W naszej witrynie internetowej używamy plików cookie do personalizowania treści i reklam, udostępniania funkcji mediów społecznościowych oraz analizowania ruchu na naszej stronie internetowej. Aby zapewnić Ci wygodną obsługę online i usprawnić naszą komunikację, prosimy o kliknięcie przycisku "Zaakceptuj wszystkie". W ten sposób wyrażasz zgodę na przetwarzanie i udostępnianie Twoich danych naszym partnerom z branży mediów społecznościowych, reklamy i analizy. W każdej chwili możesz cofnąć zgodę w ustawieniach .
Oświadczenie o ochronie danych osobowych | Nota prawna
Ustawienia

ISO/IEC 27701:2025 w przygotowaniu. Co zmieni się w zarządzaniu prywatnością danych?

Nadchodzą zmiany w ISO 27701!

08 paź 2025
Międzynarodowa Organizacja Normalizacyjna (ISO) finalizuje prace nad nową edycją normy ISO/IEC 27701:2025, systemu zarządzania informacjami o charakterze osobowym (PIMS).
Zmiany te są odpowiedzią na rosnącą złożoność przepisów prawnych, wyzwania związane z przetwarzaniem danych w chmurze oraz dynamiczny rozwój technologii, takich jak sztuczna inteligencja, w tym przetwarzanie zautomatyzowane i profilowanie.
Nowa wersja normy znajduje się obecnie na etapie Final Draft International Standard (FDIS), a jej oficjalna publikacja planowana jest na 4 kwartał 2025 roku.
Co zmieni się w ISO/IEC 27701?
ISO/IEC 27701:2025 nie będzie już rozszerzeniem ISO/IEC 27001 i 27002. Zamiast tego stanie się odrębnym standardem (PIMS), który można wdrażać i certyfikować niezależnie od systemu zarządzania bezpieczeństwem informacji (ISMS). Dla wielu organizacji oznacza to uproszczoną ścieżkę do uporządkowania obszaru prywatności danych.
Obowiązkowy zakres stosowania
Nowa struktura normy nie przewiduje możliwości wyłączeń. Organizacja deklarująca zgodność będzie zobowiązana do spełnienia wszystkich wymagań zawartych w rozdziałach od 4 do 10. To oznacza większą przejrzystość i jednoznaczność w podejściu do zarządzania danymi osobowymi.
Rozszerzone podejście do zarządzania ryzykiem
W nowej edycji normy szczegółowo opisano obowiązki w zakresie identyfikacji i traktowania ryzyk związanych z prywatnością (klauzule 6.1.2 i 6.1.3). Uwzględnione zostały zarówno zagrożenia wynikające z przetwarzania danych osobowych, jak i ryzyka bezpieczeństwa informacji.
Organizacje będą zobowiązane do opracowania programu bezpieczeństwa informacji, który obejmuje analizę ryzyk oraz wdrożenie odpowiednich środków kontrolnych. Taki model pozwala na szersze i bardziej precyzyjne podejście do zarządzania ryzykiem w systemie PIMS.
Nowa struktura załączników
  • Załącznik A zawiera łącznie 78 kontroli prywatności i bezpieczeństwa, które organizacja może wdrożyć w zależności od roli w procesie przetwarzania, podzielonych na obowiązki kontrolerów, procesorów i wspólne elementy (PII controllers/processors).
  • Załącznik B to normatywne wytyczne wdrożeniowe do stosowania tam, gdzie kontrola została wybrana do implementacji. Choć nie są obowiązkowe, stanowią istotne wsparcie praktyczne.
Nowa edycja normy uwzględnia wymagania, które dotychczas były pomijane lub opisane ogólnie. Dotyczy to m.in. przetwarzania danych przez systemy AI, zarządzania prywatnością w środowiskach chmurowych oraz wymagań związanych z międzynarodowym przekazywaniem danych.
Struktura dostosowana do zarządzania prywatnością
Nowa edycja ISO/IEC 27701 została przebudowana tak, aby lepiej odpowiadać na potrzeby systemów zarządzania prywatnością. Usunięto odniesienia do starszych wersji norm ISO/IEC 27001 i 27002 oraz kontrole, które nie miały bezpośredniego związku z przetwarzaniem danych osobowych.
Zamiast tego wprowadzono spójną terminologię oraz strukturę znaną z innych standardów ISO, takich jak ISO 9001 czy ISO/IEC 20000-1. Dla organizacji posiadających zintegrowane systemy zarządzania oznacza to większą przejrzystość oraz łatwiejszą integrację nowej normy z istniejącymi strukturami zarządzania.
Co warto zrobić już teraz?
Chociaż oficjalne zasady przejścia nie zostały jeszcze opublikowane, praktyka pokazuje, że okres migracji będzie prawdopodobnie wynosił 3 lata od daty publikacji nowej normy. Organizacje, które posiadają certyfikat ISO/IEC 27701:2019, mogą już dziś przygotować się do nadchodzących zmian, wykonując następujące działania:
  • przeprowadzenie analizy luk w odniesieniu do projektu normy ISO/IEC 27701:2025,
  • aktualizacja dokumentacji systemowej, w tym polityki prywatności, oceny ryzyka i celów związanych z ochroną danych,
  • przegląd ról i odpowiedzialności w zakresie zarządzania danymi osobowymi,
  • opracowanie planu dostosowania procesów i zasobów do nowych wymagań,
  • bieżące śledzenie komunikatów jednostek certyfikujących i organizacji normalizacyjnych.
Jak wspiera DEKRA?
W DEKRA na bieżąco śledzimy postęp prac nad ISO/IEC 27701:2025 i będziemy informować o:
  • publikacji finalnej wersji normy,
  • zasadach przejścia opublikowanych przez IAF,
  • terminach audytów przejściowych zaktualizowanych pod nową wersję normy.
Jeśli Twoja organizacja przetwarza dane osobowe i chce przygotować się do nadchodzących zmian, zachęcamy do kontaktu z naszym zespołem ekspertów.
Pokaż wszystkie informacje prasowe