< Atpakaļ uz rakstu sarakastu

29/01/2026

ISO 27001 sertifikāts un GDPR: kāpēc ar to vien nepietiek?

ISO 27001 un GDPR uzņēmējdarbībā: kāpēc paļaušanās uz sertifikātu kļūst par juridisku risku?

Personas datu apstrāde mūsdienu uzņēmējdarbībā ir kļuvusi par neatņemamu infrastruktūras daļu – tā skar IT ārpakalpojumus, grāmatvedību, personālvadību, mākoņpakalpojumus, klientu attiecību sistēmas un publisko sektoru. Šajā kontekstā arvien biežāk tiek izmantoti ārējie datu apstrādātāji, kuru izvēlē un uzraudzībā uzņēmumi nereti balstās uz vienu formālu kritēriju – ISO 27001 sertifikāta esamību.

 

Praksē tas rada bīstamu maldīgu drošības sajūtu. Datu valsts inspekcijas nesenais lēmums (pašvaldības lietā) skaidri parāda: ISO 27001 sertifikāts pats par sevi neatbrīvo pārzini no atbildības un nepierāda faktisku GDPR atbilstību. Tieši pretēji – formāla paļaušanās uz sertifikātu var tikt kvalificēta kā pārskatatbildības principa pārkāpums.

 

Šis raksts palīdzēs: izprast ISO 27001 un GDPR attiecības juridiskā un praktiskā griezumā; saprast, kāpēc sertifikācija nav “drošības vairogs” pārzinim; identificēt biežākās kļūdas, ko pieļauj uzņēmumi un publiskās iestādes; formulēt praktisku, riskā balstītu pieeju apstrādātāju uzraudzībai.

1. GDPR, pārziņa atbildība un ISO 27001 loma: ko sertifikāts juridiski nozīmē (un ko – nē)?

GDPR loģika: atbildība paliek pie pārziņa

GDPR sistēma ir veidota ap vienu centrālu asi – pārskatatbildību. Pārzinis ne tikai ievēro regulas prasības, bet arī spēj pierādīt, ka tās ir ievērotas (GDPR 5. panta 2. punkts, 24. pants).

No tā izriet vairāki būtiski secinājumi:

  • atbildību par tehniskajiem un organizatoriskajiem pasākumiem nevar “deleģēt”;
  • apstrādātāja izvēle un uzraudzība ir pastāvīgs pienākums, nevis vienreizējs iepirkuma solis;
  • jebkurš ārējs apliecinājums (sertifikāts, audits, reputācija) ir pierādījums, nevis atbrīvojums.

ISO 27001 loma

ISO 27001 ir starptautisks informācijas drošības pārvaldības sistēmas (ISMS) standarts. Tas apliecina, ka organizācijā:

  • ir izveidota strukturēta riska vadības sistēma;
  • ir definēti drošības procesi un kontroles;
  • tiek auditēta atbilstība standartam.

Tomēr būtiski:

  • ISO 27001 nav personas datu aizsardzības sertifikāts;
  • tas neaptver visas GDPR materiālās prasības;
  • tas fokusējas uz sistēmas esamību, nevis uz faktisko izpildi ikdienā.

Tieši šo atšķirību akcentē arī Datu valsts inspekcija.

2. Datu apstrādātājs ar ISO 27001 praksē: tipiskās kļūdas, ko pieļauj pārziņi

Biežāk sastopamais scenārijs praksē

Tipiska situācija uzņēmumos un pašvaldībās:

  • tiek izvēlēts IT vai cits ārpakalpojuma sniedzējs;
  • tiek konstatēts, ka apstrādātājam ir ISO 27001 sertifikāts;
  • tiek secināts, ka ar to pietiek GDPR prasību izpildei;
  • netiek ieviesti papildu uzraudzības mehānismi.

Šāda pieeja praksē bieži nozīmē:

  • nav regulāru drošības auditu vai atskaišu;
  • nav piekļuves informācijai par konfigurāciju izmaiņām;
  • nav efektīvas incidentu kontroles;
  • nav reālas ietekmes uz apstrādes līdzekļiem.

Datu valsts inspekcijas lēmuma galvenās atziņas

Datu valsts inspekcija 24.11.2025.  lēmumā Nr. 1-2.3/42-DVI skaidri norādīja:

  • ISO 27001 sertifikāts apliecina procesu esamību, nevis to izpildi;
  • paļaušanās tikai uz sertifikāciju neatbilst riskā balstītai pieejai;
  • pārzinim bija jānodrošina līgumiski un organizatoriski mehānismi faktiskai uzraudzībai.

Šīs atziņas saskan arī ar EDPB pamatnostādnēm 07/2020 un ES Tiesas judikatūru – pārzinim jāspēj reāli ietekmēt un kontrolēt apstrādi.

3. ISO 27001 pārvērtēšanas sekas: GDPR atbildība, sodi un reputācijas riski

Juridiskie un finanšu riski

Paļaušanās tikai uz ISO 27001 rada:

  • administratīvā soda risku (līdz 20 milj. EUR vai 4 % no apgrozījuma);
  • civiltiesisko atbildību pret datu subjektiem;
  • publiskā sektora gadījumā – arī politisku un reputācijas ietekmi.

Svarīgi: sods tiek piemērots pārzinim, nevis tikai apstrādātājam.

Nenovērtētais risks – “formālā atbilstība”.
Viens no visbiežāk nenovērtētajiem riskiem ir:

  • pārliecība, ka “papīrs” (sertifikāts, audits, politika) aizstāj reālu kontroli.

Datu valsts inspekcija šo pieeju tieši kvalificē kā neatbilstošu GDPR mērķim – nodrošināt faktisku, nevis deklaratīvu aizsardzību.

4. Tehniskie un organizatoriskie pasākumi GDPR kontekstā: kā pārzinim faktiski uzraudzīt apstrādātāju

Efektīva pieeja apstrādātāju pārvaldībai ietver:

  • risku novērtējumu pirms līguma slēgšanas;
  • līgumiskas tiesības uz auditiem un atskaitēm;
  • regulāru drošības pasākumu pārskatīšanu;
  • incidentu simulācijas un reakcijas testēšanu;
  • darbinieku apmācības un iekšējās kontroles ieviešanu.

ISO 27001 šajā kontekstā var būt labs sākumpunkts, bet nekad – galapunkts.

5. Juridiskais un tehniskais skatījums kopā: profesionālā atbalsta nozīme ISO 27001 un GDPR atbilstībā

Datu aizsardzība praksē atrodas starp:

  • tiesību normām,
  • IT drošību,
  • risku vadību,
  • organizācijas kultūru.

Tieši tāpēc juridiskajam atbalstam ir pievienotā vērtība:

  • normu interpretācijā konkrētā biznesa kontekstā;
  • līgumisko mehānismu izstrādē;
  • sadarbībā ar IT un drošības speciālistiem;
  • uzraudzības modeļu izveidē, kas ir gan efektīvi, gan samērīgi.

6. ISO 27001 nav “drošības vairogs”: galvenie secinājumi

ISO 27001 sertifikāts:

  • neatbrīvo pārzini no atbildības;
  • neaizstāj tehniskos un organizatoriskos pasākumus GDPR izpratnē;
  • ir tikai viens no pierādījumiem riskā balstītā izvērtējumā.

Datu valsts inspekcijas prakse skaidri apliecina: formāla paļaušanās uz sertifikātiem ir juridiski riskanta stratēģija. Ilgtspējīga atbilstība balstās nevis dokumentos, bet reālā kontrolē, uzraudzībā un spējā pierādīt faktisku atbilstību.

 

7. Biežāk uzdotie jautājumi

Vai ISO 27001 sertifikāts atbrīvo pārzini no GDPR atbildības?

Nē. Sertifikāts neatceļ pārziņa pienākumu nodrošināt un pierādīt atbilstību GDPR.

Vai ISO 27001 var izmantot kā pietiekamu garantiju apstrādātāja izvēlē?

Nē. Tas ir tikai viens no izvērtējuma elementiem riskā balstītā pieejā.

Kas notiek, ja pārkāpums notiek pie sertificēta apstrādātāja?

Atbildība primāri iestājas pārzinim.

Ko Datu valsts inspekcija vērtē viskritiskāk?

Faktisku uzraudzību, kontroli un pierādāmu atbilstību, nevis formālus dokumentus.

 

Ja Tev ir radušies kādi jautājumi, droši raksti, mēs palīdzēsim.

< Atpakaļ uz rakstu sarakastu