ISO/IEC 27701 stanowi rozszerzenie do norm ISO/IEC 27001 i ISO/IEC 27002 w zakresie zarządzania prywatnością informacji. Norma określa wymagania i zawiera wytyczne dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia Systemu Zarządzania Informacjami o Prywatności.
ISO/IEC 27701 opiera się na wymaganiach, celach stosowania zabezpieczeń i zabezpieczeniach ISO/IEC 27001 i zawiera zestaw wymagań dotyczących prywatności, celów stosowania zabezpieczeń i zabezpieczeń.
ISO/IEC 27701 jest odpowiedzią na przepisy i prawodawstwo dotyczące prywatności w UE i Wielkiej Brytanii.
Ustawy o ochronie danych typu RODO wymagają od organizacji podjęcia środków w celu zapewnienia prywatności wszelkich danych osobowych, które przetwarzają.
Jednak żadne z tych przepisów nie zawiera wskazówek dotyczących tego, jak powinny wyglądać te środki.
ISO (Międzynarodowa Organizacja Normalizacyjna) i IEC (Międzynarodowa Komisja Elektrotechniczna) opracowały normę ISO/IEC 27701, właśnie po to aby pomóc organizacjom w spełnieniu tych wymagań.
ISO/IEC 27001 określa wymagania dla ISMS (systemu zarządzania bezpieczeństwem informacji), podejścia opartego na ryzyku, które obejmuje ludzi, procesy i technologię. Niezależna akredytowana certyfikacja ISO/IEC 27001 daje interesariuszom pewność, że dane są odpowiednio zabezpieczone.
Organizacje, które wdrożyły ISO/IEC 27001, będą mogły korzystać z ISO 27701, aby rozszerzyć swoje działania w zakresie bezpieczeństwa na zarządzanie prywatnością - w tym przetwarzanie danych osobowych / PII (informacje umożliwiające identyfikację) - co może pomóc im wykazać, że podjęto środki w celu spełnienia wymagań w zakresie zgodności z przepisami dotyczącymi ochrony danych, takimi jak RODO.
Organizacje, które nie mają wdrożonego systemu zarządzania bezpieczeństwem informacji mogą wdrażać ISO/IEC 27001 i ISO/IEC 27701 razem jako jeden projekt wdrożeniowy.
ISOQAR będzie oferować certyfikat ISO/IEC 27701 wyłącznie w ramach systemu zarządzania bezpieczeństwem informacji ISO/IEC 27001. Nie będzie oferowany jako „samodzielny” system zarządzania.
ISO/IEC 27701 został zaprojektowany do użytku przez wszystkich administratorów danych i procesorów danych. Podobnie jak ISO/IEC 27001, zaleca podejście oparte na ryzyku, tak aby każda organizacja spełniająca wymagania odnosiła się do konkretnego ryzyka, na które jest narażona, a także do zagrożeń dla danych osobowych i prywatności.
Podczas gdy ISO/IEC 27701 określa wymagania dotyczące systemu zarządzania informacjami o prywatności, BS 10012 jest brytyjską normą dotyczącą systemu zarządzania danymi osobowymi.
Pomiędzy tymi dwoma terminami występuje niewielka istotna różnica - oba są systemami zarządzania zaprojektowanymi do zabezpieczania danych osobowych - i ze względu na codzienne czynności można założyć, że akronim „PIMS” odnosi się do każdego z nich. Istnieją jednak pewne znaczące różnice między tymi dwoma podejściami.
Chociaż oba standardy służą ochronie informacji, różnią się między sobą pod wieloma względami.
BS 10012 pomaga spełnić wymagania RODO i DPA 2018, podczas gdy ISO/IEC 27701 unika dostosowywania się do konkretnego systemu ochrony danych. Zapewnia to szersze zastosowanie, umożliwiając organizacjom przestrzeganie kilku reżimów prywatności.
Jeśli Twoja organizacja musi przestrzegać tylko wymagań RODO i DPA 2018, to prawdopodobnie standard BS 10012 spełni Twoje oczekiwania.
Jeśli jednak Twoja organizacja musi wykazać zgodność z wieloma różnymi regulacjami prawnymi w zakresie ochrony danych, to standard ISO/IEC 27701 jest właśnie dla Ciebie.
Wdrożenie ISO/IEC 27701 i ISO/IEC 27001 umożliwi spełnienie wymagań RODO w zakresie prywatności i bezpieczeństwa informacji oraz innych systemów ochrony danych, a także wykaże, że dysponujesz rozwiązaniami zarządczymi dotyczącymi odpowiednich środków technicznych i organizacyjnych w celu ochrony przetwarzanych danych osobowych oraz przestrzegasz prawa osób, których dane dotyczą.
Niezależna akredytowana certyfikacja ISO/IEC 27001 oraz ISO/IEC 27701 to dowód dla Twoich interesariuszy, że Twoja organizacja postępuje zgodnie z najlepszymi międzynarodowymi praktykami, jeśli chodzi o zabezpieczanie danych osobowych.