Европейские заказчики всё чаще начинают переговоры не с цены, а с вопроса: как вы защищаете персональные данные. Для компаний из Казахстана это особенно актуально в IT, аутсорсинге, финтехе, HR-сервисах, e-commerce и любых проектах, где есть клиентские базы, заявки, записи звонков или аналитика. Хорошая новость: требования можно приземлить в понятную систему и доказуемые процессы — именно для этого и существует ISO 27701.

Почему ISO 27701 становится входным билетом в Европу

ISO/IEC 27701 — это расширение к ISO/IEC 27001, которое добавляет практику управления приватностью (privacy) и помогает выстроить система управления персональными данными на базе уже знакомой логики информационной безопасности: риски → меры → контроль → улучшение.

Европейские клиенты любят ISO 27701 по простой причине: стандарт переводит разговор из формата «мы стараемся» в формат «вот политика, вот реестр обработок, вот роли, вот доказательства». А это напрямую снижает риск проблем с GDPR, где штрафы могут достигать до 20 млн евро или 4% мирового оборота (что больше).

Связка ISO 27001 + ISO 27701 + GDPR: где что закрывает

Многие путаются: GDPR — закон, ISO — стандарты. Если объяснить на бытовом примере: GDPR говорит, каким должен быть результат (законность, прозрачность, права субъектов), а ISO 27001 и 27701 описывают как организовать управление, чтобы этот результат стабильно получался.

• ISO 27001 — про систему управления информационной безопасностью (ISMS): активы, риски, контроль доступа, инциденты, непрерывность.
• ISO 27701 — про приватность: роли (контролёр/процессор), правовые основания, уведомления, DPIA/оценка влияния, права субъектов данных, работа с подрядчиками.
• GDPR — требования к обработке данных в ЕС и при работе с клиентами из ЕС.

Эту связку часто называют коротко: ISO 27001 GDPR — когда компания выстраивает безопасность и приватность так, чтобы европейский комплаенс был не разовой акцией, а управляемой системой.

Что именно добавляет ISO 27701 к вашей безопасности

Если у вас уже внедрён ISO 27001 (или хотя бы понятные меры безопасности), ISO 27701 помогает докрутить приватность до уровня, который ждут европейские партнёры. Обычно на практике это выражается в конкретных артефактах и процессах.

Перед тем как погружаться в документы, полезно понимать, какие блоки чаще всего спрашивает заказчик в due diligence. Ниже — минимальный набор того, что должно быть не в голове, а зафиксировано и подтверждаемо:

• реестр обработок персональных данных (что, зачем, где хранится, кому передаём);
• роли и ответственности (кто контролёр, кто процессор, кто отвечает за запросы субъектов);
• процедуры по правам субъектов данных (доступ, исправление, удаление, ограничение);
• управление согласиями и уведомлениями о приватности (privacy notice);
• оценка рисков приватности и DPIA для «чувствительных» процессов;
• договоры и контроль подрядчиков (DPA, требования к субпроцессорам);
• план реагирования на инциденты и уведомления (в т.ч. сроки и сценарии).

Этот набор делает самое важное: превращает комплаенс в управляемую систему, которую можно показать аудитору и заказчику без лишней драмы.

Пошаговая подготовка к европейским контрактам для компаний в Казахстане

Ниже — практичный маршрут, который помогает подготовиться к вопросам европейских клиентов и подойти к аудиту уверенно.

1) Определите границы приватности

Какие подразделения, продукты, сайты и сервисы входят в обработку данных для ЕС? Где данные хранятся (облако/он-прем), кто имеет доступ, есть ли трансграничная передача.

2) Соберите список данных и реестр обработок

Это ваш «навигатор». Без него любые разговоры о GDPR и ISO 27701 превращаются в угадайку.

3) Приведите в порядок правовые основания и уведомления

Европейские клиенты смотрят на прозрачность: что вы сообщаете пользователю, на каком основании обрабатываете данные, как реализуете права.

4) Закрепите управление подрядчиками

Если вы процессор (обрабатываете данные по поручению клиента), вам почти наверняка понадобятся DPA, требования к субподрядчикам и доказательства контроля.

5) Настройте инциденты и сроки реагирования

Важно не только защищаться, но и уметь быстро расследовать и документировать события. Для Европы скорость и доказуемость — критичны.

6) Подготовьтесь к аудиту

Именно тут чаще всего начинается сертификация по стандарту ISO 27701: внутренний аудит, устранение несоответствий, затем сертификационный аудит.

Типичные ошибки, из-за которых европейские клиенты говорят «пока нет»

1. «У нас есть политика, но мы её не используем» — документы без процессов не работают.
2. Нет реестра обработок и понятного data flow — заказчик не видит управляемости.
3. Подрядчики без требований по приватности — слабое звено почти всегда снаружи.
4. Инциденты «решаем по ситуации» — Европе нужны сценарии и сроки.

Как BALTUM BUREAU обычно помогает пройти путь быстрее

Когда цель — не просто «папка документов», а контракт с европейским клиентом, подход должен быть прагматичным: собрать доказательства, закрыть риски, подготовить команду и пройти аудит без сюрпризов. Для многих компаний оптимальная стратегия — связать ISO 27001 (безопасность) и ISO 27701 (приватность) в единую управляемую систему.

Если вы планируете внедрение или хотите оценить готовность, начните с диагностики: она показывает разрывы, приоритеты и реальный объём работ.