Certyfikacja ISO/IEC 27018 — ochrona danych osobowych w chmurze

Co to jest ISO/IEC 27018?

ISO/IEC 27018 to międzynarodowa norma określająca zabezpieczenia danych osobowych (PII) przetwarzanych w chmurze publicznej. Jest przeznaczona dla dostawców usług chmurowych działających jako podmioty przetwarzające dane na zlecenie klientów i certyfikowana jako rozszerzenie systemu zarządzania bezpieczeństwem informacji ISO/IEC 27001.

Norma przenosi zasady ochrony prywatności na realia chmury publicznej: dostawca przetwarza dane wyłącznie zgodnie z instrukcjami klienta, nie wykorzystuje ich do własnych celów (w tym marketingowych i reklamowych), a klient zachowuje pełną kontrolę nad swoimi danymi przez cały okres świadczenia usługi.

Dla polskich dostawców SaaS i hostingu certyfikat ISO/IEC 27018 jest praktycznym dowodem spełniania oczekiwań administratorów danych wynikających z RODO — szczególnie przy powierzeniu przetwarzania zgodnie z art. 28.

Dla kogo jest certyfikacja ISO 27018?

• Dostawcy SaaS przetwarzający dane osobowe użytkowników końcowych (systemy HR, CRM, medyczne, edukacyjne)
• Hostingodawcy i operatorzy chmury publicznej
• Platformy e-commerce i operatorzy marketplace’ów
• Dostawcy usług backupu i archiwizacji danych w chmurze
• Centra przetwarzania danych obsługujące sektor publiczny, medyczny i finansowy

Wymagania i zabezpieczenia ISO/IEC 27018

• Przetwarzanie wyłącznie na polecenie klienta — zakaz wykorzystywania danych do własnych celów dostawcy
• Zakaz marketingu i reklamy na podstawie powierzonych danych bez wyraźnej zgody
• Przejrzystość lokalizacji danych — informowanie, w jakich krajach przetwarzane są dane
• Podwykonawcy — ujawnianie poddostawców i zasad powierzania im danych
• Powiadamianie o naruszeniach — niezwłoczna informacja dla klienta o incydencie dotyczącym danych
• Zwrot i usuwanie danych — trwałe usunięcie danych osobowych po zakończeniu umowy
• Szyfrowanie i pseudonimizacja — ochrona danych w transmisji i w spoczynku
• Prawa osób, których dane dotyczą — wsparcie klienta w realizacji żądań dostępu, sprostowania i usunięcia

Korzyści z certyfikacji

• Dowód ochrony danych osobowych wobec administratorów danych wybierających procesora (art. 28 RODO)
• Przewaga w przetargach i zapytaniach ofertowych sektora publicznego, medycznego i finansowego
• Skrócenie due diligence — certyfikat zastępuje rozbudowane kwestionariusze ochrony danych
• Zaufanie użytkowników końcowych do produktu SaaS
• Spójny system z ISO/IEC 27001 i ISO/IEC 27017 — jeden cykl audytowy dla bezpieczeństwa informacji, chmury i danych osobowych

Przebieg certyfikacji ISO 27018

1. Złożenie wniosku i wycena — określenie zakresu usług, kategorii przetwarzanych danych osobowych i lokalizacji
2. Etap 1 — przegląd dokumentacji — deklaracja stosowania (SoA) rozszerzona o zabezpieczenia PII, polityki prywatności, umowy powierzenia
3. Etap 2 — audyt na miejscu — weryfikacja wdrożenia zabezpieczeń, procesów obsługi żądań i incydentów
4. Decyzja o certyfikacji przez niezależny komitet
5. Wydanie certyfikatu — ISO/IEC 27001 z rozszerzeniem o ISO/IEC 27018, ważność 3 lata
6. Coroczne audyty nadzoru i recertyfikacja po 3 latach

Akredytacja i uznanie

Certyfikaty wystawiane przez LL-C są oparte na akredytacji ČIA 150/2025 (Czeski Instytut Akredytacji), sygnatariusza porozumień EA MLA i IAF MLA. Certyfikat jest uznawany na rynkach UE i globalnych.

Jeżeli chcą Państwo dowiedzieć się więcej na temat certyfikacji ISO/IEC 27018, prosimy o kontakt. Z przyjemnością przeprowadzimy Państwa przez cały proces.

Często zadawane pytania (FAQ)