Kam smeruje ochrana osobných údajov?
PETER DEKÝŠ, CISA, CISM, ČLÁNOK UVEREJNENÝ V ČASOPISE FORBES, OKTÓBER 2013
Nový zákon o ochrane osobných údajov č. 122/2013 Z.z., ktorý je účinný od 1.7.2013 prináša viacero noviniek. Súvislosti však možno privedú organizácie k zamysleniu sa nad zavedením riadenia informačnej bezpečnosti pre ochranu dôležitých aktív a nielen k riešeniu ochrany iba osobných údajov.
Pokiaľ sa informačná bezpečnosť týka ochrany čohokoľvek, čo má pre spoločnosť cenu, v prípade ochrany osobných údajov hovoríme len o ochrane osobných údajov týkajúcich sa fyzických osôb. Osobné údaje predstavujú iba časť aktív, na ochrane ktorých by malo spoločnosti záležať.
Stanovenie bezpečnostných opatrení a ich dokumentácie na ochranu údajov je zákonom o ochrane osobných údajov upravené vo vykonávacej vyhláške č. 164/2013 Z.z.. Spôsob určenia opatrení a takisto ich štruktúra je analogická klasickému riadeniu informačnej bezpečnosti tak, ako ho poznáme napríklad z normy STN ISO/IEC 27001. Vyhláška umožňuje organizácii, ktorá má zavedený systém riadenia informačnej bezpečnosti, riešiť plnenie požiadaviek zákona použitím normy.
V riadenom systéme je dôležitá kontrola, bez ktorej by zrejme nešlo o riadený systém. V tejto veci vyhláška požaduje stanoviť spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnostných opatrení. Obdobnú požiadavku je možné nájsť aj v spomenutej norme.
Záverom nechcem presviedčať o nevyhnutnosti zavedenia systému riadenia informačnej bezpečnosti podľa STN ISO/IEC 27001, pretože jeho zavedenie predstavuje náklady, ktoré sa nemusia vrátiť každému. Chcem poukázať na to, že zavedený systém riadenia informačnej bezpečnosti môže pomôcť komukoľvek, kto to s ochranou osobných údajov myslí vážne.
Peter Dekýš, CISA, CISM
autor pracuje ako konzultant bezpečnosti IS a riaditeľ ESET Services, spoločnosti ESET, spol. s r.o.