ISO/IEC 27701 Σύστημα Διαχείρισης Πληροφοριών Ιδιωτικότητας

Το ISO/IEC 27701:2019 καθορίζει τις απαιτήσεις –και παρέχει καθοδήγηση για τη δημιουργία, την εφαρμογή, τη συντήρηση και τη συνεχή βελτίωση– ενός Συστήματος Διαχείρισης Πληροφοριών Ιδιωτικότητας-ΣΔΠΙ (Privacy Information Management System-PIMS).

Το ISO/IEC 27701:2019 επεκτείνει τις απαιτήσεις και τα σημεία ελέγχου του ISO/IEC 27001:2013 και περιλαμβάνει επιπρόσθετες απαιτήσεις και σημεία ελέγχου για την προστασία του απορρήτου των πληροφοριών που σχετίζονται με την ιδιωτική ζωή ενός φυσικού προσώπου.

Τόσο ο EU GDPR (General Data Protection Regulation) και ο UK DPA (Data Protection Act) 2018 απαιτούσαν από τους οργανισμούς να λάβουν μέτρα για τη διασφάλιση του απορρήτου των προσωπικών δεδομένων που επεξεργάζονται.

Ωστόσο, καμία απ’ αυτές τις νομοθετικές πράξεις δεν παρείχε επαρκή καθοδήγηση για το πώς θα έπρεπε να είναι αυτά τα μέτρα.

Επομένως, ο ISO (International Organization for Standardization) και η IEC (International Electrotechnical Commission) έχουν αναπτύξει αυτό το νέο πρότυπο για την παροχή της απαραίτητης καθοδήγησης.

Το ISO/IEC 27001:2013 καθορίζει τις απαιτήσεις για ένα Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών-ΣΔΑΠ (Information Security Management System-ISMS), μια προσέγγιση βάσει κινδύνου που περιλαμβάνει ανθρώπους, διαδικασίες και τεχνολογία. Η ανεξάρτητη διαπιστευμένη πιστοποίηση κατά το ISO/IEC 27001:2013, παρέχει στους ενδιαφερόμενους τη διαβεβαίωση ότι οι πληροφορίες τους προστατεύονται κατάλληλα.

Οι οργανισμοί που έχουν εφαρμόσει το ISO/IEC 27001:2013 δύνανται να χρησιμοποιήσουν το ISO/IEC 27701:2019 για τη διαχείριση των πληροφοριών ιδιωτικότητας –της προστασίας δηλαδή των Πληροφοριών Προσωπικής Ταυτοποίησης-ΠΠΤ (Personally Identifiable Information-PII)– γεγονός που μπορεί να τους βοηθήσει να αποδείξουν ότι έχουν ληφθεί εύλογα μέτρα για τη συμμόρφωση με νόμους περί προστασίας δεδομένων, όπως ο GDPR και η αντίστοιχη εθνική νομοθεσία (ν. 4624/2019).

Οι οργανισμοί χωρίς Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών μπορούν να εφαρμόσουν το ISO/IEC 27001:2013 και το ISO/IEC 27701:2019 μαζί ως ένα ενιαίο έργο υλοποίησης.

Το ISO/IEC 27701:2019 έχει σχεδιαστεί για χρήση από όλους τους οργανισμούς που είναι υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία Πληροφοριών Προσωπικής Ταυτοποίησης (ή, αλλιώς, δεδομένων προσωπικού χαρακτήρα). Όπως το ISO/IEC 27001:2013, έτσι και το συγκεκριμένο πρότυπο υποστηρίζει μια προσέγγιση βάσει κινδύνου έτσι ώστε κάθε συμμορφούμενος οργανισμός να εντοπίσει, αξιολογήσει και αντιμετωπίσει τους κινδύνους για τα προσωπικά δεδομένα και το απόρρητο.

Παραθέτουμε την αντιστοίχιση των όρων που χρησιμοποιεί το GDPR (και ν. 4624/2019) με αυτούς του ISO/IEC 27701:2019.