iroda@compactszolg.hu
+36 30 446 2562
GDPR - Információbiztonság - Kibervédelem

Személyes adatok biztonsága és információbiztonság: hogyan kapcsolódik a GDPR és az ISO 27001?

29/05/2026

A személyes adatok biztonsága és az információbiztonság szorosan összefügg, de nem azonos fogalmak, az információbiztonság minden szervezetben kezelt információ védelmét jelenti, míg a személyes adatok biztonsága kifejezetten a természetes személyekhez köthető adatok védelmére fókuszál.

A személyes adatok biztonsága az információbiztonság egyik speciális területének tekinthető.
Minden személyes adat információnak minősül, azonban nem minden információ személyes adat.
Az információbiztonság tehát egy szélesebb védelmi és működési keretrendszer, amelyen belül a személyes adatok biztonsága kiemelt szerepet kap.

A GDPR jogilag kötelező erejű és keretet ad a személyes adatok védelméhez, de nincs általános GDPR megfelelési tanúsítás, míg az ISO 27001 szabvány átfogó irányítási rendszert biztosít az információbiztonság megvalósításához, önkéntes vállaláson alapul és tanúsítható.

🧩 Mi az információbiztonság?

Az információbiztonság minden olyan intézkedést magában foglal, amely az adatok védelmét szolgálja – függetlenül attól, hogy azok személyes adatok, üzleti titkok vagy technikai dokumentumok.

Az információbiztonság három alappillére, amit CIA-triádnak is neveznek:

  • Bizalmasság (Confidentiality) – az információhoz csak az férhet hozzá, akinek erre jogosultsága van,

  • Sértetlenség (Integrity) – az adatok nem módosulhatnak jogosulatlanul,

  • Rendelkezésre állás (Availability) – az információ akkor és ott elérhető, amikor szükség van rá.

Ez a gyakorlatban a teljes szervezeti működést érinti, a fizika biztonságot, a humán kockázatok kezelését, az IT-rendszereket, a belső folyamatokat, a jogosultságkezelést, a munkavállalói tudatosságot, valamint az incidenskezelési eljárásokat is.

👤 Mit jelent a személyes adatok biztonsága?

A személyes adatok biztonsága a természetes személyekhez köthető adatok védelmét jelenti. Ezt az Európai Unió általános adatvédelmi rendelete, a GDPR szabályozza.

A személyes adatok biztonsága alatt azokat a technikai és szervezési intézkedéseket értjük, amelyek biztosítják, hogy a kezelt személyes adatok ne kerüljenek illetéktelenekhez, ne vesszenek el, ne sérüljenek, ne módosuljanak jogosulatlanul, és szükség esetén rendelkezésre álljanak.

A GDPR 32. cikke előírja, hogy az adatkezelőknek és az adatfeldolgozóknak is, hogy a kockázatokhoz igazodó védelmi szintet kell biztosítaniuk.

Ilyen technikai és szervezési intézkedés lehet például:

  • a hozzáférések szabályozása,
  • a titkosítás alkalmazása,
  • az álnevesítés,
  • a biztonsági mentések készítése,
  • a többfaktoros hitelesítés,
  • a naplózás,
  • megfelelő eljárási gyakorlatok, szabályzatok kialakítása és működtetése,
  • vagy akár a munkavállalók megfelelő oktatása is.

A GDPR tehát nemcsak technikai, hanem jogi és adminisztratív kötelezettségeket is meghatároz és elvárja a védelmi intézkedések rendszeres tesztelését és felülvizsgálatát is. 

🔍 A GDPR és az ISO 27001 kapcsolata


A két rendszer célja közös: az adatok védelme. Mégis más szemszögből közelítik meg a biztonságot.


Közös pontként említendő, hogy mindkettő a CIA-triádra épül (bizalmasság, sértetlenség, rendelkezésre állás) és kockázatalapú megközelítést alkalmaznak,  elvárják a megfelelő technikai és szervezési intézkedések bevezetését, működtetését és tesztelését.

Ami viszont lényeges különbség, hogy az ISO 27001 önkéntes vállaláson alapuló nemzetközi szabvány, tehát nem bír jogi kötőerővel, ebből következően nem kapcsolódik hozzá hatósági felügyelet és bírság fenyegetettség. Közvetlen negatív következmény lehet a tanúsítás sikertelensége, aminek üzleti szempontból lehetnek közvetetten további súlyos következményei is (reputációs veszteség, üzleti kapcsolat elvesztése, szerződés felmondás).

A gyakorlatban a GDPR‑nak való megfeleléshez az ISO 27001 kiváló alapot ad, mert a szabvány kontrolljai lefedik a GDPR által elvárt biztonsági intézkedések nagy részét.

🛡️ Hogyan segíti az ISO 27001 a GDPR‑nak való megfelelést?


Az ISO 27001 kontrolljai közvetlenül támogatják a GDPR előírások betartását. 

Vegyük például a hozzáférés-kezelést: a GDPR előírja, hogy  csak az arra jogosultak férhetnek hozzá a személyes adatokhoz, az ISO 27001 részletes hozzáférés-kezelési kontrollokat tartalmaz. 

Vagy az Incidenskezelést: a GDPR 72 órás bejelentési kötelezettséget ír elő, az ISO 27001 incidenskezelési folyamatokat vár el. 
De ott van tovább példaként a beszállítói biztonság:  a GDPR részletesen szabályozza az adatfeldolgozói megállapodást és az adatfeldolgozó kötelezettségeit, az ISO 27001 a beszállítói kockázatok kezelését tartalmazza.

📈 Miért fontos mindez a vállalkozásoknak?


A személyes adatok védelme nemcsak jogi kötelezettség, hanem bizalmi kérdés is. A megfelelő információbiztonsági rendszer csökkenti az adatvédelmi incidensek kockázatát, növeli az ügyfelek és partnerek bizalmát, javítja a szervezet működési hatékonyságát, támogatja a GDPR‑nak való megfelelést, versenyelőnyt biztosít a piacon.

A személyes adatok biztonsága a GDPR szerint jogi kötelezettség, amely az érintettek jogainak védelmét helyezi előtérbe. Az információbiztonság az ISO 27001 alapján egy szervezeti szintű irányítási rendszer, amely minden információ védelmét biztosítja.
A két terület egymást erősíti: a GDPR meghatározza, mit kell védeni, az ISO 27001 pedig megmutatja, hogyan lehet ezt hatékonyan megvalósítani.


A GDPR és az ISO 27001 együtt olyan keretrendszert alkot, amely átfogó és fenntartható adatvédelmi kultúrát teremt.