In primele 4 luni din 2025, ANSPDCP a aplicat amenzi GDPR de peste 230.500 EUR firmelor din Romania. 85 de sanctiuni intr-un singur an. ISO 27701 este standardul international care certifica modul in care organizatia protejeaza datele personale, prin ceea ce se numeste Privacy Information Management System (PIMS).
Standardul a fost publicat initial in 2019 ca extensie la ISO 27001. Din octombrie 2025, ISO 27701 exista si ca standard de sine statator.
Ce certifica ISO 27701 si prin ce difera de ISO 27001?
| Criteriu | ISO 27001 | ISO 27701 |
|---|---|---|
| Ce protejeaza | Toate informatiile (date de afaceri, cod sursa, proprietate intelectuala) | Datele personale (nume, CNP, adrese email, date medicale, date biometrice) |
| Tip standard | Standard independent | Extensie la ISO 27001 (2019) sau standard independent (2025) |
| Cadru | SMSI (Sistem de Management al Securitatii Informatiei) | PIMS (Privacy Information Management System) |
| Legatura cu GDPR | Acopera Art. 32 (masuri de securitate) | Mapare directa pe articolele GDPR (Anexa D) |
| Versiune curenta | ISO/IEC 27001:2022 | ISO/IEC 27701:2025 |
| Adoptare Romania | SR EN ISO/IEC 27001:2023 | SR EN ISO/IEC 27701:2021 (versiunea 2025 in curs de adoptare) |
Pe scurt: ISO 27001 protejeaza informatii. ISO 27701 protejeaza persoane ale caror date le prelucrezi.
Cine are nevoie de ISO 27701?
Daca firma ta colecteaza sau prelucreaza date personale ale clientilor, angajatilor sau utilizatorilor, ISO 27701 te priveste. Standardul face distinctie intre doua roluri.
Controlorii de date sunt firmele care decid de ce si cum se prelucreaza datele. Exemple: un magazin online care colecteaza adresele clientilor, o clinica medicala care tine evidenta pacientilor, o firma de HR care gestioneaza dosarele angajatilor.
Operatorii de date prelucreaza date in numele altcuiva. Exemple: o firma de IT care administreaza baza de date a unui client, un furnizor de cloud hosting, o companie de marketing digital care trimite newslettere pentru alt brand.
ISO 27701 are controale separate pentru fiecare rol. Anexa A acopera controlorii, Anexa B acopera operatorii. Aplici doar ce ti se potriveste.
Un SRL cu 15 angajati care dezvolta software pentru clienti din Germania prelucreaza datele utilizatorilor finali (operator de date) si datele propriilor angajati (controlor de date). ISO 27701 il ajuta sa demonstreze clientilor ca datele personale sunt gestionate conform GDPR, fara sa trimita fiecarui client un dosar de 40 de pagini cu politici interne.
Ce s-a schimbat in versiunea 2025?
ISO/IEC 27701:2025 a fost publicat pe 14 octombrie 2025. Cele mai importante schimbari fata de versiunea 2019:
- ISO 27701 poate fi implementat si certificat independent de ISO 27001. In versiunea 2019, aveai nevoie de ISO 27001 ca baza obligatorie.
- Standardul are acum clauze proprii de management (4-10), aliniate la structura ISO 27001:2022.
- Ghidul de implementare din Anexa B a devenit normativ, nu doar informativ. Organismele de certificare il folosesc la audit.
- Acoperirea s-a extins la date biometrice, transparenta algoritmica si mecanisme de verificare a varstei.
Organizatiile certificate pe versiunea 2019 au termen de tranzitie pana in octombrie 2028.
Ce spune legislatia din Romania?
GDPR (Regulamentul UE 2016/679) se aplica direct in Romania din mai 2018. Legea 190/2018 completeaza regulamentul cu prevederi nationale si acorda RENAR competenta de acreditare a organismelor de certificare conform Art. 43 din GDPR.
Art. 42 din GDPR recunoaste certificarea ca mecanism de demonstrare a conformitatii. ISO 27701 nu este inca un mecanism de certificare GDPR aprobat oficial de EDPB (Comitetul European pentru Protectia Datelor). Dar ramane cel mai utilizat standard international pentru protectia datelor personale si este recunoscut de clienti si parteneri ca dovada de buna practica.
ANSPDCP aplica sanctiuni activ. Amenzile GDPR pot ajunge la 20 milioane EUR sau 4% din cifra de afaceri globala. In 2025, autoritatea a sanctionat companii din energie, telecomunicatii, retail si servicii digitale.
Cum se leaga ISO 27701 de ISO 27001 si GDPR?
ISO 27001 acopera securitatea tuturor informatiilor. ISO 27701 adauga un strat specific pentru datele personale. GDPR este regulamentul european obligatoriu.
Practic, cele trei se completeaza asa:
- ISO 27001 rezolva Art. 32 din GDPR (masuri tehnice si organizatorice de securitate)
- ISO 27701 acopera si drepturile persoanelor vizate, consimtamantul, transferurile de date
- GDPR ramane legea. ISO 27001 si 27701 sunt instrumente care te ajuta sa o respecti
Daca ai deja ISO 27001, adaugarea ISO 27701 este mai simpla, pentru ca structura de management exista deja. Costul unui pachet de doua standarde este intre 2.800 si 4.000 lei + TVA. Pentru detalii despre maparea pe articolele GDPR, citeste ISO 27701 si conformitatea GDPR in Romania.
Detalii complete despre diferente in comparatia ISO 27001 vs ISO 27701.
Intrebari frecvente
ISO 27701 este obligatoriu?
Nu. Este un standard voluntar. Dar devine cerinta de facto cand lucrezi cu clienti din UE care cer dovada conformitatii GDPR sau cand prelucrezi volume mari de date personale.
Pot obtine ISO 27701 fara ISO 27001?
Cu versiunea 2025, da. Versiunea 2019 era doar o extensie si necesita ISO 27001 ca baza. Majoritatea organizatiilor aleg totusi ambele standarde.
Cat dureaza certificarea?
De la cateva zile (certificare simpla) pana la cateva luni (implementare de la zero cu consultanta). Depinde de marimea organizatiei si de cat de matur este sistemul existent de protectie a datelor.