📚 Besplatan GDPR vodič uz svaku rezervaciju: Rezervišite
Genroks
+381 62 261 953
Nazad na blog

ISO 27001 nije zakon. GDPR nije sertifikat.

2026-03-10 · Blazo Sokic
ISO 27001 nije zakon. GDPR nije sertifikat.

Zabuna koja se stalno ponavlja

ISO 27001 nije zakon. GDPR nije sertifikat. Ipak, kompanije ih tretiraju kao zamenjive svakog dana.

Najčešća verzija zvuči ovako: „Imamo ISO sertifikat, dakle usklađeni smo sa GDPR-om."

Ta rečenica sadrži ozbiljnu grešku. I to skupu.

Šta je zapravo svako od njih

GDPR je zakon. Ako se primenjuje na vašu organizaciju, ne možete da odlučujete da li vam se dopada. Usklađujete se ili se suočavate sa posledicama. Nema opcije isključivanja, alternativnog okvira ni zamene.

ISO 27001 je standard. Niko vas ne tera da se sertifikujete. Birate ga jer želite strukturu, kredibilitet i način da klijentima pokažete da je vaša informaciona bezbednost organizovana i upravljana. Dobrovoljnog je karaktera.

Oba se bave podacima i bezbednošću. Tu se sličnost završava.

Gde se preklapaju, a gde ne

ISO 27001 vam može pomoći da izgradite kontrole koje podržavaju usklađenost sa GDPR-om. Dokumentovana politika kontrole pristupa, registar rizika, proces odgovora na incidente: sve su to stvari koje ISO 27001 zahteva, i sve su to stvari koje GDPR revizori žele da vide.

Ali posedovanje ISO 27001 sertifikata vas automatski ne čini pravno usklađenim sa GDPR-om. A izjava „pratimo GDPR" ne znači da imate sertifikovan sistem upravljanja informacionom bezbednošću.

Jedno je zakonska obaveza. Drugo je upravljački okvir.

Ako ih tretirate kao istu stvar, stvarate lažan osećaj sigurnosti. A lažna sigurnost je skupa.

Stvarna cena zabune

Neuspeh na ISO reviziji: Reputaciona šteta. Gubite sertifikat i možete izgubiti ugovore koji su ga zahtevali.

Kršenje GDPR-a: Kazne dosežu šestocifrene i sedmocifrene iznose, a to je pre nego što uračunate troškove istrage, sanacije i obaveza obaveštavanja klijenata.

Gornja granica GDPR kazni je 20 miliona evra ili 4% globalnog godišnjeg prometa, u zavisnosti od toga šta je veće. Nijedan ISO status to ne menja.

Šta raditi umesto toga

  • Tretirajte ISO 27001 i GDPR kao komplementarne, ne kao zamenjive
  • Koristite ISO 27001 za izgradnju kontrola koje olakšavaju dokazivanje usklađenosti sa GDPR-om
  • Potražite pravni savet o vašim GDPR obavezama odvojeno od sertifikacionog rada
  • Nikada ne koristite status sertifikacije kao zamenu za analizu pravne usklađenosti

Ukratko

ISO 27001 govori klijentima da je vaša bezbednost upravljana. GDPR govori regulatorima da zakonito rukujete ličnim podacima. Potrebno vam je oboje, iz različitih razloga, i jedno ne zamenjuje drugo.

Razumite razliku. Važnija je nego što većina kompanija shvata.

Nazad na blogPreuzmite besplatan ISO resurs