Este obligatoriu ISO 27701?
ISO 27701 nu e obligatoriu legal in Romania, dar devine cerinta practica pentru firmele care prelucreaza date personale pentru clienti din UE.
ISO 27701 nu este obligatoriu legal in Romania. Nicio norma nationala sau europeana nu il impune direct. Devine cerinta practica daca prelucrezi date personale pentru clienti din UE, daca esti operator de date pentru alte firme sau daca vrei dovada palpabila a conformitatii GDPR.
Verifica statutul legal in Romania
| Cadru | Cerinta | ISO 27701 |
|---|---|---|
| GDPR (UE 2016/679) | Masuri tehnice si organizatorice de protectie a datelor | Voluntar, dar acopera cerintele art. 32 |
| Legea 190/2018 | Punere in aplicare GDPR in Romania | Nu il mentioneaza ca obligatoriu |
| EDPB | Lista mecanisme aprobate de certificare GDPR | Nu este inca un mecanism oficial aprobat |
| ANSPDCP | Supraveghere si sanctiuni | Acceptat ca dovada de buna practica |
Regulamentul GDPR si Legea 190/2018 cer masuri de protectie a datelor, fara sa specifice un standard anume. Art. 42 GDPR recunoaste certificarea ca metoda voluntara de a demonstra conformitatea. Pe lista oficiala a EDPB, singurul mecanism aprobat pentru intreaga UE este in prezent EuroPrivacy. Asta nu reduce valoarea ISO 27701, dar conteaza cand un avocat te intreaba daca certificatul este “echivalent legal” cu GDPR. Raspunsul corect: certificatul demonstreaza buna practica recunoscuta international, iar raspunderea legala fata de ANSPDCP ramane in continuare a operatorului de date.
Citeste presiunea reala din contracte
In practica, ISO 27701 devine necesar in patru situatii concrete.
Lucrezi cu clienti corporate din UE care cer dovada conformitatii GDPR in RFP sau in DPA. Procesezi volume mari de date personale (platforme online, servicii de marketing, HR externalizat). Esti operator de date pentru alte companii, adica procesezi date in numele lor. Vrei sa completezi ISO 27001 si NIS2 cu un strat dedicat de protectie a datelor personale.
Standardul are mapare directa pe articolele GDPR in Anexa D si controale separate pentru controlori (Anexa A) si operatori (Anexa B). Daca esti operator de date pentru alte firme, partea de Anexa B este cea care iti aduce contractele.
Cantareste riscul amenzilor GDPR
ANSPDCP a aplicat 58 de amenzi GDPR in 2025, cu o valoare totala de aproximativ 358.200 EUR. Tendinta este de crestere fata de 2024. Amenzile maxime conform art. 83 GDPR ajung pana la 20.000.000 EUR sau 4% din cifra de afaceri globala.
Ai un SRL cu 25 de angajati care opereaza o platforma SaaS cu utilizatori din UE. Un client mare iti cere in DPA “evidence of an internationally recognized privacy management certification” ca preconditie pentru semnarea contractului. Fara ISO 27701, contractul nu se incheie. Cu certificat, ai dovada palpabila in audit si in raspunsul la un eventual control ANSPDCP. Vezi diferentele detaliate in comparatia ISO 27001 vs ISO 27701.
Alege intre versiunea 2019 si 2025
ISO/IEC 27701:2025, publicat in octombrie 2025, poate fi implementat ca standard independent, fara certificarea ISO 27001 ca baza. Versiunea anterioara (2019) era strict o extensie la ISO 27001. Organizatiile certificate pe versiunea 2019 au timp pana in octombrie 2028 sa migreze. Daca te certifici acum si ai deja ISO 27001 functional, traseul cel mai eficient este sa adaugi ISO 27701 ca extensie. Daca nu ai ISO 27001 si vrei doar protectia datelor, versiunea 2025 standalone este disponibila.
In Romania, organismele de certificare care emit ISO 27701 sunt acreditate de RENAR, conform art. 43 GDPR si Legii 190/2018. Pentru detalii despre ce inseamna standardul, citeste ce inseamna ISO 27701.
Intrebari frecvente
Ma scuteste ISO 27701 de obligatiile GDPR?
Nu. Certificatul demonstreaza conformitatea, dar nu o inlocuieste. ANSPDCP poate face controale si poate aplica sanctiuni indiferent daca ai sau nu ISO 27701. Detalii despre cadrul national in ghidul GDPR si Legea 190/2018 cu ISO 27701.
Daca am ISO 27001, mai am nevoie de ISO 27701?
Depinde. ISO 27001 acopera securitatea informatiei in general, inclusiv art. 32 GDPR. ISO 27701 adauga controale specifice pentru date personale si o mapare directa pe articolele GDPR. Daca prelucrezi volume mari de date personale sau esti operator de date, raspunsul tinde sa fie da. Costurile sunt detaliate in cat costa ISO 27701.
Cere SEAP-ul ISO 27701 in licitatii?
Rareori. Documentatiile de atribuire pentru servicii IT cer mai des ISO 27001. ISO 27701 apare ocazional la contracte care implica prelucrare masiva de date ale cetatenilor sau ale pacientilor.
Pe ce versiune ma certific in 2026?
Daca abia incepi, intreaba organismul de certificare. Versiunea 2025 este recomandata pentru firme care vor PIMS standalone. Versiunea 2019 ramane valabila pana in octombrie 2028 ca extensie la ISO 27001.
Elena este specializată în securitatea informației și protecția datelor. Ajută companiile IT și fintech să obțină certificarea ISO 27001 și să demonstreze conformitatea GDPR.
Vezi toate articolele