Homepage > Consulting > Risks and compliances > Privacy management (ISO 29100)
Privacy management (ISO 29100)
Što su osobni podaci?
Osobni podaci su sve informacije koje se mogu koristiti za jedinstvenu identifikaciju, kontakt ili lociranje pojedinaca ili u kombinaciji s drugim izvorima informacija osiguravaju njihovu jedinstvenu identifikaciju. Primjeri su: ime i prezime, OIB, podaci o lokaciji, brojevi kreditnih kartica itd.

Zašto je važno brinuti o privatnosti?
Tijekom proteklih godina bili smo svjedoci velikog broja incidenata u kojima su zlouporabljeni osobni podaci, što je utjecalo na brojne pojedince i organizacije. Primjer takvih incidenata su oni u kojima je došlo do krađe identiteta te njihovog korištenja u nelegalne svrhe. Može se reći da su glavni razlozi zaštite osobnih podataka sljedeći:
- Zaštita privatnosti vlasnika osobnih podataka
- Zadovoljenje zakonskih i regulatornih zahtjeva
- Provođenje korporativne odgovornosti
- Povećanje kredibiliteta korisnika
- Smanjenje broja sigurnosnih povreda.
Kako bi se takvi incidenti spriječili, preporuča se da organizacije implementiraju sustave informacijske sigurnosti koji za cilj imaju zaštitu privatnosti i osobnih podataka pojedinaca. U tu svrhu može se koristiti norma ISO/IEC 29100, koja daje okvir za privatnost i usklađivanje ICT sustava koji sadrže osobne podatke, a sve u svrhu bolje zaštite osobnih podataka i poboljšanja programa privatnosti organizacija kroz najbolje raspoložive prakse.
„43% organizacija doživi sigurnosnu povredu podataka tijekom jedne poslovne godine, a trend povećanja je 10% godišnje.“ - Ponemon Institute report

Što je ISO/IEC 29100 i kako može pomoći u zaštiti privatnosti?
ISO/IEC 29100 namijenjen je za korištenje od strane pojedinaca i organizacija uključenih u projektiranje, razvoj, nabavu, testiranje i održavanje ICT sustava u kojima se žele zaštititi svi osobni podaci koje ti sustavi sadrže. Ovaj okvir privatnosti razvijen je sa svrhom da posluži kao pomoć organizacijama pri definiranju njihovih zahtjeva za zaštitu privatnosti koji se odnose na sve informacije na sljedeći način:
- navođenjem zajedničke terminologije privatnosti,
- definiranjem aktera i njihovih uloga u obradi osobnih podataka
- opisivanjem opcija zaštite privatnosti i
- pružanjem referenci na poznata načela privatnosti za IT.
Iako postoji nekoliko postojećih standarda vezanih za sigurnost kao što su (ISO 27001, ISO 27002, ISO 27018 itd.), ISO/IEC 29100 se više usredotočuje na obradu osobnih podataka.
Kontinuirani rast složenosti ICT sustava otežava zaštitu privatnosti i usklađivanje s različitim primjenjivim zakonima. Stoga standard ISO/IEC 29100 pruža jedanaest suštinskih načela privatnosti koja su razvijena da uzmu u obzir primjenjive zakonske i regulatorne, ugovorne, komercijalne i druge relevantne čimbenike.
Osim toga, ova se načela mogu koristiti za usmjeravanje, dizajn, razvoj i provedbu politika privatnosti i kontrola te za provedbu revizija programa upravljanja privatnošću u organizaciji. Kao što je vidljivo na slici, pružatelji i primatelji osobnih podataka identificiraju se kao sudionici. Pružatelji osobnih podataka mogu biti korisnici ICT sustava, vlasnici podataka ili pretplatnici, dok su pružatelji aplikativnih rješenja ili administratori poznati kao primatelji osobnih podataka. Preferencije po pitanju privatnosti postavljaju pružatelji osobnih podataka, a sigurnosne mjere primjenjuju se tijekom cijelog životnog ciklusa informacija, od prikupljanja, pohrane, korištenja, prijenosa pa do njihovog brisanja.

Izvor: PECB Whitepaper ISO 29100
Kako Vam ZIH može pomoći?
Ovisno o potrebama korisnika i trenutnom stanju implementiranih mjera sigurnosti, ZIH predlaže mogući pristup rada, vodeći se međunarodnim normama i okvirima. U skladu s tim organiziramo radionice s menadžmentom i uz stručno vođenje naših konzultanata pomažemo korisnicima da uspješno implementiraju svoje sustave upravljanja privatnošću koji će im osigurati uspješnu zaštitu osobnih podataka.
ZIH to ostvaruje kroz sljedeće konzultantske usluge:
- Priprema projekata implementacije sustava upravljanja privatnošću po normi ISO 29100 te izrada plana realizacije
- Analiza postojećeg stanja (GAP) i identifikacija procesa relevantnih za privatnost
- Izrada potrebne dokumentacije sustav upravljanja privatnošću prema normi ISO 29100
- Pomoć u implementaciji mjera za osiguranje privatnosti pojedinaca čijim osobnim podacima organizacija raspolaže
- Provedba internih procjena / sudjelovanje i savjetovanje u postupcima interne procjene
- Otklanjanje otkrivenih nesukladnosti u sustavu upravljanja privatnošću
Obavljanjem ovih poslova podiže se razina sigurnosti sustava u kojima su pohranjeni osobni podaci te podiže svijest svih djelatnika kako bi se ti podaci, kao i privatnost osoba kojima pripadaju, maksimalno zaštitili.
Edukacije iz navedenog područja:
You may also be interested in these services and trainings:
Zašto ZIH?
ZIH ima više od 20 godina bogatog iskustva u implementaciji sustava upravljanja sigurnošću i privatnošću, implementaciji sigurnosnih mjera u skladu sa zahtjevima Opće uredbe o zaštiti podataka (GDPR) te pružanju edukacija u navedenim područjima.







