V októbri 2025 bolo uverejnené druhé vydanie normy ISO/IEC 27701 – Bezpečnosť informácií, kybernetická bezpečnosť a súkromie – Systémy manažérstva súkromia – Požiadavky a usmernenia.
Hlavnou zmenou je, že nové vydanie normy ISO/IEC 27701 bolo revidované ako samostatná norma pre systémy manažérstva.
V norme sa stanovujú požiadavky na vytvorenie, zavedenie, udržiavanie a neustále zlepšovanie systému manažérstva informácií o súkromí (PIMS). Obsahuje súbor kontrolných opatrení pre prevádzkovateľov aj spracovateľov osobných údajov (PII), ktorí sú zodpovední za spracovanie PII. Dokument obsahuje aj usmernenia na podporu organizácií pri zavádzaní týchto požiadaviek do praxe.
Prečo je norma ISO/IEC 27701 dôležitá?
Osobné údaje sú jedným z najcennejších a najcitlivejších aktív, s ktorými dnes organizácie pracujú. Vzhľadom na rastúce očakávania jednotlivcov, regulačných orgánov a obchodných partnerov nestačí len vyhlásiť, že vám záleží na ochrane osobných údajov – musíte to aj dokázať. Norma ISO/IEC 27701 poskytuje štruktúrovaný, medzinárodne uznávaný rámec, ktorý pomáha organizáciám preukázať zodpovednosť, riadiť riziká spojené s osobnými údajmi (PII) a neustále zlepšovať svoje postupy ochrany osobných údajov.
Štruktúra normy
Ako bolo uvedené vyššie, nová norma ISO/IEC 27701 bola revidovaná ako samostatná norma pre systémy manažérstva. Podobne ako v prípade iných noriem týkajúcich sa systémov manažérstva tu možno nájsť normatívne kapitoly 4 až 10.
- Kontext organizácie (kapitola 4): zaoberá sa pochopením vonkajších a vnútorných problémov vrátane platných právnych predpisov o ochrane údajov a ďalších potrieb a očakávaní zainteresovaných strán.
- Úlohy vedúcich pracovníkov (kapitola 5): špecifikuje požiadavky na vedúcich pracovníkov, politiku ochrany osobných údajov a stanovenie úloh a povinností.
- Plánovanie (kapitola 6): zaoberá sa posudzovaním a riešením rizík ohrozujúcich súkromie. Organizácia musí identifikovať a zdokumentovať všetky potrebné kontrolné opatrenia na realizáciu plánu ošetrenia rizík a porovnať ich s kontrolnými opatreniami uvedenými v prílohe A. Kapitola stanovuje požiadavky na riadenie cieľov ochrany súkromia a správne plánovanie zmien.
- Podpora, prevádzka, hodnotenie výkonnosti a zlepšovanie (kapitoly 7, 8, 9, 10): tieto kapitoly sa zaoberajú štandardnými prvkami systémov manažérstva, ako sú zabezpečenie spôsobilosti, komunikácia, monitorovanie a meranie, interné audity alebo riadenie nezhôd.
V prílohe A k norme sa uvádzajú aj konkrétne referenčné kontrolné opatrenia, rozdelené podľa toho, či sú určené pre prevádzkovateľa, spracovateľa údajov alebo pre oboch.
Integrácia a kompatibilita s normou ISO/IEC 27001
Dokument umožňuje organizácii zosúladiť a integrovať PIMS s požiadavkami iných noriem systému manažérstva, najmä so systémom manažérstva bezpečnosti informácií (ISMS) špecifikovaným v norme ISO/IEC 27001.
Konkrétne sa v článku 6 ods. 1 vyžaduje, aby sa identifikovali riziká súvisiace s bezpečnosťou informácií a aby sa zaviedol program bezpečnosti informácií, ktorý by zahŕňal minimálne riadenie rizík v oblasti bezpečnosti informácií, politiky bezpečnosti informácií, organizáciu bezpečnosti informácií, ľudské zdroje v oblasti bezpečnosti informácií, riadenie aktív, riadenie prístupu, bezpečnosť prevádzky, riadenie bezpečnosti siete, bezpečnosť vývoja, riadenie dodávateľov, riadenie incidentov, kontinuitu bezpečnosti informácií, preskúmanie bezpečnosti informácií, kryptografiu a fyzickú bezpečnosť a bezpečnosť prostredia.
Integrácia a kompatibilita s GDPR
V tabuľke D.1 v prílohe D sa uvádza orientačné porovnanie ustanovení normy a článkov 5 až 49 s výnimkou článku 43 všeobecného nariadenia o ochrane údajov (GDPR). V tabuľke D.1 sa uvádza, ako sa požiadavky a kontrolné opatrenia normy vzťahujú na povinnosti podľa GDPR.