Mulți cred că ISO 27701 se obține separat, ca un standard independent de la zero. Nu e chiar așa. Până în octombrie 2025, ISO 27701 funcționa exclusiv ca extensie la ISO 27001. Versiunea 2025 permite certificarea independentă, dar în practică, majoritatea organizațiilor din România pornesc tot de la un sistem de securitate a informației deja funcțional.
Dacă ai deja ISO 27001 și prelucrezi date personale ale clienților sau angajaților, adăugarea ISO 27701 este pasul logic. Iată cum funcționează procesul.
Pregătește sistemul de management al confidențialității
Înainte de a contacta un organism de certificare, trebuie să construiești un PIMS (Privacy Information Management System). Dacă ai ISO 27001, ai deja structura de bază. Ce adaugi:
- Identifică toate fluxurile de date personale din organizație (ce date personale colectezi, de la cine, unde le stochezi, cui le transmiți)
- Stabilește dacă firma ta acționează ca operator de date, persoană împuternicită sau ambele, conform Regulamentului UE 679/2016
- Completează analiza de risc existentă cu riscuri specifice confidențialității datelor personale
- Elaborează politica de confidențialitate și procedurile de răspuns la cererile persoanelor vizate (acces, ștergere, rectificare, portabilitate)
- Implementează controalele aplicabile din standard: 34 de controale pentru operatori de date, 21 pentru persoane împuternicite, plus 31 de controale comune
Dacă nu ai ISO 27001, prima etapă este obținerea certificării ISO 27001. Fără un sistem de securitate a informației funcțional, nu ai pe ce construi.
Alege organismul de certificare și programează auditul
Auditul de certificare are două etape:
În etapa 1 (auditul documentar), auditorul verifică dacă documentația PIMS este completă: politica de confidențialitate, registrul de prelucrări, procedurile de gestionare a incidentelor cu date personale, analiza de risc. Durează de obicei 1-2 zile, în funcție de dimensiunea organizației.
În etapa 2 (auditul pe teren), auditorul verifică dacă procedurile funcționează în practică. Vorbește cu angajații, verifică evidențele, testează dacă cererile persoanelor vizate sunt gestionate conform procedurilor. Această etapă durează 2-5 zile.
Între cele două etape pot trece 2-8 săptămâni, timp în care rezolvi observațiile din etapa 1.
Certificatul ISO 27701 este valabil 3 ani. În fiecare an ai un audit de supraveghere, iar la finalul celor 3 ani, un audit de recertificare.
Ce s-a schimbat la versiunea 2025
ISO/IEC 27701:2025 (ediția 2, publicată în octombrie 2025) aduce o modificare importantă: standardul poate fi certificat independent, fără ISO 27001 ca precondiție obligatorie.
Ce înseamnă asta în practică pentru o firmă din România:
- Dacă prelucrezi date personale dar nu ai nevoie de un sistem complet de securitate a informației, poți obține doar ISO 27701
- Dacă ai deja ISO 27001, procesul rămâne similar: adaugi controalele de confidențialitate peste sistemul existent
- Organizațiile certificate pe versiunea 2019 au termen până în octombrie 2028 să facă tranziția la versiunea 2025
De ce contează pentru firmele din România
În 2024, ANSPDCP a aplicat 83 de amenzi pentru încălcarea legislației privind protecția datelor, totalizând 1.855.807 lei. Din acestea, 51 au fost amenzi GDPR în valoare de 237.600 EUR. Principalele motive: lipsa măsurilor tehnice și organizatorice adecvate și nerespectarea drepturilor persoanelor vizate.
ISO 27701 te ajută să demonstrezi că ai măsuri sistematice de protecție a datelor personale. Standardul conține o mapare directă pe articolele GDPR (Anexa D), ceea ce simplifică și auditurile interne GDPR. ISO 27001 acoperă o parte din cerințele GDPR, dar lacunele rămân la consimțământ, dreptul la ștergere și portabilitatea datelor. ISO 27701 completează exact aceste goluri.
Ai un SRL cu 25 de angajați care dezvoltă software pentru clienți din Germania și Olanda. Clienții cer dovada conformității GDPR. Ai ISO 27001 de 2 ani. Adaugi ISO 27701: pregătirea documentației durează 4-6 săptămâni, auditul combinat (supraveghere 27001 + certificare inițială 27701) se face în 3-4 zile. La finalul procesului, ai un certificat care dovedește atât securitatea informației, cât și protecția datelor personale.
Documente pe care le pregătești
- Registrul activităților de prelucrare a datelor personale (conform Art. 30 GDPR)
- Evaluarea impactului asupra protecției datelor (DPIA) pentru prelucrările cu risc ridicat
- Procedura de notificare a incidentelor de securitate către ANSPDCP (termen 72h conform Art. 33 GDPR)
- Proceduri de răspuns la cererile persoanelor vizate
- Acorduri de prelucrare cu subcontractorii (conform Art. 28 GDPR)
- Politica de confidențialitate actualizată
- Declarația de aplicabilitate extinsă cu controalele ISO 27701
Nu trebuie să pornești de la zero dacă ai deja un sistem de securitate a informației. Cele mai multe documente le adaptezi din cele existente pentru ISO 27001.
Cât durează întreg procesul?
Dacă ai deja ISO 27001 implementat, pregătirea pentru ISO 27701 durează între 2 și 4 luni. Timpul variază în funcție de câte fluxuri de date personale ai, câți subcontractori prelucrează date în numele tău și cât de bine documentezi deja procesele GDPR.
Fără ISO 27001, adaugă încă 3-6 luni pentru implementarea sistemului de securitate a informației. Detalii despre procesul ISO 27001. Vezi și cât durează certificarea ISO 27701 pentru o estimare detaliată pe etape.
Pot obține ISO 27701 fără ISO 27001?
Da, începând cu versiunea 2025 a standardului. Totuși, în practică, cele două standarde se completează. ISO 27701 fără ISO 27001 înseamnă că protejezi datele personale, dar nu ai un cadru complet de securitate a informației. Pentru detalii despre diferențele dintre cele două.
Ce legătură are ISO 27701 cu GDPR?
ISO 27701 nu înlocuiește conformitatea GDPR. Oferă un cadru structurat pentru a demonstra că ai măsuri tehnice și organizatorice adecvate (Art. 32 GDPR) și că gestionezi drepturile persoanelor vizate. Anexa D a standardului conține o mapare directă între controalele ISO 27701 și articolele GDPR.