Το νέο διεθνές πρότυπο ISO/IEC 27701:2019, μπορεί να αποτελέσει αποτελεσματικό εργαλείο για την συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων 2016/679 (GDPR) της ΕΕ.
Tου Διαμαντή Ζαφειριάδη, Λειτουργός Τυποποίησης του Κυπριακού Οργανισμού Τυποποίησης (CYS)
Σε διάστημα λίγο μεγαλύτερο από ένα έτος μετά την έναρξη της εφαρμογής του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ), η Ευρωπαϊκή Επιτροπή δημοσίευσε έκθεση που εξετάζει τον αντίκτυπο των κανόνων της ΕΕ για την προστασία των δεδομένων και τον τρόπο με τον οποίο μπορεί να βελτιωθεί περαιτέρω η εφαρμογή τους.
Η έκθεση καταλήγει στο συμπέρασμα ότι τα περισσότερα κράτη μέλη έχουν θεσπίσει το αναγκαίο νομικό πλαίσιο και ότι το νέο σύστημα, το οποίο ενισχύει την επιβολή των κανόνων προστασίας των δεδομένων, καθιερώνεται.
Οι επιχειρήσεις αναπτύσσουν νοοτροπία συμμόρφωσης και οι πολίτες συνειδητοποιούν καλύτερα τα δικαιώματά τους. Ταυτόχρονα, η σύγκλιση προς την υψηλών επιπέδου προστασία δεδομένων σημειώνει πρόοδο σε διεθνές επίπεδο.
Ο ΓΚΠΔ έχει ως αποτέλεσμα να γνωρίζουν όλο και περισσότερο οι πολίτες της ΕΕ τους κανόνες προστασίας δεδομένων και τα δικαιώματά τους. Παρόλα ταύτα, τα αποτελέσματα δείχνουν επίσης ότι η προστασία των δεδομένων αποτελεί πηγή ανησυχίας, καθώς το 62 % όσων απάντησαν ανησυχούν ότι δεν έχουν πλήρη έλεγχο των προσωπικών δεδομένων που παρέχουν στο διαδίκτυο.
Πρόσφατη έρευνα της ΕΥ κατέδειξε πως:
• Έχουν οριστεί πάνω από 500.000 Data Protection Officers (DPOs) διεθνώς.
• Έχουν καταγραφεί περισσότερα από 280.000 περιστατικά σε 27 χώρες.
• Από τα οποία, πάνω από 144.000 ήταν παράπονα.
• Έχουν καταγραφεί άνω των 89.000 περιπτώσεων παραβίασης δεδομένων.
• Έχουν επιβληθεί 56 εκατ. ευρώ πρόστιμα σε 11 χώρες.
Ο Διεθνής Οργανισμός Τυποποίησης (ISO) στην προσπάθεια του να βοηθήσει τους Οργανισμούς και τις Επιχειρήσεις να διαχειρίζονται αποτελεσματικά τα δεδομένα προσωπικού χαρακτήρα των πελατών και συνεργατών τους αλλά και να συμμορφώνονται με οποιεσδήποτε νομικές και κανονιστικές απαιτήσεις όπως ο ΓΚΠΔ, εκπόνησε αρχές Αυγούστου του 2019 το πρότυπο “ISO/IEC 27701:2019 – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines”.
Η προτεινόμενη εφαρμογή του ISO/IEC 27701 είναι να επεκτείνει το υφιστάμενο σύστημα διαχείρισης ασφάλειας πληροφοριών (ISO/IEC 27001 – ISMS) με εφαρμογή εξειδικευμένων μέτρων, έτσι ώστε να δημιουργήσει ένα σύστημα διαχείρισης δεδομένων προσωπικού χαρακτήρα (PIMS) για να επιτρέψει την αποτελεσματική διαχείριση των προσωπικών δεδομένων σε έναν Οργανισμό.
Τα οφέλη από την εφαρμογή και την πιστοποίηση με το ISO/IEC 27701 για ένα Οργανισμό είναι πολλαπλά. Τα σημαντικότερα όμως είναι πώς:
Κάθε Οργανισμός που προσπαθεί να επιτύχει συμμόρφωση με τις απαιτήσεις περι προστασίας προσωπικών δεδομένων (συγκεκριμένα νόμους, κανονισμούς αλλά και σε συμφωνίες με τρίτους) αντιμετωπίζει δυσκολίες. Η εφαρμογή ενός συστήματος διαχείρισης στην βάση του ISO/IEC 27701 αποτελεί ένα αποτελεσματικό εργαλείο συμμόρφωσης. Αξίζει να σημειωθεί πως στο παράρτημα Δ του εν λόγω προτύπου παρουσιάζεται πίνακας όπου οι απαιτήσεις του εν λόγω προτύπου παραλληλίζονται με τα άρθρα του ΓΚΠΔ.
Επίσης, η επίτευξη και η διατήρηση της συμμόρφωσης με τις ισχύουσες απαιτήσεις αποτελεί ζήτημα διακυβέρνησης και διασφάλισης. Με τη εφαρμογή ενός PIMS και ενδεχομένως την πιστοποίησή του, οι Υπεύθυνοι Προστασίας Δεδομένων (DPO) θα μπορούν να παράσχουν τα απαραίτητα αποδεικτικά στοιχεία για να διαβεβαιώσουν προς κάθε ενδιαφερόμενο όπως, ανώτερα στελέχη και ιδιοκτήτες οργανισμών αλλά και αρμόδιες αρχές, ότι ικανοποιούνται οι ισχύουσες απαιτήσεις περί προστασίας δεδομένων προσωπικού χαρακτήρα.
Τρίτον, η πιστοποίηση με το ISO/IEC 27701 αποτελεί ένας τρόπος ο πιστοποιημένος οργανισμός/εταιρεία να κερδίσει την εμπιστοσύνη αλλά και να επικοινωνήσει προς τον έξω κόσμο πως προστατεύει τα προσωπικά δεδομένα των πελατών και συνεργατών της.
Είναι σημαντικό να τονίσουμε πως το ISO/IEC 27701 εφαρμόζεται σε συνδυασμό με το ISO 27001 και ενδιαφέρει επιχειρήσεις που έχουν πιστοποιηθεί ή πρόκειται να πιστοποιηθούν με το ISO/IEC 27001. Επομένως εταιρείες και οργανισμοί που είναι ήδη πιστοποιημένοι με το ISO/IEC 27001 θα μπορούν να εφαρμόσουν και να πιστοποιηθούν και με το ISO/IEC 27701.
Σε μία παράλληλη εξέλιξη θα πρέπει να αναφέρουμε πως αρκετές Ευρωπαϊκές χώρες προχωρούν στην θέσπιση εθελοντικών μηχανισμών πιστοποίησης, σφραγίδων και σημάτων προστασίας δεδομένων βάση του Άρθρου 42 και 43 του ΓΚΠΔ . Μάλιστα το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) εξέδωσε πρόσφατα Κατευθυντήριες Γραμμές (1/2018) σχετικά με την πιστοποίηση και τον προσδιορισμό των κριτηρίων πιστοποίησης.
Εκτιμάται πως στις αρχές του 2020 θα υπάρχουν διαθέσιμα προς τις επιχειρήσεις και οργανισμούς, τα πρώτα εθνικά σχήματα πιστοποίησης από κάποιες Ευρωπαϊκές χώρες.
Ο Κυπριακός Οργανισμός Τυποποίησης (CYS) ο οποίος είναι ο αρμόδιος φορέας για την υιοθέτηση και εφαρμογή των Ευρωπαϊκών και Διεθνών Προτύπων στην Κύπρο παρακολουθεί στενά το εν λόγω θέμα και θα ενημερώνει όλους τους ενδιαφερόμενους για οποιεσδήποτε εξελίξεις. Για περισσότερες πληροφορίες σχετικά με το ISO/IEC 27701 μπορείτε να επικοινωνήσετε με το Κέντρο Εξυπηρέτησης & Πληροφόρησης του CYS στο τηλέφωνο 22 411 414 ή με email: c.service@cys.org.cy.