⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Testování opatření na ochranu soukromí podle ISO 27701 pro GDPR

Igor Petreski

Pátek odpoledne: audit ochrany soukromí odhalil skutečný problém

Je pátek 15:40 a Maria, CISO rychle rostoucí společnosti poskytující SaaS, se připojuje k videohovoru s vedoucím nákupu významného potenciálního podnikového zákazníka.

Její tým několik měsíců pracoval na systému řízení informací o soukromí. Politiky jsou schválené. Registr zpracování existuje. Společnost má plán připravenosti na ISO 27701. DPO má pracovní postupy pro žádosti subjektů údajů. Právní oddělení aktualizovalo smlouvy o zpracování osobních údajů. Vývojový tým potvrzuje, že přístup do produkčního prostředí je omezen.

Vedoucí nákupu zahajuje jednání zdvořile, ale přímo.

„Děkujeme za dokumentaci, Mario. Certifikát a balíček politik jsou dobrý výchozí bod. Náš tým pro náležitou péči bude příští měsíc na místě. Bude chtít vidět váš proces DSAR v praxi, ověřit opatření pro minimalizaci údajů na našich testovacích účtech, přezkoumat logy přístupu do produkčního prostředí a prověřit důkazy, že opatření na ochranu soukromí jsou testována, nikoli pouze dokumentována.“

Během několika minut Maria obdrží další dvě zprávy.

DPO se ptá, zda je nová analytická funkce pokryta registrem zpracování, posouzením právního základu, harmonogramem uchovávání údajů a přenesenými povinnostmi zpracovatele.

Manažer souladu s předpisy se ptá, zda přezkum připravenosti na ISO 27701:2025 dokáže prokázat, že opatření PIMS jsou provozně účinná.

V tomto okamžiku se řada programů ochrany soukromí začne hroutit. Organizace má dokumenty k ochraně soukromí, ale nemá důkazní oporu. Má pracovní postupy, ale nemá důkazy založené na vzorcích. Má smlouvy, ale slabé záznamy z monitorování. Má interní důvěru, ale žádnou obhajitelnou auditní stopu.

Tato mezera představuje rozdíl mezi papírovým souladem a prokazatelnou odpovědností.

GDPR tento problém formuluje výslovně. Správce odpovídá za dodržování zásad ochrany osobních údajů a musí být schopen jejich dodržování doložit. Osobní údaje musí být zpracovávány zákonně, korektně a transparentně, pro určené účely, v rozsahu omezeném na nezbytné údaje, přesně, uchovávány pouze po nezbytnou dobu a zabezpečeny prostřednictvím vhodných technických a organizačních opatření.

ISO 27701:2025 poskytuje organizacím strukturu řízení ochrany soukromí. ISO/IEC 27001:2022 poskytuje páteř ISMS pro rozsah, ošetření rizik, operativní řízení, interní audit, přezkoumání vedením a neustálé zlepšování. GDPR stanoví právní břemeno odpovědnosti. NIS2, DORA, NIST CSF 2.0, assurance podle COBIT 2019 a zákaznické bezpečnostní přezkumy zvyšují tlak na prokázání, že opatření skutečně fungují.

Pohled Clarysec je jednoduchý: testování opatření na ochranu soukromí nemá být každoroční hon na screenshoty. Má jít o důkazní systém PIMS, který propojuje činnosti zpracování, použitelná opatření, rizika, vzorky, technické kontroly, zjištění, CAPA a přezkoumání vedením do jednoho dohledatelného modelu.

Právě zde se sada politik PIMS od Clarysec, Zenith Blueprint: An Auditor’s 30-Step Roadmap a Zenith Controls: The Cross-Compliance Guide stávají provozními nástroji, nikoli materiálem do knihovny.

Testování opatření na ochranu soukromí je mostem mezi politikou a odpovědností

Test opatření na ochranu soukromí odpovídá na tři praktické otázky:

  1. Je opatření navrženo tak, aby splnilo povinnost v oblasti ochrany soukromí nebo snížilo riziko pro soukromí?
  2. Je opatření implementováno v příslušném procesu, systému, týmu, u dodavatele nebo v produktovém pracovním postupu?
  3. Je opatření v čase provozně účinné a podložené důkazy, které obstojí před auditorem, zákazníkem, dozorovým orgánem nebo výborem správní rady?

Společnost poskytující SaaS může tvrdit, že podporuje žádosti o výmaz. Test účinnosti návrhu ověřuje, zda jsou definovány politika výmazu, proces ověření identity, model vlastnictví, koordinace se zpracovateli, výjimky z uchovávání a nakládání se zálohami. Test provozní účinnosti vybírá vzorky dokončených žádostí o výmaz, porovnává časová razítka, kontroluje schválení, přezkoumává systémové logy, ověřuje oznámení navazujícím zpracovatelům a potvrzuje důkazy o uzavření.

Politika monitorování, auditu a zlepšování PIMS z toho činí auditovatelný požadavek:

[Obě role] Přezkoumávající osoba z interního auditu / souladu MUSÍ při každém auditu PIMS testovat stav implementace použitelných opatření PIMS vůči REG03.

Ze sekce „Program interních auditů PIMS“, ustanovení politiky 4.2.5.

Formulace „vůči REG03“ je klíčová. Testování není volný rozhovor. REG03 slouží jako reference použitelnosti a implementace opatření PIMS. Ukazuje, co je použitelné, proč je to použitelné a jaké důkazy mají existovat.

Stejná politika doplňuje:

[Obě role] Přezkoumávající osoba z interního auditu / souladu MUSÍ při každém auditu PIMS zaznamenat vybraný vzorek důkazů o zpracování PII do REG12.

Ze sekce „Program interních auditů PIMS“, ustanovení politiky 4.2.6.

To je jádro testování opatření na ochranu soukromí podle ISO 27701:2025. Audit PIMS bez vzorku je rozhovor. Audit PIMS s vybranými důkazy, mapováním opatření, výjimkami, nápravnými opatřeními a dohledatelností k přezkoumání vedením je odpovědnost.

Začněte rozsahem, rolí a reálným zpracováním

Většina slabých auditů ochrany soukromí selže ještě před zahájením testování. Vybírají se generická opatření bez ověření, jaké osobní údaje se zpracovávají, kde se nacházejí, které systémy a dodavatelé se jich dotýkají a zda organizace vystupuje jako správce, zpracovatel, společný správce nebo dílčí zpracovatel.

Povinnosti podle GDPR výrazně závisejí na roli. Správce, který rozhoduje, proč a jak jsou osobní údaje zpracovávány, má jiné povinnosti než zpracovatel jednající na základě dokumentovaných pokynů zákazníka. Záleží také na citlivosti údajů. Údaje zaměstnanců, údaje zákaznických účtů, telemetrie, finanční údaje, biometrické ověřování, údaje týkající se zdraví, screening sankčních seznamů a údaje o trestných činech nenesou stejné riziko.

Silný program testování podle ISO 27701:2025 začíná disciplinovaným vymezením rozsahu.

Otázka k vymezení rozsahuDůkazy k prověřeníProč je to důležité
Které činnosti zpracování PII jsou v rozsahu?Registr zpracování, mapa toků dat, inventář systémů, registr dodavatelůTestování musí vybírat vzorky reálného zpracování, nikoli abstraktní prohlášení v politikách
Která role PIMS se uplatní?Mapování správce, zpracovatele, společného správce a dílčího zpracovatelePovinnosti podle GDPR a opatření PIMS se liší podle role
Jaké právní, smluvní a regulatorní povinnosti se uplatní?Posouzení GDPR, zákaznické DPA, odvětvová pravidla, posouzení předáváníNávrh opatření musí odrážet skutečné povinnosti
Které systémy a dodavatelé zpracovávají PII?Evidence aktiv, evidence cloudových služeb, seznam zpracovatelů, matice přístupůProvozní testy vyžadují technické důkazy a důkazy od třetích stran
Které změny ovlivňují zpracování PII?Záznamy o produktových změnách, spouštěče DPIA, poznámky k vydání, přezkumy architekturyOchrana osobních údajů již od návrhu musí být testována před spuštěním, nikoli až po stížnostech

ISO/IEC 27001:2022 podporuje tento integrovaný přístup prostřednictvím požadavků na kontext organizace, požadavky zainteresovaných stran, právní a smluvní povinnosti, rozsah systému řízení, operativní plánování a řízení a ošetření rizik. V oblasti ochrany soukromí to znamená, že zpracování PII nemůže zůstávat v oddělené tabulce. Musí být součástí provozního modelu ISMS a PIMS.

Politika systému řízení informací o soukromí propojuje testování ochrany soukromí přímo se správou a řízením:

[Všechny role] Vrcholové vedení MUSÍ každoročně v REG12 přezkoumat výkonnost PIMS, cíle v oblasti ochrany soukromí, otevřená rizika, neshody, nápravná opatření a rozhodnutí o zlepšování.

Ze sekce „Správa a řízení PIMS“, ustanovení politiky 6.1.1.

Pokud testování identifikuje mezeru v ochraně soukromí, nejde pouze o auditní poznámku. Jde o vstup do systému řízení, který má ovlivnit ošetření rizik, priority, zdroje a rozhodnutí vedení.

Účinnost návrhu versus provozní účinnost

Když se zákazník ptá, zda jsou opatření na ochranu soukromí testována, obvykle má na mysli provozní účinnost. Auditoři však budou zkoumat také účinnost návrhu.

Opatření s účinným návrhem je způsobilé splnit požadavek, pokud je provedeno podle záměru. Provozně účinné opatření je skutečně prováděno konzistentně a je podloženo důkazy.

Oblast opatřeníTest účinnosti návrhuTest provozní účinnosti
Získání souhlasuOvěřit politiku, text souhlasu, pravidla právního základu, požadavky na UI, pracovní postup odvolání souhlasuVybrat vzorky záznamů o souhlasu a odvolání, porovnat časová razítka, ověřit potlačení zpracování po odvolání souhlasu
Účelové omezeníPřezkoumat RoPA, oznámení o ochraně osobních údajů, produktové požadavky, oddělení souhlasů, pravidla používání údajůVybrat vzorky uživatelských záznamů, logů, exportů a analytických toků a potvrdit, že PII nejsou znovu použity k neoprávněným účelům
Přístup k PIIPřezkoumat politiku přístupu, model rolí, postup pro nástupy, přesuny a odchody, schvalovací pracovní postupVybrat vzorky uživatelů s přístupem k PII, ověřit schválení, obchodní potřebu, MFA a nedávný přezkum přístupových oprávnění
Zařazení zpracovatelePřezkoumat kritéria náležité péče, ustanovení DPA, pravidla pro dílčí zpracovatele, záruky pro předáváníVybrat vzorek zpracovatele, prověřit posouzení, smlouvu, bezpečnostní přezkum a důkazy o monitorování dílčích zpracovatelů
Uchovávání a výmazPřezkoumat harmonogram uchovávání údajů, pravidla výjimek, postup výmazu a systémovou schopnostVybrat vzorky vymazaných záznamů nebo žádostí o výmaz, prověřit logy, tikety a potvrzení zpracovatelů
Zvládání porušení zabezpečeníPřezkoumat klasifikaci incidentů, eskalaci v oblasti ochrany soukromí a kritéria oznámení příslušnému orgánuVybrat vzorky záznamů o incidentech, ověřit triáž, odůvodnění rozhodnutí, oznámení a získané poznatky

Politika monitorování auditu a souladu vyjadřuje účel přímo:

Ověřovat účinnost bezpečnostních opatření a opatření na ochranu soukromí

Ze sekce „Účel“, ustanovení politiky 1.1.1.

Verze pro malé a střední podniky zachovává stejný princip ujištění v provozním jazyce. Politika monitorování auditu a souladu - SME uvádí:

Tato politika stanoví přístup organizace k provádění interních auditů, přezkumů bezpečnostních opatření a monitorování souladu. Zajišťuje, aby všechna opatření, politiky, systémy a poskytovatelé služeb podléhali pravidelnému a strukturovanému přezkumu.

Ze sekce „Účel“, ustanovení politiky 1.1.

Připravenost na ISO 27701 není otázkou velikosti společnosti. Zpracovatel SaaS s 30 zaměstnanci nemusí potřebovat stejné auditní nástroje jako globální banka, ale i tak musí prokázat, že přístup, výmaz, eskalace incidentů, správa a řízení dílčích zpracovatelů a uchovávání důkazů jsou řízené.

Řetězec důkazů Clarysec: REG03, REG12, CAPA a přezkum

Clarysec strukturuje testování opatření na ochranu soukromí kolem jednoduchého řetězce důkazů.

REG03 definuje použitelná opatření PIMS a stav implementace. REG12 zaznamenává vzorky, důkazy, zjištění, mezery v dohledatelnosti, ověření nápravných opatření a vstupy pro přezkoumání vedením. Záznamy CAPA převádějí zjištění na zlepšení založená na analýze kořenové příčiny. Vrcholové vedení přezkoumává výkonnost PIMS, rizika, neshody, nápravná opatření a rozhodnutí o zlepšování.

Politika dokumentovaných informací a správy důkazů PIMS vyžaduje zachycení problémů s kvalitou důkazů:

[Všechny role] Přezkoumávající osoba z interního auditu / souladu MUSÍ při každém plánovaném auditu nebo přezkumu souladu zaznamenat do REG12 mezery v úplnosti, přesnosti nebo dohledatelnosti důkazů.

Ze sekce „Vytváření, pojmenování a kvalita důkazů“, ustanovení politiky 4.3.4.

Je to důležité, protože ne každé zjištění znamená úplné selhání opatření. Někdy opatření fungovalo, ale důkazy jsou neúplné. Někdy je tiket k výmazu uzavřen, ale žádný systémový log neprokazuje výmaz. Někdy registr zpracování uvádí CRM, ale chybí v něm export do datového skladu. Někdy existuje smlouva s dodavatelem, ale chybí průběžné monitorování.

Politika monitorování auditu a souladu také vyžaduje strukturované interní audity:

Interní audity se musí řídit dokumentovaným postupem, který zahrnuje:

Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.1.1.

A při vzniku zjištění:

Všechna zjištění musí vést k dokumentovanému CAPA, které zahrnuje:

Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.2.1.

Politika řízení rizik - SME posiluje disciplínu uzavírání:

Dokončení a účinnost opatření k ošetření rizik musí být ověřeny.

Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.3.2.

Politika monitorování, auditu a zlepšování PIMS uzavírá smyčku:

[Všechny role] Přezkoumávající osoba z interního auditu / souladu MUSÍ do 30 dnů od nahlášeného uzavření nápravného opatření ověřit jeho účinnost v REG12.

Ze sekce „Neshoda a nápravné opatření“, ustanovení politiky 4.4.7.

To je rozdíl mezi vyřízením tiketu a zlepšením systému řízení.

Praktický test 1: žádosti o výmaz a odpovědnost podle GDPR

Žádosti o výmaz patří mezi nejjasnější způsoby, jak otestovat, zda odpovědnost v oblasti ochrany soukromí funguje v praxi.

Předpokládejme, že středně velká společnost poskytující SaaS vystupuje jako správce i zpracovatel. Řídí údaje zaměstnanců, marketingové údaje a fakturační údaje. Zpracovává údaje koncových uživatelů zákazníků jménem podnikových zákazníků. Organizace chce otestovat, zda jsou opatření výmazu připravena na audit ISO 27701:2025 a zákaznické ujištění podle GDPR.

Krok 1: Vyberte činnost zpracování z REG03

Vyberte činnost zpracování s reálným rizikem pro soukromí, například „údaje profilu koncového uživatele zákazníka zpracovávané v platformě SaaS“. Potvrďte, zda organizace vystupuje jako správce, zpracovatel nebo v obou rolích. Identifikujte navázaná opatření pro vyřizování práv, ověřování pokynů zpracovateli, uchovávání, výmaz, řízení přístupu, protokolování, nakládání se zálohami a koordinaci s dodavateli.

Krok 2: Definujte přesný cíl testu

Užitečný cíl testu je konkrétní a řízený důkazy:

„Ověřit, že žádosti o výmaz údajů profilu koncového uživatele zákazníka jsou přijaty, autentizovány nebo validovány vůči pokynu, zpracovány v rámci definovaného pracovního postupu, protokolovány, technicky dokončeny v produkčních systémech, podle potřeby předány relevantním dílčím zpracovatelům a uzavřeny s důkazy.“

Krok 3: Vyberte reprezentativní vzorek

Vyberte pět žádostí o výmaz z posledního čtvrtletí. Zahrňte jednu rutinní žádost, jednu žádost zahrnující zákaznického administrátora, jednu žádost podle pokynu zpracovateli, jednu žádost s výjimkou z uchovávání a jednu žádost, která se dotýká nakládání se zálohami.

Zenith Blueprint ve fázi Audit, Review & Improvement, krok 26: Audit Execution, zdůrazňuje vzorkování a shromažďování důkazů:

✓ Proveďte rozhovory s relevantními pracovníky: Požádejte osoby odpovědné za procesy, aby vysvětlily, jak splňují požadavky. Například se zeptejte vlastníka rizika na poslední posouzení rizik nebo se zeptejte personálního oddělení, jak jsou noví zaměstnanci školeni v oblasti bezpečnosti (pro pokrytí opatření 6.3 k povědomí).
✓ Přezkoumejte dokumentaci: Zkontrolujte, že dokumenty a záznamy existují a jsou aktuální.
✓ Sledujte praxi: Je-li to možné, proveďte přímé pozorování.
✓ Vzorkujte a provádějte namátkové kontroly: Nelze zkontrolovat vše, proto používejte vzorkování.

Z fáze Audit, Review & Improvement, krok 26: Audit Execution (provádění interního auditu).

Krok 4: Prověřte důkazy pro každý vzorek

U každé vybrané žádosti shromážděte vstupní tiket, klasifikaci role, ověření identity nebo zákaznickou autorizaci, systémový log výmazu, rozhodnutí o výjimce z uchovávání, vysvětlení nakládání se zálohami, oznámení dílčímu zpracovateli, komunikaci o uzavření, časová razítka a schválení přezkoumávající osobou.

Krok 5: Zaznamenejte výsledky do REG12

Do REG12 zaznamenejte vzorek, zdroj důkazů, výsledek opatření, výjimku a mezeru v dohledatelnosti. Pokud k výmazu došlo, ale neexistuje produkční log, opatření mohlo fungovat, avšak důkazy jsou slabé. Pokud byla žádost zpožděna kvůli nejasné odpovědnosti dodavatele, zjištění se může týkat správy a řízení třetích stran a smluvně přenesených povinností.

Krok 6: Vytvořte CAPA a ověřte účinnost

Pokud je kořenovou příčinou nejasné vlastnictví mezi podporou, právním oddělením a vývojem, CAPA může zahrnovat upravený pracovní postup, aktualizovanou matici RACI, povinná důkazní pole a měsíční kontroly vzorků výmazu.

Zenith Blueprint ve fázi Audit, Review & Improvement, krok 29, vysvětluje očekávání při uzavírání:

Naplánujte, jak budete ověřovat účinnost každého nápravného opatření. To může znamenat naplánování následného auditu nebo kontroly. Pokud například nápravným opatřením bylo proškolit pracovníky IT v oblasti řízení přístupu, můžete naplánovat přezkum nových účtů za jeden měsíc a ověřit, zda mají všechny řádná schválení (ověření).

Z fáze Audit, Review & Improvement, krok 29: Continual Improvement (nápravná opatření a získané poznatky).

U výmazu může ověření znamenat vzorkování dalších pěti žádostí o výmaz po nasazení upraveného pracovního postupu do produkce. Teprve poté má být CAPA uzavřeno.

Praktický test 2: účelové omezení a minimalizace údajů

Druhým vysoce hodnotným testem je účelové omezení. Je zvláště užitečné před zákaznickou náležitou péčí, spuštěním analytiky, obohacováním pomocí AI, rozšiřováním datového skladu nebo změnami v marketingové automatizaci.

Mariina platforma SaaS shromažďuje údaje uživatelů zákazníků pro poskytování služby. Cílem opatření je zajistit, aby PII byly používány pouze pro určené a oprávněné účely a nebyly znovu používány pro marketingovou analytiku, pokud uživatel neposkytl výslovný, samostatný souhlas tam, kde je vyžadován.

Typ důkazůKonkrétní artefakty
DokumentacePolitika ochrany osobních údajů a soukromí, RoPA, zákaznická DPA, oznámení o ochraně osobních údajů, záznamy správy souhlasů
Technická konfiguracePravidla nakládání s daty v aplikaci, databázová schémata, konfigurace API, nastavení ETL úloh
Logy a záznamyLogy přístupu do aplikace, logy databázových dotazů, historie změn souhlasu, záznamy exportů kampaní
Důkazy od pracovníkůRozhovory s vlastníkem produktu, vedoucím vývojářem, správcem databází a vlastníkem ochrany soukromí

Silný provozní test nekončí u politiky. Vybírá vzorky uživatelů, kteří se přihlásili k marketingu, i uživatelů, kteří se nepřihlásili. Sleduje, zda je stav souhlasu správně promítnut v klíčových aplikačních databázích, tabulkách datového skladu, nástrojích kampaní, řídicích panelech a exportech. Pokud se uživatelé bez souhlasu objeví v marketingovém publiku, organizace má konkrétní neshodu.

SME verze Politiky monitorování auditu a souladu vyjadřuje správný přístup prostřednictvím příkladu technického testování:

Ověření technických opatření (např. stav zálohování, konfigurace řízení přístupu, záznamy o záplatách)

Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.1.1.2.

V oblasti ochrany soukromí technické ověření opatření zahrnuje kontroly synchronizace souhlasů, exporty řízení přístupu, logy výmazu, nastavení šifrování, testy maskování dat, upozornění DLP, omezení záloh, monitorované události a důkazy od dodavatelů.

Mapování testování ochrany soukromí na ISO/IEC 27001:2022 a průřezový soulad Clarysec

Opatření na ochranu soukromí nefungují izolovaně. Ochrana PII závisí na evidenci aktiv, klasifikaci, řízení přístupu, správě a řízení cloudu, maskování dat, předávání informací, protokolování, monitorování, výmazu, ochraně záznamů, dohledu nad dodavateli a nezávislém přezkumu.

V Zenith Controls: The Cross-Compliance Guide je opatření přílohy A ISO/IEC 27001:2022 5.34, Ochrana soukromí a ochrana PII, namapováno jako preventivní opatření sladěné s důvěrností, integritou a dostupností, s koncepty kybernetické bezpečnosti Identify a Protect a s provozními schopnostmi v oblasti ochrany informací a právních a compliance oblastí.

Jeho vztah k evidenci je přímý:

Evidence informačních aktiv (5.9) by měla zahrnovat datové soubory PII (zákaznické databáze, HR složky). To podporuje 5.34 tím, že organizace ví, jaké PII má a kde se nacházejí, což je první krok k jejich ochraně.

Ze Zenith Controls, Ochrana soukromí a ochrana PII, opatření 5.34.

Pro auditní testování to znamená, že auditor ochrany soukromí nemá začínat pouze oznámením o ochraně osobních údajů. Má začít evidencí PII, registrem zpracování, toky dat, evidencí aktiv a evidencí dodavatelů. Pokud je evidence neúplná, navazující opatření na ochranu soukromí nemohou být plně spolehlivá.

Průvodce také mapuje opatření přílohy A ISO/IEC 27001:2022 5.34 na související opatření, jako jsou 5.9 Evidence informací a dalších souvisejících aktiv, 5.12 Klasifikace informací, 5.14 Přenos informací, 5.15 Řízení přístupu, 5.16 Správa identit, 5.23 Bezpečnost informací při používání cloudových služeb, 5.33 Ochrana záznamů, 8.11 Maskování dat, 8.12 Prevence úniku dat a 8.10 Výmaz informací.

Zvláště relevantní jsou dvě další opatření přílohy A ISO/IEC 27001:2022:

Opatření ISO/IEC 27001:2022Relevance pro testování ochrany soukromíPříklad důkazů
5.34 Ochrana soukromí a ochrana PIIPotvrzuje, že požadavky na ochranu soukromí a PII jsou implementovány na základě právních předpisů, regulace a smluvRegistr zpracování, DPIA, záznamy právního základu, důkazy DSR, logy uchovávání
5.35 Nezávislý přezkum bezpečnosti informacíPoskytuje objektivní validaci, že nastavení bezpečnosti, včetně opatření relevantních pro soukromí, je nezávisle přezkoumávánoZprávy z interního auditu, výsledky externího přezkumu, vzorky REG12, záznamy CAPA
5.36 Soulad s politikami, pravidly a normami bezpečnosti informacíPotvrzuje průběžný soulad s interními pravidly a normamiPřezkumy dodržování politik, kontroly přístupu, výsledky monitorování, logy výjimek

Politika ochrany osobních údajů a soukromí vyžaduje:

Interní audit souladu v oblasti ochrany soukromí musí být prováděn každoročně nebo při významných organizačních či regulačních změnách. Rozsah auditu musí zahrnovat:

Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.4.

Dále zahrnuje:

Účinnost technických a organizačních opatření

Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.4.1.

Politika ochrany osobních údajů a soukromí - SME zachovává stejné očekávání prakticky:

Pravidelné audity ochrany soukromí nebo kontroly opatření musí být prováděny a zaznamenávány

Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.3.3.

Proč je odpovědnost podle GDPR nyní otázkou kybernetické správy a řízení

Důkazy o ochraně soukromí již nevyžadují pouze auditoři ochrany soukromí. Stejný důkaz může požadovat auditor ISO 27701:2025, auditor ISO/IEC 27001:2022, přezkoumávající osoba podle GDPR, příslušný orgán podle NIS2, zákazník regulovaný podle DORA, hodnotitel NIST CSF nebo výbor správní rady pro rizika.

NIS2 Article 21 vyžaduje, aby základní a důležité subjekty zavedly vhodná a přiměřená technická, provozní a organizační opatření pro řízení rizik kybernetické bezpečnosti. Article 21(2)(f) výslovně zahrnuje politiky a postupy pro posuzování účinnosti opatření k řízení rizik kybernetické bezpečnosti. NIS2 také činí vedoucí orgány odpovědnými za schvalování opatření k řízení rizik kybernetické bezpečnosti a dohled nad nimi.

DORA se na finanční subjekty použije od 17. ledna 2025 a stanoví podrobný soubor pravidel digitální provozní odolnosti. Vyžaduje řízení rizik v oblasti ICT, dohled vedoucího orgánu, interní audit, nápravu kritických zjištění, klasifikaci a hlášení incidentů, testování odolnosti, řízení rizik třetích stran v oblasti ICT, smluvní ujednání, registry ujednání o ICT službách a exit strategie. Poskytovatelé ICT, kteří obsluhují finanční subjekty, mají očekávat důkazní požadavky řízené DORA prostřednictvím zákaznického ujištění.

NIST CSF 2.0 poskytuje užitečnou překladovou vrstvu. Jeho funkce GOVERN očekává, že organizace rozumí očekáváním zainteresovaných stran, závislostem a právním, regulačním, smluvním povinnostem, povinnostem v oblasti ochrany soukromí a občanských svobod. Přístup Profiles pomáhá porovnat aktuální výsledky s cílovými výsledky, identifikovat mezery a prioritizovat akční plány.

Tlak požadavkuCo má testování opatření na ochranu soukromí vytvořitUkotvení v Clarysec
Odpovědnost podle GDPRDůkazy, že zásady, právní základ, práva, zabezpečení, uchovávání a povinnosti zpracovatele jsou prokazatelně splněnyPolitiky PIMS, REG03, REG12, CAPA
Připravenost na ISO 27701:2025Otestovaná opatření PIMS, použitelnost podle rolí, kvalita důkazů, interní audit, přezkoumání vedenímPolitika monitorování, auditu a zlepšování PIMS
Ujištění podle ISO/IEC 27001:2022Dohledatelnost ošetření rizik, odůvodnění SoA, operativní řízení, audit, přezkum, zlepšováníZenith Blueprint, průvodce průřezovým souladem Zenith Controls
Správa a řízení podle NIS2Posouzení účinnosti, připravenost na incidenty, opatření u dodavatelů, dohled vedeníMapování opatření přílohy A ISO/IEC 27001:2022 5.35 a 5.36
Ujištění podle DORATestování opatření ICT, testování odolnosti, důkazy od třetích stran, záznamy životního cyklu incidentůModel auditních důkazů mapovaný napříč rámci
NIST CSF 2.0Aktuální profil, cílový profil, analýza mezer, prioritizované zlepšováníZenith Blueprint, kroky 24, 26, 29

Zenith Blueprint v kroku 24 posiluje dohledatelnost:

Vaše SoA by mělo být konzistentní s Registrem rizik a Plánem ošetření rizik. Dvakrát zkontrolujte, že každé opatření, které jste zvolili jako ošetření rizika, je v SoA označeno jako „Applicable“. Naopak, pokud je opatření v SoA označeno jako „Applicable“, měli byste pro něj mít odůvodnění – obvykle namapované riziko, právní/regulační požadavek nebo obchodní potřebu.

Z fáze Audit, Review & Improvement, krok 24: Audit, Review & Improvement.

U testování opatření na ochranu soukromí platí stejný princip pro použitelnost PIMS. Každé použitelné opatření na ochranu soukromí má být dohledatelné k riziku zpracování, právní povinnosti, požadavku zákazníka nebo obchodní potřebě. Každý test má být dohledatelný zpět k tomuto opatření.

Jak různí auditoři posoudí stejné opatření

Silný program testování ochrany soukromí předvídá pohled auditora. Stejné opatření výmazu, řízení přístupu nebo zařazení zpracovatele bude vykládáno odlišně podle kontextu přezkumu.

Pohled auditoraPravděpodobná auditní otázkaOčekávané důkazy
Auditor ISO 27701:2025Jsou opatření PIMS podle rolí implementována, hodnocena a zlepšována?Použitelnost REG03, vzorky REG12, registr zpracování, mapování politik, výsledky auditu
Auditor ISO/IEC 27001:2022Je opatření související s ochranou soukromí integrováno do ošetření rizik, SoA, operativního řízení, interního auditu a přezkoumání vedením?Registr rizik, odůvodnění SoA, plán ošetření rizik, důkazy o opatřeních, zápisy z přezkoumání vedením
Přezkoumávající osoba podle GDPRMůže správce doložit soulad se zásadami a povinnostmi podle GDPR?Právní základ, oznámení, logy DSR, DPIA, smlouvy, záznamy o porušení zabezpečení, důkazy uchovávání
Hodnotitel NIST CSFZná organizace povinnosti, definuje cílové výsledky, měří mezery a zlepšuje se?Aktuální a cílový profil, plán řešení mezer, prioritizace rizik, záznamy o správě a řízení
Zákazník nebo dozorový orgán orientovaný na DORAJsou opatření ICT testována, incidenty klasifikovány, dodavatelé monitorováni a kritické služby odolné?Program testování, záznamy o incidentech, registr dodavatelů, smlouvy, exit plány
Auditor ve stylu ISACA nebo COBIT 2019Jsou cíle, vlastnictví, metriky, uzavírání problémů a dohled nad správou a řízením účinné?RACI, KPI, logy problémů, ověření CAPA, reportování vedení

Proto je REG12 tak hodnotný. Převádí soulad v oblasti ochrany soukromí na auditovatelné důkazy správy a řízení.

Častá zjištění při testování opatření PIMS

Clarysec opakovaně vidí stejná zjištění z auditů ochrany soukromí u organizací připravujících se na certifikaci ISO 27701:2025, zákaznické ujištění podle GDPR nebo podnikovou náležitou péči.

Registr zpracování neodpovídá systémové realitě

Registr zpracování uvádí CRM a platformy podpory, ale vývojáři přidali analytické exporty, logy observability, nástroje AI a tabulky datového skladu.

Reakce testu: vyberte vzorky systémů z evidence aktiv a evidence cloudových služeb a porovnejte je s registrem zpracování. Jako auditní odůvodnění použijte vztah mezi opatřeními přílohy A ISO/IEC 27001:2022 5.9 a 5.34.

Přístup k PII je schválen, ale není pravidelně přezkoumáván

Počáteční schválení existují, ale přezkumy privilegovaného přístupu nezahrnují nástroje podpory pro vydávání se za uživatele, produkční databáze, BI dashboardy ani nouzové účty.

Reakce testu: vyberte vzorky aktivních uživatelů s přístupem k PII a porovnejte roli, obchodní potřebu, schválení, stav MFA, poslední přihlášení a důkazy o přezkumu.

Smlouvy se zpracovateli existují, ale monitorování je slabé

DPA je podepsaná, ale dodavatelský dotazník je zastaralý. Nikdo nepřezkoumal změny dílčích zpracovatelů, lokality dat, bezpečnostní stav ani povinnosti oznamování incidentů.

Reakce testu: vyberte vzorky kritických zpracovatelů a prověřte náležitou péči, smluvní ustanovení, změny dílčích zpracovatelů, záruky pro předávání a záznamy z monitorování. To podporuje GDPR, očekávání NIS2 pro dodavatelský řetězec a očekávání DORA pro rizika třetích stran.

Reakce na incidenty existuje, ale klasifikace z hlediska ochrany soukromí je nekonzistentní

Bezpečnostní incidenty jsou protokolovány, ale dopad na ochranu soukromí není vždy posuzován. Kritéria pro porušení zabezpečení podle GDPR nejsou konzistentně dokumentována. Povinnosti oznamování zákazníkům jsou řešeny neformálně.

Reakce testu: vyberte vzorky incidentů zahrnujících expozici dat a prověřte klasifikaci, eskalaci v oblasti ochrany soukromí, právní přezkum, rozhodnutí o oznámení, uchování důkazů, kořenovou příčinu a získané poznatky.

CAPA je uzavřeno bez ověření účinnosti

Postup je aktualizován a zjištění je uzavřeno. Nikdo netestuje, zda se další vzorek zlepšil.

Reakce testu: ověřte účinnost nápravného opatření v REG12 do 30 dnů od nahlášeného uzavření, jak vyžaduje Politika monitorování, auditu a zlepšování PIMS.

Devadesátidenní sprint testování opatření na ochranu soukromí

Organizacím směřujícím k připravenosti na ISO 27701:2025, zákaznické náležité péči nebo přezkumu odpovědnosti podle GDPR doporučuje Clarysec zaměřený 90denní sprint.

Časový rámecZaměřeníVýstupy
Dny 1 až 15Rozsah a důkazní modelRole PIMS, registr zpracování, použitelnost REG03, prioritní rizika, právní povinnosti, závislosti na dodavatelích, pravidla pojmenování důkazů
Dny 16 až 35Testování návrhuPřezkum politik, RACI, oznámení o ochraně osobních údajů, právní základ, spouštěče DPIA, pracovní postupy DSR, klasifikace incidentů, harmonogramy uchovávání údajů, opatření u dodavatelů
Dny 36 až 65Provozní testováníVzorky pro přístup, výmaz, incidenty, zpracovatele, předávání, uchovávání, školení, technické monitorování, důkazy REG12
Dny 66 až 80CAPA a ošetření rizikKořenová příčina, nápravné opatření, vlastník, termín splnění, zbytkové riziko, metoda ověření
Dny 81 až 90Připravenost na přezkoumání vedenímBalíček výkonnosti PIMS, cíle, otevřená rizika, neshody, nápravná opatření, problémy s dodavateli, rozhodnutí o zlepšování

Na konci sprintu by organizace měla být schopna odpovědět na otázky, které auditoři skutečně kladou:

  • Jaké PII zpracováváte?
  • V jaké roli?
  • Která opatření se uplatní?
  • Proč jsou použitelná?
  • Jaké důkazy prokazují, že jsou implementována?
  • Jaký vzorek prokazuje, že fungují?
  • Jaké mezery byly zjištěny?
  • Jaká nápravná opatření byla přijata?
  • Kdo ověřil účinnost?
  • Co vrcholové vedení přezkoumalo a o čem rozhodlo?

Od papírové ochrany soukromí k prokazatelné odpovědnosti

Certifikát ISO 27701 je hodnotný, ale není konečným cílem. Zákazníci, dozorové orgány, správní orgány a auditoři stále častěji očekávají důkaz, že opatření na ochranu soukromí jsou navržena, implementována, monitorována, napravována a řízena.

Soulad v oblasti ochrany soukromí selhává, pokud je pojímán jako dokumentační projekt. Obstojí při prověřování, pokud se stane testovaným důkazním systémem.

Clarysec pomáhá organizacím přejít od deklarovaného souladu k prokazatelné odpovědnosti propojením politik PIMS, použitelnosti REG03, vzorků důkazů REG12, ověření CAPA, přezkoumání vedením a mapování napříč rámci prostřednictvím Zenith Blueprint: An Auditor’s 30-Step Roadmap a Zenith Controls: The Cross-Compliance Guide.

Pokud se vaše organizace připravuje na certifikaci ISO 27701:2025, přezkum odpovědnosti podle GDPR, zákaznické ujištění v oblasti ochrany soukromí, důkazy správy a řízení podle NIS2 nebo náležitou péči dodavatelů řízenou DORA, začněte zaměřeným workshopem pro testování opatření na ochranu soukromí.

Clarysec vám může pomoci namapovat použitelnost REG03, vytvořit auditní vzorky REG12, otestovat prioritní opatření PIMS, sladit zjištění s CAPA a připravit výstupy pro přezkoumání vedením, které obstojí při prověřování.

Váš příští audit ochrany soukromí nemá být honem na screenshoty. Má být jistou demonstrací toho, že ochrana soukromí funguje, je doložená důkazy, přezkoumávaná a průběžně zlepšovaná.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article