ISO 27001 acopera o parte din cerintele GDPR, dar nu le inlocuieste. Standardul protejeaza informatii (inclusiv date personale), pe cand GDPR reglementeaza drepturile persoanelor ale caror date le prelucrezi. Sunt complementare, nu echivalente.
In 2025, ANSPDCP a aplicat 85 de sanctiuni pentru incalcarea GDPR in Romania. In primele 4 luni, amenzile au totalizat peste 230.500 EUR. Un sistem de securitate a informatiei certificat ISO 27001 reduce riscul sa ajungi pe lista.
Tabel de mapare: ce acopera ISO 27001 din GDPR
| Cerinta GDPR | Articol GDPR | Control ISO 27001 | Acoperit? |
|---|---|---|---|
| Protectia datelor prin proiectare | Art. 25 | Clauzele 4, 6 | Da |
| Securitatea prelucrarii | Art. 32 | Annex A (93 controale tehnice) | Da |
| Evaluarea impactului (DPIA) | Art. 35 | Clauzele 6.1.2, 6.1.3 | Da |
| Acorduri cu procesatorii | Art. 28 | Clauza A.15 (relatii furnizori) | Da |
| Evidenta activitatilor de prelucrare | Art. 30 | Clauza 8 (documentare) | Da |
| Notificare incidente (72h) | Art. 33, 34 | Clauza A.16 (managementul incidentelor) | Partial |
| Consimtamant explicit | Art. 7, 8 | Nu exista control dedicat | Nu |
| Dreptul la stergere | Art. 17 | Nu exista control dedicat | Nu |
| Portabilitatea datelor | Art. 20 | Nu exista control dedicat | Nu |
| Dreptul la opozitie | Art. 21 | Nu exista control dedicat | Nu |
| Transferuri internationale | Art. 46 | Nu exista control dedicat | Nu |
ISO 27001 acopera partea tehnica: cum protejezi datele. GDPR cere si partea juridica: ce drepturi au persoanele si cum le respecti.
Ce acopera ISO 27001 bine
ISO/IEC 27001:2022 (adoptat in Romania ca SR EN ISO/IEC 27001:2023) contine 93 de controale in Annex A, impartite in 4 categorii: organizationale (37), de personal (8), fizice (14) si tehnologice (34).
ASRO recomanda implementarea standardului ca baza pentru conformitatea GDPR. Daca identifici datele personale ca activ informational in SMSI (Sistemul de Management al Securitatii Informatiei), controalele ISO 27001 acopera automat:
- evaluarea riscurilor asupra datelor personale
- controlul accesului si criptarea
- managementul incidentelor de securitate
- relatiile cu furnizorii care prelucreaza date
- documentarea proceselor de prelucrare
Ce nu acopera ISO 27001 din GDPR
Chiar si cu ISO 27001 implementat, ramai cu lacune pe care trebuie sa le acoperi separat:
- Obtinerea si gestionarea consimtamantului (Art. 7, 8)
- Procesarea cererilor de stergere a datelor (Art. 17)
- Transferul datelor catre alta companie la cererea persoanei (Art. 20)
- Notificarea persoanelor afectate in 72 de ore (Art. 33 cere notificarea autoritatii, dar ISO 27001 nu are un mecanism specific pentru notificarea persoanelor)
- Regulile pentru transferul datelor in afara UE (Art. 46)
Pentru aceste cerinte, ai nevoie de proceduri GDPR dedicate sau de ISO 27701 (extensia de confidentialitate). Citeste mai mult despre diferentele dintre ISO 27001 si ISO 27701.
Context legal in Romania
GDPR (Regulamentul UE 2016/679) se aplica direct in Romania din 25 mai 2018. Legea 190/2018 completeaza regulamentul cu prevederi nationale: defineste CNP-ul ca numar de identificare nationala, stabileste conditii suplimentare pentru prelucrarea anumitor categorii de date si reglementeaza numirea DPO.
Amenzile maxime raman cele din GDPR: pana la 20 milioane EUR sau 4% din cifra de afaceri globala. ANSPDCP aplica sanctiuni din ce in ce mai frecvent, de la 47 in 2024 la 85 in 2025.
Cand merita sa obtii ISO 27001 pentru conformitatea GDPR
ISO 27001 nu este obligatoriu legal. Dar are sens daca:
- prelucrezi date personale ale clientilor in volum mare (IT, fintech, e-commerce)
- esti operator de date sau persoana imputernicita si ai clienti care cer dovada securitatii
- vrei sa demonstrezi conformitatea GDPR intr-un mod structurat, auditat de un tert
- participi la licitatii unde se cere ISO 27001 (frecvent in contracte IT publice)
- vrei sa te pregatesti si pentru Directiva NIS2, care are cerinte similare
Daca ai nevoie de certificare ISO 27001, exista furnizori care ofera proces 100% online, cu certificare intre 1.500 si 2.500 lei + TVA si proces accelerat de la 3 zile lucratoare. Vezi certificarestandarde.com pentru detalii.
Intrebari frecvente
ISO 27001 inlocuieste GDPR?
Nu. ISO 27001 este un standard voluntar de securitate. GDPR este un regulament european obligatoriu. ISO 27001 te ajuta sa respecti cerintele tehnice ale GDPR, dar nu acopera drepturile persoanelor vizate.
Am nevoie de ISO 27001 daca respect deja GDPR?
Nu ai nevoie legal. Dar ISO 27001 ofera un cadru auditat si documentat care face conformitatea GDPR mai usor de demonstrat catre clienti, parteneri si autoritati.
Ce este ISO 27701?
ISO 27701 este o extensie a ISO 27001 care adauga controale specifice pentru protectia datelor personale. Acopera lacunele din tabelul de mai sus (consimtamant, drepturi ale persoanelor, transferuri). Citeste comparatia ISO 27001 vs ISO 27701.
Citeste si ce inseamna ISO 27001 pentru o prezentare completa a standardului.