Upravljanje DPIA-om za ISO 27001, NIS2 i DORA
Četvrtak je, 17:40, a od Marije, CISO-a brzo rastuće fintech tvrtke, traži se da odobri izdanje prije kraja tromjesečja.
Proizvodni tim to naziva iskorakom: značajka za autentifikaciju plaćanja temeljenu na biometriji i bihevioralnoj analitici koja će korisnicima omogućiti neometan pristup i smanjiti prijevare. Inženjerski tim navodi da se ne izrađuje nova temeljna baza podataka. Prodaja kaže da regulirani financijski klijent čeka. Voditelj izdanja već je zahtjev označio kao standardnu promjenu.
Tada službenik za zaštitu podataka (DPO) postavlja tri pitanja.
Hoće li značajka kombinirati biometrijske ili bihevioralne podatke s atributima računa? Hoće li podizvršitelj obrade u oblaku primati telemetriju ili autentifikacijske signale? Je li itko procijenio stvara li promjena visok rizik za pojedince?
U prostoriji nastaje tišina.
Maria ima registar rizika prema ISO/IEC 27001:2022. Pravni tim ima GDPR evidenciju aktivnosti obrade. Nabava ima upitnik za dobavljače. Tim za oblak ima sigurnosni pregled pružatelja usluge. Voditelj promjena ima zahtjev za promjenu. Upravni odbor upravo je informiran o odgovornosti prema NIS2 i očekivanjima operativne otpornosti prema DORA-i.
Nijedan od tih zapisa sam za sebe ne daje cjelovitu sliku.
To je problem upravljanja DPIA-om u 2026. Procjene učinka na zaštitu podataka ne smiju stajati u mapi za privatnost čekajući regulatora. Moraju postati zapisi odluka koji povezuju GDPR Articles 25, 30, 32, 35 i 36 s dokazima o riziku prema ISO/IEC 27001:2022, mjerama upravljanja rizicima kibernetičke sigurnosti prema NIS2, upravljanjem IKT promjenama prema DORA-i, dokazima sigurnosti dobavljača i odgovornošću na razini upravnog odbora.
Organizacije koje imaju poteškoće obično ne ignoriraju usklađenost. One odvojeno provode pregled privatnosti, sigurnosni pregled, pregled oblaka i pregled promjena. Organizacije koje uspijevaju uspostavljaju jedan sljediv upravljački tijek u kojem okidači DPIA-e, procjena rizika, dubinska analiza dobavljača, mapiranje kontrola, testiranje i odobrenje preostalog rizika čine jedan lanac dokaza.
Zašto izolirane DPIA-e ne uspijevaju u 2026.
GDPR je uveo DPIA kao formalni mehanizam za procjenu obrade za koju je vjerojatno da će prouzročiti visok rizik za pojedince. U mnogim je organizacijama to postao pravni zadatak ili zadatak privatnosti: obrazac koji se popunjava kada projekt izgleda osjetljivo.
Takav model više nije dokaziv ni održiv.
Promjena obrade osobnih podataka rijetko je samo događaj povezan s privatnošću. Ona je također:
- događaj rizika informacijske sigurnosti prema ISO/IEC 27001:2022;
- događaj upravljanja kibernetičkom sigurnošću prema NIS2 ako su zahvaćeni mrežni i informacijski sustavi, dobavljači ili sigurnosne kontrole;
- događaj IKT promjene i otpornosti prema DORA-i za financijske subjekte i relevantne pružatelje IKT usluga;
- događaj rizika dobavljača i oblaka kada su uključeni izvršitelji obrade, podizvršitelji obrade, sučelja za programiranje aplikacija, SDK-ovi ili hostirane usluge.
Kada se te procjene provode odvojeno, praznine postaju opasne. Tim za privatnost može odobriti DPIA-u bez razumijevanja ranjivosti u biometrijskom SDK-u. IT tim može pustiti promjenu, a da ne shvati kako uključuje posebne kategorije podataka ili bihevioralno praćenje. Sigurnosni tim može pregledati uslugu u oblaku bez povezivanja s konkretnim rizicima za prava i slobode utvrđenima u DPIA-i.
Rješenje nije više dokumentacije. Rješenje je integrirano upravljanje.
DPIA se mora tretirati kao okidač koji pokreće koordinirani tijek upravljanja rizicima kroz privatnost, sigurnost, oblak, dobavljače, inženjering, pravne poslove i upravu.
Temelj GDPR-a: upravljanje DPIA-om počinje razumijevanjem obrade
DPIA ne može biti vjerodostojna ako organizacija ne može objasniti što obrađuje, zašto to obrađuje, tko prima podatke i koliko se dugo podaci čuvaju.
Odgovornost prema GDPR-u zahtijeva više od izjave namjere. Article 5 utvrđuje temeljna načela kao što su zakonitost, poštenost, transparentnost, ograničavanje svrhe, smanjenje količine podataka, točnost, ograničenje pohrane, cjelovitost i povjerljivost. Također zahtijeva da voditelj obrade može dokazati usklađenost. Article 25 zahtijeva ugrađenu i zadanu zaštitu podataka. Article 30 zahtijeva evidenciju aktivnosti obrade. Article 32 zahtijeva sigurnost obrade. Article 35 zahtijeva DPIA-u kada je vjerojatno da će obrada prouzročiti visok rizik. Article 36 zahtijeva prethodno savjetovanje kada visok rizik ostaje bez dostatnog ublažavanja.
Za SaaS, fintech, organizacije u oblaku i organizacije koje pružaju upravljane usluge to znači da svaka značajna promjena mora biti provjerena s aspekta učinka na privatnost. Okidač nije to je li projekt označen kao „privatnost”. Okidač je utječe li promjena na osobne podatke, svrhu obrade, pravnu osnovu, primatelje, rokove zadržavanja, prava pristupa, dobavljače, lokacije u oblaku ili preostali rizik.
Clarysecova Politika zaštite podataka i privatnosti - SME pretvara to u operativni zahtjev:
„Koordinator za privatnost mora voditi registar svih aktivnosti obrade osobnih podataka, uključujući kategorije podataka, svrhu, pravnu osnovu i razdoblja zadržavanja”
Iz odjeljka „Zahtjevi upravljanja”, točka politike 5.2.1.
Ista SME politika ugrađuje privatnost u isporuku:
„Zaštita privatnosti u fazi projektiranja i zaštita privatnosti prema zadanim postavkama moraju se provoditi u svim novim sustavima i uslugama”
Iz odjeljka „Zahtjevi upravljanja”, točka politike 5.3.1.
Za korporativna okruženja Clarysecova Politika zaštite podataka i privatnosti jasno uspostavlja DPIA kao kontrolnu točku:
„Sve značajne promjene sustava ili procesa koji uključuju osobne podatke (PII) zahtijevaju dokumentiranu Procjenu učinka na zaštitu podataka (DPIA), koju pregledava službenik za zaštitu podataka (DPO).”
Iz odjeljka „Zahtjevi upravljanja”, točka politike 5.6.
Ta je točka most između odgovornosti prema GDPR-u i operativne kontrole. Premješta DPIA-u iz naknadne pravne provjere u upravljanje projektima i odobravanje promjena.
Povezivanje DPIA-e s dokazima o riziku prema ISO/IEC 27001:2022
ISO/IEC 27001:2022 daje strukturu sustava upravljanja koja je potrebna za upravljanje DPIA-om.
Točke 4.1 do 4.4 zahtijevaju da organizacija razumije svoj kontekst, zainteresirane strane, zahtjeve, opseg ISMS-a i međusobno povezane procese. Zakoni o privatnosti, ugovori s klijentima, obveze prema NIS2, zahtjevi DORA-e, dužnosti izvršitelja obrade i ovisnosti o dobavljačima pripadaju tom kontekstu.
Točke 5.1 do 5.3 zahtijevaju vodstvo, usklađenost politika, resurse, uloge i odgovornosti. Ovdje mnoge DPIA-e ne uspijevaju. DPO može utvrditi visok rizik, ali bez vlasnika rizika, pravila eskalacije i kriterija prihvaćanja rizika koje podupire uprava, DPIA postaje dokument umjesto odluke.
Točke 6.1.1 do 6.1.3 zahtijevaju planiranje temeljeno na riziku, dokumentirani proces procjene rizika informacijske sigurnosti, kriterije prihvaćanja rizika, vlasnike rizika, planiranje obrade rizika, odabir kontrola, Izjavu o primjenjivosti i odobrenje preostalog rizika. To je struktura koju DPIA mora koristiti.
DPIA može utvrditi štete kao što su rizik profiliranja, neovlašteno otkrivanje, nezakonita sekundarna uporaba, prijevara identiteta, diskriminacija ili prekomjerno zadržavanje. ISMS prevodi te štete u scenarije rizika, analizu vjerojatnosti i utjecaja, aktivnosti obrade rizika, kontrole iz Priloga A i odobrenja preostalog rizika.
Clarysecova Politika upravljanja rizicima - SME definira minimalnu disciplinu:
„Svaki unos rizika mora uključivati: opis, vjerojatnost, utjecaj, ocjenu, vlasnika i plan obrade rizika.”
Iz odjeljka „Zahtjevi upravljanja”, točka politike 5.1.2.
Za korporativna okruženja Clarysecova Politika upravljanja rizicima povezuje planiranje obrade rizika s dokazima prema ISO/IEC 27001:2022:
„Službenik za rizike mora osigurati da su obrade rizika realistične, vremenski ograničene i mapirane na kontrole iz Priloga A norme ISO/IEC 27001.”
Iz odjeljka „Zahtjevi za provedbu politike”, točka politike 6.4.2.
Zenith Blueprint: revizorov plan puta u 30 koraka, faza Upravljanje rizicima, korak 13, Planiranje obrade rizika i Izjava o primjenjivosti, jasno objašnjava ulogu SoA-e:
„SoA je zapravo povezni dokument: povezuje vašu procjenu/obradu rizika sa stvarnim kontrolama koje imate.”
To je revizijski spreman model DPIA-e. Nalaz DPIA-e ne smije završiti s „rizik prihvaćen”. Mora se mapirati na registar rizika, plan obrade rizika, Izjavu o primjenjivosti, pregled dobavljača, dubinsku analizu oblaka, zahtjev za promjenu, dokaze testiranja i odluku uprave.
Jedan zapis odluke, više izlaza za usklađenost
Zreo tijek upravljanja DPIA-om ne duplicira svaku regulativu. Dokaze prikuplja jednom i inteligentno ih ponovno koristi.
| Pitanje upravljanja DPIA-om | Stvoreni dokazi | Dokazi prema ISO/IEC 27001:2022 | Vrijednost za odgovornost prema GDPR-u | Vrijednost za NIS2 ili DORA-u |
|---|---|---|---|---|
| Koja se obrada mijenja? | Ažuriranje evidencije aktivnosti obrade i ulazni zapis DPIA-e | Dokazi o opsegu, kontekstu, imovini i procesima | Podupire evidenciju obrade i ugrađenu zaštitu podataka | Pokazuje svijest o operativnom riziku |
| Što bi moglo naštetiti pojedincima? | Scenarij rizika za privatnost i procjena učinka | Rezultat procjene rizika i vlasnik rizika | Podupire obrazloženje DPIA-e i odgovornost | Usklađuje se s upravljanjem kibernetičkom sigurnošću temeljenim na riziku |
| Koje kontrole smanjuju rizik? | Zaštitne mjere, tehničke i organizacijske mjere (TOM) i plan obrade rizika | SoA, plan obrade rizika i status implementacije Priloga A | Podupire sigurnost obrade i zadanu zaštitu podataka | Podupire mjere kibernetičke sigurnosti i upravljanje IKT rizikom |
| Tko još obrađuje podatke ili im pristupa? | Pregled dobavljača, izvršitelja obrade i oblaka | Dokazi o kontrolama dobavljača i oblaka | Podupire nadzor izvršitelja obrade i upravljanje prijenosima | Podupire rizik opskrbnog lanca i IKT trećih strana |
| Što se promijenilo u produkciji? | Zapis promjene, dokazi testiranja i odobrenje | Dokazi upravljanja promjenama i operativnih kontrola | Pokazuje da su kontrole razmotrene prije izdanja | Podupire očekivanja u pogledu rizika promjena i otpornosti |
| Tko je prihvatio preostali rizik? | Odobrenje DPO-a, vlasnika rizika i uprave | Prihvaćanje preostalog rizika i ulaz za preispitivanje uprave | Pokazuje odgovorno donošenje odluka | Podupire nadzor upravnog odbora ili upravljačkog tijela |
Taj lanac dokaza izravno je usklađen s ISO/IEC 27001:2022 točkom 8.1, koja zahtijeva planirane i kontrolirane operativne procese, dokumentirane dokaze, kontrolu planiranih promjena i pregled nenamjernih promjena. Točka 8.2 zahtijeva procjene rizika u planiranim intervalima ili kada se predlože ili nastanu značajne promjene. Točka 8.3 zahtijeva provedbu plana obrade rizika. Točka 9 zatim pretvara dokaze u osiguranje kroz praćenje, mjerenje, internu reviziju i preispitivanje uprave.
Politika zaštite podataka i privatnosti - SME jasno određuje kada se procjena provodi:
„Koordinator za privatnost mora procjenjivati rizike privatnosti jednom godišnje i tijekom velikih promjena sustava”
Iz odjeljka „Obrada rizika i iznimke”, točka politike 7.1.1.
Ako velika promjena osobnih podataka ne pokrene provjeru potrebe za DPIA-om i ponovno preispitivanje ISMS-a, proces upravljanja nije cjelovit.
NIS2: upravljanje DPIA-om postaje odgovornost uprave
NIS2 povećava pritisak na upravljanje u organizacijama u ključnim i važnim sektorima. Primjenjuje se na mnoge javne i privatne subjekte u navedenim sektorima koji ispunjavaju relevantne pragove veličine, a u posebnim slučajevima može se primjenjivati neovisno o veličini, primjerice na usluge povjerenja, DNS, registre TLD-a, javne elektroničke komunikacijske usluge, jedine pružatelje ključnih usluga ili subjekte sa sistemskim ulogama rizika.
Za upravljanje DPIA-om ključna točka nije samo opseg. Ključna je odgovornost uprave.
NIS2 Article 20 zahtijeva da upravljačka tijela ključnih i važnih subjekata odobravaju mjere upravljanja rizicima kibernetičke sigurnosti, nadziru njihovu provedbu i pohađaju osposobljavanje. Article 21 zahtijeva primjerene i razmjerne tehničke, operativne i organizacijske mjere temeljene na izloženosti riziku, veličini, vjerojatnosti, ozbiljnosti, društvenom i ekonomskom učinku, stanju tehnike i relevantnim standardima.
Article 21(2) uključuje područja koja se često preklapaju s ishodima DPIA-e, uključujući:
- analizu rizika i politike sigurnosti informacijskih sustava;
- postupanje s incidentima;
- neprekidnost poslovanja i upravljanje krizama;
- sigurnost opskrbnog lanca;
- sigurnost pri nabavi, razvoju i održavanju mrežnih i informacijskih sustava;
- postupanje s ranjivostima i njihovu objavu;
- politike za procjenu djelotvornosti mjera upravljanja rizicima kibernetičke sigurnosti;
- kibernetičku higijenu i osposobljavanje;
- kriptografiju i šifriranje;
- sigurnost ljudskih resursa, kontrolu pristupa i upravljanje imovinom;
- MFA, kontinuiranu autentifikaciju, sigurne komunikacije i sigurne hitne komunikacije.
DPIA za novu biometrijsku, bihevioralno-analitičku ili obradu u oblaku stoga mora postavljati pitanja relevantna za NIS2. Ovisi li obrada o novom dobavljaču? Uvodi li novi API, SDK, tok identiteta ili model pristupa? Mijenja li učinak incidenta? Zahtijeva li šifriranje, snažnije zapisivanje događaja, provjere sigurnog razvoja ili odobrenje uprave?
Praktično pitanje za upravu postaje jednostavno: može li organizacija dokazati da je promjena koja utječe na privatnost razmotrena kao dio upravljanja rizicima kibernetičke sigurnosti prije implementacije?
Taj dokaz mora biti vidljiv u ulaznom zapisu DPIA-e, ažuriranoj evidenciji aktivnosti obrade, registru rizika, planu obrade rizika, Izjavi o primjenjivosti, dubinskoj analizi dobavljača, dokazima sigurnosnog testiranja, odobrenju promjene i prihvaćanju preostalog rizika.
DORA: dokazi o IKT promjenama i trećim stranama neizbježni su
DORA se primjenjuje od 17. siječnja 2025. i uspostavlja jedinstveni okvir EU-a za upravljanje IKT rizicima, prijavljivanje većih IKT incidenata, testiranje digitalne operativne otpornosti, razmjenu informacija o kibernetičkim prijetnjama i ranjivostima, upravljanje rizikom IKT trećih strana i nadzor kritičnih pružatelja IKT usluga trećih strana.
Za financijske subjekte DORA općenito djeluje kao sektorski poseban pravni akt Unije za upravljanje IKT rizicima i obveze prijavljivanja incidenata, dok NIS2 ostaje relevantan za širu koordinaciju ekosustava i subjekte koji nisu obuhvaćeni DORA-om.
Upravljanje DPIA-om važno je prema DORA-i jer se obrada osobnih podataka obično odvija unutar IKT sustava, usluga trećih strana, okruženja u oblaku i operativnih tijekova rada.
DORA Article 5 zahtijeva unutarnje okvire upravljanja i kontrola za upravljanje IKT rizicima, uz odgovornost upravljačkog tijela. Article 6 zahtijeva dokumentirani okvir upravljanja IKT rizicima integriran u ukupno upravljanje rizicima. Articles 8 do 14 obuhvaćaju identifikaciju imovine i ovisnosti, zaštitu i prevenciju, otkrivanje, neprekidnost, sigurnosnu kopiju, oporavak, naučene lekcije i krizne komunikacije.
DORA Article 28 zahtijeva da financijski subjekti upravljaju rizikom IKT trećih strana kao sastavnim dijelom upravljanja IKT rizicima i ostanu odgovorni pri korištenju IKT usluga. Zahtijeva registre ugovora o IKT uslugama, predugovorne procjene, dubinsku analizu dobavljača, procjenu koncentracijskog rizika, planiranje revizija i inspekcija, prava raskida i izlazne strategije. Article 30 zahtijeva pisane ugovore s jasnim opisima usluga, lokacijama podataka, zaštitama povjerljivosti, cjelovitosti i dostupnosti, oporavkom i povratom podataka, pomoći pri incidentima, suradnjom s nadležnim tijelima, pravima raskida i dodatnim zaštitnim mjerama za kritične ili važne funkcije.
Za DPIA-u to mijenja pitanje o dobavljaču. „Imamo li DPA?” nije dovoljno. Bolje pitanje glasi: možemo li dokazati da su IKT ovisnost, lokacija podataka, podugovaranje, sigurnosni standardi, otpornost, prava na reviziju, podrška pri incidentima i izlazna strategija procijenjeni prije odobrenja obrade?
Clarysecova Politika korištenja usluga u oblaku jasno uspostavlja ovu kontrolu prije aktivacije:
„Sva uporaba oblaka mora proći dubinsku analizu temeljenu na riziku prije aktivacije, uključujući procjenu pružatelja usluge, provjeru usklađenosti s pravnim zahtjevima i preglede provjere kontrola.”
Iz odjeljka „Zahtjevi upravljanja”, točka politike 5.2.
DPIA ne smije odobriti novog izvršitelja obrade za analitiku, pružatelja identiteta, biometrijski SDK ili oblačnu telemetrijsku platformu ako dubinska analiza oblaka, pravna provjera i provjera kontrola nisu dovršene ili izričito evidentirane kao aktivnosti obrade rizika.
Sidrišta ISO/IEC 27002:2022: privatnost, projekti i promjene
Clarysecov Zenith Controls: Vodič za međusobno usklađivanje tretira kontrole ISO/IEC 27002:2022 kao sidrišta za međusobnu usklađenost. Za upravljanje DPIA-om osobito su važne tri kontrole.
| Kontrola ISO/IEC 27002:2022 | Zašto je važna za upravljanje DPIA-om | Vrijednost za međusobnu usklađenost |
|---|---|---|
| 5.34 Privatnost i zaštita PII | Zahtijeva svijest o osobnim podacima i njihovu zaštitu tijekom cijelog životnog ciklusa | Podupire odgovornost prema GDPR-u, Prilog A norme ISO/IEC 27001:2022, mjere rizika prema NIS2 i očekivanja zaštite podataka prema DORA-i |
| 5.8 Informacijska sigurnost u upravljanju projektima | Ugrađuje razmatranje sigurnosnog učinka i učinka na privatnost u projektni dizajn | Podupire ugrađenu zaštitu podataka, siguran razvoj te mjere nabave i razvoja prema NIS2 |
| 8.32 Upravljanje promjenama | Osigurava da se promjene vrednuju, odobravaju, testiraju, implementiraju i pregledavaju | Podupire operativnu kontrolu prema ISO-u, upravljanje IKT promjenama prema DORA-i i revizijsku sljedivost |
Unos Zenith Controls za 5.34, Privatnost i zaštita PII, klasificira tu kontrolu kao preventivnu, povezanu s povjerljivošću, cjelovitošću i dostupnošću, usklađenu s konceptima kibernetičke sigurnosti Identify i Protect te povezanu sa zaštitom informacija i sposobnostima pravne usklađenosti.
Zenith Blueprint, faza Kontrole u praksi, korak 23, ističe praktičnu poantu:
„Temelj ove kontrole jest svijest o podacima. Organizacija mora znati koje PII prikuplja, gdje se nalaze, zašto se obrađuju i tko im može pristupiti.”
Unos Zenith Controls za 5.8, Informacijska sigurnost u upravljanju projektima, klasificira tu kontrolu kao preventivnu, povezanu s povjerljivošću, cjelovitošću i dostupnošću, usklađenu s Identify i Protect te pozicioniranu kroz domene upravljanja, ekosustava i zaštite.
Zenith Blueprint, faza Kontrole u praksi, korak 22, navodi:
„Cilj ove kontrole nije opteretiti projekte birokracijom. Cilj je osigurati da se sigurnost tretira kao ulaz u dizajn, a ne kao faza testiranja.”
Privatnost se mora tretirati na isti način. DPIA nakon puštanja u produkciju često je izvješće o šteti. DPIA tijekom dizajna jest prevencija rizika.
Unos Zenith Controls za 8.32, Upravljanje promjenama, klasificira tu kontrolu kao preventivnu, povezanu s povjerljivošću, cjelovitošću i dostupnošću, usklađenu s Protect te povezanu sa sigurnošću aplikacija i sposobnostima sigurnosti sustava i mreže.
Zenith Blueprint, faza Kontrole u praksi, korak 21, izravan je:
„Promjena je neizbježna, ali u kibernetičkoj sigurnosti nekontrolirana promjena je opasna.”
Clarysecova Politika upravljanja promjenama - SME obuhvaća okidač:
„Ako promjena uključuje osjetljive podatke, prava pristupa sustavu ili vanjske integracije, potreban je pregled utjecaja na sigurnost. Imenovani kontakt za sigurnost ili usklađenost mora procijeniti uvodi li promjena dodatne rizike i preporučiti dodatne zaštitne mjere.”
Iz odjeljka „Obrada rizika i iznimke”, točka politike 7.5.1.
Za korporativna okruženja Clarysecova Politika upravljanja promjenama postavlja očekivanje prema Savjetodavnom odboru za promjene (CAB):
„Procijeniti promjene s obzirom na sigurnosne rizike i rizike usklađenosti prije odobrenja Savjetodavnog odbora za promjene.”
Iz odjeljka „Uloge i odgovornosti”, točka politike 4.6.1.
Praktični primjer: odobravanje značajke biometrijske analitike
Maria ne treba tri odvojena projekta upravljanja. Treba jedan integrirani ulaz projekta i tijek upravljanja rizicima.
Proizvodni tim predlaže biometrijsku autentifikaciju plaćanja s bihevioralnom analitikom. Značajka prikuplja biometrijske predloške, metapodatke uređaja, atribute računa, IP adrese, autentifikacijske događaje i signale prijevare. Koristi pružatelja analitike u oblaku i biometrijski SDK treće strane. Timovi za korisničku podršku i uspjeh korisnika dobit će agregirani pristup nadzornoj ploči.
Zahtjev za promjenu mora pokrenuti provjeru potrebe za DPIA-om i procjenu rizika prije dodjele resursa ili odobrenja CAB-a.
| Ulazno polje | Primjer odgovora |
|---|---|
| Uključeni osobni podaci | Biometrijski predložak, korisnički ID, IP adresa, metapodaci uređaja, uloga računa, autentifikacijski događaji |
| Svrha obrade | Autentifikacija plaćanja, otkrivanje prijevara i analitika uspjeha korisnika |
| Pravna osnova koju treba potvrditi | Nužnost za izvršenje ugovora, legitimni interesi ili izričita privola, uz pregled DPO-a |
| Novi dobavljač ili usluga u oblaku | Pružatelj biometrijskog SDK-a i oblačni izvršitelj obrade za analitiku u regiji EU-a |
| Osjetljivi podaci ili posebne kategorije podataka | Biometrijski podaci zahtijevaju pregled visokog rizika kada se koriste za jedinstvenu identifikaciju |
| Promjena modela pristupa | Tim za uspjeh korisnika dobiva agregirani pristup nadzornoj ploči |
| Promjena zadržavanja | Dnevnici događaja zadržavaju se 180 dana, biometrijski predlošci zadržavaju se prema uvjetima usluge |
| DPIA potrebna | Da, biometrijska obrada, praćenje i nova ovisnost o dobavljaču zahtijevaju pregled |
Integrirana procjena zatim mora proizvesti jedan dosje rizika.
| Odjeljak procjene | Primarni okvir | Pitanja na koja treba odgovoriti | Dokaz ili izlaz |
|---|---|---|---|
| Opis obrade | GDPR Article 35 | Koji se podaci obrađuju, zašto, tko ih obrađuje i koliko dugo? | Tok podataka, ažuriranje RoPA-e, ulazni zapis DPIA-e |
| Nužnost i razmjernost | GDPR Article 35 | Je li obrada nužna i predstavlja li najmanje intruzivan izvediv pristup? | Pregled DPO-a i obrazloženje |
| Rizik za pojedince | GDPR Article 35 | Mogu li pojedinci biti izloženi krađi identiteta, diskriminaciji, profiliranju, isključenju ili financijskoj šteti? | Analiza rizika DPIA-e i unos u ISO registar rizika |
| Procjena sigurnosnog rizika | ISO/IEC 27001:2022 točka 6.1.2 | Koje prijetnje povjerljivosti, cjelovitosti i dostupnosti postoje? | Unosi u registar rizika s vjerojatnošću, utjecajem, vlasnikom i obradom rizika |
| Analiza učinka NIS2 | NIS2 Article 21 | Utječe li promjena na dobavljače, siguran razvoj, kontrolu pristupa, postupanje s incidentima ili neprekidnost? | Procjena dobavljača, kontrolni popis sigurnog razvoja, dokazi za upravu |
| Analiza otpornosti prema DORA-i | DORA Articles 8, 9, 24 i 30 | Je li ovo IKT promjena koja utječe na otpornost, testiranje ili ugovorne obveze? | Zapis promjene, plan testiranja, pregled ugovora i dokazi o izlazu |
| Obrada rizika i kontrole | ISO/IEC 27001:2022 točka 6.1.3 | Koje TOM i kontrole iz Priloga A smanjuju rizik? | Plan obrade rizika i ažurirana Izjava o primjenjivosti |
Primjeri unosa rizika mogli bi izgledati ovako:
| Scenarij rizika | Vjerojatnost | Utjecaj | Primjeri obrade rizika | Mapiranje kontrola |
|---|---|---|---|---|
| Prekomjerno prikupljanje izvan navedene svrhe | Srednja | Visok | Pregled smanjenja količine podataka, odobrenje sheme događaja, ograničenje zadržavanja | 5.34, 5.31, 8.10 |
| Neovlašteni pristup biometrijskoj ili bihevioralnoj nadzornoj ploči | Srednja | Visok | Pristup temeljen na ulogama, MFA, zapisivanje događaja, tromjesečni pregled pristupa | 5.15, 5.18, 8.15, 8.16 |
| Pogrešna konfiguracija oblačnog izvršitelja obrade izlaže telemetriju | Niska | Visok | Dubinska analiza oblaka, šifriranje, osnovna konfiguracija, praćenje | 5.23, 8.9, 8.24, 8.16 |
| Ranjivost biometrijskog SDK-a kompromitira autentifikacijske podatke | Srednja | Visok | Dubinska analiza dobavljača, pregled sigurnog razvoja, sigurnosno testiranje | 5.21, 8.25, 8.28, 8.29 |
| Profiliranje stvara nepravedan učinak na korisnike | Srednja | Visok | Pregled DPO-a, tekst za transparentno informiranje, postupanje s prigovorima gdje je primjenjivo | 5.34, 5.8 |
Prije izdanja zapis promjene mora sadržavati dovršetak DPIA-e ili plan obrade rizika koji je odobrio DPO, ažuriranu evidenciju aktivnosti obrade, dubinsku analizu dobavljača i oblaka, pregled utjecaja na sigurnost, rezultate testiranja, plan povrata, plan praćenja i odobrenje preostalog rizika.
Nakon izdanja vlasnik mora provjeriti zapise dnevnika, upozorenja, uloge pristupa, nadzorne ploče, pravila zadržavanja i tijekove rada brisanja. Time se zatvara krug planirane promjene prema ISO/IEC 27001:2022 točki 8.1 i podupire disciplina operativne otpornosti u stilu DORA-e.
Što će revizori pitati
Jedinstvena DPIA različitim revizorima daje jedan dosljedan revizijski trag.
| Revizorska perspektiva | Vjerojatni fokus revizije | Dokazi koji trebaju postojati |
|---|---|---|
| Revizor ISO/IEC 27001:2022 | Jesu li značajne promjene pokrenule procjenu rizika, obradu rizika, ažuriranja SoA-e i operativnu kontrolu | Ulazni zapis DPIA-e, registar rizika, plan obrade rizika, bilješke SoA-e, zapis promjene, interni revizijski trag |
| Pregledavatelj privatnosti prema GDPR-u | Je li obrada visokog rizika procijenjena prije uvođenja i jesu li zaštitne mjere dokumentirane | DPIA, evidencija aktivnosti obrade, analiza pravne osnove, pregled DPO-a, dokazi o transparentnosti i zadržavanju |
| Revizor usmjeren na NIS2 | Obuhvaćaju li mjere rizika koje je odobrila uprava sigurnosne politike, opskrbni lanac, postupanje s incidentima, neprekidnost, pristup, šifriranje i postupanje s ranjivostima | Zapisi upravnog odbora ili preispitivanja uprave, mapiranje kontrola, pregled dobavljača, poveznica s incidentima i neprekidnošću |
| Revizor usmjeren na DORA-u | Jesu li IKT promjena, ovisnost o trećoj strani, otpornost, testiranje i ugovorni dokazi integrirani u upravljanje IKT rizicima | Procjena IKT rizika, registar pružatelja usluga, ugovorne odredbe, dokazi testiranja, izlazni plan, dokazi podrške pri incidentima |
| Procjenitelj prema NIST CSF-u | Jesu li ishodi upravljanja, rizika, imovine, dobavljača, zaštite, otkrivanja, odgovora i oporavka povezani | Trenutačni i ciljni profil, plan zatvaranja nedostataka, popis imovine, zapisi o riziku dobavljača, dokazi o praćenju i odgovoru |
| Revizor COBIT 2019 ili ISACA | Jesu li omogućavanje promjena, upravljanje rizicima, sigurnosne usluge i prakse osiguranja kontrolirani | Zapisi CAB-a, analiza utjecaja, odobrenja, testiranje, razdvajanje dužnosti, pregled nakon promjene |
NIST CSF 2.0 koristan je kao komunikacijski sloj jer njegova funkcija GOVERN u središte stavlja strategiju, očekivanja, politiku, uloge, nadzor i upravljanje rizicima opskrbnog lanca. COBIT 2019 dodaje osiguranje procesa, osobito oko strukturiranog omogućavanja promjena, analize utjecaja, odobrenja, testiranja i evaluacije nakon promjene.
Regulator prema GDPR-u može početi od prava i sloboda pojedinaca. ISO revizor može početi od dokumentirane procjene rizika i implementacije kontrola. Pregledavatelj prema DORA-i može početi od IKT ovisnosti i otpornosti. Pregledavatelj prema NIS2 može početi od nadzora uprave i razmjernih mjera kibernetičke sigurnosti.
Isti lanac dokaza DPIA-e mora zadovoljiti sve njih.
Odluke DPIA-e moraju izdržati incidente
DPIA nije samo artefakt odobrenja prije izdanja. Mora poboljšati spremnost za povrede i incidente.
GDPR definira povredu osobnih podataka kao povredu sigurnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima. NIS2 zahtijeva obavješćivanje o značajnim incidentima bez nepotrebnog odgađanja, uključujući rano upozorenje u roku od 24 sata, obavijest u roku od 72 sata i završno izvješće najkasnije mjesec dana nakon obavijesti o incidentu. DORA zahtijeva od financijskih subjekata da otkrivaju, upravljaju, evidentiraju u dnevnik, klasificiraju, eskaliraju i prijavljuju veće IKT incidente kroz početno, međufazno i završno izvješćivanje, uz obavješćivanje klijenata kada su pogođeni financijski interesi.
Ako je DPIA evidentirala tokove podataka, izvršitelje obrade, kontrole pristupa, zadržavanje, zapisivanje događaja, šifriranje, pseudonimizaciju i odgovornosti za incidente, tim za incidente može brže odgovoriti na ključna pitanja. Koji su osobni podaci bili uključeni? Koji su sustavi i dobavljači bili pogođeni? Koji pojedinci ili klijenti mogu biti zahvaćeni? Je li šifriranje bilo provedeno? Koji su zapisi dnevnika dostupni? Koji se rokovi izvješćivanja primjenjuju? Koje su komunikacije prema klijentima ili regulatorima potrebne?
Zato upravljanje DPIA-om mora biti povezano s kontrolama incidenata prema ISO/IEC 27001:2022, kontrolama neprekidnosti poslovanja i kontrolama IKT spremnosti, kao i s očekivanjima životnog ciklusa incidenata prema NIS2 i DORA-i.
Uobičajeni propusti u upravljanju DPIA-om
Propusti su obično posljedica nepovezanih tijekova rada, a ne manjka truda.
| Propust | Zašto stvara rizik | Bolja praksa |
|---|---|---|
| Evidencija aktivnosti obrade ažurira se nakon puštanja u produkciju | Evidencija postaje povijesni inventar umjesto kontrole dizajna | Ažurirati RoPA prije odobrenja |
| Provjera potrebe za DPIA-om ne postoji na ulazu promjene | Rizik privatnosti otkriva se prekasno | Dodati obvezna pitanja o osobnim podacima, dobavljačima, pristupu i zadržavanju |
| Rizici DPIA-e ostaju u mapi za privatnost | Obrada sigurnosnog rizika i odobrenje preostalog rizika nisu sljedivi | Pretvoriti nalaze DPIA-e u unose registra rizika ISMS-a |
| Pregledi dobavljača usredotočeni su samo na upitnike | Svrha obrade, lokacija podataka, podizvršitelji obrade, prava na reviziju i izlaz mogu biti propušteni | Kombinirati sigurnosnu, privatnosnu, pravnu i otpornostnu dubinsku analizu |
| SoA nema obrazloženje privatnosti i oblaka | Revizori vide kontrole, ali ne i logiku rizika | Mapirati kontrole na nalaze DPIA-e, GDPR, NIS2 i DORA obveze |
| Preostali rizik prihvaća se neformalno | Odgovornost uprave nije dokaziva | Evidentirati odobrenje DPO-a, vlasnika rizika i uprave uz uvjete |
Kontrolni popis za upravljanje DPIA-om
Upotrijebite ovaj kontrolni popis za integraciju DPIA-e u ISMS, spremnost za NIS2 i upravljanje IKT promjenama prema DORA-i.
| Aktivnost upravljanja | Vlasnik | Minimalni dokazi |
|---|---|---|
| Provjera potrebe za DPIA-om ugrađena je u ulaz projekta i promjene | Voditelj promjena i DPO | Ulazni obrazac, odluka o okidaču i obrazloženje |
| Evidencija aktivnosti obrade ažurirana prije odobrenja | Koordinator za privatnost ili DPO | Svrha, pravna osnova, kategorije podataka, zadržavanje i primatelji |
| Rizici privatnosti prevedeni u rizike ISMS-a | Službenik za rizike i vlasnik sustava | Unosi rizika s vjerojatnošću, utjecajem, vlasnikom i planom obrade rizika |
| Kontrole mapirane na SoA-u | Voditelj ISMS-a | Primjenjive kontrole iz Priloga A, obrazloženje i status implementacije |
| Dovršena dubinska analiza dobavljača i oblaka | Nabava, sigurnost i pravni poslovi | Procjena pružatelja usluge, ugovorne odredbe, lokacija podataka i dokazi o izlazu |
| Dovršeno testiranje sigurnosti i privatnosti | Inženjering i sigurnost | Rezultati testiranja, pregled pristupa, provjera zapisivanja događaja i dokazi o ranjivostima |
| Preostali rizik prihvaćen | Vlasnik rizika, DPO i uprava kada je potrebno | Zapis odobrenja, uvjeti i datum pregleda |
| Proveden pregled nakon promjene | Vlasnik promjene i vlasnik usluge | Bilješke pregleda, incidenti, metrike i korektivne radnje |
To nije birokracija. To je operativna odgovornost. Pomaže CISO-u dokazati da je sigurnost razmotrena, DPO-u dokazati da je rizik privatnosti procijenjen, voditelju usklađenosti dokazati da se kontrole mapiraju kroz okvire, a vlasniku poslovanja dokazati da se inovacija provodila odgovorno.
Kako Clarysec pomaže
Clarysecov pristup osmišljen je za organizacije suočene s preklapajućim obvezama u 2026. i fragmentiranim dokazima.
Paket politika daje vam jezik upravljanja. Politika zaštite podataka i privatnosti definira kada su DPIA-e obvezne i tko ih pregledava. Politika upravljanja rizicima definira kako unosi rizika moraju biti strukturirani i mapirani. Politika upravljanja promjenama osigurava da se učinci na privatnost i sigurnost procijene prije odobrenja. Politika korištenja usluga u oblaku zahtijeva dubinsku analizu dobavljača prije aktivacije oblaka.
Zenith Blueprint daje plan implementacije. Korak 13 pretvara obradu rizika i Izjavu o primjenjivosti u most za međusobnu usklađenost. Korak 22 ugrađuje sigurnost u upravljanje projektima. Korak 21 čini promjenu namjernom, obrazloženom i prikladnom za reviziju. Korak 23 pretvara zaštitu PII u kontrolu životnog ciklusa koja se temelji na svijesti o podacima, zakonitoj uporabi, ograničenju pristupa, nadzoru nad dobavljačima i operativnim procesima privatnosti.
Vodič Zenith Controls daje kompas za međusobnu usklađenost. Za upravljanje DPIA-om kontrole ISO/IEC 27002:2022 5.34, 5.8 i 8.32 povezuju zaštitu privatnosti, upravljanje projektima i kontrolu promjena s odgovornošću prema GDPR-u, mjerama kibernetičke sigurnosti prema NIS2, upravljanjem IKT rizicima prema DORA-i, ishodima NIST CSF-a i osiguranjem prema COBIT 2019.
Ako se vaša organizacija priprema za preglede odgovornosti prema GDPR-u, certifikaciju ISO/IEC 27001:2022, spremnost za NIS2 ili operativnu otpornost prema DORA-i, počnite integriranjem okidača DPIA-e u ulaz projekta i promjene. Povežite nalaze DPIA-e s registrom rizika. Mapirajte obrade rizika u SoA-i. Provjerite dobavljače i usluge u oblaku prije aktivacije. Zadržite jedan zapis odluke koji uprava, revizori i regulatori mogu pratiti.
Najbolja DPIA nije ona napisana nakon što je regulator zatraži. Najbolja DPIA jest ona koja je oblikovala sustav prije nego što su ga testirali korisnici, revizori ili incidenti.
Pregledajte svoj trenutačni proces DPIA-e u odnosu na Clarysecov paket politika, upotrijebite Zenith Blueprint za izgradnju revizijski spremne sljedivosti i upotrijebite Zenith Controls za mapiranje jednog okvira kontrola kroz GDPR, ISO/IEC 27001:2022, NIS2, DORA, NIST CSF i COBIT 2019. Zatim svoju sljedeću promjenu koja utječe na privatnost pretvorite u upravljanu odluku o izdanju potkrijepljenu dokazima, umjesto u posljednju utrku za usklađenošću.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
