DSAR, výmaz a auditní důkazy pro ISO 27001 v roce 2026

E-mail přistál v Sarahině schránce v 9:03 ráno.

Nebyla to první žádost subjektu údajů o přístup (DSAR), kterou její rychle rostoucí SaaS společnost obdržela. Byla to však první žádost, která působila jako veřejný audit.

Odesílatelem byl bývalý zaměstnanec, nyní zastánce ochrany soukromí. Žádost citovala konkrétní články GDPR a požadovala všechny osobní údaje, okamžité omezení zpracování, seznam všech služeb třetích stran, které údaje uchovávají, a ověřitelný důkaz výmazu z produkčních i zálohovacích systémů. V kopii byl novinář.

Během několika minut se ukázaly mezery. Vývoj upozornil, že „skutečné smazání“ z víceklientské databáze by mohlo ovlivnit ostatní zákazníky. Marketing rozplétal uživatelská data napříč analytickými platformami. Právní oddělení našlo neuzavřenou pracovněprávní záležitost. Bezpečnostní tým se obával, že protokoly mohou odhalit detekční logiku nebo údaje jiné osoby. Podpora měla záznamy pod dvěma e-mailovými adresami. Finance měly faktury pod třetí adresou.

Lhůta už běžela.

Tento scénář již není výjimečný. Práva subjektů údajů v roce 2026 nejsou problémem jedné schránky pro ochranu soukromí. Jsou řízeným obchodním procesem, který závisí na evidenci aktiv, rozhodnutích o právním základu, ověřování identity, řízení přístupu, pravidlech uchovávání, právní blokaci, koordinaci dodavatelů, bezpečném zpřístupnění, důkazech o výmazu a protokolování připraveném na audit.

GDPR organizacím říká, jaká práva mají fyzické osoby. ISO/IEC 27001:2022 poskytuje týmům bezpečnosti a compliance disciplínu systému řízení, aby mohly doložit, že tato práva jsou vyřizována konzistentně, bezpečně a opakovatelně.

Pro CISO, manažery compliance, vedoucí ochrany soukromí a vlastníky společností není cílem vytvořit více administrativy. Cílem je vybudovat jeden spolehlivý pracovní postup pro DSAR, výmaz a omezení zpracování, který vytváří důkazy vyžadované GDPR, audity ISO/IEC 27001:2022 a širšími očekáváními na doložení zajištění podle NIS2, DORA, NIST CSF 2.0 a COBIT 2019.

Proč ad hoc vyřizování DSAR pod tlakem selhává

Většina selhání DSAR není způsobena špatnými úmysly. Je způsobena roztříštěností.

Organizace může mít oznámení o ochraně osobních údajů, schránku DPO a doložku GDPR ve smlouvách s dodavateli, a přesto může mít problém odpovědět na základní provozní otázky:

• Kdo ověřuje totožnost žadatele?
• Která právnická osoba je správcem nebo zpracovatelem?
• Které systémy musí být prohledány?
• Kdo vlastní jednotlivé systémy?
• Které údaje spadají do rozsahu žádosti?
• Které údaje musí být před zpřístupněním redigovány?
• Které údaje nelze vymazat z důvodu daní, auditu, soudního řízení, prevence podvodů nebo právní povinnosti?
• Jak se technicky prosazuje omezení zpracování?
• Kteří dodavatelé musí podporovat vyhledání, export, výmaz nebo omezení zpracování?
• Jaké důkazy dokládají, že žádost byla vyřízena včas?
• Co se stane, pokud DSAR odhalí porušení zabezpečení osobních údajů?

Článek 5 GDPR vyžaduje, aby osobní údaje byly zpracovávány zákonně, korektně a transparentně, shromažďovány pro určené účely, omezeny na nezbytný rozsah, přesné, uchovávané pouze po nezbytnou dobu a chráněné vhodnými technickými a organizačními opatřeními. Článek 5(2) GDPR výslovně stanoví odpovědnost: správce musí být schopen doložit soulad. Článek 4 GDPR definuje zpracování široce, včetně shromažďování, ukládání, použití, zpřístupnění, omezení, výmazu a zničení.

To znamená, že samotný proces DSAR je činností zpracování. Musí být řízen.

Článek 3 GDPR je důležitý také pro cloudové, SaaS, fintech a digitální podniky mimo EU. Pokud nabízíte zboží nebo služby osobám v Unii, monitorujete jejich chování nebo zpracováváte osobní údaje v souvislosti s činností provozovny v EU, GDPR se může uplatnit i tehdy, když jsou činnosti outsourcovány nebo je infrastruktura globální.

ISO/IEC 27001:2022 vnáší do této reality strukturu. Články 4.1 až 4.4 vyžadují, aby organizace rozuměla svému kontextu, zainteresovaným stranám, požadavkům, rozsahu ISMS a vzájemně působícím procesům. Subjekt údajů je zainteresovaná strana. Práva podle GDPR jsou požadavky. SaaS aplikace, poskytovatelé identit, analytické platformy, nástroje podpory, datové sklady a cloudové zálohy jsou vzájemně působící procesy. Pracovní postup DSAR patří do ISMS, nikoli vedle něj.

Tři práva subjektů údajů, která vytvářejí největší tlak

Přístup, výmaz a omezení zpracování odhalují největší rozdíl mezi právním příslibem a provozní schopností.

Článek 6 GDPR je pro tuto rozhodovací logiku zásadní. Bez pochopení právního základu nelze zpracovávat, uchovávat, zpřístupňovat ani odmítnout výmaz. Článek 9 GDPR zvyšuje požadavky pro zvláštní kategorie osobních údajů, například údaje o zdraví, biometrické údaje používané pro jedinečnou identifikaci nebo údaje odhalující citlivé charakteristiky. V prostředí SaaS v roce 2026 to může ovlivnit onboarding, ověřování identity, monitorování podvodů, přílohy zákaznické podpory a záznamy zaměstnanců.

Podniková Politika ochrany dat a soukromí [P17] společnosti Clarysec vymezuje tuto povinnost přímo. V kapitole Cíle 3.6 vyžaduje, aby organizace:

Zajišťovala práva subjektů údajů, včetně přístupu, opravy, výmazu, omezení, přenositelnosti, námitky a ochrany před automatizovaným rozhodováním.

Tento cíl je auditovatelný pouze tehdy, když je propojen s vlastníky, registry, pracovními postupy, opatřeními a důkazy.

Začněte tam, kde začínají auditoři: rozsah, zainteresované strany a vlastnictví

V Zenith Blueprint: 30krokový plán auditora [ZB] se fáze Základ ISMS a vedení, krok 2, zaměřuje na potřeby zainteresovaných stran a rozsah ISMS. Pro GDPR Blueprint identifikuje očekávání regulačních orgánů takto:

Regulační orgány EU
(GDPR)

Zákonné zpracování osobních
údajů, hlášení porušení do 72 h,
práva subjektů údajů

Jmenovat pověřence pro ochranu osobních údajů, zavést
proces reakce na porušení zabezpečení, postupy pro
vyřizování žádostí o údaje.

To je správný výchozí bod. Než začnete automatizovat tikety nebo konfigurovat portály, definujte rozsah vyřizování práv subjektů údajů:

1. Které právnické osoby jednají jako správce, společný správce nebo zpracovatel?
2. Které produkty, služby a území spadají do rozsahu?
3. Které kategorie subjektů údajů existují, například zákazníci, zaměstnanci, zkušební uživatelé, potenciální zákazníci, dodavatelé, návštěvníci webu nebo uživatelé aplikace?
4. Které systémy, repozitáře a dodavatelé uchovávají osobní údaje?
5. Které role schvalují zpřístupnění, zamítnutí, výmaz, omezení zpracování nebo eskalaci?
6. Které metriky se reportují vedení?

Články ISO/IEC 27001:2022 5.1 až 5.3 vyžadují vedení, sladění politik, zdroje a přiřazené odpovědnosti. To přímo odpovídá odpovědnosti podle GDPR.

Politika ochrany dat a soukromí [P17], kapitola Požadavky na implementaci politiky 6.4.1, uvádí:

Pověřenec pro ochranu osobních údajů (DPO) musí udržovat dokumentované procesy pro příjem, ověření, sledování a odpověď na žádosti subjektů údajů (DSR).

Pro SME používá Politika ochrany dat a soukromí - SME [P17S] společnosti Clarysec přiměřené vlastnictví. Kapitola Požadavky na správu a řízení 5.2.1 stanoví:

Koordinátor ochrany soukromí musí udržovat registr všech činností zpracování osobních údajů, včetně kategorií údajů, účelu, právního základu a dob uchovávání.

Tento registr zpracování je provozním jádrem připravenosti na DSAR. Pokud je neúplný, tým DSAR vyhledává podle paměti, zpráv ve Slacku a neformálních znalostí. Pokud je přesný, tým vyhledává podle činnosti zpracování, kategorie údajů, vlastníka systému, dodavatele a pravidla uchovávání.

Pracovní postup DSAR podle Clarysec: od přijetí po uzavření

Pracovní postup DSAR připravený na audit má být dostatečně jednoduchý, aby fungoval pod tlakem, ale dostatečně řízený, aby obstál před regulačním orgánem, přezkumem zákaznického ujištění nebo auditem ISO/IEC 27001:2022.

1. Příjem a potvrzení přijetí

Žádosti mají vstupovat řízeným kanálem, například schránkou pro ochranu soukromí, portálem, formulářem podpory nebo frontou právního příjmu. Pracovníci musí rozpoznat žádosti formulované běžným jazykem. Osoba nemusí napsat „DSAR“, aby uplatnila své právo. „Jaké údaje o mně máte?“ nebo „smažte můj profil“ může stačit ke spuštění pracovního postupu.

Politika ochrany dat a soukromí - SME [P17S], kapitola Požadavky na implementaci politiky 6.5.2, stanoví jasnou úroveň služby:

Koordinátor ochrany soukromí musí potvrdit přijetí žádostí do 3 pracovních dnů a odpovědět do 30 dnů.

Potvrzení přijetí má obsahovat referenci žádosti, případné upřesnění rozsahu, pokyny k ověření identity a očekávaný termín odpovědi.

2. Ověření identity a kontrola oprávnění

DSAR se může stát porušením zabezpečení osobních údajů, pokud jsou informace odeslány nesprávné osobě. Ověření má být přiměřené a nemá shromažďovat nadbytečné nové osobní údaje. Kde je to možné, používejte autentizované portály. U bývalých uživatelů ověřujte proti známým údajům účtu. U zaměstnanců koordinujte postup s HR. U zástupců vyžadujte prokázání oprávnění.

Uchovávejte důkazy o metodě ověření, datu dokončení, schvalovateli, případných vyžádaných doplňujících informacích a rozhodnutí, pokud ověření selže.

3. Klasifikace žádosti

Jedna zpráva může obsahovat několik práv. Klasifikujte každé z nich samostatně, protože přístup, výmaz, omezení zpracování, námitka a přenositelnost vyžadují odlišnou rozhodovací logiku a důkazy. Označte také potenciální stížnosti, zaměstnanecké záležitosti, údaje dětí, zvláštní kategorie údajů a možná porušení zabezpečení osobních údajů.

4. Vyhledávejte v evidenci aktiv, nejen ve zjevných systémech

Zde se ISO/IEC 27001:2022 stává praktickou. Zenith Blueprint [ZB], fáze Opatření v praxi, krok 22, upozorňuje, že rozsah evidence aktiv je širší, než si mnoho organizací uvědomuje:

Rozsah této evidence je širší, než si většina uvědomuje. Měla by zahrnovat:

✓ Fyzická aktiva: notebooky, servery, telefony, zálohovací pásky, výměnná média, tištěné
záznamy.
✓ Digitální aktiva: dokumenty, datové sady, repozitáře, e-maily, zdrojový kód, soubory uložené
v cloudu.
✓ Logická aktiva: uživatelské účty, přihlašovací údaje, klíče, softwarové licence, rozhraní API.
✓ Aktiva související se službami: SaaS platformy, řízené bezpečnostní služby, outsourcované
úložiště.
✓ Lidé jako aktiva: nikoli v komoditním smyslu, ale z hlediska přiřazených odpovědností,
přístupu a expozice vůči informacím vyplývající z rolí.

Krok 22 také vysvětluje vlastnictví:

Každé aktivum má mít definovaného vlastníka, nikoli osobu, která jej používá, ale osobu odpovědnou za
jeho používání, ochranu a životní cyklus. Vlastnictví je nezbytné pro sladění opatření: kdo klasifikuje
aktivum (5.10), kdo rozhoduje o jeho úrovni přístupu (8.3), kdo řeší jeho výmaz (8.10), kdo zajišťuje,
že je vráceno (5.9 se jemně překrývá s postupy vracení aktiv).

V Zenith Controls: průvodce napříč rámci souladu [ZC] je opatření ISO/IEC 27002:2022 5.9, Inventář informací a dalších souvisejících aktiv, pojato jako preventivní kontrola podporující důvěrnost, integritu a dostupnost. Jeho koncept kybernetické bezpečnosti je Identify, provozní schopností je správa aktiv a bezpečnostní domény zahrnují Governance, Ecosystem a Protection.

Pro DSAR to znamená, že evidence aktiv není IT tabulka. Je to mapa, která týmům ochrany soukromí, právního oddělení a bezpečnosti ukazuje, kde mohou existovat osobní údaje.

5. Přezkoumejte, redigujte a schvalte zpřístupnění

Odpověď na DSAR nemá být surový export. Přezkum musí chránit osobní údaje jiných osob, důvěrné obchodní informace, advokátní tajemství, bezpečnostně citlivá data, signály podvodu a údaje mimo rozsah žádosti.

Schválení má vycházet z rizik. Rutinní odpovědi na žádosti o přístup může schválit koordinátor ochrany soukromí nebo DPO. Žádosti týkající se zaměstnanců, soudních řízení, zvláštních kategorií údajů, dětí, podvodů, bezpečnostních protokolů nebo velkých exportů mají zahrnovat právní oddělení, HR nebo vedení bezpečnosti.

6. Doručujte bezpečně

Nepřikládejte velké nešifrované soubory k e-mailu. Používejte autentizované portály, šifrované soubory se samostatným doručením hesla nebo bezpečné přenosové odkazy s expirací a protokolováním přístupu. Zaznamenejte způsob doručení, datum, účet příjemce, datum expirace a potvrzení, pokud je dostupné.

7. Uzavřete s důkazy

Politika ochrany dat a soukromí [P17], kapitola 6.4.3, je jednoznačná:

Veškeré provedené kroky musí být protokolovány pro účely auditu, včetně rozhodnutí o zamítnutí žádostí.

Politika ochrany dat a soukromí - SME [P17S], kapitola 6.5.4, uvádí:

Všechny odpovědi na žádosti subjektů údajů musí být zaznamenány v bezpečném registru s přístupem omezeným na koordinátora ochrany soukromí a generálního ředitele.

DSAR není dokončena odesláním e-mailu. Je dokončena tehdy, když registr ukazuje žádost, kontrolu identity, rozhodnutí, prohledané systémy, odpověď, výjimky, schválení, doručení a uzavření.

Výmaz je řízené zničení, nikoli tlačítko smazat

Žádosti o výmaz odhalují, zda byla ochrana soukromí do systémů navržena, nebo až dodatečně přilepena po spuštění.

Podniková Politika uchovávání údajů [P14] společnosti Clarysec, kapitola Role a odpovědnosti 4.3.3, přiřazuje odpovědnost roli, která:

Reaguje na žádosti o výmaz a zajišťuje včasné a ověřitelné vymazání osobních údajů tam, kde je to vyžadováno.

Fráze „tam, kde je to vyžadováno“ je klíčová. Výmaz podle GDPR není absolutní. Organizace mohou potřebovat uchovat údaje pro právní povinnosti, audit, daně, regulační povinnosti, prevenci podvodů, bezpečnost, soudní řízení nebo pro určení, výkon či obhajobu právních nároků. Pracovní postup musí zahrnovat rozhodnutí o zákonném uchování a výjimce.

Zenith Blueprint [ZB], fáze Opatření v praxi, krok 19, vysvětluje opatření ISO/IEC 27002:2022 8.10, Výmaz informací, provozním jazykem:

Toto opatření zajišťuje, že data nejsou uchovávána déle, než je nezbytné, a když již nejsou
potřeba, musí být bezpečně a spolehlivě vymazána. Mnoho organizací v čase hromadí velké
objemy dat, ale bez jasného procesu výmazu mohou tato data nečinně ležet a zůstávat
nechráněná, čímž tiše zvyšují riziko expozice, porušení zabezpečení nebo regulačního porušení.

Zároveň upozorňuje:

Nezapomeňte na zálohy a archivované systémy; ty často uchovávají historická data dlouho po skončení jejich
provozní hodnoty. Politiky výmazu se musí vztahovat na:

✓ nastavení uchovávání záloh,
✓ životní cyklus snapshotů,
✓ archivované e-mailové nebo dokumentové repozitáře.

A uzavírá důkazy:

Samotný proces výmazu musí být protokolován a v případě vysoce rizikových nebo regulovaných dat
přezkoumán nebo schválen. Tím se zajišťuje dohledatelnost a ochrana před náhodným nebo
neoprávněným zničením cenných záznamů.

V Zenith Controls [ZC] je opatření ISO/IEC 27002:2022 8.10, Výmaz informací, mapováno jako preventivní kontrola zaměřená na důvěrnost, sladěná s konceptem kybernetické bezpečnosti Protect a propojená s provozními schopnostmi Information Protection a Legal and Compliance.

U složitých cloudových architektur může být vhodný kryptografický výmaz, pokud je správně navržen. Pokud jsou osobní údaje šifrovány klíčem specifickým pro subjekt nebo tenanta, zničení klíče může data trvale znepřístupnit, včetně situací, kdy šifrované zbytky zůstávají v zálohách do plánované rotace. To musí být pečlivě navrženo, zdokumentováno, otestováno a schváleno. Není to náhradní řešení za špatnou architekturu výmazu.

Připravenost aplikací je proto nezbytná. Politika požadavků na zabezpečení aplikací - SME [P09S] společnosti Clarysec, kapitola 6.5.1.3, vyžaduje, aby aplikace:

umožňovaly bezpečný export a výmaz osobních údajů, pokud je to právně vyžadováno (např. článek 17 GDPR – právo na výmaz).

Pokud produktové týmy nevybudují schopnost exportu a výmazu, týmy ochrany soukromí jsou nuceny používat databázové skripty, tikety dodavatelům a nekonzistentní manuální práci.

Právní blokace a pozastavení výmazu

Zralý pracovní postup výmazu musí zahrnovat cestu „nemazat“. Není to výmluva pro ignorování výmazu. Je to řízená výjimka.

SME Politika uchovávání údajů a bezpečné likvidace - SME [P14S] společnosti Clarysec, kapitola Požadavky na správu a řízení 5.4, stanoví:

Údaje podléhající právní blokaci a pozastavení výmazu (např. v případě soudního řízení, auditu nebo vyšetřování) musí být v systému jasně identifikovány a chráněny před výmazem, i když plánovaná doba uchovávání již uplynula.

Politika uchovávání údajů [P14], kapitola 6.4.1, odráží stejný princip:

Pokud je vydána právní blokace a pozastavení výmazu (např. kvůli probíhajícímu soudnímu řízení, vyšetřování nebo auditu), musí být údaje, které by jinak podléhaly zničení, uchovány nad rámec své běžné doby uchovávání.

Auditoři chtějí vidět obě strany příběhu: důkazy o včasném výmazu i důkazy o odůvodněném uchování.

Omezení zpracování: podceňované právo

Žádosti o omezení zpracování nevyžadují vždy výmaz. Vyžadují, aby organizace omezila aktivní zpracování a zároveň uchovala údaje za řízených podmínek.

Mezi běžné příklady patří:

• Zákazník zpochybní přesnost a požádá, abyste údaje nepoužívali, dokud nebude přesnost ověřena.
• Bývalý zaměstnanec vznese námitku proti zpracování, ale záznam je potřebný pro právní nároky.
• Uživatel požádá o výmaz, ale minimální údaje musí být uchovány pro vedení seznamu potlačení.
• Vyšetřování podvodu vyžaduje uchování, nikoli však běžné provozní použití.

Praktický pracovní postup omezení zpracování má zahrnovat právní rozhodnutí, systémový příznak, úpravu řízení přístupu, potlačení marketingu, vyloučení z analytiky, pokyn dodavateli, pravidelný přezkum a důkazy o výjimkách.

V Zenith Controls [ZC] je opatření ISO/IEC 27002:2022 5.34, Ochrana soukromí a ochrana PII, pojato jako preventivní kontrola podporující důvěrnost, integritu a dostupnost. Mapuje se na Identify a Protect, s provozními schopnostmi Information Protection a Legal and Compliance.

Zenith Blueprint [ZB], fáze Opatření v praxi, krok 23, shrnuje auditní test:

Potvrďte, že vaše organizace zavedla opatření na ochranu soukromí (5.34) sladěná s
příslušnými právními požadavky. Ověřte klasifikaci PII, správné řízení přístupu, bezpečné
postupy nakládání s daty a školení bezpečnostního povědomí. Ověřte, zda jsou žádosti subjektů o přístup, výmaz
dat nebo logy zpracování podporovány provozně, nikoli pouze politikou.

Klíčová formulace zní „podporovány provozně, nikoli pouze politikou“.

Mapování pracovních postupů DSAR na důkazy podle ISO/IEC 27001:2022

ISO/IEC 27001:2022 nenahrazuje GDPR. Organizuje důkazy.

Články 6.1.1 až 6.1.3 vyžadují posouzení rizik, ošetření rizik, kritéria pro přijetí rizika, vlastníky rizik, výběr opatření, Prohlášení o použitelnosti a Plán ošetření rizik. Rizika DSAR zahrnují neoprávněné zpřístupnění, zmeškání lhůt, neúplný výmaz, nezákonné uchování, nadměrné ověřování identity, nespolupráci dodavatelů a neschopnost omezit zpracování.

Článek 8.1 vyžaduje, aby organizace plánovaly, implementovaly a řídily procesy ISMS, uchovávaly dokumentované důkazy, řídily změny a zajistily, že externě poskytované procesy, produkty a služby relevantní pro ISMS jsou řízeny. To odpovídá provozu DSAR, protože žádosti procházejí interními funkcemi i externími zpracovateli.

Silný soubor důkazů zahrnuje postup DSR, registr DSR, registr činností zpracování, evidenci aktiv, harmonogram uchovávání údajů, registr právních blokací, postup ověřování identity, pokyny pro redakci, metodu bezpečného zpřístupnění, postup výmazu, postup omezení zpracování, playbook pro dodavatele, registr výjimek, záznamy o školení, výsledky interního auditu a reporting pro přezkoumání vedením.

Praktický pracovní postup pro přístup, výmaz a omezení zpracování

Tento pracovní postup mění Sarahinu krizi v auditovatelný proces. Každá fáze má vlastníka, základ v opatřeních a důkazy.

Hodnota napříč rámci souladu nad rámec GDPR

Pracovní postup DSAR vychází z GDPR, ale stejná opatření podporují širší rámce.

Článek 20 NIS2 činí kybernetickou bezpečnost odpovědností vedení u základních a důležitých subjektů. Článek 21 vyžaduje vhodná a přiměřená technická, provozní a organizační opatření, včetně analýzy rizik, zvládání incidentů, kontinuity činností, zabezpečení dodavatelského řetězce, posouzení účinnosti, kybernetické hygieny, školení, řízení přístupu, správy aktiv, autentizace a bezpečné komunikace. DSAR závisejí na mnoha stejných schopnostech.

DORA se od 17. ledna 2025 vztahuje na mnoho finančních subjektů a stanoví jednotné požadavky na řízení rizik v oblasti ICT, hlášení incidentů, testování odolnosti a řízení rizik třetích stran v oblasti ICT. Články 5 a 6 vyžadují správu a řízení a dokumentované řízení rizik v oblasti ICT. Články 17 až 20 řeší detekci, klasifikaci, eskalaci, komunikaci a uzavření incidentů. Články 24 až 30 řeší testování odolnosti, rizika třetích stran v oblasti ICT, registry služeb, práva na audit, umístění dat, pomoc při incidentech a strategie ukončení. Fintech, který vyřizuje DSAR prostřednictvím cloudových platforem, má sladit vyřizování žádostí v oblasti ochrany soukromí se svým registrem ICT služeb.

NIST CSF 2.0 pomáhá převést stejnou práci do výsledků kybernetické bezpečnosti. GOVERN řeší právní, regulační a smluvní požadavky, strategii rizik, role, politiku a dohled. IDENTIFY a PROTECT silně odpovídají viditelnosti aktiv, klasifikaci dat, řízení přístupu, výmazu, správě dodavatelů a ochraně soukromí.

COBIT 2019 klade otázky správy a řízení. Kdo proces vlastní? Jaké cíle jsou definovány? Jak se měří výkonnost? Jak se schvalují výjimky? Jak se získává ujištění? Důkazy DSAR mohou podporovat cíle, jako jsou APO13 Managed Security, APO14 Managed Data a DSS06 Managed Business Process Controls.

Pohled auditora

Nevytvářejte samostatné důkazy pro každý rámec. Vytvořte jeden spolehlivý pracovní postup DSAR a dobře jej namapujte.

Metriky DSAR, které má vedení vidět

Vedení nemůže dohlížet na to, co nevidí. Užitečné metriky zahrnují objem žádostí podle typu práva, průměrnou dobu potvrzení přijetí, průměrnou dobu uzavření, plnění lhůt, míru žádostí o upřesnění identity, výjimky z výmazu, případy právní blokace, reakční doby dodavatelů, částečná zamítnutí, incidenty identifikované během vyřizování a otevřená nápravná opatření.

Tyto metriky ukazují, zda jsou práva subjektů údajů provozně zvládnutá, nebo závislá na mimořádném úsilí jednotlivců.

Běžné mezery v připravenosti na DSAR

Clarysec běžně vidí stejné slabiny napříč SaaS, fintech, profesionálními službami a cloud-first SME:

• Neexistuje vlastník pro každý systém obsahující osobní údaje
• Registr zpracování není sladěn se skutečným používáním SaaS
• Marketingové, analytické a datové skladové platformy jsou vyloučeny z vyhledávání
• Neexistuje dokumentovaný standard ověřování identity
• Před zpřístupněním neprobíhá přezkum redakce
• Výmaz v produkčním prostředí se provádí bez postupu pro zálohy
• Před výmazem neprobíhá kontrola právní blokace
• Omezení zpracování se řeší manuálně bez systémového příznaku
• Dodavatelské smlouvy neobsahují podmínky pomoci při DSAR
• Zamítnutí a částečná zamítnutí nejsou dokumentována
• Neprobíhá vzorkování dokončených DSAR v interním auditu
• Pracovníci první linie nejsou vyškoleni rozpoznávat žádosti

Kontrolní seznam připravenosti na DSAR pro rok 2026

Použijte jej jako test vyspělosti:

• Máme dokumentovaný proces příjmu, ověření, sledování a odpovědi na DSR?
• Potvrzujeme přijetí žádostí v definované interní SLA?
• Vedeme bezpečný registr DSR s omezeným přístupem?
• Máme aktuální registr činností zpracování s kategoriemi, účely, právními základy a dobami uchovávání?
• Známe každý systém, SaaS platformu, repozitář a dodavatele, který může uchovávat osobní údaje?
• Má každé relevantní aktivum odpovědného vlastníka?
• Dokážeme bezpečně exportovat osobní údaje?
• Dokážeme bezpečně vymazat osobní údaje tam, kde je to právně vyžadováno?
• Dokážeme technicky nebo procesně omezit zpracování?
• Kontrolujeme právní blokaci před výmazem?
• Dokumentujeme rozhodnutí o zamítnutí, částečném zamítnutí a výjimkách?
• Podporují dodavatelské smlouvy pomoc při DSAR?
• Testujeme pracovní postup prostřednictvím interního auditu nebo tabletop cvičení?
• Reportujeme výkonnost DSAR vedení?
• Mapujeme opatření DSAR do ošetření rizik podle ISO/IEC 27001:2022 a Prohlášení o použitelnosti?

Pokud je několik odpovědí „ne konzistentně“, další žádost může mezeru odhalit.

Přeměňte práva subjektů údajů na důkazy připravené na audit

Práva subjektů údajů v roce 2026 vyžadují více než dobré úmysly a schránku pro ochranu soukromí. Vyžadují pracovní postup, který dokáže najít data, ověřit identitu, činit zákonná rozhodnutí, koordinovat dodavatele, chránit zpřístupnění, provést výmaz, prosadit omezení zpracování a uchovat důkazy.

Clarysec pomáhá organizacím vybudovat tento pracovní postup bez vytváření paralelní compliance byrokracie. Začněte s Zenith Blueprint, abyste práva subjektů údajů umístili do správné fáze a kroků ISMS. Použijte Politiku ochrany dat a soukromí, Politiku ochrany dat a soukromí - SME, Politiku uchovávání údajů, Politiku uchovávání údajů a bezpečné likvidace - SME a Politiku požadavků na zabezpečení aplikací - SME společnosti Clarysec k vymezení vlastnictví a provozních pravidel.

Poté použijte Zenith Controls k mapování opatření ISO/IEC 27002:2022 5.9, 5.34 a 8.10 na důkazy napříč rámci souladu pro GDPR, ISO/IEC 27001:2022, NIS2, DORA, NIST CSF 2.0 a COBIT 2019 assurance.

Pokud chcete vědět, zda by vaše pracovní postupy DSAR, výmazu a omezení zpracování obstály při auditu už zítra, Clarysec vám může pomoci proces otestovat, uzavřít mezery a vybudovat soubor důkazů dříve, než dorazí další žádost. Stáhněte si příslušné šablony politik Clarysec nebo si objednejte posouzení připravenosti na DSAR, abyste přešli od reaktivní odpovědi k řízenému provozu ochrany soukromí připravenému na audit.