Multicert

Bezpłatna wycena

ISO · w 2h, bez zobowiązań

Wyceń →
ISO

ISO 27001 a RODO — czy certyfikat zapewnia zgodność z ochroną danych

ISO 27001 pokrywa techniczno-organizacyjne wymogi art. 32 RODO, ale nie jest certyfikatem zgodności z RODO. Co załatwia, czego nie i dlaczego jest dowodem należytej staranności wobec UODO.

Renata Wojnowska 7 min czytania

ISO 27001 a RODO to jedno z najczęstszych nieporozumień w bezpieczeństwie danych: certyfikat bywa mylony z zaświadczeniem o zgodności z RODO. To dwie różne rzeczy. RODO jest rozporządzeniem o mocy prawnej, obowiązkowym dla każdego, kto przetwarza dane osobowe. ISO/IEC 27001 to dobrowolny system zarządzania bezpieczeństwem informacji. Łączy je konkretny artykuł RODO — i to on tłumaczy, dlaczego norma jest tak przydatna, choć nie zastępuje prawa.

Czy ISO 27001 to certyfikat zgodności z RODO?

Nie istnieje „certyfikat RODO” w potocznym znaczeniu. RODO przewiduje wprawdzie mechanizm certyfikacji (art. 42), ale wymaga on zatwierdzenia przez organ nadzorczy według szczegółowych kryteriów — i ISO 27001 nim nie jest. Certyfikat ISO 27001 potwierdza działający system zarządzania bezpieczeństwem informacji, a nie zgodność z całością RODO.

Jak Załącznik A ISO 27001 mapuje się na art. 32 RODO

Sedno związku obu dokumentów leży w art. 32 RODO — „bezpieczeństwo przetwarzania”. Wymaga on odpowiednich środków technicznych i organizacyjnych adekwatnych do ryzyka. Norma ISO/IEC 27001:2022 dostarcza gotowy katalog takich środków.

Wymóg art. 32 RODOOdpowiednik w Załączniku A ISO 27001:2022
Szyfrowanie i pseudonimizacja danychKontrole kryptograficzne (grupa techniczna)
Poufność, integralność, dostępność systemówKontrola dostępu, zarządzanie uprawnieniami, ochrona fizyczna
Zdolność szybkiego przywrócenia dostępu do danychKopie zapasowe, zarządzanie ciągłością działania
Regularne testowanie skuteczności zabezpieczeńAudyty wewnętrzne, monitorowanie, przegląd zarządzania
Zarządzanie incydentami naruszenia danychZarządzanie incydentami bezpieczeństwa informacji

Organizacja z wdrożoną normą ma te środki opisane, przypisane do właścicieli i weryfikowane cyklicznie — czyli w praktyce spełnia techniczno-organizacyjną warstwę art. 32. Szczegóły katalogu opisaliśmy w artykule ISO 27001:2022 — 93 kontrole z Załącznika A.

Czego ISO 27001 nie załatwia w RODO

Tu potrzebna jest uczciwość, bo od tego zależy plan zgodności. RODO wykracza daleko poza bezpieczeństwo danych — a te obszary są poza zakresem normy:

  1. Podstawy prawne przetwarzania — RODO wymaga wskazania podstawy (zgoda, umowa, obowiązek prawny) dla każdej operacji. ISO 27001 tego nie ocenia.
  2. Prawa osób, których dane dotyczą — dostęp, sprostowanie, usunięcie, przenoszenie danych. To procesy prawne, nie techniczne.
  3. Rejestr czynności przetwarzania — obowiązkowy dokument z art. 30 RODO.
  4. Inspektor ochrony danych (IOD) — wymagany w określonych przypadkach, niezależnie od systemu bezpieczeństwa.

ISO 27001 jako dowód należytej staranności wobec UODO

Największa praktyczna wartość certyfikatu ujawnia się przy kontroli lub po naruszeniu. Kary z art. 83 RODO sięgają 20 mln EUR lub 4% rocznego światowego obrotu — a Urząd Ochrony Danych Osobowych przy wymierzaniu kary bierze pod uwagę, czy administrator wdrożył odpowiednie środki. Certyfikat ISO 27001 wydany w akredytacji jest udokumentowanym, niezależnie zweryfikowanym dowodem, że takie środki istnieją i działają. Nie gwarantuje uniknięcia kary, ale realnie obniża jej ryzyko i wysokość.

Ten sam system domyka też zgodność z dyrektywą NIS2, która nakłada podobne wymagania zarządzania ryzykiem — jedno wdrożenie obsługuje dwa reżimy.

Powiązane artykuły:

Najczęstsze pytania

Czy ISO 27001 to certyfikat zgodności z RODO? +
Nie. RODO to rozporządzenie o mocy prawnej, którego nie da się spełnić jednym certyfikatem. ISO 27001 to dobrowolny system zarządzania bezpieczeństwem informacji — pokrywa wymogi art. 32 RODO, ale nie jest zatwierdzonym mechanizmem certyfikacji z art. 42.
Czy wdrożenie ISO 27001 wystarczy do zgodności z RODO? +
Nie w całości. ISO 27001 obejmuje bezpieczeństwo przetwarzania (art. 32), ale RODO wymaga też podstaw prawnych, realizacji praw osób, rejestru czynności i — w określonych przypadkach — wyznaczenia inspektora ochrony danych.
Czy certyfikat ISO 27001 pomaga przy kontroli UODO? +
Tak. Certyfikat w akredytacji dowodzi, że organizacja stosuje odpowiednie środki techniczne i organizacyjne (art. 32 RODO). Przy kontroli lub po incydencie jest mocnym argumentem należytej staranności, choć nie gwarantuje uniknięcia kary.
Jak Załącznik A ISO 27001 odnosi się do art. 32 RODO? +
Art. 32 RODO wymaga m.in. szyfrowania, poufności, integralności, dostępności, zdolności przywracania danych i testowania zabezpieczeń. Załącznik A normy (93 zabezpieczenia) zawiera kontrole dokładnie w tych obszarach.
Zadzwoń Bezpłatna wycena