Řízení a dohled nad DPIA pro ISO 27001, NIS2 a DORA
Je čtvrtek 17:40 a Maria, ředitelka informační bezpečnosti v rychle rostoucí fintech společnosti, má schválit vydání před koncem čtvrtletí.
Produktový tým jej označuje za průlom: funkci platební autentizace založené na biometrii a behaviorální analytice, která zákazníkům zjednoduší přístup a omezí podvody. Vývoj uvádí, že nevzniká žádná nová klíčová databáze. Obchodní tým říká, že čeká regulovaný finanční zákazník. Manažer vydání už tiket označil jako standardní změnu.
Pak DPO položí tři otázky.
Bude funkce kombinovat biometrická nebo behaviorální data s atributy účtu? Obdrží cloudový dílčí zpracovatel telemetrii nebo autentizační signály? Posoudil někdo, zda změna vytváří vysoké riziko pro fyzické osoby?
V místnosti nastane ticho.
Maria má registr rizik podle ISO/IEC 27001:2022. Právní oddělení má záznamy o činnostech zpracování podle GDPR. Nákup má dodavatelský dotazník. Cloudový tým má bezpečnostní přezkum poskytovatele. Manažer změn má tiket. Správní orgán právě absolvoval briefing k odpovědnosti podle NIS2 a očekáváním provozní odolnosti podle DORA.
Žádný z těchto záznamů sám o sobě nepopisuje celý příběh.
To je problém řízení a dohledu nad DPIA v roce 2026. Posouzení vlivu na ochranu osobních údajů nesmí ležet ve složce ochrany soukromí a čekat na dozorový úřad. Musí se stát záznamy rozhodnutí, které propojují GDPR Articles 25, 30, 32, 35 a 36 s důkazy o rizicích podle ISO/IEC 27001:2022, opatřeními k řízení rizik kybernetické bezpečnosti podle NIS2, řízením změn ICT podle DORA, ujištěním o dodavatelích a odpovědností na úrovni řídicích orgánů.
Organizace, které s tím zápasí, obvykle neignorují soulad. Provádějí přezkum ochrany soukromí, bezpečnostní přezkum, cloudový přezkum a přezkum změn odděleně. Úspěšné organizace vytvářejí jeden dohledatelný řídicí pracovní postup, v němž spouštěče DPIA, posouzení rizik, prověrka dodavatelů, mapování opatření, testování a schválení zbytkového rizika tvoří jeden důkazní řetězec.
Proč izolovaná DPIA v roce 2026 selhávají
GDPR zavedlo DPIA jako formální mechanismus pro posouzení zpracování, které pravděpodobně povede k vysokému riziku pro fyzické osoby. V mnoha společnostech se z něj stal právní úkol nebo úkol ochrany soukromí, formulář vyplněný tehdy, když projekt vypadal citlivě.
Tento model už není obhajitelný.
Změna zpracování osobních údajů je zřídka pouze událostí ochrany soukromí. Zároveň jde o:
- Rizikovou událost bezpečnosti informací podle ISO/IEC 27001:2022.
- Událost řízení a dohledu nad kybernetickou bezpečností podle NIS2, pokud jsou dotčeny sítě a informační systémy, dodavatelé nebo bezpečnostní opatření.
- Událost změny ICT a odolnosti podle DORA pro finanční subjekty a relevantní poskytovatele služeb ICT.
- Událost dodavatelského a cloudového rizika, pokud jsou zapojeni zpracovatelé, dílčí zpracovatelé, rozhraní API, SDK nebo hostované služby.
Pokud tato posouzení probíhají odděleně, mezery se stávají nebezpečnými. Tým ochrany soukromí může schválit DPIA, aniž rozumí zranitelnostem biometrického SDK. IT tým může vydat změnu, aniž si uvědomí, že zahrnuje zvláštní kategorie údajů nebo behaviorální monitorování. Bezpečnostní tým může provést přezkum cloudové služby, aniž jej propojí s konkrétními riziky pro práva a svobody identifikovanými v DPIA.
Řešením není více administrativy. Řešením je integrované řízení a dohled.
DPIA má být považováno za spouštěč koordinovaného rizikového pracovního postupu napříč ochranou soukromí, bezpečností, cloudem, dodavateli, vývojem, právním oddělením a vedením.
Základ v GDPR: řízení a dohled nad DPIA začíná znalostí zpracování
DPIA nemůže být poctivé, pokud organizace neumí vysvětlit, co zpracovává, proč to zpracovává, kdo údaje přijímá a jak dlouho jsou uchovávány.
Odpovědnost podle GDPR vyžaduje více než prohlášení záměru. Article 5 stanoví základní zásady, jako jsou zákonnost, korektnost, transparentnost, omezení účelu, minimalizace údajů, přesnost, omezení uložení, integrita a důvěrnost. Zároveň vyžaduje, aby správce dokázal doložit soulad. Article 25 vyžaduje ochranu osobních údajů již od návrhu a ve výchozím nastavení. Article 30 vyžaduje záznamy o činnostech zpracování osobních údajů. Article 32 vyžaduje zabezpečení zpracování. Article 35 vyžaduje DPIA tam, kde zpracování pravděpodobně povede k vysokému riziku. Article 36 vyžaduje předchozí konzultaci tam, kde vysoké riziko zůstává bez dostatečného zmírnění.
Pro organizace typu SaaS, fintech, cloud a řízené služby to znamená, že každá významná změna má projít screeningem dopadu na ochranu soukromí. Spouštěčem není to, zda je projekt označen jako „privacy“. Spouštěčem je to, zda změna ovlivňuje osobní údaje, účel zpracování, právní základ, příjemce, uchovávání, přístupová práva, dodavatele, umístění v cloudu nebo zbytkové riziko.
Clarysec Politika ochrany dat a soukromí - SME převádí tento princip na provozní požadavek:
„Koordinátor ochrany soukromí musí vést registr všech činností zpracování osobních údajů, včetně kategorií údajů, účelu, právního základu a dob uchovávání.“
Ze sekce „Požadavky na řízení a dohled“, ustanovení politiky 5.2.1.
Stejná politika pro SME začleňuje ochranu soukromí do dodávky:
„Ochrana soukromí již od návrhu a ve výchozím nastavení musí být vynucována ve všech nových systémech a službách.“
Ze sekce „Požadavky na řízení a dohled“, ustanovení politiky 5.3.1.
Pro podniková prostředí Clarysec Politika ochrany dat a soukromí výslovně stanoví bránu DPIA:
„Všechny významné změny systémů nebo procesů zahrnujících osobně identifikovatelné údaje (PII) musí vyžadovat dokumentované posouzení vlivu na ochranu osobních údajů (DPIA), přezkoumané pověřencem pro ochranu osobních údajů (DPO).“
Ze sekce „Požadavky na řízení a dohled“, ustanovení politiky 5.6.
Toto ustanovení je mostem mezi odpovědností podle GDPR a provozním opatřením. Přesouvá DPIA z právní dodatečné úvahy do projektového řízení a schvalování změn.
Propojení DPIA s důkazy o rizicích podle ISO/IEC 27001:2022
ISO/IEC 27001:2022 poskytuje strukturu systému řízení, kterou řízení a dohled nad DPIA potřebuje.
Kapitoly 4.1 až 4.4 vyžadují, aby organizace chápala svůj kontext, zainteresované strany, požadavky, rozsah ISMS a vzájemně působící procesy. Právní předpisy na ochranu soukromí, zákaznické smlouvy, povinnosti podle NIS2, požadavky DORA, povinnosti zpracovatele a závislosti na dodavatelích patří do tohoto kontextu.
Kapitoly 5.1 až 5.3 vyžadují vedení, sladění politik, zdroje, role a odpovědnosti. Právě zde mnoho DPIA selhává. DPO může identifikovat vysoké riziko, ale bez vlastníků rizik, pravidel eskalace a kritérií akceptace rizik podpořených vedením se DPIA stává dokumentem, nikoli rozhodnutím.
Kapitoly 6.1.1 až 6.1.3 vyžadují plánování založené na rizicích, dokumentovaný proces posuzování rizik bezpečnosti informací, kritéria pro akceptaci rizik, vlastníky rizik, plánování ošetření, výběr opatření, Prohlášení o použitelnosti a schválení zbytkového rizika. To je struktura, kterou má DPIA používat.
DPIA může identifikovat újmy, jako je riziko profilování, neoprávněné zpřístupnění, nezákonné druhotné použití, podvod s identitou, diskriminace nebo nadměrné uchovávání. ISMS tyto újmy převádí na rizikové scénáře, analýzu pravděpodobnosti a dopadu, opatření k ošetření rizik, opatření z přílohy A a schválení zbytkového rizika.
Clarysec Politika řízení rizik - SME definuje minimální disciplínu:
„Každá položka rizika musí obsahovat: popis, pravděpodobnost, dopad, skóre, vlastníka a plán ošetření rizik.“
Ze sekce „Požadavky na řízení a dohled“, ustanovení politiky 5.1.2.
Pro podniková prostředí Clarysec Politika řízení rizik propojuje plánování ošetření s důkazy podle ISO/IEC 27001:2022:
„Manažer rizik zajistí, aby ošetření rizik byla realistická, časově ohraničená a namapovaná na opatření přílohy A ISO/IEC 27001.“
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.4.2.
Zenith Blueprint: 30krokový plán auditora, fáze řízení rizik, krok 13, plánování ošetření rizik a Prohlášení o použitelnosti, jasně vysvětluje roli SoA:
„SoA je fakticky přemosťovací dokument: propojuje vaše posouzení/ošetření rizik se skutečnými opatřeními, která máte.“
To je model DPIA připravený na audit. Zjištění DPIA nemá končit větou „riziko přijato“. Má se mapovat na registr rizik, plán ošetření rizik, Prohlášení o použitelnosti, přezkum dodavatele, cloudovou prověrku, tiket změny, důkazy o testování a rozhodnutí vedení.
Jeden záznam rozhodnutí, více výstupů pro soulad
Vyspělý pracovní postup řízení a dohledu nad DPIA neduplikuje každý právní předpis. Sbírá důkazy jednou a inteligentně je znovu používá.
| Otázka řízení a dohledu nad DPIA | Vytvořené důkazy | Důkazy podle ISO/IEC 27001:2022 | Hodnota pro odpovědnost podle GDPR | Hodnota pro NIS2 nebo DORA |
|---|---|---|---|---|
| Jaké zpracování se mění? | Aktualizace registru zpracování a vstupní záznam DPIA | Důkazy o rozsahu, kontextu, aktivech a procesech | Podporuje záznamy o zpracování a ochranu soukromí již od návrhu | Prokazuje povědomí o provozních rizicích |
| Co by mohlo poškodit fyzické osoby? | Scénář rizika pro soukromí a posouzení dopadů | Výsledek posouzení rizik a vlastník rizika | Podporuje odůvodnění DPIA a odpovědnost | Slaďuje se s rizikově orientovaným řízením a dohledem nad kybernetickou bezpečností |
| Jaká opatření snižují riziko? | Ochranná opatření, TOM a plán ošetření rizik | SoA, plán ošetření rizik a stav implementace přílohy A | Podporuje zabezpečení zpracování a ochranu soukromí ve výchozím nastavení | Podporuje opatření kybernetické bezpečnosti a řízení rizik ICT |
| Kdo další údaje zpracovává nebo k nim přistupuje? | Přezkum dodavatele, zpracovatele a cloudu | Důkazy o opatřeních dodavatele a cloudu | Podporuje dohled nad zpracovateli a správu předávání | Podporuje řízení rizik dodavatelského řetězce a rizik třetích stran v oblasti ICT |
| Co se změnilo v produkčním prostředí? | Záznam změny, důkazy o testování a schválení | Důkazy o řízení změn a provozních opatřeních | Prokazuje, že opatření byla zohledněna před vydáním | Podporuje řízení rizik změn a očekávání odolnosti |
| Kdo přijal zbytkové riziko? | Schválení DPO, vlastníkem rizika a vedením | Přijetí zbytkového rizika a vstup pro přezkoumání vedením | Prokazuje odpovědné rozhodování | Podporuje dohled správního orgánu nebo řídicího orgánu |
Tento důkazní řetězec přímo odpovídá ISO/IEC 27001:2022 kapitole 8.1, která vyžaduje plánované a řízené provozní procesy, dokumentované důkazy, řízení plánovaných změn a přezkum nezamýšlených změn. Kapitola 8.2 vyžaduje posouzení rizik v plánovaných intervalech nebo při navržení či uskutečnění významných změn. Kapitola 8.3 vyžaduje implementaci plánu ošetření rizik. Kapitola 9 následně převádí důkazy na ujištění prostřednictvím monitorování, měření, interního auditu a přezkoumání vedením.
Politika ochrany dat a soukromí - SME stanoví načasování výslovně:
„Koordinátor ochrany soukromí musí posuzovat rizika ochrany soukromí každoročně a při významných změnách systému.“
Ze sekce „Ošetření rizik a výjimky“, ustanovení politiky 7.1.1.
Pokud významná změna zpracování osobních údajů nespustí screening DPIA a opětovné posouzení v ISMS, proces řízení a dohledu je neúplný.
NIS2: řízení a dohled nad DPIA se stává odpovědností vedení
NIS2 zvyšuje tlak na řízení a dohled u organizací v základních a důležitých odvětvích. Vztahuje se na mnoho veřejných a soukromých subjektů v uvedených odvětvích, které splňují příslušné velikostní prahy, a ve specifických případech se může uplatnit bez ohledu na velikost, například u služeb vytvářejících důvěru, DNS, registrů TLD, veřejných služeb elektronických komunikací, jediných poskytovatelů základní služby nebo subjektů se systémovou rizikovou rolí.
Pro řízení a dohled nad DPIA není klíčový pouze rozsah působnosti. Klíčová je odpovědnost vedení.
NIS2 Article 20 vyžaduje, aby řídicí orgány základních a důležitých subjektů schvalovaly opatření k řízení rizik kybernetické bezpečnosti, dohlížely na jejich implementaci a absolvovaly školení. Article 21 vyžaduje vhodná a přiměřená technická, provozní a organizační opatření založená na rizikové expozici, velikosti, pravděpodobnosti, závažnosti, společenském a ekonomickém dopadu, stavu techniky a relevantních normách.
Article 21(2) zahrnuje oblasti, které se často překrývají s výstupy DPIA, včetně:
- Analýzy rizik a politik bezpečnosti informačních systémů.
- Zvládání incidentů.
- Kontinuity činností a krizového řízení.
- Zabezpečení dodavatelského řetězce.
- Bezpečnosti při pořizování, vývoji a údržbě sítí a informačních systémů.
- Zvládání a oznamování zranitelností.
- Politik pro posuzování účinnosti opatření k řízení rizik kybernetické bezpečnosti.
- Kybernetické hygieny a školení.
- Kryptografie a šifrování.
- Bezpečnosti HR, řízení přístupu a správy aktiv.
- MFA, průběžné autentizace, zabezpečené komunikace a zabezpečené nouzové komunikace.
DPIA pro novou biometrickou, behaviorálně analytickou nebo cloudovou činnost zpracování má proto klást otázky relevantní pro NIS2. Závisí zpracování na novém dodavateli? Zavádí nové rozhraní API, SDK, tok identity nebo model přístupu? Mění dopad incidentu? Vyžaduje šifrování, silnější protokolování, kontroly bezpečného vývoje nebo schválení vedením?
Praktická otázka pro vedení je jednoduchá: může organizace prokázat, že změna s dopadem na ochranu soukromí byla před implementací zohledněna jako součást řízení rizik kybernetické bezpečnosti?
Tento důkaz má být viditelný ve vstupním záznamu DPIA, aktualizovaném registru zpracování, registru rizik, plánu ošetření rizik, Prohlášení o použitelnosti, prověrce dodavatelů, důkazech o bezpečnostním testování, schválení změny a přijetí zbytkového rizika.
DORA: důkazy o změnách ICT a třetích stranách nelze obejít
DORA se použije od 17. ledna 2025 a vytváří jednotný rámec EU pro řízení rizik ICT, hlášení závažných incidentů souvisejících s ICT, testování digitální provozní odolnosti, sdílení informací o kybernetických hrozbách a zranitelnostech, řízení rizik třetích stran v oblasti ICT a dohled nad kritickými poskytovateli služeb ICT z řad třetích stran.
Pro finanční subjekty DORA obecně funguje jako odvětvový právní akt Unie pro řízení rizik ICT a povinnosti hlášení incidentů, zatímco NIS2 zůstává relevantní pro širší koordinaci ekosystému a subjekty mimo DORA.
Řízení a dohled nad DPIA je podle DORA důležité proto, že zpracování osobních údajů obvykle existuje uvnitř systémů ICT, služeb třetích stran, cloudových prostředí a provozních pracovních postupů.
DORA Article 5 vyžaduje interní rámce řízení, dohledu a kontrolní rámce pro řízení rizik ICT s odpovědností řídicího orgánu. Article 6 vyžaduje dokumentovaný rámec řízení rizik ICT integrovaný do celkového řízení rizik. Articles 8 až 14 pokrývají identifikaci aktiv a závislostí, ochranu a prevenci, detekci, kontinuitu, zálohování, obnovu, získané poznatky a krizovou komunikaci.
DORA Article 28 vyžaduje, aby finanční subjekty řídily riziko třetích stran v oblasti ICT jako nedílnou součást řízení rizik ICT a nesly odpovědnost při využívání služeb ICT. Vyžaduje registry smluv o službách ICT, předsmluvní posouzení, náležitou péči, posouzení rizika koncentrace, plánování auditu a inspekcí, práva na ukončení a exit strategie. Article 30 vyžaduje písemné smlouvy s jasnými popisy služeb, umístěními dat, ochranou důvěrnosti, integrity a dostupnosti, obnovou a vrácením dat, podporou při incidentech, spoluprací s orgány, právy na ukončení a dodatečnými ochrannými opatřeními pro kritické nebo důležité funkce.
Pro DPIA to mění dodavatelskou otázku. „Máme DPA?“ nestačí. Lepší otázka zní: můžeme prokázat, že před schválením zpracování byly posouzeny závislost na ICT, umístění dat, subdodávky, bezpečnostní standardy, odolnost, práva na audit, podpora při incidentech a exit strategie?
Clarysec Politika používání cloudových služeb stanoví toto opatření před aktivací výslovně:
„Veškeré používání cloudu musí před aktivací projít náležitou péčí založenou na rizicích, včetně posouzení poskytovatele, ověření právního souladu a přezkumu validace kontrol.“
Ze sekce „Požadavky na řízení a dohled“, ustanovení politiky 5.2.
DPIA nemá schválit nového zpracovatele analytiky, poskytovatele identit, biometrické SDK nebo cloudovou telemetrickou platformu, pokud není dokončena cloudová prověrka, právní ověření a validace kontrol, nebo pokud nejsou výslovně vedeny jako opatření k ošetření rizik.
Kotvy ISO/IEC 27002:2022: soukromí, projekty a změny
Clarysec Zenith Controls: průvodce napříč požadavky na soulad používá opatření ISO/IEC 27002:2022 jako kotvy pro soulad napříč rámci. Pro řízení a dohled nad DPIA jsou zvlášť důležitá tři opatření.
| Opatření ISO/IEC 27002:2022 | Proč je důležité pro řízení a dohled nad DPIA | Hodnota napříč požadavky na soulad |
|---|---|---|
| 5.34 Soukromí a ochrana PII | Vyžaduje povědomí a ochranu osobních údajů napříč jejich životním cyklem | Podporuje odpovědnost podle GDPR, přílohu A ISO/IEC 27001:2022, riziková opatření NIS2 a očekávání DORA v oblasti ochrany údajů |
| 5.8 Bezpečnost informací v projektovém řízení | Začleňuje uvažování o dopadech bezpečnosti a ochrany soukromí do návrhu projektu | Podporuje ochranu soukromí již od návrhu, bezpečný vývoj a opatření NIS2 pro pořizování a vývoj |
| 8.32 Řízení změn | Zajišťuje, že změny jsou vyhodnoceny, autorizovány, testovány, implementovány a přezkoumány | Podporuje provozní řízení podle ISO, řízení změn ICT podle DORA a auditní dohledatelnost |
Položka Zenith Controls pro 5.34, Soukromí a ochrana PII, ji klasifikuje jako preventivní, spojenou s důvěrností, integritou a dostupností, sladěnou s koncepty kybernetické bezpečnosti Identify a Protect a navázanou na ochranu informací plus právní a compliance schopnosti.
Zenith Blueprint, fáze Controls in Action, krok 23, vystihuje praktickou podstatu:
„Základem tohoto opatření je povědomí o datech. Organizace musí vědět, jaké PII shromažďuje, kde se nacházejí, proč jsou zpracovávána a kdo k nim může přistupovat.“
Položka Zenith Controls pro 5.8, Bezpečnost informací v projektovém řízení, ji klasifikuje jako preventivní, spojenou s důvěrností, integritou a dostupností, sladěnou s Identify a Protect a umístěnou napříč doménami správy, ekosystému a ochrany.
Zenith Blueprint, fáze Controls in Action, krok 22, uvádí:
„Cílem tohoto opatření není zatížit projekty byrokracií. Cílem je zajistit, aby bezpečnost byla chápána jako vstup do návrhu, nikoli jako fáze testování.“
Ochrana soukromí musí být posuzována stejně. DPIA po spuštění do produkčního prostředí je často zprávou o škodách. DPIA během návrhu je prevencí rizik.
Položka Zenith Controls pro 8.32, Řízení změn, ji klasifikuje jako preventivní, spojenou s důvěrností, integritou a dostupností, sladěnou s Protect a navázanou na zabezpečení aplikací plus schopnosti zabezpečení systémů a sítí.
Zenith Blueprint, fáze Controls in Action, krok 21, je přímočarý:
„Změna je nevyhnutelná, ale v kybernetické bezpečnosti je neřízená změna nebezpečná.“
Clarysec Politika řízení změn - SME zachycuje spouštěč:
„Pokud změna zahrnuje citlivá data, přístupová práva k systému nebo externí integrace, je vyžadován přezkum bezpečnostních dopadů. Určená kontaktní osoba pro bezpečnost nebo soulad musí posoudit, zda změna zavádí další rizika, a doporučit dodatečná ochranná opatření.“
Ze sekce „Ošetření rizik a výjimky“, ustanovení politiky 7.5.1.
Pro podniková prostředí Clarysec Politika řízení změn stanoví očekávání pro poradní výbor pro změny (CAB):
„Posuďte změny z hlediska bezpečnostních rizik a rizik souladu před schválením poradním výborem pro změny.“
Ze sekce „Role a odpovědnosti“, ustanovení politiky 4.6.1.
Praktický příklad: schválení biometrické analytické funkce
Maria nepotřebuje tři samostatné projekty řízení a dohledu. Potřebuje jeden integrovaný projektový vstup a rizikový pracovní postup.
Produktový tým navrhuje biometrickou platební autentizaci s behaviorální analytikou. Funkce shromažďuje biometrické šablony, metadata zařízení, atributy účtu, IP adresy, autentizační události a signály podvodů. Využívá poskytovatele cloudové analytiky a biometrické SDK třetí strany. Týmy zákaznické podpory získají agregovaný přístup k řídicímu panelu.
Tiket změny má před přidělením zdrojů nebo schválením CAB spustit screening DPIA a posouzení rizik.
| Vstupní pole | Příklad odpovědi |
|---|---|
| Zapojené osobní údaje | Biometrická šablona, ID uživatele, IP adresa, metadata zařízení, role účtu, autentizační události |
| Účel zpracování | Platební autentizace, detekce podvodů a analytika zákaznické podpory |
| Právní základ k potvrzení | Nezbytnost pro plnění smlouvy, oprávněné zájmy nebo výslovný souhlas, dle přezkumu DPO |
| Nový dodavatel nebo cloudová služba | Poskytovatel biometrického SDK a zpracovatel cloudové analytiky v regionu EU |
| Citlivé údaje nebo zvláštní kategorie údajů | Biometrické údaje vyžadují přezkum vysokého rizika, pokud se používají k jedinečné identifikaci |
| Změna modelu přístupu | Tým zákaznické podpory získá agregovaný přístup k řídicímu panelu |
| Změna uchovávání | Logy událostí uchovávány 180 dní, biometrické šablony uchovávány podle podmínek služby |
| DPIA vyžadováno | Ano, biometrické zpracování, monitorování a nová závislost na dodavateli vyžadují přezkum |
Integrované posouzení má následně vytvořit jednu rizikovou dokumentaci.
| Část posouzení | Primární rámec | Otázky k zodpovězení | Důkaz nebo výstup |
|---|---|---|---|
| Popis zpracování | GDPR Article 35 | Jaká data se zpracovávají, proč, kým a jak dlouho? | Toky dat, aktualizace RoPA, vstupní záznam DPIA |
| Nezbytnost a přiměřenost | GDPR Article 35 | Je zpracování nezbytné a jde o nejméně invazivní proveditelný přístup? | Přezkum DPO a odůvodnění |
| Riziko pro fyzické osoby | GDPR Article 35 | Mohou fyzické osoby čelit krádeži identity, diskriminaci, profilování, vyloučení nebo finanční újmě? | Analýza rizik DPIA a položka v registru rizik ISO |
| Posouzení bezpečnostních rizik | ISO/IEC 27001:2022 kapitola 6.1.2 | Jaké hrozby pro důvěrnost, integritu a dostupnost existují? | Položky registru rizik s pravděpodobností, dopadem, vlastníkem a ošetřením |
| Analýza dopadu NIS2 | NIS2 Article 21 | Ovlivňuje změna dodavatele, bezpečný vývoj, řízení přístupu, zvládání incidentů nebo kontinuitu? | Posouzení dodavatele, kontrolní seznam bezpečného vývoje, důkazy pro vedení |
| Analýza odolnosti podle DORA | DORA Articles 8, 9, 24 a 30 | Jde o změnu ICT ovlivňující odolnost, testování nebo smluvní povinnosti? | Záznam změny, plán testování, přezkum smlouvy a důkazy o exitu |
| Ošetření rizik a opatření | ISO/IEC 27001:2022 kapitola 6.1.3 | Která TOM a opatření přílohy A snižují riziko? | Plán ošetření rizik a aktualizované Prohlášení o použitelnosti |
Příklady položek rizik mohou vypadat takto:
| Rizikový scénář | Pravděpodobnost | Dopad | Příklady ošetření | Mapování opatření |
|---|---|---|---|---|
| Nadměrný sběr nad rámec uvedeného účelu | Střední | Vysoký | Přezkum minimalizace údajů, schválení schématu událostí, limit uchovávání | 5.34, 5.31, 8.10 |
| Neoprávněný přístup k biometrickému nebo behaviorálnímu řídicímu panelu | Střední | Vysoký | Přístup na základě rolí, MFA, protokolování, čtvrtletní přezkum přístupových práv | 5.15, 5.18, 8.15, 8.16 |
| Chybná konfigurace cloudového zpracovatele zpřístupní telemetrii | Nízká | Vysoký | Cloudová prověrka, šifrování, výchozí konfigurace, monitorování | 5.23, 8.9, 8.24, 8.16 |
| Zranitelnost biometrického SDK kompromituje autentizační data | Střední | Vysoký | Prověrka dodavatelů, přezkum bezpečného vývoje, bezpečnostní testování | 5.21, 8.25, 8.28, 8.29 |
| Profilování vytváří nespravedlivý dopad na zákazníka | Střední | Vysoký | Přezkum DPO, formulace transparentního informování, vyřizování námitek tam, kde je to použitelné | 5.34, 5.8 |
Před vydáním má záznam změny obsahovat dokončení DPIA nebo plán ošetření rizik schválený DPO, aktualizovaný registr zpracování, prověrku dodavatelů a cloudu, přezkum bezpečnostních dopadů, výsledky testů, plán vrácení změn, plán monitorování a schválení zbytkového rizika.
Po vydání má vlastník ověřit logy, upozornění, přístupové role, řídicí panely, pravidla uchovávání a pracovní postupy mazání. Tím se uzavírá smyčka plánované změny podle ISO/IEC 27001:2022 kapitoly 8.1 a podporuje disciplína provozní odolnosti ve stylu DORA.
Na co se budou ptát auditoři
Jednotné DPIA poskytuje různým auditorům jednu konzistentní auditní stopu.
| Pohled auditora | Pravděpodobné zaměření auditu | Důkazy, které mají existovat |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | Zda významné změny spustily posouzení rizik, ošetření rizik, aktualizace SoA a provozní řízení | Vstupní záznam DPIA, registr rizik, plán ošetření rizik, poznámky SoA, záznam změny, interní auditní stopa |
| Přezkoumávající osoba pro ochranu soukromí podle GDPR | Zda bylo vysoce rizikové zpracování posouzeno před nasazením a zda byla zdokumentována ochranná opatření | DPIA, registr zpracování, analýza právního základu, přezkum DPO, důkazy o transparentnosti a uchovávání |
| Auditor orientovaný na NIS2 | Zda opatření k ošetření rizik schválená vedením pokrývají bezpečnostní politiky, dodavatelský řetězec, zvládání incidentů, kontinuitu, přístup, šifrování a zvládání zranitelností | Záznamy správního orgánu nebo přezkoumání vedením, mapování opatření, přezkum dodavatelů, vazba na incidenty a kontinuitu |
| Auditor orientovaný na DORA | Zda jsou změny ICT, závislosti na třetích stranách, odolnost, testování a smluvní důkazy integrovány do řízení rizik ICT | Posouzení rizik ICT, registr poskytovatelů, smluvní ustanovení, důkazy o testování, exit plán, důkazy o podpoře při incidentech |
| Hodnotitel NIST CSF | Zda jsou propojeny výstupy řízení a dohledu, rizik, aktiv, dodavatelů, ochrany, detekce, reakce a obnovy | Současný a cílový profil, plán mezer, evidence aktiv, záznamy dodavatelských rizik, důkazy o monitorování a reakci |
| Auditor COBIT 2019 nebo ISACA | Zda jsou řízeny umožnění změn, řízení rizik, bezpečnostní služby a postupy ujištění | Záznamy CAB, analýza dopadů, schválení, testování, oddělení povinností, přezkum po změně |
NIST CSF 2.0 je užitečný jako komunikační vrstva, protože jeho funkce GOVERN staví do centra strategii, očekávání, politiku, role, dohled a řízení rizik dodavatelského řetězce. COBIT 2019 doplňuje procesní ujištění, zejména v oblasti strukturovaného umožnění změn, analýzy dopadů, schvalování, testování a vyhodnocení po změně.
Regulační orgán pro GDPR může začít u práv a svobod fyzických osob. Auditor ISO může začít u dokumentovaného posouzení rizik a implementace opatření. Přezkoumávající osoba podle DORA může začít u závislosti na ICT a odolnosti. Přezkoumávající osoba podle NIS2 může začít u dohledu vedení a přiměřených opatření kybernetické bezpečnosti.
Stejný důkazní řetězec DPIA má vyhovět všem.
Rozhodnutí DPIA musí obstát při incidentech
DPIA není pouze předvydávací artefakt schválení. Má zlepšit připravenost na porušení zabezpečení a incidenty.
GDPR definuje porušení zabezpečení osobních údajů jako porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně, neoprávněnému zpřístupnění nebo přístupu k osobním údajům. NIS2 vyžaduje oznámení významných incidentů bez zbytečného odkladu, včetně včasného varování do 24 hodin, oznámení do 72 hodin a závěrečné zprávy nejpozději jeden měsíc po oznámení incidentu. DORA vyžaduje, aby finanční subjekty detekovaly, řídily, protokolovaly, klasifikovaly, eskalovaly a oznamovaly závažné incidenty související s ICT prostřednictvím počátečního, průběžného a závěrečného hlášení, s oznámením klientům, pokud jsou dotčeny jejich finanční zájmy.
Pokud DPIA zaznamenalo toky dat, zpracovatele, řízení přístupu, uchovávání, protokolování, šifrování, pseudonymizaci a odpovědnosti za incidenty, tým reakce na incidenty dokáže rychleji odpovědět na kritické otázky. Jaké osobní údaje byly dotčeny? Které systémy a dodavatelé byli zasaženi? Které fyzické osoby nebo zákazníci mohou být ovlivněni? Bylo zavedeno šifrování? Které logy jsou dostupné? Jaké oznamovací lhůty běží? Jaká komunikace se zákazníky nebo regulačními orgány je vyžadována?
Proto má být řízení a dohled nad DPIA propojen s opatřeními ISO/IEC 27001:2022 pro incidenty, opatřeními kontinuity činností a opatřeními připravenosti ICT, stejně jako s očekáváními NIS2 a DORA pro životní cyklus incidentů.
Častá selhání řízení a dohledu nad DPIA
Selhání jsou obvykle způsobena odpojenými pracovními postupy, nikoli nedostatkem úsilí.
| Selhání | Proč vytváří riziko | Lepší postup |
|---|---|---|
| Registr zpracování se aktualizuje až po spuštění do produkčního prostředí | Registr se stává historickou evidencí namísto návrhového opatření | Aktualizujte RoPA před schválením |
| Screening DPIA chybí ve vstupu změny | Riziko ochrany soukromí je zjištěno příliš pozdě | Přidejte povinné otázky k osobním údajům, dodavatelům, přístupu a uchovávání |
| Rizika DPIA zůstávají ve složce ochrany soukromí | Ošetření bezpečnostních rizik a schválení zbytkového rizika nejsou dohledatelné | Převeďte zjištění DPIA na položky registru rizik ISMS |
| Přezkumy dodavatelů se zaměřují pouze na dotazníky | Může být opomenut účel zpracování, umístění dat, dílčí zpracovatelé, práva na audit a exit | Kombinujte bezpečnostní, soukromoprávní, právní a odolnostní prověrku |
| SoA postrádá odůvodnění pro soukromí a cloud | Auditoři vidí opatření, ale nikoli rizikovou logiku | Mapujte opatření na zjištění DPIA a povinnosti podle GDPR, NIS2 a DORA |
| Zbytkové riziko je přijato neformálně | Odpovědnost vedení není doložitelná | Zaznamenejte schválení DPO, vlastníkem rizika a vedením, včetně podmínek |
Kontrolní seznam řízení a dohledu nad DPIA
Použijte tento kontrolní seznam k integraci DPIA do ISMS, připravenosti na NIS2 a řízení změn ICT podle DORA.
| Činnost řízení a dohledu | Vlastník | Minimální důkazy |
|---|---|---|
| Screening DPIA začleněný do vstupu projektu a změny | Manažer změn a DPO | Vstupní formulář, rozhodnutí o spouštěči a odůvodnění |
| Registr zpracování aktualizovaný před schválením | Koordinátor ochrany soukromí nebo DPO | Účel, právní základ, kategorie údajů, uchovávání a příjemci |
| Rizika ochrany soukromí převedená na rizika ISMS | Manažer rizik a vlastník systému | Položky rizik s pravděpodobností, dopadem, vlastníkem a plánem ošetření rizik |
| Opatření namapovaná na SoA | Manažer ISMS | Použitelná opatření přílohy A, odůvodnění a stav implementace |
| Dokončena prověrka dodavatelů a cloudu | Nákup, bezpečnost a právní oddělení | Posouzení poskytovatele, smluvní ustanovení, umístění dat a důkazy o exitu |
| Dokončeno testování bezpečnosti a ochrany soukromí | Vývoj a bezpečnost | Výsledky testů, přezkum přístupových práv, validace protokolování a důkazy o zranitelnostech |
| Zbytkové riziko přijato | Vlastník rizika, DPO a vedení, pokud je vyžadováno | Záznam o schválení, podmínky a datum přezkumu |
| Proveden přezkum po změně | Vlastník změny a vlastník služby | Poznámky z přezkumu, incidenty, metriky a nápravná opatření |
Toto není byrokracie. Je to provozní odpovědnost. Pomáhá CISO prokázat, že bezpečnost byla zohledněna, DPO prokázat, že riziko ochrany soukromí bylo posouzeno, manažerovi souladu prokázat, že opatření se mapují napříč rámci, a vlastníkovi společnosti prokázat, že inovace byla řízena odpovědně.
Jak pomáhá Clarysec
Přístup Clarysec je navržen pro organizace, které čelí překrývajícím se povinnostem roku 2026 a roztříštěným důkazům.
Sada politik poskytuje jazyk řízení a dohledu. Politika ochrany dat a soukromí definuje, kdy jsou DPIA vyžadována a kdo je přezkoumává. Politika řízení rizik definuje, jak mají být strukturovány a mapovány položky rizik. Politika řízení změn zajišťuje, že dopady na ochranu soukromí a bezpečnost jsou posouzeny před schválením. Politika používání cloudových služeb vyžaduje náležitou péči před aktivací cloudu.
Zenith Blueprint poskytuje plán implementace. Krok 13 mění ošetření rizik a Prohlášení o použitelnosti v most napříč požadavky na soulad. Krok 22 začleňuje bezpečnost do projektového řízení. Krok 21 činí změnu záměrnou, odůvodněnou a auditovatelnou. Krok 23 mění ochranu PII v opatření životního cyklu založené na povědomí o datech, zákonném použití, omezení přístupu, dohledu nad dodavateli a provozních procesech ochrany soukromí.
Průvodce Zenith Controls poskytuje kompas napříč požadavky na soulad. Pro řízení a dohled nad DPIA propojují opatření ISO/IEC 27002:2022 5.34, 5.8 a 8.32 ochranu soukromí, projektové řízení a řízení změn s odpovědností podle GDPR, opatřeními kybernetické bezpečnosti podle NIS2, řízením rizik ICT podle DORA, výstupy NIST CSF a ujištěním podle COBIT 2019.
Pokud se vaše organizace připravuje na přezkumy odpovědnosti podle GDPR, certifikaci ISO/IEC 27001:2022, připravenost na NIS2 nebo provozní odolnost podle DORA, začněte integrací spouštěčů DPIA do vstupu projektů a změn. Propojte zjištění DPIA s registrem rizik. Namapujte ošetření v SoA. Ověřte dodavatele a cloudové služby před aktivací. Uchovejte jeden záznam rozhodnutí, který mohou sledovat vedení, auditoři i regulační orgány.
Nejlepší DPIA není to, které je napsáno poté, co si jej vyžádá regulační orgán. Je to DPIA, které formovalo systém dříve, než jej otestovali zákazníci, auditoři nebo incidenty.
Porovnejte svůj současný proces DPIA se sadou politik Clarysec, použijte Zenith Blueprint k vytvoření auditně dohledatelného řetězce a použijte Zenith Controls k namapování jednoho rámce opatření napříč GDPR, ISO/IEC 27001:2022, NIS2, DORA, NIST CSF a COBIT 2019. Poté proměňte svou další změnu s dopadem na ochranu soukromí v řízené, důkazy podložené rozhodnutí o vydání namísto problému se souladem řešeného na poslední chvíli.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
