ISO 27701: Nova era upravljanja privatnošću

La Privatnost i kibernetička sigurnost Ovo su postale dvije najveće glavobolje za svaku organizaciju koja obrađuje lične podatke. Između GDPR-a, lokalnih zakona, usluga u oblaku, umjetne inteligencije i revizora koji zahtijevaju dokaze, sve je teže dokazati da se stvari rade ispravno i dosljedno iz godine u godinu.

U tom kontekstu Standard ISO/IEC 27701:2025 Postao je međunarodni referentni standard za upravljanje privatnošću informacija. Ažuriranje iz 2025. predstavlja značajan korak naprijed u odnosu na verziju iz 2019.: više nije samo "dodatak" ISO 27001, već je postao potpuno nezavisan sistem upravljanja, osmišljen da omogući bilo kojoj organizaciji da certificira kako štiti lične podatke koje obrađuje.

Šta je ISO/IEC 27701 i kakvu ulogu igra u privatnosti?

ISO/IEC 27701 je Međunarodni standard koji definiše zahtjeve Uspostaviti, implementirati, održavati i kontinuirano poboljšavati sistem upravljanja informacijama o privatnosti, poznat kao PIMS (Sistem upravljanja informacijama o privatnosti). Drugim riječima, strukturirani okvir koji upravlja svim aspektima obrade ličnih podataka unutar organizacije.

Ovaj standard je namijenjen da kontroleri i obrađivači lične informacije (PII, ekvivalentno GDPR lični podaciNjegov cilj je da ovi subjekti budu u mogućnosti da pokažu, uz provjerljive dokaze, da upravljaju privatnošću na način koji je u skladu sa zakonom i najboljim međunarodnim praksama.

Pored obaveznih zahtjeva, ISO/IEC 27701 uključuje praktične smjernice kako bi se pomoglo u implementaciji i radu sistema upravljanja na dnevnoj bazi. Na taj način se jasno razlikuje ono što će se revidirati, a ono što služi kao vodič za efikasnu primjenu kontrola.

Standard se primjenjuje na organizacije bilo koje veličine i sektoraJavne ili privatne kompanije, javne uprave, nevladine organizacije, pružatelji usluga u oblaku, Startupi za umjetnu inteligencijuSaaS kompanije itd. Sve dok se obrađuju lični podaci, to odgovara.

Zašto je ISO/IEC 27701 toliko važan za 2025. godinu i dalje

Danas je Lični podaci su jedna od najosjetljivijih imovina od bilo koje organizacije. Građani, regulatori i poslovni partneri više nisu zadovoljni izjavama o dobrim namjerama: žele vidjeti dokaze da se privatnošću upravlja na ozbiljan, sistematičan i provjerljiv način.

ISO/IEC 27701 pruža upravo taj okvir: a globalno priznat sistem upravljanja privatnošću Pomaže u upravljanju rizicima, definiranju odgovornosti i demonstriranju proaktivne odgovornosti. Posebno je usklađen s GDPR-om, koji se u zemljama poput Španije vrlo dobro uklapa s LOPDGDD-om, a u javnim okruženjima i s Nacionalnim sigurnosnim okvirom.

Među glavnim prednostima implementacije i certifikacije PIMS-a prema ISO/IEC 27701 standardu, ističu se sljedeće vrlo jasne prednosti: ojačati kapacitete zaštite podataka, olakšavaju demonstraciju usklađenosti s propisima, ulijevaju povjerenje kupcima, saradnicima i regulatorima te stvaraju čvrstu osnovu za integraciju privatnosti u korporativnu kulturu.

Ažuriranje za 2025. godinu također dolazi u vrijeme kada napredna analitika i usluge u oblaku Radikalno su promijenili način na koji se informacije prikupljaju, obrađuju i dijele. Standard se prilagođava ovom novom tehnološkom i regulatornom ekosistemu, uključujući eksplicitne reference na umjetnu inteligenciju, višeoblačna okruženja, automatizirano donošenje odluka i prekograničnu obradu podataka.

Ukratko, ISO/IEC 27701:2025 čini privatnost strateška komponenta poslovanjaI ne samo kao pravna ili tehnička obaveza. To služi kao znak zrelosti i kredibiliteta kod klijenata, partnera, investitora i vlasti.

Od proširenja ISO 27001 do samostalnog standarda

Jedna od najradikalnijih promjena u novoj verziji je ta što Prestaje biti puko produženje ISO/IEC 27001. Izdanje iz 2019. godine zahtijevalo je prvo certificiranje Sistema upravljanja sigurnošću informacija (ISMS) prema ISO 27001, a zatim dodavanje sloja privatnosti prema ISO 27701.

Ova shema je stvorila značajnu prepreku za ulazak organizacija usmjerenih na privatnost kojima nije bio potreban ili nisu mogle implementirati potpuni ISMS. Kompanije sa snažnim fokusom na zaštitu podataka, subjekti javnog sektora s ograničenim resursima ili preduzeća vođena podacima koja su već obuhvaćena drugim sigurnosnim okvirima kao što je SOC 2, bile su prisiljene usvojiti ISO 27001.

Od 2025. godine, ISO/IEC 27701 postaje standard nezavisnog sistema upravljanjasa vlastitom strukturom visokog nivoa (klauzule 4 do 10) u stilu ostalih ISO standarda. To znači da je moguće certificirati PIMS bez prethodne ISO 27001 certifikacije, iako dva standarda ostaju potpuno kompatibilna.

Ova promjena otvara vrata za nekoliko vrlo zanimljivih scenarija: organizacije koje žele samo certifikat o privatnosti, SaaS kompanije koje kombiniraju SOC 2 za sigurnost i ISO 27701 za privatnost, nevladine organizacije ili javne uprave s velikom količinom ličnih podataka, ali s malo resursa za implementaciju kompletnog ISMS-a, ili kompanije koje preferiraju... integrirati privatnost i sigurnost prema dva pravila koja međusobno komuniciraju, ali se mogu upravljati s različitim opsezima.

Paralelno s tim, pojavljuje se ISO/IEC 27706:2025, komplementarni standard koji On postavlja pravila igre za certifikacijska tijela. koji revidiraju PIMS, zamjenjujući prethodni ISO TS 27006-2:2021 i ažurirajući infrastrukturu certifikacije oko ISO 27701.

Struktura i principi verzije iz 2025.

ISO/IEC 27701:2025 usvaja struktura visokog nivoa (HLS) koji se već koristi u drugim standardima sistema upravljanja kao što su ISO 27001, ISO 9001 ili ISO 37301. Ovo uveliko olakšava integraciju kada organizacija ima nekoliko certificiranih sistema istovremeno.

Glavne klauzule pokrivaju aspekte koji su vrlo prepoznatljivi svima koji su upoznati sa ISO porodicom: od kontekst organizacije i zainteresovanih strana, od rukovodstva, planiranja zasnovanog na riziku, resursa, operacija, evaluacije učinka i kontinuiranog poboljšanja. Sve se ovo posebno odnosilo na upravljanje privatnošću.

Standard detaljno obrađuje, između ostalog, sljedeće blokove: analizu konteksta i zakonskih i ugovornih zahtjeva u vezi s ličnim podacima; posvećenost višeg menadžmentaPolitike privatnosti i dodjeljivanje uloga; procjena rizika za privatnost i postavljanje ciljeva; resursi i vještine; operativne kontrole nad obradom; revizije, indikatori i izvještaji o upravljanju te mehanizmi za kontinuirano poboljšanje.

Ključni aspekt verzije iz 2025. godine je to što preuređuje i obogaćuje Aneksi. Aneks A zadržava kontrole koje se primjenjuju na kontrolore i obrađivače PII podataka, ali s jasnijim jezikom i referencama na trenutna okruženja kao što su oblak, umjetna inteligencija i prekogranična obrada. Aneks B postaje praktičniji vodič za implementaciju, s preporukama prilagođenim različitim sektorima i veličinama organizacija.

Popis normativnih referenci je također pojednostavljen. Izdanje iz 2025. godine uzima ISO/IEC 29100, ISO okvir za privatnost, kao svoju glavnu referencu i više se ne oslanja direktno na ISO 27001 ili ISO 27002 kao prije, čime se naglašava njegov nezavisnost kao standard bez gubitka koherentnosti s ekosistemom informacijske sigurnosti.

U okruženjima gdje je tehnička sigurnost ključna, preporučljivo je dopuniti kontrole privatnosti praktičnim mjerama za zaštitu imovine i krajnjih tačaka; na primjer, Ključne strategije za zaštitu vaših uređaja Oni pomažu u smanjenju operativnog rizika koji podržava PIMS.

Najrelevantnije promjene u poređenju sa ISO/IEC 27701:2019

Pored prelaska na samostalni standard, ISO/IEC 27701:2025 uvodi niz duboke prilagodbe u strukturi i detaljima njegovih zahtjeva i aneksa, bez kršenja onoga što je već postojalo za organizacije koje su certificirane 2019. godine.

Prvo, uključeno je sljedeće: klauzule o upravljanju od 4.1 do 10.2 usklađeno s okvirom ISO 27001: kontekst organizacije, liderstvo, planiranje, podrška, rad, evaluacija učinka i poboljšanje. Dodana je i posebna klauzula o evaluaciji učinka (praćenje, mjerenje, interna revizija i pregled menadžmenta) i još jedna posvećena kontinuiranom poboljšanju PIMS-a.

Prethodni odjeljci koji opisuju specifične zahtjeve PIMS-a u odnosu na ISO 27001 i ISO 27002 zamijenjeni su strukturom koja je u potpunosti usklađena sa ISO standardima, u kojoj se klauzula 4 bavi kontekstom, klauzula 5 liderstvom, klauzula 6 planiranjem, klauzula 7 podrškom, klauzulom 8 radom, klauzulom 9 performansama i klauzulom 10 poboljšanjem. Uključena je čak i dodatna klauzula koja pruža informacije za bolje razumijevanje Aneksi C, D, E i F, gdje je vodič o kontrolama i mapiranjima proširen.

Aneksi o privatnosti su preimenovani i reorganizovani, konsolidujući kontrole za kontrolore i obrađivače PII podataka (prethodno odvojene u različite tabele) u jedan Aneks A. Iako se organizacija mijenja, Zahtjevi za privatnost ostaju praktično nepromijenjeniOvo olakšava život onima koji već imaju certificirani PIMS.

Velika vijest leži u skupu 29 novih kontrola sigurnosti informacija integrirane u Tabelu A.3, koje dopunjuju kontrole privatnosti bitnim sigurnosnim elementima: sigurnosne politike, klasifikacija informacija, upravljanje identitetomOve kontrole uključuju prava pristupa, sigurnost u ugovorima s dobavljačima, sigurnosnu svijest i obuku, te upravljanje incidentima, između ostalog. One zamjenjuju bivšu klauzulu 6 standarda ISO 27701:2019 i direktno su usklađene sa zahtjevima standarda ISO 27001:2022.

Pristup zasnovan na riziku i životni ciklus podataka

Srž standarda ISO/IEC 27701:2025 je pristup upravljanju rizikom privatnosti jasno definirano. Standard zahtijeva identifikaciju, analizu i procjenu rizika koje obrada ličnih podataka može generirati u vezi s pravima i slobodama pojedinaca.

Ova analiza je integrirana s upravljanjem rizicima sigurnosti informacija, generirajući vid na dva nivoajedan organizacijski (uticaj na entitet, kontinuitet poslovanja, reputacija, sankcije itd.) i drugi usmjeren na zainteresovane strane (uticaj na ljude, diskriminacija, gubitak kontrole nad njihovim podacima, ekonomska ili emocionalna šteta itd.).

Na osnovu ove analize, implementiraju se odgovarajuće kontrole, resursi se prioritiziraju i uspostavljaju se akcioni planovi, kako preventivni tako i za odgovor na incidente. Sve ovo slijedi PDCA (Planiraj-Uradi-Provjeri-Djeluj) ciklus uobičajen u ISO standardima, koji pokreće kontinuirano poboljšanje i prilagođavanje kada se promijene tehnološki ili regulatorni rizici.

Izdanje iz 2025. godine ide korak dalje izričitim usvajanjem pristup životnom ciklusu podatakaOvo obuhvata sve, od prikupljanja ličnih podataka (PII) do njihovog brisanja, anonimizacije ili pseudonimizacije. Ovo osigurava da je privatnost integrirana u sve faze obrade, u skladu s principima kao što su Privatnost po dizajnu (Privacy by Design) i Privatnost po zadanim postavkama (Privacy by Default).

U okruženjima gdje su AI, IoT, blockchain ili multicloud usluge već uobičajene, standard uvodi specifične smjernice za upravljanje rizicima koji proizlaze iz automatizovano donošenje odlukaprofiliranje ili kombinacija velikih količina podataka, uključujući unakrsne reference s budućim standardom ISO/IEC 42001 o upravljanju umjetnom inteligencijom.

Integracija s drugim sistemima upravljanja i okvirima za usklađenost

Jedna od najvećih prednosti standarda ISO/IEC 27701:2025 je njegova sposobnost da uklapaju se u integrirani upravljački ekosistemZahvaljujući HLS strukturi, može se kombinovati sa ISO/IEC 27001 (sigurnost informacija), ISO 31000 (upravljanje rizicima), ISO 37301 (usklađenost), ISO 9001 (kvalitet) ili budućim standardom ISO/IEC 42001 (AI), dijeleći zajedničke procese kao što su upravljanje dokumentima, pregledi menadžmenta i interne revizije.

Za organizacije koje već imaju zreli ISMS, ažuriranje olakšava njegovo održavanje. Integrisani ISMS i PIMSOvo optimizuje napore i smanjuje dupliranje dokaza. Oni koji više vole da rade sami mogu implementirati i samostalni PIMS, što je posebno korisno za organizacije čija je glavna glavobolja GDPR i drugi zakoni o zaštiti podataka.

Standard je vrlo dobro usklađen s globalnim regulatornim okvirima: u EU služi kao čvrsta dokazna osnova za princip proaktivne odgovornosti GDPR-a; na drugim teritorijama pomaže u demonstraciji usklađenosti s okvirima kao što su CCPA, LGPD ili drugi propisi o privatnosti. Nadalje, može se dopuniti izvještajima SOC 2, nacionalnim sigurnosnim shemama ili sektorskim shemama certifikacije.

U praksi, primjena ISO/IEC 27701:2025 omogućava jasnu definiciju upravljanje privatnošću (ko odlučuje o čemu, ko preuzima rizike, koje funkcije ima službenik za zaštitu podataka, kako se koordiniraju pravni, sigurnosni, IT i poslovni aspekti), uvesti okvir za kontinuiranu procjenu rizika i ojačati transparentnost sa zainteresovanim stranama putem jasnih politika, obavještenja i mehanizama za ostvarivanje prava.

Ovaj integrativni pristup pokreće prelazak na model Privatnost kao kulturagdje se ne radi samo o tome da dokumenti budu uredni, već o tome da se osigura da osoblje razumije svoju ulogu, da prođe obuku, da učestvuje u otkrivanju rizika i da prihvati privatnost kao sastavni dio kvalitete usluge.

Specifičan uticaj na službenike za zaštitu podataka i službenike za usklađenost

Za službenike za zaštitu podataka (DPO) i timove za usklađenost, ISO/IEC 27701:2025 postaje vrlo specifičan plan puta o tome kako dokazati da se GDPR efikasno primjenjuje. Uredba uključuje Aneks D, koji mapira kontrole i zahtjeve na članove Uredbe, što olakšava povezivanje svake zakonske obaveze s operativnim dokazima.

Na primjer, u slučaju revizije od strane Španske agencije za zaštitu podataka (AEPD) o upravljanju pravima subjekata podataka, kontrole A.1.3.7 i A.1.3.10 omogućavaju dokazivanje postojanja dokumentirane procedure primati, registrovati, obrađivati ​​i odgovarati na zahtjeve za pristup, ispravku, brisanje, prigovor ili prenosivost, s definiranim rokovima, odgovornim stranama i sljedivošću.

Dobra vijest je da specifične kontrole za kontrolore podataka (Tabela A.1) i za obrađivače podataka (Tabela A.2) ostaju praktično nepromijenjene od 2019. godine. To znači da, za već certificirane organizacije, Tranzicija ne zahtijeva ponovnu izgradnju cijelog sistemaveć prilagoditi strukturu, ojačati komponentu rizika za privatnost i bolje dokumentirati program sigurnosti informacija koji podržava PIMS.

U složenim okruženjima gdje koegzistira više entiteta (zajednički kontrolori, podupravitelji, pružatelji usluga u oblaku, obrađivači u trećim zemljama), nova verzija pomaže u usavršavanju ugovora, matrica odgovornosti i mehanizama praćenja, smanjujući slijepe tačke i nejasnoće koje često uzrokuju probleme u reviziji.

U praksi, standard postaje saveznik u prelasku sa "Teoretski se pridržavam" na "Imam objektivni i provjerljivi dokazi koje ispunjavam", što smanjuje strah u slučaju inspekcija, zahtjeva ili relevantnih sigurnosnih kršenja koja zahtijevaju obavještavanje vlasti i onih na koje to utiče.

Prelazak sa ISO/IEC 27701:2019: rokovi, koraci i uobičajene greške

Organizacije koje su već certificirane prema ISO/IEC 27701:2019 standardu imaju trogodišnji prelazni period Od objavljivanja verzije 2025, tj. do oktobra 2028. godine, prilagoditi svoje sisteme upravljanja i završiti tranzicijsku reviziju sa svojim certifikacijskim tijelom.

Nema potrebe za počinjanjem od nule: većina već obavljenog posla ostaje važeća. Ključno je ponovo uklopiti sistem u novu strukturu, uključujući nove kontrole sigurnosti informacija, ojačati upravljanje rizicima privatnosti i pregledati dokumentaciju o upravljanju, uloge i operativne procese kako bi se osiguralo da su u skladu s ažuriranim klauzulama.

Razumni koraci za uredan prelaz obično uključuju analizu nedostataka upoređujući trenutni PIMS sa verzijom iz 2025. godine, ažuriranje Izjave o primjenjivosti kako bi odražavala restrukturirane anekse, pregled matrice rizika za privatnost (uključujući scenarije AI, cloud i međunarodnog toka), prilagođavanje politika, evidencija i programa interne revizije, obuku ključnog osoblja i planiranje revizije tranzicije sa certifikacijskim tijelom.

Među najčešćim greškama u ovoj tranziciji, ističu se tri: čekanje do posljednjeg trenutka s nadom da "ima dovoljno vremena"; ograničite se na ažuriranje dokumenata bez provjere da li je stvarna praksa usklađena (revizori traže dokaze, ne samo PDF-ove); i previđanje relevantnosti automatizirane i vještačke obrade, koja više nije marginalno pitanje već specifičan fokus procjene.

Za organizacije koje već primjenjuju ISO 27001:2022 integriran s ISO 27701:2019, promjena bi trebala biti relativno jednostavna, budući da se mnogi strukturni koncepti novog 27701:2025 temelje na elementima koje je 27001:2022 uveo u vlastitoj reviziji: veći naglasak na kontekstu, pristup zasnovan na riziku, liderstvo i kontinuirano poboljšanje.

ISO/IEC 27701 kao pouzdan alat i konkurentska prednost

Pored usklađenosti s propisima, glavni doprinos standarda ISO/IEC 27701:2025 je njegova sposobnost da Izgradite i održavajte povjerenje Što se tiče obrade ličnih podataka. U okruženju u kojem su curenje informacija, netransparentna upotreba vještačke inteligencije i skandali koji uključuju zloupotrebu informacija uobičajeni, sposobnost demonstracije zrelog sistema upravljanja čini svu razliku.

Dobro implementiran PIMS vam omogućava da pokažete klijentima, partnerima i vlastima da organizacija ozbiljno shvata privatnost: postoje jasne politike, poznate su uloge i odgovornosti, rizici se periodično procjenjuju, postoje ažurni zapisi o obradi, prate se indikatori, provode se interne revizije i poduzimaju se mjere kada se otkriju odstupanja.

Ovo ima direktan uticaj na korporativno upravljanje, usklađenost, upravljanje rizicima i interna kulturaStandard potiče da privatnost prevaziđe okvire isključivo "službenika za zaštitu podataka" i postane sveobuhvatno pitanje koje utiče na marketing, IT, razvoj proizvoda, ljudske resurse, nabavku, korisničku podršku i opće upravljanje.

Za mnoge organizacije, posebno u sektorima koji intenzivno koriste podatke (finansije, zdravstvo, tehnologija, javna uprava, online obrazovanje itd.), certifikacija ISO/IEC 27701:2025 već postaje zahtjev ili faktor razlikovanja prilikom sklapanja ugovora, učešća na tenderima ili prolaska kroz procese dubinske analize od strane investitora.

Usvajanje ovog standarda nije samo pitanje „zaštite informacija“, već upravljanja povjerenjem kao strateškom imovinom: pružanje čvrstih garancija da su lični podaci pod kontrolom, da se automatizovane odluke donose uz poštovanje prava ljudi i da je organizacija spremna da efikasno reaguje ako nešto pođe po zlu.