- Norma ISO/IEC 27701:2025 zavádí samostatný systém správy soukromí, který je použitelný pro jakoukoli organizaci, která zpracovává osobní údaje.
- Nová verze posiluje přístup založený na riziku, životní cyklus dat a integraci s dalšími systémy managementu, jako je ISO 27001.
- Pro organizace, které již byly certifikovány v roce 2019, je přechod založen na restrukturalizaci systému PIMS, začlenění nových bezpečnostních kontrol a zlepšení důkazů o shodě s předpisy.
- Certifikace ISO/IEC 27701:2025 je konsolidována jako strategický důkaz důvěry, odpovědnosti a zralosti v ochraně osobních údajů.
La Soukromí a kybernetická bezpečnost Tyto dva problémy se staly pro každou organizaci, která nakládá s osobními údaji. Mezi GDPR, místními zákony, cloudovými službami, umělou inteligencí a auditory požadujícími důkazy je stále obtížnější prokázat, že se věci dělají správně a konzistentně rok co rok.
V této souvislosti Norma ISO/IEC 27701:2025 Stala se mezinárodním referenčním standardem pro správu ochrany osobních údajů. Aktualizace z roku 2025 představuje oproti verzi z roku 2019 významný skok vpřed: již není pouze „dodatkem“ k normě ISO 27001, ale stala se plně nezávislým systémem řízení, který je navržen tak, aby umožnil jakékoli organizaci certifikovat, jak chrání osobní údaje, které zpracovává.
Co je norma ISO/IEC 27701 a jakou roli hraje v ochraně soukromí?
Norma ISO/IEC 27701 je Mezinárodní norma, která definuje požadavky Zavést, implementovat, udržovat a neustále vylepšovat systém správy informací o ochraně soukromí, známý jako PIMS (Privacy Information Management System). Jinými slovy, strukturovaný rámec, který řídí všechny aspekty zpracování osobních údajů v rámci organizace.
Tato norma je určena k správci a zpracovatelé osobně identifikovatelné informace (PII, ekvivalent osobní údaje GDPRJeho cílem je, aby tyto subjekty mohly ověřitelnými důkazy prokázat, že spravují soukromí způsobem, který je v souladu se zákonem a mezinárodními osvědčenými postupy.
Kromě povinných požadavků norma ISO/IEC 27701 zahrnuje praktické pokyny pomáhat s implementací a každodenním provozem systému řízení. Tímto způsobem jasně rozlišuje mezi tím, co bude auditováno, a tím, co slouží jako vodítko pro efektivní uplatňování kontrol.
Norma se vztahuje na organizace jakékoli velikosti a odvětvíVeřejné nebo soukromé společnosti, veřejná správa, nevládní organizace, poskytovatelé cloudových služeb, Startupy v oblasti umělé inteligenceSaaS společnosti atd. Pokud jsou zpracovávány osobní údaje, je to v pořádku.
Proč je norma ISO/IEC 27701 tak důležitá pro rok 2025 a dále
Dnes Osobní údaje patří k nejcitlivějším aktivům od jakékoli organizace. Občané, regulační orgány a obchodní partneři se již nespokojí s prohlášeními o dobrých úmyslech: chtějí vidět důkazy o tom, že soukromí je spravováno seriózním, systematickým a ověřitelným způsobem.
Norma ISO/IEC 27701 poskytuje přesně tento rámec: a celosvětově uznávaný systém správy soukromí Pomáhá řídit rizika, definovat odpovědnosti a prokazovat proaktivní odpovědnost. Je obzvláště v souladu s GDPR, které v zemích, jako je Španělsko, velmi dobře odpovídá LOPDGDD a ve veřejném prostředí také Národnímu bezpečnostnímu rámci.
Mezi hlavní výhody implementace a certifikace PIMS podle normy ISO/IEC 27701 patří následující velmi jasné výhody: posílit schopnosti ochrany dat, usnadnit prokázání souladu s předpisy, vštípit zákazníkům, spolupracovníkům a regulačním orgánům důvěru a vytvořit pevný základ pro integraci ochrany osobních údajů do firemní kultury.
Aktualizace z roku 2025 přichází také v době, kdy pokročilá analytika a cloudové služby Radikálně změnily způsob shromažďování, zpracování a sdílení informací. Standard se přizpůsobuje tomuto novému technologickému a regulačnímu ekosystému a zahrnuje explicitní odkazy na umělou inteligenci, multicloudová prostředí, automatizované rozhodování a přeshraniční zpracování dat.
Stručně řečeno, norma ISO/IEC 27701:2025 dělá z ochrany soukromí strategická složka podnikuA to nejen jako právní nebo technická povinnost. Slouží jako známka zralosti a důvěryhodnosti u klientů, partnerů, investorů a úřadů.
Od rozšíření normy ISO 27001 k samostatné normě
Jednou z nejradikálnějších změn v nové verzi je, že Přestává být pouhým prodloužením normy ISO/IEC 27001. Verze z roku 2019 vyžadovala nejprve certifikaci systému managementu bezpečnosti informací (ISMS) podle normy ISO 27001 a poté přidání vrstvy ochrany soukromí dle normy ISO 27701.
Tento systém vytvořil významnou překážku vstupu pro organizace zaměřené na soukromí, které nepotřebovaly nebo nemohly implementovat plnohodnotný systém ISMS. Společnosti se silným zaměřením na ochranu dat, subjekty veřejného sektoru s omezenými zdroji nebo podniky zaměřené na data, které již byly zahrnuty v jiných bezpečnostních rámcích, jako je SOC 2, byly nuceny přijmout normu ISO 27001.
Od roku 2025 se norma ISO/IEC 27701 stává nezávislý standard systému řízenís vlastní strukturou na vysoké úrovni (kapitoly 4 až 10) ve stylu ostatních norem ISO. To znamená, že je možné certifikovat PIMS bez předchozí certifikace dle ISO 27001, ačkoli obě normy zůstávají plně kompatibilní.
Tato změna otevírá dveře několika velmi zajímavým scénářům: organizace, které chtějí pouze certifikaci ochrany osobních údajů, SaaS společnosti, které kombinují SOC 2 pro bezpečnost a ISO 27701 pro ochranu osobních údajů, nevládní organizace nebo veřejné správy s velkým objemem osobních údajů, ale s malými zdroji pro nasazení kompletního ISMS, nebo společnosti, které preferují integrovat soukromí a bezpečnost podle dvou pravidel, která spolu komunikují, ale lze je spravovat s různými rozsahy.
Souběžně se objevuje norma ISO/IEC 27706:2025, která je doplňkovou normou Stanovuje pravidla hry pro certifikační orgány. které auditují PIMS, nahrazují předchozí normu ISO TS 27006-2:2021 a aktualizují certifikační infrastrukturu podle normy ISO 27701.
Struktura a principy verze z roku 2025
Norma ISO/IEC 27701:2025 přijímá struktura na vysoké úrovni (HLS) který se již používá v jiných normách systémů managementu, jako je ISO 27001, ISO 9001 nebo ISO 37301. To výrazně usnadňuje integraci, když má organizace několik certifikovaných systémů současně.
Hlavní klauzule pokrývají aspekty, které jsou snadno rozpoznatelné pro každého, kdo je obeznámen s rodinou ISO: od kontext organizace a zúčastněné strany, od vedení, plánování na základě rizik, zdrojů, provozu, hodnocení výkonnosti až po neustálé zlepšování. To vše se konkrétně vztahovalo na správu soukromí.
Norma se podrobně zabývá mimo jiné následujícími oblastmi: analýzou kontextu a právních a smluvních požadavků týkajících se osobních údajů; závazek vrcholového managementuZásady ochrany osobních údajů a přidělování rolí; posouzení rizik pro ochranu soukromí a stanovování cílů; zdroje a dovednosti; provozní kontroly zpracování; audity, ukazatele a manažerské zprávy a mechanismy neustálého zlepšování.
Klíčovým aspektem verze z roku 2025 je, že přeskupuje a obohacuje Přílohy. Příloha A zachovává kontrolní mechanismy platné pro správce a zpracovatele osobních údajů (PII), ale s jasnějším zněním a odkazy na současná prostředí, jako je cloud, umělá inteligence a přeshraniční zpracování. Příloha B se stává praktičtějším implementačním průvodcem s doporučeními přizpůsobenými různým odvětvím a velikostem organizací.
Seznam normativních odkazů je také zjednodušen. Vydání z roku 2025 používá jako hlavní referenční normu ISO/IEC 29100, rámec ISO pro ochranu soukromí, a již se přímo nespoléhá na normy ISO 27001 nebo ISO 27002 jako dříve, čímž zdůrazňuje její nezávislost jako standard aniž by ztratily soudržnost s ekosystémem informační bezpečnosti.
V prostředích, kde je technické zabezpečení klíčové, je vhodné doplnit kontroly ochrany soukromí praktickými opatřeními na ochranu aktiv a koncových bodů, například Klíčové strategie pro ochranu vašich zařízení Pomáhají snižovat provozní riziko, které systém PIMS podporuje.
Nejrelevantnější změny oproti normě ISO/IEC 27701:2019
Kromě přechodu na samostatnou normu zavádí norma ISO/IEC 27701:2025 řadu zásadní úpravy struktury a detailů jeho požadavků a příloh, aniž by došlo k narušení toho, co již existovalo pro organizace, které byly certifikovány v roce 2019.
Nejprve jsou začleněny následující: ustanovení o řízení 4.1 až 10.2 v souladu s rámcem normy ISO 27001: kontext organizace, vedení, plánování, podpora, provoz, hodnocení výkonnosti a zlepšování. Přidává se také specifická klauzule o hodnocení výkonnosti (monitoring, měření, interní audit a přezkum managementu) a další věnovaná neustálému zlepšování systému PIMS.
Dřívější části popisující specifické požadavky na PIMS ve vztahu k normám ISO 27001 a ISO 27002 jsou nahrazeny strukturou plně v souladu s normami ISO, v níž se kapitola 4 zabývá kontextem, kapitola 5 vedením, kapitola 6 plánováním, kapitola 7 podporou, kapitola 8 provozem, kapitola 9 výkonem a kapitola 10 zlepšováním. Dokonce je zahrnuta i další kapitola, která poskytuje informace pro lepší pochopení Přílohy C, D, E a F, kde je rozšířen průvodce ovládacími prvky a mapováním.
Přílohy o ochraně osobních údajů byly přejmenovány a reorganizovány, čímž se sloučí ovládací prvky pro správce a zpracovatele osobních údajů (dříve oddělené do různých tabulek) do jedné přílohy A. Ačkoli se organizace změnila, Požadavky na ochranu osobních údajů zůstávají prakticky nezměněnyTo usnadňuje život těm, kteří již měli certifikovaný PIMS.
Velká novinka spočívá v souboru 29 nových kontrol informační bezpečnosti integrované do tabulky A.3, které doplňují kontroly ochrany soukromí o základní bezpečnostní prvky: bezpečnostní zásady, klasifikaci informací, správa identitTato opatření zahrnují mimo jiné přístupová práva, zabezpečení v dohodách s dodavateli, bezpečnostní povědomí a školení a řízení incidentů. Nahrazují dřívější klauzuli 6 normy ISO 27701:2019 a jsou přímo v souladu s požadavky normy ISO 27001:2022.
Přístup založený na riziku a životní cyklus dat
Srdcem normy ISO/IEC 27701:2025 je přístup k řízení rizik v oblasti ochrany osobních údajů jasně definované. Norma vyžaduje identifikaci, analýzu a vyhodnocení rizik, která může zpracování osobních údajů generovat, pokud jde o práva a svobody fyzických osob.
Tato analýza je integrována s řízením rizik informační bezpečnosti a vytváří tak dvouúrovňové viděníjedna organizační (dopad na subjekt, kontinuita podnikání, reputace, sankce atd.) a druhá zaměřená na zúčastněné strany (ovlivnění lidí, diskriminace, ztráta kontroly nad jejich daty, ekonomická nebo emocionální újma atd.).
Na základě této analýzy jsou zavedeny vhodné kontrolní mechanismy, stanoveny priority zdrojů a stanoveny akční plány, a to jak preventivní, tak i pro reakci na incidenty. To vše se řídí cyklem PDCA (Plánuj-Dělej-Zkontroluj-Jednej), který je běžný v normách ISO a který řídí neustálé zlepšování a adaptace když se změní technologická nebo regulační rizika.
Vydání z roku 2025 jde o krok dál tím, že výslovně přijímá přístup k životnímu cyklu datTo zahrnuje vše od shromažďování osobních údajů až po jejich mazání, anonymizaci nebo pseudonymizaci. Tím je zajištěno, že ochrana soukromí je integrována do všech fází zpracování v souladu se zásadami, jako jsou ochrana soukromí již v návrhu a ochrana soukromí ve výchozím nastavení.
V prostředích, kde jsou již běžné služby umělé inteligence, internetu věcí, blockchainu nebo multicloudových služeb, norma zavádí specifické pokyny pro řízení rizik vyplývajících z… automatizované rozhodováníprofilování nebo kombinace velkých objemů dat, včetně křížových odkazů na budoucí normu ISO/IEC 42001 o správě a řízení umělé inteligence.
Integrace s dalšími systémy řízení a rámci pro dodržování předpisů
Jednou z největších silných stránek normy ISO/IEC 27701:2025 je její schopnost zapadají do ekosystému integrovaného managementuDíky struktuře HLS ji lze kombinovat s normami ISO/IEC 27001 (bezpečnost informací), ISO 31000 (řízení rizik), ISO 37301 (soulad s předpisy), ISO 9001 (kvalita) nebo budoucí normou ISO/IEC 42001 (AI) a sdílet společné procesy, jako je správa dokumentů, manažerské kontroly a interní audity.
Pro organizace, které již mají vyspělý systém ISMS, aktualizace usnadňuje jeho údržbu. Integrovaný ISMS a PIMSTo optimalizuje úsilí a snižuje duplicitu důkazů. Ti, kteří dávají přednost samostatnému postupu, mohou také nasadit samostatný systém PIMS, což je obzvláště užitečné pro organizace, jejichž hlavním problémem je GDPR a další zákony na ochranu osobních údajů.
Tato norma je velmi dobře v souladu s globálními regulačními rámci: v EU slouží jako solidní důkazní základ pro princip proaktivní odpovědnosti GDPR; v jiných oblastech pomáhá prokazovat soulad s rámci, jako je CCPA, LGPD nebo jiné předpisy na ochranu osobních údajů. Dále jej lze doplnit zprávami SOC 2, národními bezpečnostními systémy nebo certifikačními systémy specifickými pro daný sektor.
V praxi implementace normy ISO/IEC 27701:2025 umožňuje jasnou definici správa soukromí (kdo o čem rozhoduje, kdo přebírá rizika, jaké funkce má pověřenec pro ochranu osobních údajů, jak jsou koordinovány právní, bezpečnostní, IT a obchodní záležitosti), zavést rámec pro průběžné hodnocení rizik a posílit transparentnost vůči zúčastněným stranám prostřednictvím jasných zásad, oznámení a mechanismů pro uplatňování práv.
Tento integrativní přístup pohání přechod k modelu Soukromí jako kulturakde nejde jen o to mít dokumenty v pořádku, ale o to, aby zaměstnanci rozuměli své roli, byli proškoleni, podíleli se na detekci rizik a přijali soukromí jako nedílnou součást kvality služeb.
Konkrétní dopad na pověřence pro ochranu osobních údajů a osoby sledující dodržování předpisů
Pro pověřence pro ochranu osobních údajů (DPO) a týmy pro dodržování předpisů se norma ISO/IEC 27701:2025 stává velmi specifický plán o tom, jak prokázat účinné uplatňování GDPR. Nařízení obsahuje přílohu D, která mapuje kontroly a požadavky na články nařízení, což usnadňuje propojení každé právní povinnosti s provozními důkazy.
Například v případě přezkumu ze strany španělského úřadu pro ochranu osobních údajů (AEPD) týkajícího se správy práv subjektů údajů umožňují kontrolní mechanismy A.1.3.7 a A.1.3.10 prokázat existenci dokumentované postupy přijímat, registrovat, zpracovávat a reagovat na žádosti o přístup, opravu, výmaz, námitku nebo přenositelnost, s definovanými lhůtami, odpovědnými stranami a sledovatelností.
Dobrou zprávou je, že specifické kontroly pro správce údajů (tabulka A.1) a pro zpracovatele údajů (tabulka A.2) zůstávají od roku 2019 prakticky nezměněny. To znamená, že pro již certifikované organizace Přechod nevyžaduje přestavbu celého systémuale spíše upravit strukturu, posílit složku rizik pro soukromí a lépe zdokumentovat program informační bezpečnosti, který podporuje systém PIMS.
Ve složitých prostředích, kde koexistuje více subjektů (společní správci, subdodavatelé, poskytovatelé cloudových služeb, zpracovatelé ve třetích zemích), pomáhá nová verze zpřesnit smlouvy, matice odpovědnosti a monitorovací mechanismy, čímž se omezují slepá místa a nejasnosti, které často způsobují problémy při auditu.
V praxi se standard stává spojencem při přechodu od „teoreticky dodržuji“ k „dodržuji…“ objektivní a auditovatelné důkazy které splňuji„, což snižuje obavy v případě inspekcí, reklamací nebo relevantních narušení bezpečnosti, které vyžadují informování úřadů a dotčených osob.
Přechod z normy ISO/IEC 27701:2019: termíny, kroky a běžné chyby
Organizace, které jsou již certifikovány podle normy ISO/IEC 27701:2019, mají tříleté přechodné období Od vydání verze 2025, tj. do října 2028, přizpůsobit své systémy managementu a dokončit přechodový audit u svého certifikačního orgánu.
Není třeba začínat od nuly: většina již vykonané práce zůstává v platnosti. Klíčem je přepracovat systém do nové struktury a začlenit nové kontrolní mechanismy informační bezpečnosti. posílit řízení rizik v oblasti ochrany osobních údajů a zkontrolovat dokumentaci správy a řízení, role a provozní procesy, aby se zajistilo, že jsou v souladu s aktualizovanými ustanoveními.
Mezi rozumné kroky pro řádný přechod obvykle patří analýza nedostatků porovnávající stávající systém PIMS s verzí z roku 2025, aktualizace Prohlášení o použitelnosti tak, aby odráželo restrukturalizované přílohy, revize matice rizik pro soukromí (včetně scénářů umělé inteligence, cloudu a mezinárodních toků), úprava politik, záznamů a programů interního auditu, školení klíčových pracovníků a plánování auditu přechodu s certifikačním orgánem.
Mezi nejčastější chyby v tomto přechodu vynikají tři: čekání do poslední chvíle v důvěře, že „je spousta času“; omezte se na aktualizaci dokumentů bez ověření souladu se skutečnou praxí (auditoři požadují důkazy, nejen PDF); a přehlížení relevance automatizovaného zpracování a zpracování pomocí umělé inteligence, které již není okrajovou otázkou, ale specifickým zaměřením hodnocení.
Pro organizace, které již používají normu ISO 27001:2022 integrovanou s normou ISO 27701:2019, by změna měla být relativně přímočará, jelikož mnoho strukturálních konceptů nové normy 27701:2025 je založeno na prvcích, které norma 27001:2022 zavedla ve své vlastní revizi: větší důraz na kontext, přístup založený na riziku, vedení a neustálé zlepšování.
ISO/IEC 27701 jako důvěryhodný nástroj a konkurenční výhoda
Kromě souladu s předpisy je hlavním přínosem normy ISO/IEC 27701:2025 její schopnost Budujte a udržujte důvěru Pokud jde o zpracování osobních údajů. V prostředí, kde jsou úniky informací, neprůhledné používání umělé inteligence a skandály týkající se zneužití informací běžné, má schopnost prokázat vyspělý systém řízení zásadní význam.
Dobře implementovaný systém PIMS vám umožňuje ukázat klientům, partnerům a úřadům, že organizace bere ochranu soukromí vážně: existují jasné zásady, role a odpovědnosti jsou známy, rizika jsou pravidelně vyhodnocována, existují aktuální záznamy o zpracování, monitorují se ukazatele, provádějí se interní audity a při zjištění odchylek jsou podniknuta opatření.
To má přímý dopad na správa a řízení společností, dodržování předpisů, řízení rizik a interní kulturaTato norma povzbuzuje k tomu, aby se ochrana soukromí posunula z úrovně pouhé záležitosti „pověřence pro ochranu osobních údajů“ a stala se průřezovou záležitostí ovlivňující marketing, IT, vývoj produktů, lidské zdroje, nákup, zákaznický servis a obecné řízení.
Pro mnoho organizací, zejména v odvětvích náročných na data (finance, zdravotnictví, technologie, veřejná správa, online vzdělávání atd.), se certifikace ISO/IEC 27701:2025 již stává nezbytnou součástí... požadavek nebo rozlišovací faktor při uzavírání smluv, účasti ve výběrových řízeních nebo procházení procesy due diligence investory.
Přijetí tohoto standardu není jen otázkou „ochrany informací“, ale také řízení důvěry jako strategického aktiva: nabízí solidní záruky, že osobní údaje jsou pod kontrolou, že automatizovaná rozhodnutí jsou přijímána s respektem k právům lidí a že je organizace připravena efektivně reagovat, pokud se něco pokazí.
Vášnivý spisovatel o světě bytů a technologií obecně. Rád sdílím své znalosti prostřednictvím psaní, a to je to, co budu dělat v tomto blogu, ukážu vám všechny nejzajímavější věci o gadgetech, softwaru, hardwaru, technologických trendech a dalších. Mým cílem je pomoci vám orientovat se v digitálním světě jednoduchým a zábavným způsobem.