Wie ISO 27701 den Datenschutz bei der Beschäftigung gewährleistet: Ein Leitfaden zu Abschnitt 6.4.2
Organisationen haben gegenüber ihren Mitarbeitern eine Verpflichtung, die darin besteht, die Mitarbeiter darüber zu informieren, was von ihnen im Zusammenhang mit Datenschutz und PII erwartet wird – sowohl auf allgemeiner als auch auf themenspezifischer Ebene.
In ihrer Eigenschaft als PII-Verantwortliche sollten Organisationen fortlaufende Schulungs- und Sensibilisierungsprogramme anbieten und sich an eine strenge Disziplinarrichtlinie halten, die im Falle einer Datenschutzverletzung klare Erwartungen an beide Seiten setzt.
Was in ISO 27701 Abschnitt 6.4.2 behandelt wird
ISO 27701 6.4.2 enthält drei Hauptunterabschnitte, die sich mit verschiedenen Aspekten beschäftigungsspezifischer Datenschutzthemen befassen.
Jedes Thema enthält Orientierung durch eine Reihe von ISO 27002-Kontrollen, präsentiert im Kontext des organisatorischen Datenschutzinformationsmanagements und des PII-Schutzes:
- ISO 27701 Abschnitt 6.4.2.1 – Verantwortlichkeiten des Managements (Referenzen ISO 27002 Kontrolle 5.4)
- ISO 27701 Abschnitt 6.4.2.2 – Bewusstsein für Informationssicherheit, Bildung und Schulung (Referenzen ISO 27002 Control 6.3)
- ISO 27701 Abschnitt 6.4.2.3 – Disziplinarverfahren (Referenzen ISO 27002 Kontrolle 6.4)
Weitere PIMS-spezifische Leitlinien zur Verarbeitung personenbezogener Daten finden Sie in Abschnitt 6.4.2.1, der auch mit der DSGVO-Gesetzgebung des Vereinigten Königreichs verknüpft ist.
Bitte beachten Sie, dass DSGVO-Vergleiche nur für Zwecke gelten nur zu indikativen Zwecken. Organisationen sollten die Gesetzgebung prüfen und selbst beurteilen, welche Teile des Gesetzes für sie gelten.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 6.4.2.1 – Verantwortlichkeiten des Managements
Referenzen ISO 27002-Steuerung 5.4
Das Management spielt eine Schlüsselrolle bei der Einhaltung von Datenschutzstandards – sowohl aus administrativer Sicht als auch, um sicherzustellen, dass die Mitarbeiter verstehen, was von ihnen erwartet wird, und sich entsprechend verhalten.
Die Geschäftsleitung sollte sicherstellen, dass alle Mitarbeiter:
- Erkennen Sie ihre individuelle Verantwortung für das Datenschutzinformationsmanagement und den Datenschutz an – sowohl im Allgemeinen als auch aus einer themenspezifischen Perspektive – bevor sie mit PII und zugehörigen Vermögenswerten interagieren dürfen (siehe ISO 27002 6.3).
- Verfügen über klare Richtlinien und Verfahren, die den Schutz der Privatsphäre im Rahmen ihrer Rolle regeln.
- Sie erhalten die Ressourcen und die entsprechenden Befugnisse, um Projekte/Änderungen zu planen und die allgemeinen und themenspezifischen Datenschutzrichtlinien der Organisation einzuhalten.
- Machen Sie sich mit den Arbeitsbedingungen ihres Arbeitgebers im Hinblick auf den Schutz der Privatsphäre vertraut und wissen Sie, was diese in der Praxis bedeuten.
- Sie erhalten die Möglichkeit, ihr Verständnis des Datenschutzes sowohl als Konzept als auch als fortlaufende betriebliche Überlegung weiterzuentwickeln.
- Verstehen Sie, wie Sie Verstöße gegen Datenschutzrichtlinien im gesamten Unternehmen anonym melden können (auch bekannt als „Whistleblowing“), und verfügen Sie über die entsprechenden Mittel.
Relevante Kontrollen
- ISO 27002 6.3
ISO 27701 Abschnitt 6.4.2.2 – Informationssicherheitsbewusstsein, Bildung und Schulung
Referenzen ISO 27002-Steuerung 6.3
Training
Durch fortlaufende Schulungen am Arbeitsplatz wird sichergestellt, dass die Mitarbeiter über die Datenschutzrichtlinien der Organisation (allgemein und themenspezifisch), Änderungen in der PII-Gesetzgebung und branchenspezifische Regulierungsrichtlinien auf dem Laufenden bleiben.
Als allgemeinen Ansatz sollten Organisationen regelmäßige Schulungsprogramme für das Personal implementieren (einschließlich während der Einarbeitungsphase), die speziell auf ihre eigenen allgemeinen und themenspezifischen Datenschutzrichtlinien und PIMS-bezogenen Anforderungen abgestimmt sind.
Zu den Schulungsformaten können gehören:
- E-Learning.
- Individuelle Beratung.
- Mitarbeiter beschatten sich gegenseitig.
- Spezielle Schulungsseminare, durchgeführt von themenspezifischen oder allgemeinen Datenschutzspezialisten.
- Mentoring am Arbeitsplatz.
Mitarbeiter mit einer besonderen Rolle beim Schutz der Privatsphäre – z. B. IKT-Wartungspersonal – sollten von speziellen Schulungsplänen profitieren, die die integrale Rolle berücksichtigen, die sie beim Schutz personenbezogener Daten spielen.
Schulungspläne/-sitzungen sollten mit einer Bewertung abschließen, die der Organisation einen Top-Down-Überblick über die Kompetenzniveaus jedes einzelnen Mitarbeiters bietet.
Sensibilisierungsprogramme
Ergänzend zu Schulungen am Arbeitsplatz sollten Unternehmen auch Programme zur Sensibilisierung für den Schutz der Privatsphäre einführen, die den Mitarbeitern eine Reihe von Materialien zur Verfügung stellen, die als Informationspunkte zum Thema PII und organisatorischer Datenschutz dienen.
Sensibilisierungsprogramme können Folgendes umfassen:
- Flugblätter.
- Broschüren.
- Büroplakate.
- spezielle Websites.
- Team-Briefing-Sitzungen.
Die Sensibilisierungsbemühungen sollten sich auf Folgendes konzentrieren:
- Wie das Management die Einhaltung des Datenschutzes im gesamten Unternehmen aufrechterhalten will und wer die Hauptansprechpartner für personenbezogene Daten sind.
- Was sind die Compliance-Anforderungen der Organisation unter Berücksichtigung von Gesetzen, behördlichen Bestimmungen, vertraglichen Verpflichtungen und Lieferantenvereinbarungen?
- Betonung der Notwendigkeit persönlicher Verantwortung beim Schutz personenbezogener Daten und der Konsequenzen bei versehentlichen oder vorsätzlichen Verfahrensverstößen.
- Grundlegende IKT-Sicherheitsprinzipien wie Passwortsicherheit und Vorfallmeldung.
- Wie sich das Personal über die feineren Aspekte des Datenschutzes informieren kann (weiterführende Literatur, Ressourcenlisten usw.).
Zusätzliche PIMS-spezifische Anleitung
PII sollte als eigenständiges Thema in Schulungsprogrammen zum Schutz der Privatsphäre behandelt werden.
Das Personal muss sich der spezifischen rechtlichen, kommerziellen, rufschädigenden und disziplinarischen Konsequenzen bewusst sein, die sich aus der widerrechtlichen Aneignung und/oder dem Missbrauch personenbezogener Daten ergeben.
DSGVO-Leitfaden
- Artikel 39 – (1)(b)
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
ISO 27701 Abschnitt 6.4.2.3 – Disziplinarverfahren
Referenzen ISO 27002-Steuerung 6.4
Organisationen sollten Disziplinarverfahren entwickeln, die Personen berücksichtigen, die gegen allgemeine oder themenspezifische Datenschutzrichtlinien verstoßen haben.
Bevor disziplinarische Maßnahmen ergriffen werden, ist es wichtig, dass die Organisation bestätigt, dass tatsächlich ein Richtlinienverstoß vorliegt (siehe ISO 27002 5.28).
Disziplinarverfahren sollten Folgendes berücksichtigen:
- Die zugrunde liegende Natur des Datenschutzverstoßes und die verschiedenen Konsequenzen.
- Die Beweggründe der betroffenen Person und ob der Verstoß vorsätzlich war oder nicht.
- Wie oft hat die Person gegen Datenschutzrichtlinien verstoßen?
- Wenn die Person eine ausreichende Schulung zu den relevanten Aspekten des Datenschutzes erhalten hat.
- Jedes einzelne Recht auf Anonymität während des gesamten Disziplinarverfahrens.
Disziplinarmaßnahmen im Falle eines bestätigten Verstoßes sollten als Abschreckung für ähnliche Aktivitäten dienen und die Pflichten der Organisation als PII-Verantwortlicher und -Verarbeiter sowie alle relevanten Gesetze, behördlichen Richtlinien und vertraglichen Verpflichtungen berücksichtigen.
Relevante Kontrollen
- ISO 27002 5.28
Unterstützende Kontrollen von ISO 27002 und DSGVO
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | ISO 27002-Anforderung | Zugehörige DSGVO-Artikel |
|---|---|---|---|
| 6.4.2.1 | Führungsaufgaben |
5.4 – Managementverantwortung für ISO 27002 |
Keine Präsentation |
| 6.4.2.2 | Informationssicherheitsbewusstsein, Bildung und Schulung |
6.3 – Informationssicherheitsbewusstsein, Schulung und Schulung für ISO 27002 |
Artikel (39) |
| 6.4.2.3 | Disziplinarverfahren |
6.4 – Disziplinarverfahren für ISO 27002 |
Keine Präsentation |
Wie ISMS.online hilft
Wir geben dir Deckung.
Wenn Ihnen auf Ihrem Weg zur ISO 27701 aus irgendeinem Grund das Selbstvertrauen, die Fähigkeit oder der Tatendrang zum Handeln mangelt, können wir Ihnen unser Team aus internen Experten zur Verfügung stellen oder einen unserer vertrauenswürdigen Partner empfehlen, um Ihren Bemühungen einen Schub zu geben.
Wir helfen Ihnen, wenn Sie es brauchen.
Erfahren Sie mehr von eine Demo buchen.
