Certyfikacja ISO 27701 potwierdza, że Twoja organizacja wdrożyła System Zarządzania Prywatną Informacją (PIMS) zgodny z wymaganiami RODO i międzynarodowymi standardami ochrony danych. Multicert przeprowadza certyfikację ISO 27701 dla administratorów i podmiotów przetwarzających dane osobowe — jako rozszerzenie ISO 27001 lub samodzielna certyfikacja.
Co to jest ISO 27701 i czego dotyczy?
ISO/IEC 27701:2019 to międzynarodowa norma rozszerzająca ISO 27001 o wymagania dla systemu zarządzania prywatnością informacji (PIMS — Privacy Information Management System). Norma określa wymagania i wytyczne dla administratorów danych osobowych oraz podmiotów przetwarzających — w rozumieniu RODO.
ISO 27701 systematyzuje ochronę danych osobowych przez wdrożenie polityk prywatności, oceny ryzyka dla praw osób, procedur obsługi żądań podmiotów danych, zarządzania naruszeniami oraz nadzoru nad podmiotami trzecimi. Certyfikat ISO 27701 jest zewnętrznym, niezależnym dowodem zgodności z RODO i innymi przepisami o ochronie danych.
Korzyści z certyfikacji ISO 27701
✓Dowód zgodności z RODO — certyfikat ISO 27701 jest uznawany przez organy nadzorcze jako dowód wdrożenia zasad ochrony danych. Pomaga wykazywać zgodność w razie kontroli UODO
✓Ograniczenie ryzyka kar — usystematyzowane zarządzanie danymi osobowymi zmniejsza ryzyko incydentów i kar finansowych sągających do 20 mln EUR lub 4% rocznego obrotu
✓Zaufanie klientów i kontrahentów — certyfikat sygnalizuje odpowiedzialne podejście do prywatności; coraz częściej wymagany od procesorów danych w umowach z dużymi korporacjami
✓Integracja z ISO 27001 — wspólna struktura HLS umożliwia łączny audyt ISO 27001 i ISO 27701, oszczędzając czas i koszty certyfikacji
✓Obsługa międzynarodowych transferów danych — certyfikat ISO 27701 może służyć jako mechanizm zabezpieczający transfery danych poza EOG
✓Wsparcie raportowania ESG i CSRD — dokumentuje ład w zakresie ochrony prywatności wymagany przez inwestorów i raportowanie niefinansowe
Dla kogo jest certyfikacja ISO 27701?
Administratorzy danych osobowych — firmy przetwarzające dane klientów, pracowników lub użytkowników w celach własnych usług lub produktów. ISO 27701 porządkuje polityki prywatności i obsługę praw podmiotów danych.
Podmioty przetwarzające — firmy IT, chmurowe, outsourcing HR i księgowyś, call centers, które przetwarzają dane osobowe w imieniu klientów. Certyfikat ISO 27701 jest coraz częściej wymogiem w umowach powierzenia przetwarzania.
Sektor fintech, e-commerce i SaaS — platformy gromadzące dane użytkowników, dane płatności i profilowe. Certyfikat ISO 27701 buduje zaufanie do usługi i wzmacnia pozycję w negocjacjach z partnerami.
Firmy posiadające ISO 27001 mogą rozszerzyć swoj zakres o ISO 27701 w ramach jednego audytu, bez konieczności osobnego procesu certyfikacyjnego.
Jak przebiega certyfikacja ISO 27701 w Multicert?
1
Analiza wstępna i wycenaBezpłatna ocena zakresu przetwarzania danych osobowych, stanu dokumentacji RODO i systemu zarządzania. Przygotowanie oferty i harmonogramu.
2
Przegląd dokumentacji (audyt etapu I)Audytor Multicert analizuje dokumentację PIMS: politykę prywatności, rejestr czynności przetwarzania, ocenę ryzyka dla praw osób, procedury obsługi żądań, umowy powierzenia, zapisy z audytów. Wynik: lista gapów do uzupełnienia.
3
Audyt certyfikujący na miejscu (audyt etapu II)Audytor weryfikuje, czy system PIMS działa zgodnie z dokumentacją i normą. Sprawdza realne procesy przetwarzania, obsługę żądań podmiotów danych, zarządzanie incydentami. Wynik: raport z audytu.
4
Decyzja certyfikacyjna i wydanie certyfikatuPo usunięciu niezgodności jednostka certyfikująca wydaje certyfikat ISO 27701 ważny 3 lata.
5
Nadzór i recertyfikacjaRoczne audyty nadzoru potwierdzają utrzymanie systemu PIMS. Po 3 latach recertyfikacja.
Koszt certyfikacji ISO 27701
Cena certyfikacji ISO 27701 jest wyceniana indywidualnie. Na koszt wpływa zakres przetwarzania danych, liczba pracowników i lokalizacji. Firmy certyfikujące ISO 27701 jednocześnie z ISO 27001 korzystają z audytu zintegrowanego, co znacząco obniża łączny koszt. Bezpłatna wycena w ciągu 24 godzin.
FAQ — Certyfikacja ISO 27701
Czym jest ISO 27701?
ISO/IEC 27701:2019 to norma określająca wymagania dla systemu zarządzania prywatnością informacji (PIMS). Rozszerza ISO 27001 o wymagania specyficzne dla ochrony danych osobowych, zgodne z RODO i innymi regulacjami prywatności.
Czy ISO 27701 zastępuje RODO?
Nie. ISO 27701 nie zastępuje RODO — jest narzędziem pomagającym spełnić jego wymagania. Certyfikat ISO 27701 stanowi dowód wdrożenia systemu zarządzania prywatną informacją, ale nie jest certyfikatem zgodności z RODO jako takim.
Czy potrzebny jest ISO 27001 do certyfikacji ISO 27701?
ISO 27701 został zaprojektowany jako rozszerzenie ISO 27001. W praktyce certyfikację ISO 27701 można przeprowadzić łącznie z ISO 27001 lub jako odrębny certyfikat. Multicert oferuje oba warianty.
Ile trwa certyfikacja ISO 27701?
Dla firm posiadających ISO 27001 — zazwyczaj 1–2 miesiące (audyt rozszerzający). Dla nowych wdrożeń od podstaw — 3–6 miesięcy.
Jak długo ważny jest certyfikat ISO 27701?
Certyfikat jest ważny 3 lata z rocznymi audytami nadzoru.
Czy ISO 27701 obejmuje międzynarodowe transfery danych?
Tak. Norma ISO 27701 zawiera wymagania dotyczące międzynarodowych transferów danych osobowych, w tym obowiązków wynikających z przekazywania danych poza Europejski Obszar Gospodarczy.
