A szabvány különlegessége az, hogy
megalkotására azzal a nem titkolt céllal került sor, hogy a GDPR 42. cikke szerinti tanúsítvány létrehozásnak alapja legyen. Kialakítását egy adatvédelmi szakértőkből, adatvédelmi hatóságokból, információbiztonsági szakértőkből és iparági képviselőkből álló bizottság alakította ki, amely elősegítette, hogy a PIMS szabvány nem csupán a GDPR-on, de számos tagállami adatvédelmi jogszabályok ismeretén és információbiztonsági jó gyakorlatokon és sztenderdeken alapuljon.
A PIMS tanúsítvány egyértelmű út a GDPR szerinti tanúsítási mechanizmusig, amely igazolni tudja mind az ügyfelek, mind a munkavállalók és egyéb harmadik személyek felé, hogy a tanúsítvánnyal rendelkező társaság a GDPR követelményeinek megfelelően működik. Érdemes tehát a PIMS tanúsítvány megszerzésére mielőbb felkészülni, mely éppúgy jelenthet védelmet, mint üzleti előnyt is a személyes adatokat kezelő vállalkozásoknak – mondta dr. Bánczi Lea, a Deloitte Legal ügyvédje.
A szabvány az ISO/IEC 27001 Információbiztonsági Irányítási Rendszer szabvánnyal már rendelkező vállalatok számára érhető el, a szükséges tanúsítási folyamatot követően.
Olyan kézzelfogható gyakorlati iránymutatásokat, követelményeket és intézkedéseket fogalmaz meg, amelyek biztosításával elősegíthető egy gyakorlati szinten működő GDPR-nak megfelelő adatvédelmi rendszer kialakítása. Ez köszönhető annak is, hogy a GDPR alapelvi keretrendszerét konkrét kontrollokra és megoldásokra fordítja le. Ez a megoldás segíti a csoportszintű vállalkozásokat is abban, hogy egy globális adatvédelmi keretrendszert alakítsanak ki, helyi lokális szabályoknak való megfeleltetési lehetőséggel.
Az ISO/IEC 27701 folyamatokat határoz meg és útmutatót ad a személyazonosító adatok védelmére. Mivel ez egy irányítási rendszer, meghatározza az adatvédelem folyamatos fejlesztésének folyamatait, amely különösen fontos egy olyan világban, ahol a technológiai fejlődés nem áll meg – mondta dr. Andreas Wolf, a szabványt kidolgozó ISO/IEC bizottság elnöke.
A szabvány további célja, hogy
informatikai oldalról is iránymutatást adjon a szükséges technikai intézkedések bevezetésére. Az információbiztonságot magában foglaló fejezetek alapvetően az ISO 27001 „A” mellékletében definiált és az ISO 27002-ben kifejtett kontrollokból építkeznek, azonban azok alkalmazásán túl, további követelményeket fogalmaz meg.
Az eddigi tapasztalataink azt mutatják emelte ki a Deloitte információbiztonsági szakértője, dr. Szöllősi Zoltán, hogy
számos technikai és megvalósíthatósági probléma merül fel az adatbiztonsági kontrollok technológiai bevezetése és működtetése során, pl. az adatok transzparens osztályozása, informatikai rendszerek jogosultságkezelése, a személyes adatokat tároló rendszerek naplózása és naplóelemzése, az adatszivárgás figyelése, vagy akár a tényleges adattörlési képesség megvalósítása. Véleményünk szerint a szabványt implementáló és a tanúsítványt megszerezni szándékozó szervezetek immáron ismerős struktúrában, egy tematikailag rendszerezett keretrendszer alapján lesznek képesek a technikai kontrollok kialakítására és bevezetésére a szabvány segítségével
