužit jako jeden z požadavků vůči dodavatelům, resp. zpracovatelům, případně může být využit jako základ pro jejich hodnocení a audit v podobném duchu jako ISO 27001 nebo SOC reporting (System Organization Control), které jsou na západním trhu poměrně standardní praxí.

Nabízí se kacířská myšlenka – pomůže mi vytvoření dokumentů a získání certifikace k zajištění lepší bezpečnosti dat? Kacířsky odpovím, že ne. Pokud budete implementovat tento systém způsobem stále poměrně častým na českém trhu, a tedy uděláte naprosté minimum k získání certifikace pouze v podobě tvorby papírů, tak si dovolím tvrdit, že tento přístup sám o sobě nic nezlepší. Spíše naopak – dodá vám falešný pocit kontroly a doslova papírovou bezpečnost. Pokud však PIMS skutečně implementujete a zavedete do každodenní praxe, tak věřím, že ano.

Pro zajímavost – první společností, která splnila veškeré požadavky (alespoň vlastního prohlášení), byla OneTrust5, dále pak Microsoft6 jako první z velkých poskytovatelů cloudových služeb a postupně se přidávají další společnosti.

Závěr

Ať už se rozhodnete využít ISO 27701 jakkoli, třeba jen jako pouhý myšlenkový seznam postupů a opatření pro implementaci, „seznam“ požadavků, vůči kterému budete posuzovat vlastní organizaci či své dodavatele, nebo se vydáte směrem certifikace, je možné z implementace tohoto standardu ve vaší organizaci profitovat i po spuštění systému certifikace GDPR, o kterém jsem hovořil na začátku. 

Poznámky pod čarou:

1. Shrnutí stavu certifikac. a vydávání osvědčení na stránkách ÚOOÚ: https://www.uoou.cz/certifikace-vydavani-osvedceni/d-27300/p1=3938
2. Zpráva organizace ISO k publikováná nového standardu: https://www.iso.org/news/ref2419.html
3. Otevřený dopis o započatých pracích na nových standardech organizace ISO: https://share.ansi.org/ISOT/Updated%20ISO-IEC-ITU%20coordination/2020%20ISO-IEC-ITU%20New%20work%20items/2020-02-04%20-%20ISO-IEC-ITU%20New%20work%20items.pdf
4. Privacy Framework od organizace NIST (National Institute of Standards and Technology): https://www.nist.gov/privacy-framework
5. Prohlášení společnosti OneTrust deklarující získání certifikace ISO 27701: https://www.onetrust.com/company/news/press-releases/onetrust-achieves-worlds-first-iso-27701/
6. Prohlášení společnosti Microsoft deklarující získání certifikace ISO 27701: https://azure.microsoft.com/en-us/blog/azure-is-now-certified-for-the-iso-iec-27701-privacy-standard/
7. Prezentace týmu Cybersecurity & Privacy: https://www.pwc.com/cz/cs/sluzby/cyberandprivacy.html