Majoritatea firmelor din Romania cred ca un document intern cu titlul “Politica GDPR” este suficient pentru conformitate. Nu este. Cand vine un audit de la un client din UE sau o investigatie ANSPDCP, un PDF semnat de director nu demonstreaza nimic. ISO 27701 ofera un cadru verificabil prin care arati ca prelucrezi datele personale conform regulilor.
In 2024, ANSPDCP a aplicat 83 de amenzi in valoare totala de 335.100 EUR. In primele 4 luni din 2025, amenzile au ajuns la 230.500 EUR. Principalele motive: lipsa masurilor tehnice si organizatorice, prelucrare fara baza legala si nerespectarea drepturilor persoanelor vizate. Exact lucrurile pe care ISO 27701 le adreseaza sistematic.
De ce nu ajunge o declaratie de conformitate GDPR?
Art. 5 alin. 2 din Regulamentul UE 2016/679 introduce principiul responsabilitatii: operatorul trebuie sa poata demonstra ca respecta regulile, nu doar sa declare ca le respecta. In practica, asta inseamna dovezi: proceduri documentate, registre de prelucrare, evaluari de impact, audituri interne.
O firma care prelucreaza date personale fara un sistem structurat raspunde la intrebarile ANSPDCP cu “avem o politica” si “ne conformam”. O firma cu ISO 27701 raspunde cu registrul activitatilor de prelucrare, rezultatele ultimului audit intern, procedura de gestionare a incidentelor si raportul de analiza a riscurilor.
Ce cauta un auditor de la un client strain?
Companiile din Germania, Olanda sau tarile nordice cer furnizorilor romani dovada conformitatii GDPR inainte de a semna contracte de prelucrare date. De obicei cer:
- Certificat ISO 27701 sau raport de audit echivalent
- Registrul activitatilor de prelucrare (Art. 30 GDPR)
- Proceduri de raspuns la cererile persoanelor vizate
- Dovada ca ai un DPO sau o persoana desemnata
- Acorduri de prelucrare cu subcontractorii (Art. 28 GDPR)
Fara ISO 27701, trebuie sa pregatesti manual toate aceste dovezi pentru fiecare client. Cu certificarea, auditorii accepta certificatul ca dovada a unui sistem functional.
Ce articole GDPR acopera ISO 27701?
ISO 27701 contine Anexa D, o mapare directa intre controalele standardului si articolele GDPR. Iata ce acopera:
| Cerinta GDPR | Articol | Ce face ISO 27701 |
|---|---|---|
| Masuri tehnice si organizatorice | Art. 32 | Controale de securitate adaptate pentru date personale (29 controale din ISO 27001 selectate pentru impact pe confidentialitate) |
| Protectia datelor prin proiectare | Art. 25 | Proceduri de privacy by design integrate in ciclul de dezvoltare |
| Registrul activitatilor de prelucrare | Art. 30 | Cerinta explicita in standard, cu format structurat |
| Dreptul de acces si stergere | Art. 15, 17 | Proceduri documentate de raspuns la cereri, cu termene |
| Notificarea incidentelor | Art. 33, 34 | Procedura de gestionare si notificare in 72h |
| Evaluarea impactului (DPIA) | Art. 35 | Integrata in procesul de analiza a riscurilor |
ISO 27701 nu acopera tot. Baza legala a prelucrarii (Art. 6), transferurile internationale (Art. 46-49) si numirea DPO (Art. 37-39) raman responsabilitatea organizatiei. Standardul nu inlocuieste conformitatea juridica, dar acopera partea operationala.
Cum functioneaza in practica?
Ai un SRL cu 30 de angajati care dezvolta aplicatii mobile pentru clienti din Austria si Belgia. Prelucrezi date personale ale utilizatorilor finali: nume, email, locatii GPS, date de plata. Clientii cer anual dovada conformitatii GDPR.
Fara ISO 27701, trimiti fiecarui client un set de documente actualizate manual. Pregatesti raspunsuri la 40-50 de intrebari dintr-un chestionar de audit. Procesul dureaza 2-3 saptamani per client.
Cu ISO 27701, trimiti certificatul si raportul ultimului audit de supraveghere. Clientul verifica ca certificatul este valid si ca standardul mapeaza pe GDPR (Anexa D). Procesul dureaza o zi. La 3 clienti pe an, economisesti 6-8 saptamani de munca administrativa.
Ce spune Art. 42 GDPR despre certificare?
Art. 42 din Regulamentul UE 2016/679 incurajeaza mecanismele de certificare in domeniul protectiei datelor. Certificarea este voluntara si valabila maxim 3 ani, cu reinnoire pe baza auditurilor de supraveghere.
ISO 27701 nu este inca un mecanism de certificare aprobat oficial de EDPB (Comitetul European pentru Protectia Datelor) conform Art. 42. Dar ramane cel mai utilizat standard international pentru protectia datelor personale. In absenta unui mecanism EDPB aprobat, ISO 27701 este cea mai apropiata alternativa recunoscuta de piata.
Versiunea 2025 a standardului intareste aceasta pozitie. Anexa D revizuita mapeaza mai detaliat pe articolele GDPR, iar standardul poate fi acum certificat independent de ISO 27001, ceea ce il face accesibil si firmelor care nu au nevoie de un sistem complet de securitate a informatiei.
Daca am deja ISO 27001, mai am nevoie de ISO 27701?
Depinde de cat de multe date personale prelucrezi. ISO 27001 acopera Art. 32 din GDPR (masuri de securitate), dar nu acopera drepturile persoanelor vizate, consimtamantul, registrul de prelucrari sau notificarea incidentelor catre ANSPDCP. Daca prelucrezi date personale ale clientilor din UE, ISO 27701 completeaza exact lacunele pe care ISO 27001 le lasa deschise.
Detalii despre diferentele intre cele doua standarde.
Ce trebuie sa faci concret?
Daca ai deja ISO 27001 si vrei sa adaugi ISO 27701 pentru conformitate GDPR:
- Identifica toate fluxurile de date personale din organizatie
- Completeaza analiza de risc cu riscuri specifice confidentialitatii
- Elaboreaza registrul activitatilor de prelucrare conform Art. 30
- Documenteaza procedurile de raspuns la cererile persoanelor vizate
- Programeaza auditul de certificare ISO 27701
Procesul de pregatire dureaza intre 2 si 4 luni daca ai deja un sistem de securitate a informatiei functional. Pasii detaliati in ghidul de obtinere ISO 27701. Vezi si cat dureaza certificarea ISO 27701 pentru estimari pe fiecare etapa.
Daca pornesti de la zero, intai obtii ISO 27001. Cu versiunea 2025 a ISO 27701, certificarea independenta este posibila, dar in practica cele doua standarde se completeaza.