Narzedzia do zapewnienia zgodności z RODO – normy ISO

Intuicyjne szacowanie ryzyka może prowadzić do błędów.

Aby ich uniknąć, zamiast tworzyć własne metody, lepiej i bezpieczniej skorzystać z już istniejących rozwiązań. Najbardziej znane są normy przygotowane przez Międzynarodową Organizację Normalizacyjną ISO. Jest to organizacja pozarządowa i zrzeszająca ponad 161 członków[1]. Patrząc na to, jakie skupia kraje, można uznać, że reprezentuje cały świat, co więcej – cały świat standaryzuje. ISO deklaruje, że przygotowało dotąd ponad 22 000 rozmai­tych standardów dotyczących prawie każdej branży.

 

Standaryzacja, nazywana też normalizacją, ma wiele zalet – pozwala ujednolicić procesy i produkty, daje większą pewność uzyskiwanych efektów. W produkcji dóbr trudno sobie wyobrazić jej brak; bez niej każdy produkt byłby inny. Normalizacja jest niezbędna w wielu obszarach, przykładowo normami objęte są:

  • numery rachunków bankowych IBAN: ISO 13616,
  • rozmiary obuwia: ISO 9407,
  • numeracja książek ISBN: ISO 2108,
  • zapis na CD i DVD: ISO 9660.

 

Właściwie nie trzeba daleko szukać przykładów standaryzacji, samo RODO jest standardem. Według preambuły
RODO:

(9) Różnice w stopniu ochrony praw i wolności osób fizycznych w państwach członkowskich – w szczególności prawa do ochrony danych osobowych – w związku z przetwarzaniem danych osobowych mogą utrudniać swobodny przepływ danych osobowych w Unii. Mogą zatem stanowić przeszkodę w prowadzeniu działalności gospodarczej na szczeblu Unii, zakłócać konkurencję oraz utrudniać organom wykonywanie obowiązków nałożonych na nie prawem Unii (...).

(10) Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równo­rzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych.

 

Jak widać, różnice w stopniu ochrony stanowią przeszkody, zaś usunąć je może spójne i jednolite stosowanie przepisów, tj. standaryzacja.

 

Wracając do ISO, podstawowym przedmiotem działalności tej organizacji jest standaryzacja różnych rozwiązań technicznych i organizacyjnych. Aby dokument uzyskał status międzynarodowego standardu, 75% organizacji członkowskich biorących udział w głosowaniu musi zgadzać się co do jego treści. Respektowanie norm ISO jest dobrowolne.

 

Ze stosowaniem standardów ISO wiąże się kilka pewnych niedogodności:

  • zazwyczaj trzeba za nie zapłacić i licencja nie zezwala na dzielenie się dokumentem, trzeba kupić tyle licencji,
  • ile osób ma z nich korzystać,
  • nie wszystkie z norm przetłumaczone są na język polski, w wielu przypadkach pozostają wyłącznie wersje angielskie,
  • są bardzo kompleksowe.

 

Kompleksowość standardów jest ich zaletą i jednocześnie wadą. Postępowanie dokładnie tak, jak standard rekomenduje, jest wyidealizowane i może być bardzo kosztowne. Standardy ISO można porównać do rozbudowanego kalkulatora – dobrze mieć taki kalkulator, ale i tak dla większości jego zaawansowane funkcje, takie jak: loga­rytmy, liczby zespolone, potęgi o dowolnym wykładniku, nie są potrzebne. Na co dzień wystarcza przecież dodawanie, odejmowanie, mnożenie, dzielenie i procenty. Podobnie jest ze standardami – dobrze jest z nich korzystać, ale czasami warto dopasowywać je do własnych potrzeb, rezygnując lub upraszczając niektóre zagadnienia.
 

Systemy zarządzania (np. bezpieczeństwem, jakością, ciąg­łością działania) – to ustandaryzowane zbiory wymogów organizacyjnych, proceduralnych, dokumentacyjnych i technicznych, których wdrożenie ma zagwarantować osiągnięcie określonego stanu (np. bezpieczeństwa). Dlatego warto stosować normy ISO.     

 

W Polsce ISO najczęściej kojarzone jest z systemem zarządzania jakością ISO 9001, zapewne dlatego, że był on dla wielu organizacji nie tylko sposobem na wymierne podniesienie jakości, ale też ważnym narzędziem marketingu. Normy ISO to jednak nie tylko zarządzanie jakością. Są rodziny norm, nazywane też seriami, które będą bardzo przydatne do wdrożenia RODO, np.:

  • ISO 27000 – system zarządzania bezpieczeństwem informacji,
  • ISO 31000 – rodzina standardów dotyczących zarządzania ryzykiem,
  • ISO 22301 – system zarządzania ciągłością działania,
  • ISO 29000 – w zakresie dotyczącym prywatności i ochrony danych osobowych.