RGPD și certificarea în conformitate cu ISO27001

Ce este ISO / IEC 27001?

Standardul ISO/IEC 27001:2013 este un standard internațional de securitate a informației și constă într-o specificație pentru sistemul de management al securității informației (SMSI).

Structura standardului include:

1. Domeniul de aplicare a standardului,

2. Modalitatea în care se efectuează referințe în documente,

3. Reutilizarea termenilor și definițiilor din ISO/IEC 27000,

4. Context organizațional și părțile interesate,

5. Sprijin la nivelul cel mai înalt al conducerii pentru securitatea informației și politica organizației,

6. Planificarea unui sistem de management al securității informației; evaluarea riscurilor; tratarea riscului,

7. Sprijinirea unui sistem de management al securității informației,

8. Realizarea unui sistem de management al securității informației operaționale,

9. Revizuirea performanței sistemului,

10. Acțiune corectivă.

Prin ce poate ajuta certificarea ISO27001

Elementele relevante ale standardului ISO27001 care pot ajuta companiile să faciliteze implementarea RGPD sunt următoarele:

• evaluarea riscurilor;

• conformitatea;

• înștiințarea privind încălcarea protecției datelor;

• managementul datelor cu caracter personal;

• abordarea privacy by design;

• protejarea datelor personale în relația cu furnizorii.

Certificarea în conformitate cu ISO / IEC 27001 nu este suficientă

Cu toate că ISO27001 ajută la implementarea RGPD, există unele cerințe ale regulamentului care nu sunt acoperite în mod direct de acest standard, cum ar fi dreptul persoanelor vizate:

• de a fi informate asupra colectării;

• la ștergerea datelor;

• la portabilitatea datelor.

Prin urmare, chiar dacă un operator deține certificarea în conformitate cu ISO / IEC 27001, aceasta nu înseamnă că activitatea sau organizarea acestuia este în conformitate cu prevederile RGPD.