Our audit & training & consulting makes strongest!
Your Company, Product, Solutions...

 

 

Home - Menu - Expertní služby


Audit ochrany osobních údajů

BS 10012:2009

Význam ochrany osobních údajů v moderní informační společnosti trvale vzrůstá. Vydání právních předpisů na základě evropské směrnice 95/46/EC ve státech EU významně posunulo právní rámec ochrany osobních údajů (v České republice zákon č. 101/2000 Sb.)

Zákonná úprava však neobsahuje žádné návody ani specifikaci „odpovídajících technicko-organizačních opatření“, jejichž přijetí zákon požaduje. Nelze tedy ani stanovit míru naplnění požadavků zákona. Pokud organizace literu zákona přímo neporušuje, ještě to neznamená, že náležitým způsobem zajišťuje ochranu oprávněných zájmů osob (subjektů údajů). Nedostatky se zpravidla ukážou až v případě nějakého incidentu, jak o tom svědčí řada mediálně probíraných kauz a pokut udělovaných Úřadem pro ochranu osobních údajů.

Britská norma BS 10012:2009 Data Protection — Specification for a Personal Information Management System: an Implementation Methodology má za cíl tuto mezeru zacelit. Obsahuje „best practices“ pro implementaci systémů nakládajících s osobními údaji (PIMS – Personal Information Management System). PIMS je kompatibilní se systémy řízení organizace a managementu bezpečnosti informací a infrastruktury. Stejně jako ostatní systémy managementu se opírá o sadu schválených pravidel, kterými jsou zejména:

  • Politika bezpečnosti informací
  • Politika klasifikace informací
  • Politika ukládání informací a jejich archivace
  • Politika řízení přístupu
  • Politika správného užití informací

 

Aplikace normy umožňuje

  • vytvořit smysluplný a účinný vnitřní předpis (politiku) pro ochranu osobních údajů, odpovídající platné legislativě a nejlepší praxi
  • vytvořit koncept vnitřních postupů a procesů
  • demonstrovat soulad organizace s nejlepší praxí v oblasti ochrany osobních údajů navenek
  • usnadnit hodnocení souladu ochrany osobních údajů s platnou legislativou
  • vytvořit standardní měřítko pro posuzování a audit úrovně ochrany osobních údajů


Norma definuje

  • plánování PIMS, přípravu a obsah politiky (vnitřního předpisu), stanovování odpovědnosti a začleňování PIMS do podnikové kultury
  • implementaci a fungování PIMS, úlohu vedení a denní správu PIMS souladu s legislativou a politikou, zajišťování řádného shromažďování, zpracování a užívání osobních údajů, analyzování rizik a přizpůsobování PIMS měnícím se podmínkám
  • monitorování a hodnocení PIMS, požadavky na audit a sestavování hodnotících zpráv pro vedení organizace, preventivní a nápravná opatření, stálé zlepšování PIMS

Norma využívá model stálého zlepšování podle Demingova cyklu PDCA, je kompatibilní s ISMS dle ISO 27001, vyžaduje pravidelné audity a přezkoumání PIMS / ISMS. Norma tím, že obsahuje návody pro plánování, dokumentování, implementaci, údržbu a stálé zlepšování PIMS, podporuje implementaci zákona o ochraně osobních údajů v daných podmínkách organizace.