Multicert
PIMS — Privacy Information Management

Certyfikacja ISO/IEC 27701

Realizowane z międzynarodową jednostką akredytowaną
W skrócie

ISO/IEC 27701:2019 to międzynarodowa norma systemu zarządzania prywatnością (PIMS) — rozszerzenie ISO 27001 dla organizacji przetwarzających dane osobowe (PII). Najbliższy rynkowy dowód dojrzałości w zakresie zgodności z RODO/GDPR. Realizujemy audit; certyfikat wystawia międzynarodowa jednostka partnerska.

Definicja

Czym jest ISO/IEC 27701?

ISO/IEC 27701:2019 to międzynarodowa norma dla systemu zarządzania informacjami o prywatności (Privacy Information Management System, PIMS). Stanowi rozszerzenie ISO 27001 o wymagania dotyczące przetwarzania danych osobowych (PII). Adresowana do administratorów (controllers), procesorów (processors) lub organizacji pełniących obie role.

Norma zawiera odwzorowanie do RODO/GDPR (Annex D) — pokazuje, które artykuły rozporządzenia są spełnione przez wdrożenie kontroli ISO 27701. Nie istnieje jeszcze powszechnie uznawana „certyfikacja RODO" wg art. 42 — ISO 27701 jest najbliższym dostępnym rynkowo dowodem dojrzałości w zakresie zgodności. Wymaga wcześniejszego wdrożenia ISO 27001 — certyfikujemy w jednym zintegrowanym audycie.

Pełna nazwa
ISO/IEC 27701:2019 — Privacy Information Management System (PIMS) — Extension to ISO/IEC 27001 and 27002 for privacy information management
Sektor
Wszystkie organizacje przetwarzające PII (controllers i processors)
Status
Rozszerzenie ISO 27001 — wymaga wdrożonego SZBI
Kluczowy fokus
PIMS — pełny system zarządzania prywatnością; pomost do RODO/GDPR
Wymagania

Struktura wymagań ISO 27701.

  • 5

    Wymagania PIMS-specific dla SZBI

    Rozszerzenie kontekstu, przywództwa, planowania i działań operacyjnych ISO 27001 o aspekty PII.

  • 6

    Wytyczne PIMS-specific dla kontroli ISO 27002

    Adaptacja kontroli ISO 27002 do roli PII controller / PII processor (Annex A i B).

  • 7

    Wytyczne dla PII controllers (Annex A)

    Podstawy prawne, zgody, transparentność, prawa podmiotów danych (DSAR), DPIA, retencja, transfery międzynarodowe.

  • 8

    Wytyczne dla PII processors (Annex B)

    Umowy DPA, sub-processors, instrukcje od controllers, zwrot/usunięcie danych.

Proces

Proces certyfikacji w pięciu krokach.

  1. 01 1 dzień

    Zapytanie + wycena

    Krótka rozmowa o zakresie (rola — controller/processor/oba, kategorie PII, jurysdykcje, ISO 27001 jako wymóg). Bezpłatna wycena w 2h.

  2. 02 3–5 dni

    Umowa + plan auditu

    Podpisanie umowy, dobór audytorów z kompetencjami w ISO 27001 + RODO/GDPR.

  3. 03 1–2 dni

    Audyt etapu 1

    Przegląd dokumentacji ISO 27001 + PIMS-specific (rejestr czynności, DPIA, DPA, polityki prywatności).

  4. 04 2–4 dni

    Audyt etapu 2

    Audyt certyfikacyjny on-site. Weryfikacja procedur DSAR, transferów międzynarodowych, sub-processor management.

  5. 05 2–3 tyg.

    Wystawienie certyfikatu

    Decyzja certyfikacyjna i wystawienie certyfikatu przez międzynarodową jednostkę akredytowaną.

FAQ

Najczęstsze pytania.

Co to jest ISO 27701?

ISO/IEC 27701:2019 to międzynarodowa norma dla systemu zarządzania informacjami o prywatności (Privacy Information Management System, PIMS). Stanowi rozszerzenie ISO 27001 i 27002 o wymagania i wytyczne dotyczące przetwarzania danych osobowych (PII). Adresowana zarówno do administratorów (controllers) jak i procesorów danych.

Czy ISO 27701 = certyfikacja RODO?

Nie sensu stricto — formalne „certyfikaty RODO" wg art. 42 nie zostały jeszcze powszechnie ustanowione przez krajowe organy. Jednak ISO 27701 jest najbliższym dostępnym rynkowo dowodem dojrzałości w zakresie przetwarzania danych osobowych zgodnie z RODO. Odwzorowanie ISO 27701 do RODO jest udokumentowane w samej normie (Annex D).

Czy mogę certyfikować ISO 27701 bez ISO 27001?

Nie — ISO 27701 jest rozszerzeniem ISO 27001. Najpierw musisz mieć wdrożony SZBI wg ISO 27001 (najlepiej certyfikowany), potem rozszerzasz go o PIMS wg ISO 27701. Audyty przeprowadza się jako jeden zintegrowany audit ISO 27001 + 27701.

Czym ISO 27701 różni się od ISO 27018?

ISO 27018 = kodeks postępowania (code of practice) dla dostawców chmury (CSP) jako procesorów PII w chmurze publicznej (wąsko: chmura + procesor). ISO 27701 = pełny PIMS dla każdej organizacji (controller lub processor) niezależnie od technologii. ISO 27701 jest szerszy i pełniej adresuje RODO. Można certyfikować razem.

Pogłębienie tematu

Pogłębienie wiedzy

Blog

Blog Multicert

39+ artykułów eksperckich o certyfikacji ISO, wyrobach CE, CPR i regulacjach UE.

 Interpretacja

Interpretacje normatywne

Praktyczne interpretacje norm wyrobów — luki, klasyfikacje, ścieżki certyfikacji.

 Program

Programy autorskie Multicert

10 dedykowanych programów branżowych — hotele, AI, FM, sport, e-commerce.
Bezpłatna wycena w 2h

Wyceń certyfikację — Certyfikacja ISO/IEC 27701.

Doradczyni Klienta oddzwoni z konkretną wyceną w ciągu 2 godzin w godzinach pracy. Audyt prowadzi Multicert; certyfikat wystawia międzynarodowa jednostka akredytowana.

Pełnomocnik Klienta

Małgorzata Nowakowska

Bezpieczeństwo informacji — ISO 27xxx

+48 508 354 190 malgorzata.nowakowska@multicert.pl
Wyceń certyfikację
Zadzwoń Bezpłatna wycena