ISO 27001 i ISO 27701 a RODO — jak normy bezpieczeństwa informacji wspierają zgodność z przepisami o ochronie danych

Coraz więcej organizacji zadaje sobie pytanie: czy wdrożenie systemu zarządzania bezpieczeństwem informacji (ISO 27001) lub systemu zarządzania prywatnością (ISO 27701) pomoże im w osiągnięciu zgodności z RODO? Odpowiedź brzmi: tak — ale z istotnymi zastrzeżeniami.

ISO 27001 i ISO 27701 to międzynarodowe normy, które dostarczają ramowe podejście do zarządzania bezpieczeństwem informacji i prywatnością. RODO to akt prawny nakładający konkretne obowiązki. Te trzy elementy nie zastępują się nawzajem, ale wzajemnie się uzupełniają — a ich połączenie daje organizacji najpełniejszy system ochrony danych.

W tym artykule wyjaśniam, czym jest ISO 27001 i ISO 27701, jak ich wymagania mapują się na RODO, jakie korzyści daje certyfikacja i jak wygląda proces wdrożenia.

Czym jest ISO 27001?

ISO/IEC 27001 to międzynarodowa norma określająca wymagania dla systemu zarządzania bezpieczeństwem informacji (SZBI, ang. Information Security Management System — ISMS). Norma została opublikowana po raz pierwszy w 2005 r., a jej obecna wersja pochodzi z 2022 r. (ISO/IEC 27001:2022).

ISO 27001 nie dotyczy wyłącznie ochrony danych osobowych — obejmuje bezpieczeństwo wszelkich informacji w organizacji: danych klientów, tajemnic handlowych, własności intelektualnej, danych finansowych, dokumentacji wewnętrznej. Jej zakres jest zatem szerszy niż RODO.

Struktura ISO 27001:

Norma składa się z dwóch głównych części:

Klauzule 4–10 — wymagania dotyczące systemu zarządzania: kontekst organizacji (klauzula 4), przywództwo (5), planowanie (6), wsparcie (7), działania operacyjne (8), ocena wyników (9), doskonalenie (10). Te klauzule określają, jak zbudować, wdrożyć, utrzymywać i ciągle doskonalić SZBI.

Załącznik A — katalog 93 mechanizmów kontrolnych (controls) pogrupowanych w 4 kategorie: organizacyjne (37 kontroli), kadrowe (8), fizyczne (14), technologiczne (34). To konkretne środki bezpieczeństwa, które organizacja wdraża w zależności od zidentyfikowanych ryzyk — np. polityka kontroli dostępu, szyfrowanie, zarządzanie podatnościami, bezpieczeństwo sieci, reagowanie na incydenty.

Kluczowa zasada ISO 27001 to podejście oparte na ryzyku — organizacja nie musi wdrożyć wszystkich kontroli, ale musi przeprowadzić ocenę ryzyka i na jej podstawie wybrać odpowiednie środki. Kontrole, które nie mają zastosowania, mogą być wyłączone, ale wyłączenie musi być uzasadnione.

Czym jest ISO 27701?

ISO/IEC 27701:2019 to rozszerzenie ISO 27001 i ISO 27002, które dodaje wymagania specyficzne dla systemu zarządzania informacjami o prywatności (PIMS — Privacy Information Management System). Innymi słowy — ISO 27701 to „nakładka prywatności” na ISO 27001.

ISO 27701 nie może funkcjonować samodzielnie — wymaga wcześniejszego wdrożenia ISO 27001. Organizacja najpierw buduje system zarządzania bezpieczeństwem informacji (ISMS), a następnie rozszerza go o elementy zarządzania prywatnością (PIMS).

Struktura ISO 27701:

Klauzule 5–8 — rozszerzenia wymagań ISO 27001 (klauzule 4–10) o aspekty prywatności. Na przykład: klauzula 5.2 rozszerza klauzulę 4 ISO 27001 o wymóg uwzględnienia kontekstu ochrony danych osobowych; klauzula 6 rozszerza wymogi planowania o identyfikację ryzyk dla prywatności.

Załącznik A — dodatkowe kontrole dla administratorów danych (controllers) — 31 kontroli specyficznych dla roli administratora.

Załącznik B — dodatkowe kontrole dla podmiotów przetwarzających (processors) — 18 kontroli specyficznych dla roli procesora.

Załącznik D — mapowanie wymagań ISO 27701 na RODO. To kluczowy załącznik — pokazuje, które wymagania normy odpowiadają którym artykułom RODO.

Jak ISO 27001 mapuje się na RODO?

ISO 27001 nie została stworzona specjalnie pod RODO, ale wiele jej wymagań bezpośrednio wspiera zgodność z rozporządzeniem. Poniżej najważniejsze powiązania:

Ocena ryzyka (klauzula 6.1.2 ISO 27001) → DPIA (art. 35 GDPR) ISO 27001 wymaga systematycznej oceny ryzyka dla bezpieczeństwa informacji. RODO wymaga DPIA dla przetwarzań wysokiego ryzyka. Metodologia oceny ryzyka z ISO 27001 może stanowić fundament dla DPIA — wystarczy ją rozszerzyć o ryzyka dla praw i wolności osób fizycznych. Jak przeprowadzić DPIA krok po kroku opisujemy w osobnym artykule.

Kontrola dostępu (Załącznik A, kontrole A.5.15–A.5.18, A.8.2–A.8.5) → Integralność i poufność (art. 5 ust. 1 lit. f GDPR) ISO 27001 wymaga wdrożenia polityk kontroli dostępu, zarządzania tożsamością i uprzywilejowanym dostępem. To bezpośrednio realizuje zasadę integralności i poufności z RODO.

Zarządzanie incydentami (Załącznik A, kontrole A.5.24–A.5.28) → Naruszenia danych (art. 33–34 GDPR) ISO 27001 wymaga wdrożenia procedury reagowania na incydenty bezpieczeństwa. RODO wymaga zgłaszania naruszeń do UODO w 72 godziny. Procedura incydentowa z ISO 27001 może być rozszerzona o wymagania notyfikacyjne RODO. Procedurę zgłaszania naruszeń opisujemy szczegółowo w artykule o naruszeniach ochrony danych.

Szyfrowanie (Załącznik A, kontrola A.8.24) → Środki techniczne (art. 32 GDPR) ISO 27001 wymaga stosowania kryptografii w celu ochrony informacji. Art. 32 RODO wymaga wdrożenia odpowiednich środków technicznych, w tym szyfrowania.

Szkolenia i świadomość (klauzula 7.2–7.3, Załącznik A, kontrola A.6.3) → Rozliczalność (art. 5 ust. 2 GDPR) ISO 27001 wymaga zapewnienia kompetencji personelu i programów świadomości bezpieczeństwa. To wspiera zasadę rozliczalności RODO — udokumentowane szkolenia są dowodem, że administrator podejmuje działania na rzecz ochrony danych. Więcej o podstawach RODO przeczytasz w naszym kompletnym przewodniku.

Zarządzanie dostawcami (Załącznik A, kontrole A.5.19–A.5.23) → Umowy powierzenia (art. 28 GDPR) ISO 27001 wymaga zarządzania bezpieczeństwem w relacjach z dostawcami. RODO wymaga umów powierzenia przetwarzania. Procesy weryfikacji dostawców z ISO 27001 wspierają wypełnienie obowiązków z art. 28 RODO.

Ciągłe doskonalenie (klauzula 10, Załącznik A, kontrola A.5.36) → Accountability (art. 5 ust. 2 GDPR) ISO 27001 wymaga regularnych audytów wewnętrznych i przeglądu zarządzania. To buduje kulturę ciągłego doskonalenia, która jest fundamentem zasady rozliczalności RODO.

Jak ISO 27701 mapuje się na RODO — szczegółowe powiązania

ISO 27701 zostało zaprojektowane z myślą o regulacjach ochrony danych, w tym RODO. Załącznik D normy zawiera szczegółowe mapowanie. Poniżej najważniejsze powiązania:

Określenie roli (klauzula 5.2.1) → Administrator/Podmiot przetwarzający (art. 4 pkt 7–8 GDPR) ISO 27701 wymaga, aby organizacja formalnie określiła, czy pełni rolę administratora, podmiotu przetwarzającego, czy obie role jednocześnie. Od tego zależy zakres obowiązków.

Podstawy prawne przetwarzania (kontrola A.7.2.2) → Art. 6 GDPR ISO 27701 wymaga udokumentowania podstaw prawnych dla każdego celu przetwarzania — dokładnie tak, jak wymaga tego RODO.

Obowiązek informacyjny (kontrola A.7.3.2) → Art. 13–14 GDPR ISO 27701 wymaga przekazania osobom informacji o przetwarzaniu ich danych — w zakresie odpowiadającym art. 13 i 14 RODO.

Zgoda (kontrole A.7.2.3–A.7.2.4) → Art. 7 GDPR ISO 27701 wymaga wdrożenia mechanizmów uzyskiwania, dokumentowania i wycofywania zgody — zgodnie z wymogami RODO.

Prawa osób (kontrole A.7.3.3–A.7.3.9) → Art. 15–22 GDPR ISO 27701 wymaga wdrożenia procedur realizacji praw osób: dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia, sprzeciwu. Każde prawo ma oddzielną kontrolę w normie.

Privacy by design i by default (kontrola A.7.4.1) → Art. 25 GDPR ISO 27701 wymaga uwzględniania ochrony prywatności już na etapie projektowania systemów i procesów.

DPIA (kontrola A.7.2.5) → Art. 35 GDPR ISO 27701 wymaga przeprowadzania oceny skutków dla prywatności — odpowiednika DPIA z RODO.

Umowy z procesorami (kontrole A.7.2.6, B.8.1–B.8.5) → Art. 28 GDPR ISO 27701 wymaga formalizacji relacji z podmiotami przetwarzającymi — w zakresie odpowiadającym art. 28 RODO.

Zarządzanie naruszeniami (kontrola A.7.3.10) → Art. 33–34 GDPR ISO 27701 wymaga wdrożenia procedur zgłaszania naruszeń ochrony danych.

Transfer danych (kontrola A.7.5.1–A.7.5.2) → Art. 44–50 GDPR ISO 27701 wymaga identyfikacji transferów do państw trzecich i wdrożenia odpowiednich zabezpieczeń.

Czy certyfikacja ISO zastępuje zgodność z RODO?

Nie. To jedno z najczęstszych nieporozumień. Certyfikacja ISO 27001 i/lub ISO 27701 nie jest równoznaczna ze zgodnością z RODO. Oto dlaczego:

ISO to norma zarządzania, RODO to prawo. ISO 27001/27701 określają, jak zbudować system zarządzania bezpieczeństwem i prywatnością. RODO nakłada konkretne obowiązki prawne i przewiduje kary za ich naruszenie. Można mieć certyfikat ISO i jednocześnie naruszać RODO — np. jeśli system jest wdrożony, ale nie jest przestrzegany w praktyce.

ISO nie obejmuje wszystkich wymagań RODO. Niektóre aspekty RODO wykraczają poza zakres ISO — np. szczegółowe zasady dotyczące zgody (art. 7), prawo do przenoszenia danych (art. 20), kary administracyjne (art. 83), relacja z krajowymi przepisami o ochronie danych.

Certyfikacja to migawka, zgodność to proces. Audyt certyfikacyjny ocenia stan na dany moment. Zgodność z RODO musi być utrzymywana ciągle.

Jednak certyfikacja ISO 27001/27701 stanowi silny dowód na to, że organizacja podjęła poważne kroki w kierunku ochrony danych — co może mieć znaczenie w przypadku kontroli UODO, oceny due diligence przez kontrahentów lub dochodzenia roszczeń.

Art. 42 RODO wprost przewiduje możliwość ustanowienia mechanizmów certyfikacji w zakresie ochrony danych. Choć ISO 27701 nie jest formalnie mechanizmem certyfikacji z art. 42 RODO, jest najbliższą istniejącą normą, która realizuje tę ideę.

Korzyści z wdrożenia ISO 27001/27701

Dla zgodności z RODO:

Systematyczne podejście do bezpieczeństwa danych — zamiast ad hoc reagowania na problemy, organizacja ma zaplanowany, wdrożony i monitorowany system.

Dokumentacja — ISO wymaga obszernej dokumentacji, która jednocześnie spełnia wymóg rozliczalności z RODO.

Regularne audyty — audyty wewnętrzne i zewnętrzne zapewniają ciągłe doskonalenie i wykrywanie luk.

Zarządzanie ryzykiem — metodologia oceny ryzyka z ISO jest bezpośrednio przydatna przy DPIA.

Dla biznesu:

Przewaga konkurencyjna — coraz więcej klientów (szczególnie korporacyjnych i zagranicznych) wymaga od dostawców certyfikacji ISO 27001 jako warunku współpracy.

Ułatwienie due diligence — certyfikat ISO 27001/27701 znacząco upraszcza procesy weryfikacji przez kontrahentów i przyspiesza negocjacje umów.

Zmniejszenie ryzyka incydentów — wdrożony ISMS realnie redukuje prawdopodobieństwo naruszeń bezpieczeństwa.

Łagodzenie kar — w przypadku naruszenia RODO, posiadanie certyfikowanego systemu zarządzania może być okolicznością łagodzącą przy wymierzaniu kary (art. 83 ust. 2 lit. d GDPR).

Zaufanie klientów i pracowników — certyfikat to widoczny sygnał, że organizacja traktuje bezpieczeństwo i prywatność poważnie.

Proces wdrożenia i certyfikacji — jak to wygląda w praktyce

Etap 1: Analiza luk (gap analysis)

Porównanie obecnego stanu bezpieczeństwa i prywatności z wymaganiami ISO 27001 (i ewentualnie ISO 27701). Identyfikacja braków i priorytetów. Czas: 2–4 tygodnie.

Etap 2: Projektowanie ISMS/PIMS

Określenie zakresu systemu, polityk, ról i odpowiedzialności. Przeprowadzenie oceny ryzyka. Opracowanie Deklaracji Stosowalności (Statement of Applicability — SoA), która wskazuje, które kontrole z Załącznika A mają zastosowanie i jak są wdrażane. Czas: 4–8 tygodni.

Etap 3: Wdrożenie

Implementacja kontroli technicznych i organizacyjnych. Przygotowanie dokumentacji (polityki, procedury, instrukcje). Szkolenia pracowników. Czas: 2–6 miesięcy (zależy od wielkości organizacji i zakresu systemu).

Etap 4: Audyty wewnętrzne i przegląd zarządzania

Przeprowadzenie co najmniej jednego cyklu audytu wewnętrznego. Przegląd zarządzania przez najwyższe kierownictwo. Wdrożenie działań korygujących. Czas: 2–4 tygodnie.

Etap 5: Audyt certyfikacyjny

Audyt przeprowadza akredytowana jednostka certyfikacyjna w dwóch etapach: Etap 1 (przegląd dokumentacji) i Etap 2 (audyt na miejscu). Po pozytywnym wyniku organizacja otrzymuje certyfikat ważny przez 3 lata, z corocznymi audytami nadzorczymi. Czas: 2–4 tygodnie.

Łączny czas od rozpoczęcia do certyfikacji: Typowo 6–12 miesięcy dla średniej organizacji.

ISO 27001/27701 a CIPP/E — różne perspektywy, wspólny cel

Warto wspomnieć o relacji między certyfikacjami ISO a certyfikatem CIPP/E (Certified Information Privacy Professional/Europe) wydawanym przez IAPP:

ISO 27001/27701 to certyfikacja organizacji — potwierdza, że system zarządzania w organizacji spełnia wymagania normy.

CIPP/E to certyfikacja indywidualna — potwierdza, że osoba posiada wiedzę o europejskim prawie ochrony danych.

Dla organizacji optymalnym rozwiązaniem jest połączenie obu: certyfikowany system (ISO) zarządzany przez kompetentnych ludzi (CIPP/E, ewentualnie CIPM — Certified Information Privacy Manager).

Najczęstsze błędy przy wdrażaniu ISO 27001/27701

Traktowanie wdrożenia jako projektu jednorazowego — ISO wymaga ciągłego doskonalenia, a nie jednorazowego wysiłku zakończonego certyfikatem.

Brak zaangażowania kierownictwa — bez wsparcia zarządu wdrożenie nie ma szans powodzenia. ISO 27001 wprost wymaga zaangażowania najwyższego kierownictwa (klauzula 5).

Nadmierna dokumentacja — tworzenie setek stron procedur, których nikt nie czyta ani nie stosuje. ISO wymaga dokumentacji, ale powinna być ona praktyczna i proporcjonalna.

Oderwanie od rzeczywistości — system „na papierze”, który nie odzwierciedla faktycznych procesów w organizacji.

Pominięcie ISO 27701 — wdrożenie samego ISO 27001 bez rozszerzenia o ISO 27701, mimo że organizacja przetwarza dane osobowe na dużą skalę.

Brak integracji z RODO — traktowanie ISO i RODO jako dwóch odrębnych projektów zamiast zintegrowanego systemu.

Checklist — ISO 27001/27701 i RODO

  1. Przeprowadź gap analysis — porównaj obecny stan z wymaganiami ISO 27001 i ISO 27701.
  2. Uzyskaj zaangażowanie zarządu — ISO wymaga commitment najwyższego kierownictwa.
  3. Określ zakres ISMS/PIMS — jakie procesy, lokalizacje i systemy obejmuje system.
  4. Przeprowadź ocenę ryzyka — zidentyfikuj ryzyka dla bezpieczeństwa informacji i prywatności.
  5. Opracuj Deklarację Stosowalności (SoA) — wskaż, które kontrole mają zastosowanie.
  6. Wdróż kontrole techniczne i organizacyjne — zgodnie z wynikami oceny ryzyka.
  7. Zmapuj wymagania ISO na RODO — wykorzystaj Załącznik D ISO 27701.
  8. Przygotuj dokumentację — polityki, procedury, rejestry, formularze.
  9. Przeszkol pracowników — ze świadomości bezpieczeństwa i ochrony danych.
  10. Przeprowadź audyt wewnętrzny — sprawdź zgodność przed audytem certyfikacyjnym.
  11. Zaplanuj ciągłe doskonalenie — regularne przeglądy, audyty, aktualizacje.

Potrzebujesz wsparcia z ISO 27001/27701 i RODO?

Wdrożenie zintegrowanego systemu ISO 27001/27701 z RODO to projekt, który wymaga zarówno wiedzy prawnej, jak i zrozumienia norm zarządzania bezpieczeństwem. W Kancelarii Radcowskiej dr Joanny Maniszewskiej-Ejsmont łączymy obie perspektywy — pomagamy organizacjom w prawnym aspekcie wdrożenia ISO 27701, mapowaniu wymagań normy na RODO, przygotowaniu dokumentacji spełniającej jednocześnie wymagania ISO i RODO oraz doradztwie przy audytach i certyfikacji.

 

Notariusz-Joanna-Maniszewska-Ejsmont

Skontaktuj się z nami — ocenimy, jak ISO 27001/27701 może wzmocnić Twoją zgodność z RODO.

  +48 692 004 515

  kancelaria@maniszewska.pl