⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Žádosti o zpřístupnění PII podle GDPR a ISO 27701

Igor Petreski
14 min read
Auditovatelný pracovní postup pro žádosti o zpřístupnění PII podle GDPR a ISO 27701

Žádost přichází v pátek v 16:47

Manažer péče o zákazníky přepošle právnímu oddělení e-mail s předmětem: „URGENT POLICE REQUEST.“ V příloze je naskenovaný dopis požadující údaje o účtu, historii přihlášení, IP adresy, platební záznamy a „jakékoli další relevantní informace“ k uvedené osobě. Odesílatel tvrdí, že je z útvaru pro boj s kyberkriminalitou. E-mail požaduje zpřístupnění do 24 hodin a žádá, aby organizace „neinformovala subjekt údajů“.

Současně tým bezpečnostního provozu vyšetřuje neobvyklou aktivitu ve stejném zákaznickém účtu. DPO je v jiném časovém pásmu. CISO se ptá, zda jde o incident, právní žádost, zpřístupnění podle GDPR, nebo o vše současně. Obchodní tým chce „plně spolupracovat“. Podpora chce vědět, zda může exportovat zákaznický profil. Někdo navrhne odeslat celý záznam z CRM, protože „orgány požádaly o všechno“.

Toto je mezera ve správě a řízení.

Většina organizací má politiku ochrany soukromí, plán reakce na incidenty a proces pro žádosti subjektů údajů o přístup k osobním údajům. Mnohé zvládají prověrku dodavatelů, komunikaci s regulačními orgány a oznamování porušení zabezpečení. Výrazně méně organizací má opakovatelný pracovní postup pro vynucené nebo úřední žádosti o zpřístupnění PII od orgánů činných v trestním řízení, regulačních orgánů, soudů, daňových orgánů, finančních dohledových orgánů, telekomunikačních regulátorů, útvarů pro boj s kyberkriminalitou nebo zahraničních orgánů veřejné moci.

Tato mezera je nebezpečná. Vyhovění podvodné žádosti se může stát porušením zabezpečení osobních údajů. Odmítnutí legitimní žádosti může vytvořit právní expozici. Odpověď bez řízeného procesu může vést k nadměrnému zpřístupnění, narušení řetězce opatrování důkazů, zmeškání lhůt, nezákonnému mezinárodnímu předávání a selhání při auditu.

Podle GDPR, ISO 27701:2025 a ISO/IEC 27001:2022 není úřední žádost o zpřístupnění PII jen záležitostí schránky právního oddělení. Dotýká se právního základu, odpovědnosti, účelového omezení, minimalizace údajů, důvěrnosti, schvalování podle rolí, správy a řízení mezinárodního předávání, pokynů zpracovateli, uchování důkazů, bezpečného předání a auditních stop.

Praktický test je jednoduchý: když žádost přijde, dokáže vaše organizace prokázat, že ověřila žadatele, posoudila právní titul, minimalizovala zpřístupnění, získala správná schválení, ochránila důkazy, zaznamenala rozhodnutí a uchovala auditovatelnou stopu?

Postoj Clarysec je jasný. Žádosti orgánů činných v trestním řízení a regulačních orgánů o zpřístupnění PII musí být řízeným pracovním postupem ochrany soukromí a bezpečnosti informací, nikoli improvizovanou e-mailovou odpovědí.

Proč jsou úřední žádosti o zpřístupnění PII jiné

Běžné ujednání o externím sdílení údajů obvykle začíná obchodním účelem. Dodavatel potřebuje údaje zaměstnanců pro zpracování mezd. Poskytovatel SaaS zpracovává identifikátory zákazníků. Partner dostává transakční údaje na základě smlouvy. Vzor správy a řízení je známý: due diligence, smlouva o zpracování osobních údajů, bezpečnostní požadavky, posouzení předávání, podmínky uchovávání a průběžné monitorování.

Žádosti orgánů činných v trestním řízení a regulačních orgánů o zpřístupnění PII jsou jiné. Jsou vyvolané konkrétní událostí, časově citlivé, často důvěrné a někdy právně závazné. Mohou přijít mimo nákupní kanály. Mohou požadovat široké kategorie PII. Mohou zakazovat oznámení. Mohou zahrnovat zahraniční orgány. Mohou přijít během incidentu, vyšetřování podvodu, právní blokace uchování, regulačního přezkumu nebo vyšetřování kyberkriminality.

Z toho vyplývají tři okamžité požadavky na správu a řízení.

Za prvé, organizace musí vědět, kdo smí odpovědět. Pracovník první linie nemá rozhodovat, zda je policejní žádost platná, zda je formulace regulačního orgánu závazná nebo zda je zakázáno informovat zákazníka.

Za druhé, spolupráce musí být oddělena od nadměrného zpřístupnění. GDPR nebrání zákonné spolupráci s orgány, ale stále vyžaduje platný právní základ, korektnost, transparentnost tam, kde je použitelná, účelové omezení, minimalizaci údajů, integritu, důvěrnost a odpovědnost.

Za třetí, důkazy musí být uchovány. Pokud se žádost vztahuje k incidentu, podvodné události, soudní věci nebo šetření dozorového orgánu, mazání logů, úprava záznamů nebo export údajů bez dohledatelnosti mohou poškodit soulad i právní obhajitelnost.

Nejsilnější provozní model propojuje správu a řízení ochrany soukromí, právní schválení, nakládání s důkazy, reakci na incidenty, bezpečné předání a kontakt s orgány do jednoho pracovního postupu.

Skupina opatření Clarysec: orgány, soukromí a důkazy

V Zenith Controls: The Cross-Compliance Guide považuje Clarysec správu a řízení zpřístupnění údajů orgánům činným v trestním řízení a regulačním orgánům za propojenou skupinu opatření, nikoli za samostatný úkol ochrany soukromí. Ústředními opatřeními ISO/IEC 27002:2022 jsou 5.5 Kontakt s orgány, 5.28 Sběr důkazů a 5.34 Ochrana soukromí a PII. Podpůrné vazby na opatření zahrnují klasifikaci a označování, řízení přístupu, vztahy s dodavateli, řízení incidentů, protokolování, synchronizaci času, kryptografii, maskování, výmaz a předávání informací.

Je to důležité, protože úřední žádosti o zpřístupnění mohou selhat v několika bodech. Tým ochrany soukromí může ověřit právní základ, ale nezajistit uchování důkazů. SOC může uchovat logy, ale zpřístupnit příliš mnoho PII. Právní oddělení může schválit odpověď, ale zapomenout aktualizovat registr zpřístupnění. Zpracovatel může odpovědět přímo orgánu, přestože měl žádost předat správci.

Zenith Blueprint: An Auditor’s 30-Step Roadmap posiluje toto provozní propojení ve fázi Opatření v praxi, krok 22, v části Kontakt s orgány:

Opatření 5.5 zajišťuje, že organizace je připravena komunikovat s externími orgány, když je to potřeba, nikoli reaktivně nebo pod tlakem, ale prostřednictvím předem definovaných, strukturovaných a dobře pochopených kanálů.

Stejná část rámuje otázky, které musí být zodpovězeny před tím, než přijde skutečná žádost:

Princip je jednoduchý: pokud by se vaše organizace stala cílem kybernetického útoku, byla zapojena do porušení zabezpečení dat nebo byla předmětem vyšetřování, kdo by rozhodl o kontaktování orgánů? Jak by věděl, co má říct? Za jakých podmínek by byl takový kontakt zahájen? Tyto otázky musí být zodpovězeny předem, nikoli až po události.

Pro ochranu PII rámuje Zenith Blueprint ve fázi Opatření v praxi, krok 23, ochranu soukromí jako povinnost v průběhu celého životního cyklu:

Opatření 5.34 vyžaduje, aby organizace chránily soukromí fyzických osob zavedením vhodných opatření pro nakládání s PII během celého jejich životního cyklu.

U důkazů stejná fáze a krok vysvětlují, proč je neformální nakládání rizikové:

Opatření 5.28 uznává, že po incidentu je to, co dokážete prokázat, stejně důležité jako to, co se skutečně stalo.

Společně tyto tři principy definují model správy a řízení: vědět, kdo komunikuje s orgány, chránit PII po celý životní cyklus zpřístupnění a uchovat důkazy právně obhajitelným způsobem.

Pohled GDPR a ISO 27701:2025 na vynucené zpřístupnění

ISO 27701:2025 posiluje potřebu disciplíny systému řízení informací o soukromí. PIMS má definovat, jak správci PII a zpracovatelé PII řeší úřední žádosti o zpřístupnění, včetně příjmu, ověření, právního přezkumu, autorizace, evidence, minimalizace, bezpečného předání, uchovávání a přezkumu po odpovědi.

U správce je klíčovou otázkou, zda organizace určuje účely a prostředky zpracování, a proto musí rozhodnout, zda a jak je zpřístupnění zákonné. U zpracovatele je otázkou, zda vůbec smí údaje zpřístupnit bez pokynu správce, pokud to právní předpis nevyžaduje. U dílčího zpracovatele jsou směrování a přenesené povinnosti ještě citlivější.

GDPR posiluje stejné provozní požadavky. Zpřístupnění orgánu veřejné moci je stále zpracováním. Organizace potřebuje právní základ podle Article 6, zdokumentovaný účel, odpovídající zabezpečení, minimalizaci údajů podle Article 5(1)(c) a důkazy o odpovědnosti podle Article 5(2). V mnoha případech bude právním základem Article 6(1)(c), zpracování nezbytné pro splnění právní povinnosti, ale až poté, co právní oddělení ověří žádost a jurisdikci.

Pokud žádost přichází od zahraničního orgánu veřejné moci, stávají se nezbytnými správa a řízení předávání a přezkum DPO. Pokud se žádost týká zpracovatele, musí být ověřena smluvní pravidla pro oznámení a pokyny. Pokud se žádost vztahuje ke kybernetickému bezpečnostnímu incidentu, odpověď musí být sladěna s požadavky na zvládání incidentů a sběr důkazů.

Sada politik Clarysec převádí tyto požadavky do provozních pravidel.

Podniková P17 Politika ochrany dat a soukromí, ustanovení 6.1.1, uvádí:

Veškeré zpracování musí být založeno na platném právním základu (např. souhlas, smlouva, právní povinnost).

Stejná politika, ustanovení 6.2.1, doplňuje oporu pro minimalizaci:

Shromažďovat a zpracovávat lze pouze údaje nezbytné pro konkrétní legitimní obchodní účel.

Pro SME uvádí P17S Politika ochrany dat a soukromí - SME, ustanovení 6.2.1:

Shromažďovány a uchovávány musí být pouze minimální nezbytné osobní údaje

Tato ustanovení jsou důležitá, když žádost požaduje „veškeré informace“, „úplnou historii“ nebo „jakékoli související záznamy“. Správnou odpovědí není exportovat každé pole. Správnou odpovědí je ověřit žádost, určit právně požadovaný rozsah, zpřístupnit pouze nezbytné PII, zdokumentovat rozhodnutí a uchovat důkazy.

Od e-mailové paniky k řízenému zpřístupnění

Vyspělý pracovní postup musí být dostatečně jednoduchý, aby jej pracovníci první linie dokázali dodržet, a zároveň dostatečně důsledný pro auditory, regulační orgány a soudy. Clarysec doporučuje sedmistupňový model.

FázeCíl opatřeníPrimární vlastníkVytvořené důkazy
1. Příjem a karanténaZabránit neformální odpovědi nebo náhodnému zpřístupněníService desk, podatelna právního oddělení, vedoucí ochrany soukromíTiket žádosti, původní zpráva, přílohy, časové razítko
2. Ověření autenticityPotvrdit identitu žadatele, pravomoc, jurisdikci a právní nástrojPrávní oddělení, DPO, tým compliancePoznámky k ověření, ověření kontaktu na orgán, posouzení právního základu
3. Určení roleRozhodnout, zda organizace jedná jako správce, zpracovatel, společný správce nebo dílčí zpracovatelVedoucí ochrany soukromí, vlastník smlouvyPosouzení role v PIMS, záznam pokynu zákazníka, pokud jde o zpracovatele
4. Minimalizace rozsahuPřevést žádost na konkrétní kategorie PII a časová obdobíVlastník procesu, bezpečnost, právní odděleníVýpis mapování dat, rozhodnutí o minimalizaci, poznámky k začernění
5. SchváleníZajistit autorizované rozhodnutí před zpřístupněnímDPO, právní oddělení, CISO, vlastník obchodní oblastiZáznam o schválení, záznam o výjimce, pokud je věc urgentní
6. Bezpečné zpřístupněníPředat pouze schválené údaje řízenými kanályBezpečnost, právní provozLog předání, důkazy o šifrování, potvrzení příjemce
7. Registr a přezkumUchovat důkazy o odpovědnosti a získané poznatkymanažer PIMS, manažer complianceZáznam v REG08, REG09 nebo REG12, auditní stopa, přezkum uzavření

Prvním pravidlem je směrování. Každý zaměstnanec má vědět, že úřední žádosti o PII směřují do definovaného příjmového kanálu. Nikdo nemá odpovídat z osobní schránky. Nikdo nemá volat žadateli na telefonní číslo uvedené v neověřeném dopise. Nikdo nemá exportovat zákaznická data před tím, než žádost přezkoumá právní oddělení a funkce ochrany soukromí.

Podniková P30 Politika reakce na incidenty, ustanovení 6.5.5, podporuje tuto disciplínu směrování:

Jakékoli zapojení orgánů činných v trestním řízení nebo poskytovatelů forenzních služeb musí být koordinováno prostřednictvím právního týmu a CISO.

Toto ustanovení je obzvlášť důležité, pokud je žádost o zpřístupnění spojena s podvodem, kyberkriminalitou, kompromitací účtu, ransomwarem, vnitřní hrozbou nebo vyšetřováním porušení zabezpečení. Právní a bezpečnostní funkce musí koordinovat postup, nikoli pracovat paralelně.

Podniková P37 Politika právního a regulačního souladu, ustanovení 7.3.1.2, řídí externí vyjádření:

Jakákoli ústní nebo písemná vyjádření regulačním orgánům musí být předem schválena

Ustanovení 7.3.1.3 doplňuje disciplínu lhůt a důkazů:

Lhůty pro odpověď musí být sledovány a logy důkazů udržovány

Tato pravidla nejsou byrokratickou překážkou. Brání neúmyslným přiznáním, neřízenému zpřístupnění, zmeškání lhůt a slabým důkazům.

Disciplína schvalování a registrů: auditní důkazy, které týmům nejčastěji chybí

Mnoho organizací dokáže předložit původní e-mail s žádostí. Méně jich dokáže doložit, kdo zpřístupnění schválil, jaký právní základ byl použit, proč byla určitá pole zahrnuta nebo vyloučena, jak byl žadatel ověřen, zda byl subjekt údajů informován nebo oprávněně neinformován a kde byla odpověď zaznamenána.

Právě zde se registry PIMS Clarysec stávají ústředním prvkem.

Pro správce požaduje podniková PII09 Politika shromažďování, používání, zpřístupňování a sdílení PII, ustanovení 4.4.1:

[Správce] Vlastník procesu / vlastník obchodní oblasti MUSÍ zaznamenat výsledek přezkumu vedoucího ochrany soukromí / manažera PIMS v REG08 před zahájením jakéhokoli nového externího zpřístupnění nebo ujednání o sdílení údajů.

Ustanovení 4.4.2 specifikuje, co musí být zachyceno u opakovaného sdílení:

[Správce] Vlastník dodavatele / nákupu MUSÍ před zahájením opakovaného externího sdílení zaznamenat v REG08 identitu příjemce, roli příjemce, účel zpřístupnění, kategorie PII, četnost sdílení, místo zpracování a zdroj pravomoci.

Pro zpracovatele poskytuje podniková PII12 Politika řízení zpracovatelů, dílčích zpracovatelů a třetích stran v oblasti ochrany soukromí, ustanovení 4.5.3, zvláštní pravidlo pro právně závazné a zákazníkem autorizované žádosti:

[Zpracovatel] Vlastník dodavatele / nákupu MUSÍ zaznamenat žádosti třetích stran o zpřístupnění, právně závazné žádosti o zpřístupnění nebo zákazníkem autorizované žádosti o zpřístupnění v REG08 před zpřístupněním, nebo do dvou pracovních dnů, pokud předchozí záznam není povolen nebo provozně možný.

Pro žádosti zahraničních orgánů veřejné moci je podniková PII13 Politika mezinárodního předávání PII, ustanovení 4.4.3, konkrétnější:

[Obě role] Vedoucí ochrany soukromí / manažer PIMS MUSÍ zaznamenat žádosti zahraničních orgánů veřejné moci o zpřístupnění v REG09 nebo REG12 před zpřístupněním, je-li to proveditelné, nebo do jednoho pracovního dne, pokud předchozí záznam proveditelný není.

Ustanovení 4.4.4 doplňuje disciplínu přezkumu:

[Obě role] Pověřenec pro ochranu osobních údajů / poradce pro ochranu soukromí MUSÍ před odpovědí přezkoumat žádosti zahraničních orgánů veřejné moci o zpřístupnění, které jsou významné z hlediska ochrany osobních údajů, v REG09 nebo REG12, je-li to proveditelné.

Registr zpřístupnění je jednotným zdrojem pravdy organizace. Nemá být nahrazován roztříštěnými e-maily, soukromými chatovými vlákny ani ad hoc tabulkami.

Pole registruCo prokazuje
ID žádostiŽádost byla jedinečně sledována
Zdroj žádostiOrgán nebo žadatel byl identifikován
Zdroj právní pravomociPrávní nástroj nebo pravomoc byly posouzeny
Role v PIMSByly zváženy povinnosti správce, zpracovatele, společného správce nebo dílčího zpracovatele
Požadované kategorie PIIPůvodní rozsah žádosti byl zachycen
Schválené kategorie PIIKonečné zpřístupnění bylo řízené
Vyloučené PIIMinimalizace údajů byla aktivně uplatněna
Schvalovací řetězecByla zaznamenána schválení právního oddělení, DPO, CISO a obchodních funkcí
Způsob předáníByla použita opatření pro bezpečné předání
Rozhodnutí o oznámeníByla posouzena omezení nebo odklady transparentnosti
Uchovávání a uzavřeníDůkazy byly uchovány a věc byla uzavřena

Praktický příklad: žádost regulačního orgánu v REG08

Představte si, že regulovaná fintech společnost obdrží písemnou žádost národního finančního regulačního orgánu o PII související s podezřelými transakcemi jednoho zákazníka za období 90 dnů. Žádost požaduje záznamy o ověření identity, transakční logy, identifikátory zařízení, tikety podpory a interní rizikové poznámky.

S využitím sady nástrojů Clarysec otevře vedoucí ochrany soukromí záznam o zpřístupnění v REG08.

Pole REG08Příklad záznamu
ID žádostiREG08-2026-041
Zdroj žádostiNárodní finanční regulační orgán, ověřeno prostřednictvím oficiálního adresáře kontaktů dohledu
Typ žádostiŽádost regulačního orgánu o zpřístupnění PII
Role v PIMSSprávce
Zdroj právní pravomociZákonná žádost dohledu o informace, reference FIN-REQ-7781
ÚčelVyšetřování podezřelých transakcí u uvedeného zákazníka
Požadované kategorie PIIÚdaje o ověření identity, transakční logy, identifikátory zařízení, komunikace s podporou, rizikové poznámky
Schválené kategorie PIITransakční logy, identifikátory zařízení, relevantní pole ověření identity, dva tikety podpory v rámci časového období
Vyloučené PIINesouvisející historie podpory, interní názory analytiků mimo časové období, odkazy na zákazníky třetích stran
Odůvodnění minimalizaceRozsah omezen na uvedeného zákazníka, období 90 dnů a záznamy relevantní k transakcím identifikovaným v žádosti
Přezkum DPOSchváleno s pokyny k začernění
Právní schváleníSchváleno, formulace odpovědi přezkoumána
Přezkum CISOSchválen bezpečný export a způsob předání
Způsob předáníŠifrovaný archiv prostřednictvím zabezpečeného portálu regulačního orgánu
Oznámení subjektu údajůOdloženo kvůli právnímu omezení v žádosti, stanoveno datum přezkumu
UchováváníZáznam žádosti a balíček zpřístupnění uchovány podle harmonogramu právní blokace uchování
Důkazy o uzavřeníPotvrzení o podání na portálu, hash balíčku zpřístupnění, schvalovací řetězec

To je rozdíl mezi „vyhověli jsme“ a „dokážeme prokázat, že jsme vyhověli zákonně a přiměřeně“. Pokud si zákazník později stěžuje, pokud se orgán doptává nebo pokud auditor vybere zpřístupnění do vzorku, záznam ukazuje logiku správy a řízení.

Uchování důkazů: nepoškoďte fakta ve snaze pomoci

Když je žádost orgánu činného v trestním řízení nebo regulačního orgánu spojena s vyšetřováním, správa a řízení ochrany soukromí se protíná s forenzním šetřením a právní blokací uchování. Zpřístupňovaná data jsou často důkazem a samotné jejich shromáždění musí zachovat integritu.

Politika právního a regulačního souladu - SME, ustanovení 6.4.1, stanovuje kontext:

V případě sporu, vyšetřování nebo právní žádosti:

Ustanovení 6.4.1.2 poskytuje jasný pokyn:

Zaměstnanci nesmí mazat ani měnit materiály, které mohou tvořit součást vyšetřování.

P31S Politika sběru důkazů a forenzního šetření - SME, ustanovení 2.2.5, výslovně zahrnuje:

Regulační šetření nebo dotazy orgánů činných v trestním řízení

Ustanovení 5.2.1 stanoví disciplínu protokolování:

Každá položka digitálních důkazů musí být zaznamenána s těmito údaji:

V provozních podmínkách by log důkazů měl zachytit jedinečný identifikátor, datum a čas sběru, jméno osoby provádějící sběr, zdrojové umístění a případně kryptografický hash. Cílem je dohledatelnost. Pokud se logy exportují ručně, názvy souborů se mění, časová razítka jsou nejasná nebo není uchován žádný hash, organizace může mít později potíže prokázat integritu.

Silný pracovní postup pro důkazy také omezuje přístup. Balíčky zpřístupnění mají být uloženy v omezených úložištích, šifrovány při přenosu, sledovány prostřednictvím logů předání a uchovávány podle požadavků právní blokace uchování a uchovávání. Pokud se žádost o zpřístupnění překrývá s reakcí na incident, tým musí vědět, kdy přejít z režimu nápravy do vyšetřovacího režimu.

Mapování souladu napříč rámci: jeden pracovní postup, mnoho povinností

Dobře navržený pracovní postup pro žádosti o zpřístupnění PII může naplnit více rámců bez duplicitní práce. Zenith Controls pomáhá organizacím mapovat stejné provozní důkazy napříč očekáváními v oblasti ochrany soukromí, kybernetické bezpečnosti, provozní odolnosti a správy a řízení.

RámecCo auditor nebo regulační orgán očekáváJak to podporuje pracovní postup Clarysec
ISO 27701:2025Role PIMS, správa a řízení zákonného zpřístupnění, pokyny zpracovateli, záznamy o zpřístupnění PII, ošetření rizik pro soukromíUrčení role, REG08, REG09, REG12, přezkum DPO, odůvodnění minimalizace
GDPRPrávní základ, odpovědnost, minimalizace údajů, bezpečnost, rozhodnutí o transparentnosti, správa a řízení zpracovatelů a předáváníPosouzení právní pravomoci, schvalovací řetězec, omezený balíček zpřístupnění, důkazy o bezpečném předání
ISO/IEC 27001:2022 a ISO/IEC 27002:2022Kontakt s orgány, sběr důkazů, ochrana PII, řízení přístupu, protokolování, kryptografie, výmazMatice kontaktů na příslušné orgány, log důkazů, bezpečný export, záznam hashe, rozhodnutí o uchovávání
NIS2Disciplína hlášení incidentů, spolupráce s příslušnými orgány, odpovědnost v oblasti správy a řízení, povědomí o dodavatelském řetězciKoordinace právního oddělení a CISO, lhůty pro odpověď, registr kontaktů na příslušné orgány, vazba na incident
DORASpráva a řízení ICT incidentů u finančních subjektů, komunikace s regulačním orgánem, připravenost důkazů, riziko IKT třetích stranSměrování žádostí regulačního orgánu, záznamy o bezpečném zpřístupnění, uchování důkazů o incidentu, rozhraní na dodavatele
NIST Cybersecurity FrameworkVýsledky govern, identify, protect, detect, respond a recover pro kybernetické bezpečnostní událostiVlastnictví politik, evidence aktiv, řízení přístupu, protokolování, pracovní postup reakce, přezkum po odpovědi
COBIT 2019Cíle správy a řízení pro soulad, rizika, bezpečnost, správu informací a ujištěníRozhodovací pravomoci, vlastnictví procesů, auditní záznamy, dohled vedení, neustálé zlepšování

Relevantní jsou i podpůrné normy ISO. ISO/IEC 27035 pomáhá strukturovat řízení incidentů, pokud žádost souvisí s incidentem. ISO/IEC 27037 podporuje identifikaci, sběr, získávání a uchování digitálních důkazů. ISO/IEC 27018 je užitečná tam, kde veřejní cloudoví zpracovatelé nakládají s PII. ISO/IEC 27017 podporuje odpovědnosti za bezpečnost v cloudu. ISO 22301 je relevantní, pokud musí kontakt s orgány a povinnosti zpřístupnění pokračovat i během krizových podmínek. ISO/IEC 27006-1:2024 je významná nepřímo, protože certifikační auditoři očekávají konzistentní, auditovatelnou implementaci opatření systému řízení v rámci rozsahu.

Cílem není budovat samostatný proces souladu pro každý rámec. Cílem je navrhnout jeden obhajitelný pracovní postup, který vytváří opakovaně použitelné důkazy.

Jak budou různí auditoři pracovní postup testovat

Auditor ISO/IEC 27001:2022 obvykle začne integrací do systému řízení. Bude se ptát, zda organizace určila zainteresované strany, právní a regulační požadavky, rizika, cíle opatření, dokumentované postupy, přiřazené odpovědnosti a uchovávané důkazy. U žádostí o zpřístupnění může vybrat do vzorku incidenty, korespondenci s regulačními orgány, seznamy kontaktů na orgány, logy důkazů a záznamy ochrany soukromí. Pravděpodobně otestuje opatření Annex A A.5.5 Kontakt s orgány, A.5.28 Sběr důkazů a A.5.34 Ochrana soukromí a PII.

Posuzovatel ISO 27701:2025 se zaměří na jasnost rolí PIMS. Byli jste správcem, zpracovatelem, společným správcem nebo dílčím zpracovatelem? Pokud správcem, kde je právní základ a záznam o zpřístupnění? Pokud zpracovatelem, jednali jste podle pokynů správce, pokud jste nebyli právně nuceni postupovat jinak? Byl zákazník informován tam, kde to bylo vyžadováno nebo smluvně očekáváno? Byly žádosti zahraničních orgánů veřejné moci zaznamenány a přezkoumány?

Regulační orgán podle GDPR se zaměří na odpovědnost. Otázka nebude pouze „měli jste právní povinnost?“. Bude znít: „proč bylo zpřístupněno právě toto množství údajů, kdo to schválil, jak byl žadatel ověřen, jaké zabezpečení chránilo předání, jak jste posoudili transparentnost a kde je záznam?“

Posuzovatel orientovaný na NIST prověří výsledky správy a řízení a reakce. Bude se ptát, zda byly definovány role, zda byly uchovány logy, zda byl omezen přístup k balíčkům zpřístupnění, zda byly zdokumentovány činnosti reakce a zda získané poznatky zlepšily program.

Auditor COBIT 2019 nebo ISACA otestuje správu a řízení rozhodovacích pravomocí. Může se ptát, zda vedení definovalo vlastníka procesu, zda jsou odděleny odpovědnosti právního oddělení, ochrany soukromí, bezpečnosti a obchodních útvarů, zda jsou výjimky schvalovány, zda se reportují metriky a zda se ujištění může opřít o důkazy.

Regulační orgán, auditor, CISO a DPO mohou stejný záznam vnímat různě. Odborník na ochranu soukromí vidí záznam o zákonném zpřístupnění. Bezpečnostní auditor vidí uchování důkazů a bezpečné předání. Auditor správy a řízení vidí odpovědnost a rozhodovací pravomoci. Organizace by měla být schopna odpovědět všem z týchž důkazů o opatřeních.

Běžné vzorce selhání

Clarysec opakovaně vidí stejná selhání, kterým lze předejít.

Prvním je neformální kontakt s orgány. Policista zavolá podpoře, podpora chce být nápomocná a zaměstnanec ústně potvrdí údaje o účtu. Bez ověření, bez schválení, bez záznamu.

Druhým je nadměrné zpřístupnění. Organizace odešle celý zákaznický spis místo konkrétních záznamů a požadovaného časového období. Tím vzniká zbytečné riziko podle GDPR a oslabuje se důvěra.

Třetím je překročení role zpracovatele. Poskytovatel SaaS obdrží žádost orgánu činného v trestním řízení o PII řízené zákazníkem a odpoví bez oznámení zákazníkovi nebo jeho zapojení, přestože smlouva a role v PIMS vyžadují směrování, pokud to není právně zakázáno.

Čtvrtým je chybějící přezkum zahraničního orgánu. Žádost od zahraničního orgánu veřejné moci je považována za běžné zpřístupnění, bez posouzení předávání, přezkumu DPO nebo záznamu v REG09 či REG12.

Pátým je slabé nakládání s důkazy. Logy se exportují ručně, časová razítka jsou nejasná, názvy souborů se mění a neexistuje hash ani záznam řetězce opatrování důkazů.

Šestým je neřízená důvěrnost. Do žádosti je zkopírováno příliš mnoho zaměstnanců, včetně osob bez principu potřeby znát. Citlivé detaily vyšetřování se šíří chatovacími kanály.

Sedmým je nejasnost lhůt. Organizace zmešká právně významné datum odpovědi, protože žádost zůstává v e-mailové schránce místo sledovaného pracovního postupu.

Každému selhání lze předejít předem definovanými kanály, registry, schváleními a standardy důkazů.

Role a rozhodovací pravomoci

Praktický model správy a řízení definuje rozhodovací pravomoci ještě před tím, než přijde první žádost.

RoleOdpovědnost v pracovním postupu zpřístupnění
Pracovník první liniePředat žádost do schváleného příjmového kanálu, neodpovídat věcně, nezpřístupňovat PII
Právní týmOvěřit právní nástroj, jurisdikci, pravomoc, omezení důvěrnosti a formulaci odpovědi
DPO nebo poradce pro ochranu soukromíPosoudit dopady podle GDPR a ISO 27701:2025, minimalizaci, transparentnost, roli v PIMS a otázky předávání
CISOSchválit bezpečný sběr důkazů, bezpečný export, způsob předání a vazbu na incident
Vlastník procesuIdentifikovat relevantní systémy a kategorie dat, potvrdit obchodní kontext
Manažer PIMSUdržovat REG08, REG09 nebo REG12, sledovat výsledek přezkumu, uchovávat auditní důkazy
Schvalovatel z vrcholového vedeníSchvalovat vysoce riziková, zahraniční, strategická nebo reputačně citlivá zpřístupnění
Vlastník dodavatele nebo nákupuKoordinovat záznamy žádostí souvisejících s třetími stranami nebo zpracovateli a smluvní povinnosti

Tento model má být začleněn do školení bezpečnostního povědomí. Zaměstnanci nemusí znát každou právní nuanci, ale musí znát pravidlo: úřední žádosti jdou do definovaného kanálu a PII se nezpřístupňují bez autorizace.

Kontrolní seznam připravenosti pro další simulační cvičení

Použijte tento kontrolní seznam při workshopu správy a řízení ochrany soukromí, interním auditu nebo simulačním cvičení.

  • Máme jednotný příjmový kanál pro žádosti orgánů činných v trestním řízení a regulačních orgánů o zpřístupnění PII?
  • Vědí zaměstnanci, že nesmějí odpovídat neformálně?
  • Ověřujeme identitu žadatele pomocí nezávislých kontaktních zdrojů?
  • Rozlišujeme žádosti regulačních orgánů, soudní příkazy, žádosti orgánů činných v trestním řízení, zákazníkem autorizované žádosti a žádosti zahraničních orgánů veřejné moci?
  • Určujeme před odpovědí, zda jsme správce, zpracovatel, společný správce nebo dílčí zpracovatel?
  • Dokumentujeme právní základ, právní pravomoc, jurisdikci a omezení důvěrnosti?
  • Uplatňujeme minimalizaci údajů a začerňujeme nesouvisející PII?
  • Vyžadujeme přezkum DPO nebo poradce pro ochranu soukromí u žádostí významných z hlediska ochrany osobních údajů?
  • Vyžadujeme koordinaci právního oddělení a CISO tam, kde se jedná o orgány činné v trestním řízení nebo forenzní otázky?
  • Zaznamenáváme zpřístupnění prováděná správcem v REG08?
  • Zaznamenáváme žádosti zahraničních orgánů veřejné moci v REG09 nebo REG12?
  • Sledujeme lhůty pro odpověď a udržujeme logy důkazů?
  • Uchováváme potenciálně relevantní materiály a bráníme jejich smazání nebo změně?
  • Zabezpečujeme balíčky zpřístupnění šifrováním, řízením přístupu a protokolováním předání?
  • Provádíme přezkum po odpovědi u vysoce rizikových žádostí?
  • Reportujeme metriky a získané poznatky vedení?

Pokud je odpověď na kteroukoli z těchto otázek „obvykle to řešíme e-mailem“, proces ještě není připraven k auditu.

Začleňte pracovní postup do ISMS a PIMS

Nejlepší model správy a řízení nežije pouze v právním oddělení. Je součástí ISMS a PIMS.

V Zenith Blueprint doporučuje fáze Základy a vedení ISMS, krok 5, plánovat externí komunikaci a určit, kdo komunikuje s regulačními orgány, zákazníky, partnery a veřejností. Uvádí, že právní poradce se může podílet na formulaci komunikace s regulačními orgány. Tento princip se přímo vztahuje na úřední žádosti o zpřístupnění PII.

Fáze Opatření v praxi následně operacionalizuje pracovní postup prostřednictvím kontaktu s orgány, ochrany PII a sběru důkazů. Proto 30krokový průvodce Clarysec nepovažuje ochranu soukromí, bezpečnost a soulad za oddělené pracovní proudy. Skutečná žádost prochází všemi třemi oblastmi.

Pro vlastníky obchodních oblastí je přínosem omezení chaosu. Pro CISO vyjasňuje, kdy lze bezpečnostní důkazy shromáždit, zpřístupnit nebo uchovat. Pro DPO vytváří prokazatelnou odpovědnost podle GDPR a ISO 27701:2025. Pro manažery compliance vytváří registry a auditní stopy. Pro auditory vytváří jasnou cestu od požadavku politiky k provozním důkazům.

Další kroky s Clarysec

Žádost regulačního orgánu nebo orgánu činného v trestním řízení není okamžikem, kdy se má vymýšlet proces správy a řízení ochrany soukromí. Je to okamžik, kdy je váš proces testován.

Začněte simulačním cvičením. Použijte realistickou žádost týkající se kyberkriminality, regulačního orgánu nebo zahraničního orgánu veřejné moci. Požádejte právní oddělení, DPO, CISO, podporu a příslušného vlastníka procesu, aby prošli příjem, ověření, určení role, minimalizaci, schválení, bezpečné předání, záznam do registru, uchování důkazů a přezkum uzavření.

Poté porovnejte své odpovědi s provozním modelem Clarysec:

  • Použijte Zenith Blueprint: An Auditor’s 30-Step Roadmap k začlenění kontaktu s orgány, externí komunikace, ochrany PII a sběru důkazů do plánu implementace ISMS a PIMS.
  • Použijte Zenith Controls: The Cross-Compliance Guide k namapování očekávání ISO 27701:2025, GDPR, ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, NIST a COBIT 2019 do jednoho kontrolního narativu připraveného pro audit.
  • Použijte politiky Clarysec pro ochranu dat a soukromí, reakci na incidenty, právní a regulační soulad, sběr důkazů a forenzní šetření, zpřístupnění PII, řízení zpracovatelů a mezinárodní předávání k definování pravidel pracovního postupu, registrů, schválení a požadavků na důkazy.

Clarysec pomáhá týmům přejít od reaktivní paniky k řízenému provedení. Stáhněte si příslušné sady nástrojů Clarysec, proveďte simulační cvičení a objednejte posouzení správy a řízení zpřístupnění, abyste měli jistotu, že vaše další odpověď bude zákonná, minimální, schválená, zaznamenaná, bezpečná a auditovatelná.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Bezpečnostní spis produktu podle CRA 2026 s ISO 27001

Bezpečnostní spis produktu podle CRA 2026 s ISO 27001

Praktický plán pro vytvoření bezpečnostního spisu produktu podle CRA s využitím ISO/IEC 27001:2022, správy SBOM, koordinovaného oznamování zranitelností, dodavatelských důkazů a monitorování po uvedení na trh.

Řízení bezpečného vzdáleného přístupu a VPN pro NIS2 a DORA

Řízení bezpečného vzdáleného přístupu a VPN pro NIS2 a DORA

Vzdálený přístup již není úzké IT téma. V roce 2026 musí VPN, MFA, přístup dodavatelů, bezpečnostní stav koncových bodů, protokolování a důkazy o záplatování obstát u auditorů ISO 27001, doložit odpovědnost vedení podle NIS2, splnit pravidla řízení rizik v oblasti ICT podle DORA a bezpečnostní povinnosti podle GDPR Article 32.