ISO/IEC 27701: Získajte certifikát dôvery v digitálnom veku. ISO/IEC 27701 ako kľúč k súladu s GDPR a správe osobných údajov

Prečo už nestačí len bezpečnosť?

V dobe neustále rastúceho objemu spracovania osobných údajov (PII) a čoraz prísnejších globálnych regulácií, akou je GDPR, už nie je informačná bezpečnosť (ISMS podľa ISO 27001) jediným kľúčom k dôvere zákazníkov. Je potrebný komplexný prístup zameraný na práva jednotlivca – a presne to prináša norma ISO/IEC 27701.

Táto medzinárodná norma, ktorá môže byť certifikovaná ako samostatný štandard, predstavuje systém riadenia informácií o ochrane súkromia (PIMS). PIMS rozširuje rámec informačnej bezpečnosti o špecifické kontroly na ochranu súkromia, čím organizáciám umožňuje globálne preukázať svoju zodpovednosť (accountability) v správe PII a efektívne reagovať na moderné výzvy, vrátane etickej správy dát v kontexte umelej inteligencie (AI) a digitálnych ekosystémov.

ISO 27701 ako most medzi bezpečnosťou a súkromím

1.Rozdiel vo zameraní: zvnútra von vs. zvonku dnu

Zatiaľ čo ISO 27001 (ISMS) sa primárne sústreďuje na ochranu aktív organizácie. Chce zabezpečiť, aby dáta (firemné know-how, databázy, osobné údaje) boli v bezpečí a aby nebol narušený chod spoločnosti (pohľad zvnútra von).

Naopak, ISO 27701 (PIMS) sa zameriava na ochranu práv jednotlivca. Chce zabezpečiť, aby bol rešpektovaný súhlas, práva na prístup a výmaz, a aby bol prenos dát transparentný (pohľad zvonku dnu).

PIMS zavádza kompletný súbor kontrol, ktoré v 27001 absentujú, pretože nie sú primárne o bezpečnosti, ale o správe súkromia:

• Práva dotknutých osôb: definovanie a implementácia procesov na prijímanie a vybavovanie žiadostí o prístup, opravu, výmaz alebo prenosnosť PII.
• Súhlas a transparentnosť: požiadavky na evidenciu a správu právnych základov spracovania (napr. súhlasy, zákonné požiadavky) a zabezpečenie transparentných informácií pre dotknuté osoby.
• Zmluvné vzťahy: podrobné požiadavky na to, čo musia obsahovať zmluvy medzi prevádzkovateľmi a sprostredkovateľmi, aby bola preukázaná zodpovednosť.
• PII v procesoch: požiadavka na zmapovanie dát (Data Mapping) a identifikáciu tokov PII v celej organizácii, vrátane medzinárodných prenosov.

2. ISO 27701 a bezproblémový súlad s GDPR

GDPR požaduje zabezpečenie osobných údajov. ISO/IEC 27701 vám poskytne konkrétne kontrolné mechanizmy a riadenie rizík (zosúladené s ISO 27001/27002), ktoré musíte zaviesť, aby bola ochrana konzistentná a merateľná.

2.1 Zosúladenie požiadaviek GDPR s kontrolami PIMS

2.2 Asistencia pre prevádzkovateľov a sprostredkovateľov

Sprostredkovatelia PII majú špecifické povinnosti, ktoré im ISO 27701 pomáha riadiť a dokumentovať v súlade s GDPR, najmä článkom 28:

Tento detailný pohľad na zosúladenie kontrol jasne ukazuje, že certifikácia ISO 27701 predstavuje nielen deklaráciu, ale aj implementačný návod pre implementáciu nariadenia GDPR.

3. Kontroly PIMS: rozdelenie úloh a dokumentácia

Norma jasne definuje požiadavky pre obe kľúčové roly v spracovaní osobných údajov: prevádzkovateľ PII (riadi vzťah so subjektom, definuje ciele) a sprostredkovateľ PII (implementuje a vykonáva pokyny prevádzkovateľa).

V súlade s revíziou ISO 27701:2025 a jej zosúladením s ISO 27001:2022 obsahuje PIMS celkovo 86 špecifických kontrol. Tie sú rozdelené na 34 kontrol pre prevádzkovateľa PII, 21 kontrol pre sprostredkovateľa PII a 31 spoločných kontrol (zosúladených s prílohou a normy ISO/IEC 27001:2022).

Povinná dokumentácia podľa ISO/IEC 27701:2025 (PIMS): hoci PIMS už nie je nutne rozšírením ISMS, stále sa riadi rovnakou štruktúrou high-level structure (HLS).

Organizácia musí zaviesť dokumentáciu (kapitoly 4-10) rozšírenú o prvky ochrany súkromia a špecifických PIMS kontrol, ako napríklad:

4.Osobitný dôraz: AI a digitálne ekosystémy

ISO 27701 komplexnejšie reflektuje technologické výzvy. Vo svete AI, kde sa spracúva obrovské množstvo dát na trénovanie modelov, PIMS vyžaduje transparentnosť správy PII, silnejší dôraz na riadenie a zodpovednosť (governance and accountability) vedenia organizácie a implementáciu privacy by design pri vývoji AI produktov.

Pre koho je certifikácia ISO 27701 kľúčová?

Certifikácia ISO 27701 je vhodná pre každú organizáciu, kde je spracovanie osobných údajov (PII) kľúčové pre podnikanie alebo kde sa spracúvajú citlivé údaje vo veľkom rozsahu.

Príklady kľúčových odvetví:

• IT a cloud: cloudové služby, outsourcované IT spoločnosti.
• marketing a HR: marketingové agentúry, HR agentúry.
• financie, e-commerce, zdravotníctvo: banky, poisťovne, e-shopy, poskytovatelia zdravotnej starostlivosti.

ISO 27701 nie je len byrokratická prekážka, ale komplexný systém riadenia, ktorý transformuje ochranu súkromia z jednorazového projektu na nepretržitý, merateľný a dôveryhodný proces, čím organizáciám umožňuje preukázať svoju zodpovednosť v správe osobných údajov globálne uznávaným spôsobom.

Často kladené otázky (FAQ)

Aký je rozdiel medzi normou ISO 27701 a GDPR?

GDPR (general data protection regulation) je právny predpis (nariadenie EÚ) s povinnou platnosťou, ktoré definuje čo musíte chrániť a akú zodpovednosť musíte preukázať. ISO/IEC 27701 je dobrovoľná medzinárodná norma, ktorá poskytuje konkrétny systém riadenia (PIMS) a technické/organizačné kontroly, ktoré ukazujú, ako efektívne implementovať a merať súlad s požiadavkami GDPR a globálnymi princípmi ochrany súkromia.

Aký je vzťah medzi ISO 27001 a ISO 27701 (verzia 2025)?

Vo verzii ISO/IEC 27701:2025 je najväčšou zmenou, že norma je teraz samostatný štandard. Na rozdiel od verzie z roku 2019, organizácia už nemusí byť certifikovaná podľa ISO 27001, aby získala certifikáciu pre ISO 27701. Napriek tomu, že môže byť implementovaný nezávisle, zostáva štrukturálne plne zosúladený s ISO 27001:2022, čo uľahčuje integráciu pre organizácie, ktoré spravujú oba systémy (ISMS a PIMS).

Je ISO 27701 povinné?

ISO 27701 nie je právne povinná certifikácia ako GDPR. Je to dobrovoľná medzinárodná norma, ktorá však poskytuje najsilnejší medzinárodne uznávaný rámec na preukázanie súladu s GDPR a inými globálnymi reguláciami ochrany súkromia.

Ako pomáha ISO 27701 pri spracovaní osobných údajov pomocou AI?

Norma sa komplexne zaoberá správou PII v kontexte AI a digitálnych ekosystémov. Požaduje, aby boli mechanizmy ochrany súkromia zavedené už pri návrhu AI systémov (privacy by design) a vyžaduje silnejšiu zodpovednosť a transparentnosť spracovania dát, ktoré AI využíva.

Aká je povinná dokumentácia v rámci PIMS?

Povinná dokumentácia PIMS zahŕňa záznamy riadiaceho systému (kapitoly 4-10) a dokumenty špecifické pre súkromie: politika ochrany súkromia (privacy policy), záznam o spracovateľských činnostiach (data mapping), záznamy o posúdení vplyvu (DPIA) a zoznam kontrol o aplikovateľnosti PIMS (SoA PIMS).

Čo je DPIA (posúdenie vplyvu) a prečo je dôležité pre ISO 27701?

DPIA (data protection impact assessment) je proces vyžadovaný GDPR (čl. 35) na hodnotenie rizík spracovania PII pre práva a slobody jednotlivcov. Norma ISO 27701 (kontrola A.1.8 / príslušná kontrola v 2025) vyžaduje, aby prevádzkovatelia mali zavedené a dokumentované postupy a záznamy z vykonaných DPIA.

Zdroje

ISO/IEC 27701:2025 – Information security, cybersecurity and privacy protection — Privacy information management systems — Requirements and guidance
ISO/IEC 27001:2022 – Information security management systems — Requirements
Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR)