Strona główna Standardy Branże ✦ Ocena AI Zapytaj o ofertę →
Strona głównaStandardy → ISO 27701

ISO/IEC 27701 — Zarządzanie informacją o prywatności

Międzynarodowy standard systemów zarządzania informacją o prywatności (PIMS). ISO 27701 rozszerza ISO 27001 o zabezpieczenia specyficzne dla prywatności — zapewniając ustrukturyzowane, audytowalne ramy zgodności z GDPR, LGPD, PIPEDA i innymi przepisami o prywatności.

ISO 27701:2019PIMSZgodność z GDPRRamy prywatności

Czym jest ISO/IEC 27701?

ISO/IEC 27701:2019 to rozszerzenie ISO 27001 i ISO 27002, które określa wymagania i wytyczne dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania informacją o prywatności (PIMS). Standard mapuje zabezpieczenia prywatności na role zarówno administratorów danych osobowych (PIC), jak i podmiotów przetwarzających dane osobowe (PIP).

Relacja z ISO 27001

ISO 27701 nie jest samodzielnym standardem — rozszerza ISO 27001. Organizacje muszą posiadać certyfikat ISO 27001 (lub ubiegać się o niego jednocześnie) przed uzyskaniem certyfikatu ISO 27701. Program zintegrowany współdzieli ramy zarządzania ISMS, znacząco redukując nakład wdrożeniowy i koszty audytu w porównaniu z oddzielnymi projektami.

Kto potrzebuje ISO 27701?

  • Organizacje przetwarzające dane osobowe obywateli UE zgodnie z obowiązkami GDPR
  • Dostawcy usług chmurowych i podmioty przetwarzające dane klientów
  • Platformy technologiczne z sektora ochrony zdrowia i HR
  • Firmy z sektora usług finansowych podlegające wymogom prywatności wielu jurysdykcji
  • Każda organizacja dążąca do wykazania rozliczalności zgodnie z art. 5 ust. 2 GDPR

ISO 27701 a zgodność z GDPR

Choć certyfikacja ISO 27701 nie stanowi prawnego dowodu zgodności z GDPR, zapewnia udokumentowane, niezależnie audytowane ramy bezpośrednio odwzorowane na obowiązki rozliczalności GDPR. Organy nadzorcze i inspektorzy ochrony danych powszechnie uznają ISO 27701 za solidny środek rozliczalności zgodnie z art. 24 GDPR.

Kluczowe obszary zabezpieczeń

  • Warunki prywatności dotyczące zbierania i przetwarzania danych osobowych
  • Obowiązki wobec osób (podmiotów danych): przejrzystość, dostęp, sprostowanie, usunięcie
  • Ochrona prywatności w fazie projektowania i domyślnie w projektowaniu systemów i procesów
  • Zabezpieczenia transferu danych, w tym mechanizmy transferu transgranicznego
  • Zarządzanie podmiotami przetwarzającymi i podwykonawcami zgodnie z art. 28 GDPR
  • Procedury powiadamiania o naruszeniu danych zgodne z 72-godzinnym wymogiem GDPR

Typowy harmonogram

Dla organizacji posiadających już ISO 27001: 2–3 miesiące na dodanie certyfikacji ISO 27701. Dla organizacji ubiegających się jednocześnie o ISO 27001 + ISO 27701: 4–6 miesięcy.