V říjnu 2025 bylo publikováno druhé vydání normy ISO/IEC 27701 – Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Systémy managementu ochrany soukromí – Požadavky a pokyny.
Zásadní změnou je to, že nové vydání bylo ISO/IEC 27701 přepracováno jako samostatná norma pro systémy managementu.
Norma stanovuje požadavky na vytvoření, zavedení, udržování a neustálé zlepšování managementu ochrany soukromí (PIMS). Obsahuje soubor kontrolních opatření pro správce i zpracovatele osobních údajů (PII), kteří mají odpovědnost za zpracování PII. Dokument také poskytuje pokyny na podporu organizací při uvádění těchto požadavků do praxe.
Proč je norma ISO/IEC 27701 důležitá?
Osobní údaje patří mezi nejcennější a nejcitlivější aktiva, s nimiž dnes organizace pracují. Vzhledem k rostoucím očekáváním jednotlivců, regulačních orgánů a obchodních partnerů nestačí pouze prohlásit, že vám na ochraně soukromí záleží – musíte to také doložit. Norma ISO/IEC 27701 poskytuje strukturovaný, mezinárodně uznávaný rámec, který organizacím pomáhá prokazovat odpovědnost, řídit rizika související s osobními údaji (PII) a neustále zlepšovat své postupy v oblasti ochrany soukromí.
Struktura normy
Jak již bylo zmíněno výše, nová norma ISO/IEC 27701 byla revidována jako samostatná norma pro systémy managementu. Obdobně, jako v jiných normách pro systémy managementu zde nalezneme normativní kapitoly 4-10.
- Kontext organizace (kapitola 4): řeší porozumění externím a interním záležitostem, včetně platné legislativy ochrany osobních údajů a dalších potřeb a očekávání zúčastněných stran.
- Vůdčí role (kapitola 5): specifikuje požadavky na vrcholové vedení, politiku ochrany soukromí a stanovení rolí a odpovědností.
- Plánování (kapitola 6): řeší posuzování a ošetřování rizik ochrany soukromí. Organizace musí identifikovat a dokumentovat všechna nezbytná kontrolní opatření pro implementaci plánu ošetření rizik a porovnat je s kontrolními opatřeními uvedenými v Příloze A. Kapitola stanovuje požadavky na řízení cílů v oblasti ochrany soukromí a řádné plánování změn.
- Podpora, provoz, hodnocení výkonnosti a zlepšování (kapitoly 7, 8, 9, 10): Tyto kapitoly zahrnují standardní prvky systémů managementu, jako je zajištění kompetencí, komunikace, monitorování a měření, interní audity či řízení neshod.
Příloha A normy také stanovuje konkrétní referenční kontrolní opatření rozdělená podle toho, zda jsou určena pro správce osobních údajů, zpracovatele osobních údajů nebo pro oba.
Integrace a kompatibilita s ISO/IEC 27001
Dokument umožňuje organizaci sladit a integrovat PIMS s požadavky jiných standardů systémů managementu, a to především se systémem managementu informační bezpečnosti (ISMS) specifikovaným v normě ISO/IEC 27001.
Konkrétně článek 6.1 vyžaduje, aby byla identifikována rizika ochrany soukromí související s informační bezpečností a zaveden program informační bezpečnosti, který má minimálně zahrnovat management rizik informační bezpečnosti; politiky informační bezpečnosti; organizaci informační bezpečnosti; bezpečnost lidských zdrojů; management aktiv; řízení přístupu; bezpečnost provozu; management bezpečnosti sítě; bezpečnost vývoje; management dodavatelů; management incidentů; kontinuitu informační bezpečnosti; přezkoumávání informační bezpečnosti; kryptografii; a fyzickou a environmentální bezpečnost.
Integrace a kompatibilita s GDPR
Tabulka D.1 v příloze D uvádí orientační srovnání mezi ustanoveními normy a články 5 až 49 s výjimkou článku 43 obecného nařízení o ochraně osobních údajů (GDPR). Tabulka D.1 ukazuje, jak souvisí požadavky a kontrolních opatření normy s povinnostmi plynoucími z GDPR.