ISO 27001 a RODO to jedno z najczęstszych nieporozumień w bezpieczeństwie danych: certyfikat bywa mylony z zaświadczeniem o zgodności z RODO. To dwie różne rzeczy. RODO jest rozporządzeniem o mocy prawnej, obowiązkowym dla każdego, kto przetwarza dane osobowe. ISO/IEC 27001 to dobrowolny system zarządzania bezpieczeństwem informacji. Łączy je konkretny artykuł RODO — i to on tłumaczy, dlaczego norma jest tak przydatna, choć nie zastępuje prawa.
Czy ISO 27001 to certyfikat zgodności z RODO?
Nie istnieje „certyfikat RODO” w potocznym znaczeniu. RODO przewiduje wprawdzie mechanizm certyfikacji (art. 42), ale wymaga on zatwierdzenia przez organ nadzorczy według szczegółowych kryteriów — i ISO 27001 nim nie jest. Certyfikat ISO 27001 potwierdza działający system zarządzania bezpieczeństwem informacji, a nie zgodność z całością RODO.
Jak Załącznik A ISO 27001 mapuje się na art. 32 RODO
Sedno związku obu dokumentów leży w art. 32 RODO — „bezpieczeństwo przetwarzania”. Wymaga on odpowiednich środków technicznych i organizacyjnych adekwatnych do ryzyka. Norma ISO/IEC 27001:2022 dostarcza gotowy katalog takich środków.
| Wymóg art. 32 RODO | Odpowiednik w Załączniku A ISO 27001:2022 |
|---|---|
| Szyfrowanie i pseudonimizacja danych | Kontrole kryptograficzne (grupa techniczna) |
| Poufność, integralność, dostępność systemów | Kontrola dostępu, zarządzanie uprawnieniami, ochrona fizyczna |
| Zdolność szybkiego przywrócenia dostępu do danych | Kopie zapasowe, zarządzanie ciągłością działania |
| Regularne testowanie skuteczności zabezpieczeń | Audyty wewnętrzne, monitorowanie, przegląd zarządzania |
| Zarządzanie incydentami naruszenia danych | Zarządzanie incydentami bezpieczeństwa informacji |
Organizacja z wdrożoną normą ma te środki opisane, przypisane do właścicieli i weryfikowane cyklicznie — czyli w praktyce spełnia techniczno-organizacyjną warstwę art. 32. Szczegóły katalogu opisaliśmy w artykule ISO 27001:2022 — 93 kontrole z Załącznika A.
Czego ISO 27001 nie załatwia w RODO
Tu potrzebna jest uczciwość, bo od tego zależy plan zgodności. RODO wykracza daleko poza bezpieczeństwo danych — a te obszary są poza zakresem normy:
- Podstawy prawne przetwarzania — RODO wymaga wskazania podstawy (zgoda, umowa, obowiązek prawny) dla każdej operacji. ISO 27001 tego nie ocenia.
- Prawa osób, których dane dotyczą — dostęp, sprostowanie, usunięcie, przenoszenie danych. To procesy prawne, nie techniczne.
- Rejestr czynności przetwarzania — obowiązkowy dokument z art. 30 RODO.
- Inspektor ochrony danych (IOD) — wymagany w określonych przypadkach, niezależnie od systemu bezpieczeństwa.
ISO 27001 jako dowód należytej staranności wobec UODO
Największa praktyczna wartość certyfikatu ujawnia się przy kontroli lub po naruszeniu. Kary z art. 83 RODO sięgają 20 mln EUR lub 4% rocznego światowego obrotu — a Urząd Ochrony Danych Osobowych przy wymierzaniu kary bierze pod uwagę, czy administrator wdrożył odpowiednie środki. Certyfikat ISO 27001 wydany w akredytacji jest udokumentowanym, niezależnie zweryfikowanym dowodem, że takie środki istnieją i działają. Nie gwarantuje uniknięcia kary, ale realnie obniża jej ryzyko i wysokość.
Ten sam system domyka też zgodność z dyrektywą NIS2, która nakłada podobne wymagania zarządzania ryzykiem — jedno wdrożenie obsługuje dwa reżimy.
Powiązane artykuły:
- Certyfikacja ISO 27001 — strona usługi
- ISO 27001:2022 — 93 kontrole z Załącznika A
- NIS2 obowiązuje — Polska spóźniona
- Dotacja na cyberbezpieczeństwo 2026 a ISO 27001