ISO 27701: Novo doba upravljanja privatnošću

La Privatnost i kibersigurnost To su postale dvije najveće glavobolje za svaku organizaciju koja obrađuje osobne podatke. Između GDPR-a, lokalnih zakona, usluga u oblaku, umjetne inteligencije i revizora koji zahtijevaju dokaze, sve je teže dokazati da se stvari rade ispravno i dosljedno iz godine u godinu.

U tom kontekstu Norma ISO/IEC 27701:2025 Postao je međunarodni referentni standard za upravljanje privatnošću informacija. Ažuriranje iz 2025. predstavlja značajan skok naprijed u odnosu na verziju iz 2019.: više nije samo „dodatak“ normi ISO 27001, već je postao potpuno neovisan sustav upravljanja, osmišljen kako bi omogućio svakoj organizaciji da certificira kako štiti osobne podatke koje obrađuje.

Što je ISO/IEC 27701 i kakvu ulogu igra u privatnosti?

ISO/IEC 27701 je Međunarodni standard koji definira zahtjeve Uspostaviti, implementirati, održavati i kontinuirano poboljšavati sustav upravljanja informacijama o privatnosti, poznat kao PIMS (Privacy Information Management System). Drugim riječima, strukturirani okvir koji upravlja svim aspektima obrade osobnih podataka unutar organizacije.

Ovaj standard je namijenjen kontroleri i obrađivači osobnih podataka (PII, ekvivalentno osobni podaci GDPR-aNjegov je cilj da ti subjekti budu u mogućnosti dokazati, s provjerljivim dokazima, da upravljaju privatnošću na način usklađen sa zakonom i najboljim međunarodnim praksama.

Uz obvezne zahtjeve, ISO/IEC 27701 uključuje praktične smjernice kako bi se pomoglo u svakodnevnoj implementaciji i radu sustava upravljanja. Na taj način se jasno razlikuje što će se revidirati, a što služi kao vodič za učinkovitu primjenu kontrola.

Standard se primjenjuje na organizacije bilo koje veličine i sektoraJavne ili privatne tvrtke, javne uprave, nevladine organizacije, pružatelji usluga u oblaku, Startupi za umjetnu inteligencijuSaaS tvrtke itd. Sve dok se obrađuju osobni podaci, to odgovara.

Zašto je ISO/IEC 27701 toliko važan za 2025. godinu i nadalje

Danas Osobni podaci su jedna od najosjetljivijih imovina od bilo koje organizacije. Građani, regulatori i poslovni partneri više nisu zadovoljni izjavama o dobrim namjerama: žele vidjeti dokaze da se privatnošću upravlja na ozbiljan, sustavan i provjerljiv način.

Norma ISO/IEC 27701 pruža upravo taj okvir: a globalno priznati sustav upravljanja privatnošću Pomaže u upravljanju rizicima, definiranju odgovornosti i demonstraciji proaktivne odgovornosti. Posebno je usklađen s GDPR-om, koji se u zemljama poput Španjolske vrlo dobro uklapa u LOPDGDD, a u javnim okruženjima i u Nacionalni sigurnosni okvir.

Među glavnim prednostima implementacije i certificiranja PIMS-a prema normi ISO/IEC 27701, ističu se sljedeće vrlo jasne prednosti: ojačati kapacitete zaštite podataka, olakšati demonstraciju usklađenosti s propisima, uliti povjerenje kupcima, suradnicima i regulatorima te stvoriti čvrste temelje za integraciju privatnosti u korporativnu kulturu.

Ažuriranje za 2025. godinu također dolazi u vrijeme kada napredna analitika i usluge u oblaku Radikalno su promijenili način prikupljanja, obrade i dijeljenja informacija. Standard se prilagođava ovom novom tehnološkom i regulatornom ekosustavu, uključujući eksplicitne reference na umjetnu inteligenciju, višeoblačna okruženja, automatizirano donošenje odluka i prekograničnu obradu podataka.

Ukratko, ISO/IEC 27701:2025 čini privatnost strateška komponenta poslovanjaI ne samo kao pravna ili tehnička obveza. Služi kao znak zrelosti i kredibiliteta kod klijenata, partnera, investitora i vlasti.

Od proširenja ISO 27001 do samostalnog standarda

Jedna od najradikalnijih promjena u novoj verziji je ta što Prestaje biti puko produženje norme ISO/IEC 27001. Izdanje iz 2019. godine zahtijevalo je prvo certificiranje Sustava upravljanja sigurnošću informacija (ISMS) prema normi ISO 27001, a zatim dodavanje sloja privatnosti prema normi ISO 27701.

Ova je shema stvorila značajnu prepreku ulasku organizacija usmjerenih na privatnost kojima nije bio potreban ili nisu mogle implementirati potpuni ISMS. Tvrtke s jakim fokusom na zaštitu podataka, subjekti javnog sektora s ograničenim resursima ili tvrtke vođene podacima koje su već obuhvaćene drugim sigurnosnim okvirima poput SOC 2, bile su prisiljene usvojiti ISO 27001.

Od 2025. godine, ISO/IEC 27701 postaje standard neovisnog sustava upravljanjas vlastitom strukturom visoke razine (točke 4 do 10) u stilu ostalih ISO standarda. To znači da je moguće certificirati PIMS bez prethodne certifikacije prema ISO 27001, iako dva standarda ostaju potpuno kompatibilna.

Ova promjena otvara vrata nekoliko vrlo zanimljivih scenarija: organizacije koje žele samo certifikat za privatnost, SaaS tvrtke koje kombiniraju SOC 2 za sigurnost i ISO 27701 za privatnost, nevladine organizacije ili javne uprave s velikom količinom osobnih podataka, ali s malo resursa za implementaciju cjelovitog ISMS-a ili tvrtke koje preferiraju integrirati privatnost i sigurnost prema dva pravila koja međusobno komuniciraju, ali se mogu upravljati s različitim opsegom.

Paralelno s tim, pojavljuje se ISO/IEC 27706:2025, komplementarni standard koji Postavlja pravila igre za certifikacijska tijela. koji revidiraju PIMS, zamjenjujući prethodni ISO TS 27006-2:2021 i ažurirajući infrastrukturu za certifikaciju oko ISO 27701.

Struktura i načela verzije iz 2025.

Norma ISO/IEC 27701:2025 usvaja visokorazinska struktura (HLS) što se već koristi u drugim standardima sustava upravljanja kao što su ISO 27001, ISO 9001 ili ISO 37301. To uvelike olakšava integraciju kada organizacija istovremeno ima nekoliko certificiranih sustava.

Glavne klauzule pokrivaju aspekte koji su vrlo prepoznatljivi svima koji su upoznati s ISO obitelji: od kontekst organizacije i dionika, od vodstva, planiranja temeljenog na riziku, resursa, poslovanja, evaluacije učinka i kontinuiranog poboljšanja. Sve se to posebno odnosilo na upravljanje privatnošću.

Standard detaljno obrađuje, između ostalog, sljedeće blokove: analizu konteksta te zakonske i ugovorne zahtjeve u vezi s osobnim podacima; predanost višeg menadžmentaPolitike privatnosti i dodjeljivanje uloga; procjena rizika za privatnost i postavljanje ciljeva; resursi i vještine; operativne kontrole nad obradom; revizije, pokazatelji i izvješća o upravljanju te mehanizmi kontinuiranog poboljšanja.

Ključni aspekt verzije iz 2025. je taj što preuređuje i obogaćuje Prilozi. Prilog A zadržava kontrole koje se primjenjuju na kontrolore i obrađivače osobnih podataka, ali s jasnijim jezikom i referencama na trenutna okruženja kao što su oblak, umjetna inteligencija i prekogranična obrada. Prilog B postaje praktičniji vodič za provedbu, s preporukama prilagođenim različitim sektorima i veličinama organizacija.

Popis normativnih referenci je također pojednostavljen. Izdanje iz 2025. uzima ISO/IEC 29100, ISO okvir za privatnost, kao svoju glavnu referencu i više se ne oslanja izravno na ISO 27001 ili ISO 27002 kao prije, čime se naglašava njegov neovisnost kao standard bez gubitka koherentnosti s ekosustavom informacijske sigurnosti.

U okruženjima gdje je tehnička sigurnost ključna, preporučljivo je nadopuniti kontrole privatnosti praktičnim mjerama za zaštitu imovine i krajnjih točaka; na primjer, Ključne strategije za zaštitu vaših uređaja Pomažu u smanjenju operativnog rizika koji podržava PIMS.

Najrelevantnije promjene u usporedbi s normom ISO/IEC 27701:2019

Osim prelaska na samostalni standard, ISO/IEC 27701:2025 uvodi niz duboke prilagodbe u strukturi i detaljima njegovih zahtjeva i priloga, bez kršenja onoga što je već postojalo za organizacije koje su certificirane 2019. godine.

Prvo, uključeno je sljedeće: klauzule o upravljanju od 4.1. do 10.2. usklađeno s okvirom ISO 27001: kontekst organizacije, vodstvo, planiranje, podrška, rad, evaluacija učinka i poboljšanje. Dodana je i posebna klauzula o evaluaciji učinka (praćenje, mjerenje, interna revizija i pregled upravljanja) te još jedna posvećena kontinuiranom poboljšanju PIMS-a.

Prethodni odjeljci koji opisuju specifične zahtjeve PIMS-a u odnosu na ISO 27001 i ISO 27002 zamijenjeni su strukturom koja je u potpunosti usklađena s ISO standardima, u kojoj se članak 4 bavi kontekstom, članak 5 vodstvom, članak 6 planiranjem, članak 7 podrškom, članak 8 radom, članak 9 performansama i članak 10 poboljšanjem. Uključena je čak i dodatna klauzula koja pruža informacije za bolje razumijevanje Prilozi C, D, E i F, gdje je vodič o kontrolama i mapiranjima proširen.

Prilozi o privatnosti su preimenovani i reorganizirani, konsolidirajući kontrole za voditelje i obrađivače PII podataka (prethodno odvojene u različite tablice) u jedan Prilog A. Iako se organizacija mijenja, Zahtjevi za privatnost ostaju praktički nepromijenjeniTo olakšava život onima koji već imaju certificirani PIMS.

Velika vijest leži u skupu 29 novih kontrola sigurnosti informacija integrirane u Tablicu A.3, koje nadopunjuju kontrole privatnosti bitnim sigurnosnim elementima: sigurnosne politike, klasifikacija informacija, upravljanje identitetomTe kontrole uključuju prava pristupa, sigurnost u ugovorima s dobavljačima, sigurnosnu svijest i obuku te upravljanje incidentima, između ostalog. One zamjenjuju bivšu klauzulu 6 norme ISO 27701:2019 i izravno su usklađene sa zahtjevima norme ISO 27001:2022.

Pristup temeljen na riziku i životni ciklus podataka

Srž norme ISO/IEC 27701:2025 je pristup upravljanju rizikom privatnosti jasno definirano. Standard zahtijeva identificiranje, analizu i procjenu rizika koje obrada osobnih podataka može generirati u vezi s pravima i slobodama pojedinaca.

Ova analiza je integrirana s upravljanjem rizicima informacijske sigurnosti, generirajući vid na dvije razine: jedan organizacijski (utjecaj na subjekt, kontinuitet poslovanja, ugled, sankcije itd.) i drugi usmjeren na dionike (utjecaj na ljude, diskriminacija, gubitak kontrole nad njihovim podacima, ekonomska ili emocionalna šteta itd.).

Na temelju ove analize primjenjuju se odgovarajuće kontrole, resursi se određuju prioriteti i uspostavljaju se akcijski planovi, i preventivni i za odgovor na incidente. Sve to slijedi PDCA (Planiraj-Učini-Provjeri-Djeluj) ciklus uobičajen u ISO standardima, koji pokreće kontinuirano poboljšanje i prilagodba kada se promijene tehnološki ili regulatorni rizici.

Izdanje iz 2025. ide korak dalje izričitim usvajanjem pristup životnom ciklusu podatakaTo obuhvaća sve, od prikupljanja osobnih podataka do njihovog brisanja, anonimizacije ili pseudonimizacije. Time se osigurava da je privatnost integrirana u sve faze obrade, u skladu s načelima kao što su Privatnost po dizajnu i Privatnost po zadanim postavkama.

U okruženjima gdje su AI, IoT, blockchain ili multicloud usluge već uobičajene, standard uvodi specifične smjernice za upravljanje rizicima koji proizlaze iz automatizirano donošenje odlukaprofiliranje ili kombinacija velikih količina podataka, uključujući unakrsne reference s budućim ISO/IEC 42001 o upravljanju umjetnom inteligencijom.

Integracija s drugim sustavima upravljanja i okvirima za usklađenost

Jedna od najvećih prednosti norme ISO/IEC 27701:2025 je njezina sposobnost da uklapaju se u integrirani upravljački ekosustavZahvaljujući HLS strukturi, može se kombinirati s ISO/IEC 27001 (sigurnost informacija), ISO 31000 (upravljanje rizicima), ISO 37301 (usklađenost), ISO 9001 (kvaliteta) ili budućim standardom ISO/IEC 42001 (AI), dijeleći zajedničke procese kao što su upravljanje dokumentima, pregledi upravljanja i interne revizije.

Za organizacije koje već imaju zreli ISMS, ažuriranje olakšava njegovo održavanje. Integrirani ISMS i PIMSTo optimizira napore i smanjuje dupliciranje dokaza. Oni koji radije rade sami mogu implementirati i samostalni PIMS, što je posebno korisno za organizacije čija je glavna glavobolja GDPR i drugi zakoni o zaštiti podataka.

Standard je vrlo dobro usklađen s globalnim regulatornim okvirima: u EU služi kao čvrsta dokazna osnova za načelo proaktivne odgovornosti GDPR-a; u drugim područjima pomaže u dokazivanju usklađenosti s okvirima kao što su CCPA, LGPD ili drugi propisi o privatnosti. Nadalje, može se nadopuniti izvješćima SOC 2, nacionalnim sigurnosnim shemama ili sektorskim shemama certificiranja.

U praksi, primjena norme ISO/IEC 27701:2025 omogućuje jasnu definiciju upravljanje privatnošću (tko što odlučuje, tko preuzima rizike, koje funkcije ima DPO, kako se koordiniraju pravni, sigurnosni, IT i poslovni aspekti), uvesti okvir za kontinuiranu procjenu rizika i ojačati transparentnost sa dionicima putem jasnih politika, obavijesti i mehanizama za ostvarivanje prava.

Ovaj integrativni pristup potiče prijelaz na model Privatnost kao kulturagdje se ne radi samo o tome da dokumenti budu uredni, već o tome da se osigura da osoblje razumije svoju ulogu, da se osposobljava, da sudjeluje u otkrivanju rizika i da prihvaća privatnost kao sastavni dio kvalitete usluge.

Poseban utjecaj na službenike za zaštitu podataka i službenike za usklađenost

Za službenike za zaštitu podataka (DPO) i timove za usklađenost, ISO/IEC 27701:2025 postaje vrlo specifičan plan puta o tome kako dokazati da se GDPR učinkovito primjenjuje. Uredba uključuje Prilog D, koji mapira kontrole i zahtjeve na članke Uredbe, što olakšava povezivanje svake pravne obveze s operativnim dokazima.

Na primjer, u slučaju pregleda od strane Španjolske agencije za zaštitu podataka (AEPD) o upravljanju pravima ispitanika, kontrole A.1.3.7 i A.1.3.10 omogućuju dokazivanje postojanja dokumentirani postupci primati, registrirati, obrađivati ​​i odgovarati na zahtjeve za pristup, ispravak, brisanje, prigovor ili prenosivost, s definiranim rokovima, odgovornim stranama i sljedivošću.

Dobra je vijest da su specifične kontrole za voditelje obrade podataka (Tablica A.1) i za obrađivače podataka (Tablica A.2) ostale praktički nepromijenjene od 2019. To znači da su za već certificirane organizacije Tranzicija ne zahtijeva obnovu cijelog sustavaveć prilagoditi strukturu, ojačati komponentu rizika za privatnost i bolje dokumentirati program informacijske sigurnosti koji podržava PIMS.

U složenim okruženjima u kojima koegzistira više subjekata (zajednički kontrolori, podupravitelji, pružatelji usluga u oblaku, obrađivači u trećim zemljama), nova verzija pomaže u poboljšanju ugovora, matrica odgovornosti i mehanizama praćenja, smanjujući slijepe točke i nejasnoće koje često uzrokuju probleme u reviziji.

U praksi, standard postaje saveznik u prelasku s "Teoretski se pridržavam" na "Imam objektivni i revizijski dokazi koje ispunjavam", što smanjuje strah u slučaju inspekcija, zahtjeva ili relevantnih sigurnosnih povreda koje zahtijevaju obavještavanje vlasti i pogođenih.

Prijelaz s norme ISO/IEC 27701:2019: rokovi, koraci i uobičajene pogreške

Organizacije koje su već certificirane prema normi ISO/IEC 27701:2019 imaju trogodišnje prijelazno razdoblje Od objave verzije 2025., tj. do listopada 2028., prilagoditi svoje sustave upravljanja i dovršiti prijelazni audit sa svojim certifikacijskim tijelom.

Nema potrebe za počinjanjem ispočetka: većina već obavljenog posla ostaje valjana. Ključno je ponovno uklopiti sustav u novu strukturu, uključujući nove kontrole sigurnosti informacija, ojačati upravljanje rizicima privatnosti i pregledati dokumentaciju o upravljanju, uloge i operativne procese kako bi se osiguralo da su u skladu s ažuriranim klauzulama.

Razumni koraci za uredan prijelaz obično uključuju analizu nedostataka uspoređujući trenutni PIMS s verzijom iz 2025., ažuriranje Izjave o primjenjivosti kako bi odražavala restrukturirane priloge, pregled matrice rizika za privatnost (uključujući scenarije umjetne inteligencije, oblaka i međunarodnog toka), prilagodbu politika, evidencija i programa interne revizije, obuku ključnog osoblja i planiranje prijelazne revizije s certifikacijskim tijelom.

Među najčešćim pogreškama u ovoj tranziciji ističu se tri: čekanje do zadnjeg trenutka vjerujući da „ima puno vremena“; ograničite se na ažuriranje dokumenata bez provjere je li stvarna praksa usklađena (revizori traže dokaze, a ne samo PDF-ove); te previđanje relevantnosti automatizirane i umjetne inteligencije obrade, što više nije marginalno pitanje već specifičan fokus procjene.

Za organizacije koje već primjenjuju normu ISO 27001:2022 integriranu s normom ISO 27701:2019, promjena bi trebala biti relativno jednostavna, budući da se mnogi strukturni koncepti nove norme 27701:2025 temelje na elementima koje je norma 27001:2022 uvela u vlastitoj reviziji: veći naglasak na kontekstu, pristup temeljen na riziku, vodstvo i kontinuirano poboljšanje.

ISO/IEC 27701 kao pouzdan alat i konkurentska prednost

Osim usklađenosti s propisima, glavni doprinos norme ISO/IEC 27701:2025 je njezina sposobnost da Izgradite i održavajte povjerenje Što se tiče obrade osobnih podataka. U okruženju u kojem su curenja informacija, netransparentna upotreba umjetne inteligencije i skandali koji uključuju zlouporabu informacija uobičajeni, mogućnost demonstracije zrelog sustava upravljanja čini svu razliku.

Dobro implementiran PIMS omogućuje vam da klijentima, partnerima i vlastima pokažete da organizacija ozbiljno shvaća privatnost: postoje jasne politike, poznate su uloge i odgovornosti, rizici se periodično procjenjuju, postoje ažurni zapisi o obradi, prate se pokazatelji, provode se interne revizije i poduzimaju se mjere kada se otkriju odstupanja.

To ima izravan utjecaj na korporativno upravljanje, usklađenost, upravljanje rizicima i interna kulturaStandard potiče da privatnost prijeđe okvire isključivog pitanja "DPO-a" i postane sveobuhvatno pitanje koje utječe na marketing, IT, razvoj proizvoda, ljudske resurse, nabavu, korisničku podršku i opće upravljanje.

Za mnoge organizacije, posebno u sektorima koji intenzivno koriste podatke (financije, zdravstvo, tehnologija, javna uprava, online obrazovanje itd.), certifikacija prema ISO/IEC 27701:2025 već postaje zahtjev ili faktor razlikovanja prilikom sklapanja ugovora, sudjelovanja na natječajima ili prolaska kroz procese dubinske analize od strane investitora.

Usvajanje ovog standarda nije samo pitanje „zaštite informacija“, već upravljanja povjerenjem kao strateškom imovinom: pružanje čvrstih jamstava da su osobni podaci pod kontrolom, da se automatizirane odluke donose uz poštovanje ljudskih prava i da je organizacija spremna učinkovito reagirati ako nešto pođe po zlu.