DSAR, brisanje i dokazi prema ISO 27001 u 2026.

E-poruka je stigla u Sarin pretinac u 9:03.

Nije to bio prvi zahtjev ispitanika za pristup podacima koji je primila njezina brzorastuća SaaS tvrtka. Bio je to prvi koji je izgledao kao javna revizija.

Pošiljatelj je bio bivši zaposlenik, sada zagovornik privatnosti. U zahtjevu su navedeni brojevi članaka GDPR-a te su zatraženi svi osobni podaci, trenutačno ograničenje obrade, popis svake usluge treće strane koja čuva njegove podatke i provjerljiv dokaz o brisanju iz produkcijskih sustava i sustava za sigurnosno kopiranje. U kopiji je bio novinar.

U nekoliko minuta pokazale su se praznine. Inženjering je upozorio da bi „stvarno brisanje” iz višekorisničke baze podataka moglo utjecati na druge korisnike. Marketing je usklađivao korisničke podatke po analitičkim platformama. Pravni poslovi pronašli su neriješeno pitanje iz radnog odnosa. Sigurnost se zabrinula da bi zapisi dnevnika mogli otkriti logiku detekcije ili podatke druge osobe. Podrška je imala zapise pod dvije adrese e-pošte. Financije su imale račune pod trećom.

Rok je već počeo teći.

Takav scenarij više nije neuobičajen. Prava ispitanika u 2026. nisu pitanje pretinca za privatnost. Ona su kontrolirani poslovni proces koji ovisi o popisima imovine, odlukama o pravnoj osnovi, provjeri identiteta, kontroli pristupa, pravilima zadržavanja, pravnom zadržavanju podataka, koordinaciji dobavljača, sigurnom otkrivanju podataka, dokazima o brisanju i zapisivanju događaja spremnom za reviziju.

GDPR organizacijama propisuje koja prava pojedinci imaju. ISO/IEC 27001:2022 timovima za sigurnost i usklađenost daje disciplinu sustava upravljanja kojom mogu dokazati da se ta prava obrađuju dosljedno, sigurno i ponovljivo.

Za CISO-e, rukovoditelje usklađenosti, voditelje privatnosti i vlasnike poslovanja cilj nije stvarati dodatnu dokumentaciju. Cilj je izgraditi jedan pouzdan DSAR tijek rada za brisanje i ograničenje obrade koji proizvodi dokaze potrebne za GDPR, revizije prema ISO/IEC 27001:2022 i šira očekivanja u pogledu pružanja potvrda prema NIS2, DORA, NIST CSF 2.0 i COBIT 2019.

Zašto ad hoc obrada DSAR-a ne izdržava pritisak

Većina neuspjeha u obradi DSAR-a nije posljedica loših namjera. Uzrok je fragmentacija.

Organizacija može imati obavijest o privatnosti, poštanski pretinac DPO-a i GDPR klauzulu u ugovorima s dobavljačima, a ipak imati poteškoće s odgovorima na osnovna operativna pitanja:

• Tko provjerava identitet podnositelja zahtjeva?
• Koji je pravni subjekt voditelj obrade ili izvršitelj obrade?
• Koje sustave treba pretražiti?
• Tko je vlasnik svakog sustava?
• Koji su podaci obuhvaćeni zahtjevom?
• Koje podatke treba redigirati prije otkrivanja?
• Koji se podaci ne smiju izbrisati zbog poreza, revizije, sudskog spora, sprječavanja prijevara ili pravne obveze?
• Kako se ograničenje obrade tehnički provodi?
• Koji dobavljači moraju podržati pretraživanje, izvoz, brisanje ili ograničenje obrade?
• Koji dokazi potvrđuju da je zahtjev obrađen na vrijeme?
• Što se događa ako DSAR otkrije povredu osobnih podataka?

Članak 5 GDPR-a zahtijeva da se osobni podaci obrađuju zakonito, pošteno i transparentno, prikupljaju u određene svrhe, ograniče na ono što je nužno, održavaju točnima, zadržavaju ne dulje nego što je potrebno i štite odgovarajućim tehničkim i organizacijskim mjerama. Članak 5(2) GDPR-a izričito utvrđuje odgovornost: voditelj obrade mora moći dokazati usklađenost. Članak 4 GDPR-a široko definira obradu, uključujući prikupljanje, pohranu, uporabu, otkrivanje, ograničenje, brisanje i uništavanje.

To znači da je sam DSAR postupak aktivnost obrade. Mora biti kontroliran.

Članak 3 GDPR-a važan je i za cloud, SaaS, fintech i digitalne organizacije izvan EU-a. Ako nudite robu ili usluge pojedincima u Uniji, pratite njihovo ponašanje ili obrađujete osobne podatke u kontekstu poslovnog nastana u EU-u, GDPR se može primjenjivati čak i kada su operacije izdvojene vanjskim pružateljima usluga ili je infrastruktura globalna.

ISO/IEC 27001:2022 ovoj stvarnosti daje strukturu. Točke 4.1 do 4.4 zahtijevaju da organizacija razumije svoj kontekst, zainteresirane strane, zahtjeve, opseg ISMS-a i međusobno povezane procese. Ispitanik je zainteresirana strana. Prava prema GDPR-u su zahtjevi. SaaS aplikacije, pružatelji identiteta, analitičke platforme, alati za podršku, skladišta podataka i sigurnosne kopije u oblaku međusobno su povezani procesi. DSAR tijek rada pripada unutar ISMS-a, a ne izvan njega.

Tri prava ispitanika koja stvaraju najveći pritisak

Pristup, brisanje i ograničenje obrade najjasnije otkrivaju jaz između pravnog obećanja i operativne sposobnosti.

Članak 6 GDPR-a središnji je za ovu logiku odlučivanja. Ne možete obrađivati, zadržavati, otkrivati podatke ili odbiti brisanje bez razumijevanja pravne osnove. Članak 9 GDPR-a podiže razinu zahtjeva za posebne kategorije osobnih podataka, kao što su zdravstveni podaci, biometrijski podaci koji se koriste za jedinstvenu identifikaciju ili podaci koji otkrivaju osjetljiva obilježja. U SaaS okruženju 2026. to može utjecati na uvođenje korisnika, provjeru identiteta, praćenje prijevara, privitke korisničke podrške i evidencije zaposlenika.

Clarysecova korporativna Politika zaštite podataka i privatnosti [P17] izravno postavlja obvezu. U točki 3.6 ciljeva zahtijeva da organizacija:

Poštuje prava ispitanika, uključujući pristup, ispravak, brisanje, ograničenje obrade, prenosivost, prigovor i zaštitu od automatiziranog donošenja odluka.

Taj cilj postaje provjerljiv u reviziji tek kada je povezan s vlasnicima, registrima, tijekovima rada, kontrolama i dokazima.

Počnite ondje gdje počinju revizori: opseg, dionici i vlasništvo

U Zenith Blueprint: revizorov plan u 30 koraka [ZB], faza temelja i vodstva ISMS-a, korak 2, usmjerena je na potrebe dionika i opseg ISMS-a. Za GDPR, Blueprint navodi očekivanja regulatora kao:

Regulatori EU-a
(GDPR)

Zakonita obrada osobnih
podataka, prijava povrede u 72 h,
prava ispitanika

Imenovati službenika za zaštitu podataka, uspostaviti
postupak odgovora na povrede, postupke za
obradu zahtjeva za podatke.

To je ispravna početna točka. Prije automatizacije prijava ili konfiguriranja portala definirajte opseg obrade prava ispitanika:

1. Koji pravni subjekti djeluju kao voditelj obrade, zajednički voditelj obrade ili izvršitelj obrade?
2. Koji su proizvodi, usluge i teritoriji obuhvaćeni?
3. Koje kategorije ispitanika postoje, primjerice korisnici, zaposlenici, probni korisnici, potencijalni klijenti, dobavljači, posjetitelji web-mjesta ili korisnici aplikacije?
4. Koji sustavi, repozitoriji i dobavljači čuvaju osobne podatke?
5. Koje uloge odobravaju otkrivanje, odbijanje, brisanje, ograničenje obrade ili eskalaciju?
6. Koje se metrike izvješćuju upravi?

Točke 5.1 do 5.3 norme ISO/IEC 27001:2022 zahtijevaju vodstvo, usklađivanje politike, resurse i dodijeljene odgovornosti. To se izravno usklađuje s odgovornošću prema GDPR-u.

Politika zaštite podataka i privatnosti [P17], točka 6.4.1 zahtjeva za provedbu politike, navodi:

Službenik za zaštitu podataka (DPO) mora održavati dokumentirane procese za zaprimanje, provjeru, praćenje i odgovor na zahtjeve ispitanika (DSR).

Za MSP-ove, Clarysecova Politika zaštite podataka i privatnosti za MSP [P17S] koristi primjereno određeno vlasništvo. Točka 5.2.1 zahtjeva upravljanja navodi:

Koordinator za privatnost mora održavati registar svih aktivnosti obrade osobnih podataka, uključujući kategorije podataka, svrhu, pravnu osnovu i rokove zadržavanja

Taj registar obrade operativno je središte spremnosti za DSAR. Ako je nepotpun, DSAR tim pretražuje prema sjećanju, Slack porukama i neformalnom znanju. Ako je točan, tim pretražuje prema aktivnosti obrade, kategoriji podataka, vlasniku sustava, dobavljaču i pravilu zadržavanja.

Clarysec DSAR tijek rada: od zaprimanja do zatvaranja

DSAR tijek rada spreman za reviziju treba biti dovoljno jednostavan za provedbu pod pritiskom, ali dovoljno kontroliran da izdrži regulatorni nadzor, pregled dokazivanja sigurnosti prema zahtjevima klijenata ili reviziju prema ISO/IEC 27001:2022.

1. Zaprimanje i potvrda primitka

Zahtjevi trebaju ulaziti kroz kontrolirani kanal, kao što je poštanski pretinac za privatnost, portal, obrazac podrške ili red za zaprimanje pravnih zahtjeva. Osoblje mora prepoznati zahtjeve izražene običnim jezikom. Osoba ne mora napisati „DSAR” da bi ostvarila pravo. „Koje podatke imate o meni?” ili „izbrišite moj profil” može biti dovoljno za pokretanje tijeka rada.

Politika zaštite podataka i privatnosti za MSP [P17S], točka 6.5.2 zahtjeva za provedbu politike, postavlja jasnu razinu usluge:

Koordinator za privatnost mora potvrditi primitak zahtjeva u roku od 3 radna dana i odgovoriti u roku od 30 dana

Potvrda primitka treba sadržavati referencu zahtjeva, pojašnjenje opsega ako je potrebno, upute za provjeru identiteta i očekivani rok odgovora.

2. Provjera identiteta i ovlaštenja

DSAR može postati povreda osobnih podataka ako se informacije pošalju pogrešnoj osobi. Provjera mora biti razmjerna i ne smije prikupljati prekomjerne nove osobne podatke. Koristite autentificirane portale kad god je moguće. Za bivše korisnike provjeru provedite prema poznatim podacima računa. Za zaposlenike koordinirajte s HR-om. Za zastupnike zahtijevajte dokaz ovlaštenja.

Zadržite dokaze o metodi provjere, datumu dovršetka, odobravatelju, svim zatraženim dodatnim informacijama i odluci ako provjera ne uspije.

3. Klasificirajte zahtjev

Jedna poruka može sadržavati više prava. Klasificirajte svako zasebno jer pristup, brisanje, ograničenje obrade, prigovor i prenosivost zahtijevaju različitu logiku odlučivanja i različite dokaze. Označite i moguće pritužbe, pitanja zaposlenika, podatke djece, posebne kategorije podataka i moguće povrede osobnih podataka.

4. Pretražite popis imovine, ne samo očite sustave

Ovdje ISO/IEC 27001:2022 postaje praktičan. Zenith Blueprint [ZB], faza Kontrole u praksi, korak 22, upozorava da je opseg popisa imovine širi nego što mnoge organizacije očekuju:

Opseg ovog popisa imovine širi je nego što većina pretpostavlja. Trebao bi uključivati:

✓ Fizičku imovinu: prijenosna računala, poslužitelje, telefone, trake za sigurnosne kopije, prijenosne medije, tiskane
zapise.
✓ Digitalnu imovinu: dokumente, skupove podataka, repozitorije, e-poštu, izvorni kod, datoteke pohranjene
u oblaku.
✓ Logičku imovinu: korisničke račune, vjerodajnice, ključeve, softverske licence, sučelja za programiranje aplikacija.
✓ Imovinu povezanu s uslugama: SaaS platforme, upravljane sigurnosne usluge, vanjsko ugovorenu
pohranu.
✓ Osobe kao imovinu: ne u smislu komodifikacije, nego u smislu dodijeljenih odgovornosti,
pristupa i izloženosti informacijama na temelju uloga.

Korak 22 objašnjava i vlasništvo:

Svaka imovina treba imati definiranog vlasnika, ne osobu koja je koristi, nego osobu odgovornu za
njezinu uporabu, zaštitu i životni ciklus. Vlasništvo je ključno za usklađivanje kontrola: tko klasificira
imovinu (5.10), tko odlučuje o njezinoj razini pristupa (8.3), tko upravlja njezinim brisanjem (8.10), tko osigurava
njezin povrat (5.9 se suptilno preklapa s postupcima povrata imovine).

U Zenith Controls: vodič za unakrsnu usklađenost [ZC], kontrola ISO/IEC 27002:2022 5.9, Popis informacija i druge povezane imovine, obrađuje se kao preventivna kontrola koja podupire povjerljivost, cjelovitost i dostupnost. Njezin koncept kibernetičke sigurnosti je Identificirati, operativna sposobnost je Upravljanje imovinom, a sigurnosne domene uključuju upravljanje, ekosustav i zaštitu.

Za DSAR-ove to znači da popis imovine nije IT proračunska tablica. To je mapa koja privatnosti, pravnim poslovima i sigurnosti pokazuje gdje osobni podaci mogu postojati.

5. Pregledajte, redigirajte i odobrite otkrivanje

Odgovor na DSAR ne bi trebao biti sirovi izvoz. Pregled mora zaštititi osobne podatke drugih pojedinaca, povjerljive poslovne informacije, odvjetničku tajnu, sigurnosno osjetljive podatke, signale prijevare i podatke izvan opsega zahtjeva.

Odobrenje treba biti temeljeno na riziku. Rutinske odgovore na zahtjeve za pristup može odobriti koordinator za privatnost ili DPO. Zahtjevi koji uključuju zaposlenike, sudske sporove, posebne kategorije podataka, djecu, prijevare, sigurnosne zapise dnevnika ili velike izvoze trebaju uključiti pravne poslove, HR ili sigurnosno vodstvo.

6. Dostavite sigurno

Nemojte slati velike nešifrirane datoteke kao privitke e-pošte. Koristite autentificirane portale, šifrirane datoteke uz odvojenu dostavu lozinke ili sigurne poveznice za prijenos s istekom i zapisivanjem pristupa. Evidentirajte način dostave, datum, račun primatelja, datum isteka i potvrdu kada je dostupna.

7. Zatvorite uz dokaze

Politika zaštite podataka i privatnosti [P17], točka 6.4.3, izričita je:

Sve poduzete radnje moraju se evidentirati za potrebe revizije, uključujući odluke o odbijanju zahtjeva.

Politika zaštite podataka i privatnosti za MSP [P17S], točka 6.5.4, navodi:

Svi odgovori na zahtjeve ispitanika moraju se evidentirati u sigurnom registru, uz pristup ograničen na koordinatora za privatnost i glavnog direktora

DSAR nije dovršen kada je e-poruka poslana. Dovršen je kada registar prikazuje zahtjev, provjeru identiteta, odluke, pretražene sustave, odgovor, iznimke, odobrenja, dostavu i zatvaranje.

Brisanje je kontrolirano uništavanje, a ne gumb za brisanje

Zahtjevi za brisanje pokazuju je li privatnost ugrađena u sustave ili naknadno dodana nakon pokretanja.

Clarysecova korporativna Politika zadržavanja i zbrinjavanja podataka [P14], točka 4.3.3 uloga i odgovornosti, dodjeljuje odgovornost ulozi koja:

Odgovara na zahtjeve za brisanje i osigurava pravodobno, provjerljivo brisanje osobnih podataka kada je to potrebno.

Izraz „kada je to potrebno” ključan je. Brisanje prema GDPR-u nije apsolutno. Organizacije mogu morati zadržati podatke zbog pravnih obveza, revizije, poreza, regulatornih dužnosti, sprječavanja prijevara, sigurnosti, sudskog spora ili postavljanja, ostvarivanja ili obrane pravnih zahtjeva. Tijek rada mora uključivati odluku o zakonitom zadržavanju i iznimci.

Zenith Blueprint [ZB], faza Kontrole u praksi, korak 19, objašnjava kontrolu ISO/IEC 27002:2022 8.10, Brisanje informacija, operativnim riječima:

Ova kontrola osigurava da se podaci ne čuvaju dulje nego što je potrebno, a kada više nisu
potrebni, moraju biti sigurno i pouzdano izbrisani. Mnoge organizacije s vremenom prikupe velike
količine podataka, ali bez jasnog postupka brisanja ti podaci mogu ostati neaktivni i
nezaštićeni, tiho povećavajući rizik izloženosti, povrede ili regulatornog kršenja.

Upozorava i sljedeće:

Ne zaboravite sigurnosne kopije i arhivirane sustave; oni često zadržavaju povijesne podatke dugo nakon njihove
operativne vrijednosti. Politike brisanja moraju se proširiti na:

✓ postavke zadržavanja sigurnosnih kopija,
✓ životne cikluse snimki,
✓ arhivirane repozitorije e-pošte ili dokumenata.

I zaključuje dokazima:

Sam postupak brisanja mora biti evidentiran, a u slučaju visokorizičnih ili reguliranih podataka
pregledan ili odobren. Time se osigurava sljedivost i štiti od slučajnog ili
neovlaštenog uništenja vrijednih zapisa.

U Zenith Controls [ZC], kontrola ISO/IEC 27002:2022 8.10, Brisanje informacija, mapirana je kao preventivna kontrola usmjerena na povjerljivost, usklađena s konceptom kibernetičke sigurnosti Zaštititi te povezana s operativnim sposobnostima zaštite informacija te pravnih poslova i usklađenosti.

Za složene arhitekture oblaka kriptografsko brisanje može biti prikladno ako je ispravno projektirano. Ako su osobni podaci šifrirani ključem specifičnim za ispitanika ili najmoprimca, uništenje ključa može učiniti podatke trajno nedostupnima, uključujući situacije u kojima šifrirani ostaci ostaju u sigurnosnim kopijama do planirane rotacije. To mora biti pažljivo projektirano, dokumentirano, testirano i odobreno. Nije zaobilazno rješenje za lošu arhitekturu brisanja.

Spremnost aplikacija stoga je ključna. Clarysecova Politika zahtjeva sigurnosti aplikacija za MSP [P09S], točka 6.5.1.3, zahtijeva da aplikacije:

omogućuju siguran izvoz i brisanje osobnih podataka kada je to zakonski potrebno (npr. članak 17 GDPR-a – pravo na brisanje).

Ako produktni timovi ne izgrade sposobnost izvoza i brisanja, timovi za privatnost prisiljeni su koristiti skripte nad bazom podataka, prijave dobavljačima i nedosljedan ručni rad.

Pravno zadržavanje podataka i obustava brisanja

Zreo tijek rada za brisanje mora uključivati put „ne brisati”. To nije izgovor za zanemarivanje brisanja. To je kontrolirana iznimka.

Clarysecova Politika zadržavanja podataka i sigurnog zbrinjavanja za MSP [P14S], točka 5.4 zahtjeva upravljanja, navodi:

Podaci podložni pravnom zadržavanju i obustavi brisanja (npr. u slučaju sudskog spora, revizije ili istrage) moraju biti jasno identificirani u sustavu i zaštićeni od brisanja, čak i ako je planirani rok zadržavanja istekao.

Politika zadržavanja i zbrinjavanja podataka [P14], točka 6.4.1, odražava isto načelo:

Ako je izdano pravno zadržavanje podataka i obustava brisanja (npr. zbog sudskog spora, istrage ili revizije u tijeku), podaci koji bi inače bili predmet uništenja moraju se čuvati dulje od uobičajenog roka zadržavanja.

Revizori žele obje strane priče: dokaze o pravodobnom brisanju i dokaze o opravdanom zadržavanju.

Ograničenje obrade: podcijenjeno pravo

Zahtjevi za ograničenje obrade ne zahtijevaju uvijek brisanje. Oni zahtijevaju da organizacija ograniči aktivnu obradu uz zadržavanje podataka pod kontroliranim uvjetima.

Uobičajeni primjeri uključuju:

• Korisnik osporava točnost i traži da prestanete koristiti podatke dok se ne provjere.
• Bivši zaposlenik prigovara obradi, ali zapis je potreban za pravne zahtjeve.
• Korisnik traži brisanje, ali minimalni podaci moraju se zadržati radi održavanja popisa obustave obrade.
• Istraga prijevare zahtijeva zadržavanje, ali ne i redovitu operativnu uporabu.

Praktičan tijek rada za ograničenje obrade treba uključivati pravnu odluku, oznaku u sustavu, prilagodbu kontrole pristupa, obustavu marketinške obrade, isključenje iz analitike, uputu dobavljaču, periodični pregled i dokaze o iznimkama.

U Zenith Controls [ZC], kontrola ISO/IEC 27002:2022 5.34, Privatnost i zaštita osobnih podataka (PII), obrađuje se kao preventivna kontrola koja podupire povjerljivost, cjelovitost i dostupnost. Mapira se na Identificirati i Zaštititi, uz operativne sposobnosti zaštite informacija te pravnih poslova i usklađenosti.

Zenith Blueprint [ZB], faza Kontrole u praksi, korak 23, sažima revizijski test:

Potvrdite da je vaša organizacija uvela mjere privatnosti (5.34) usklađene s
primjenjivim pravnim zahtjevima. Provjerite klasifikaciju osobnih podataka (PII), odgovarajuće
kontrole pristupa, sigurne prakse postupanja s podacima i obuku za podizanje svijesti. Provjerite jesu li zahtjevi za pristup ispitanika,
brisanje podataka ili dnevnički zapisi obrade operativno podržani, a ne samo opisani politikom.

Ključna je formulacija „operativno podržani, a ne samo opisani politikom”.

Mapiranje DSAR tijekova rada na dokaze prema ISO/IEC 27001:2022

ISO/IEC 27001:2022 ne zamjenjuje GDPR. On organizira dokaze.

Točke 6.1.1 do 6.1.3 zahtijevaju procjenu rizika, obradu rizika, kriterije prihvata rizika, vlasnike rizika, odabir kontrola, Izjavu o primjenjivosti i plan obrade rizika. DSAR rizici uključuju neovlašteno otkrivanje, propuštene rokove, nepotpuno brisanje, nezakonito zadržavanje, prekomjernu provjeru identiteta, nesuradnju dobavljača i nemogućnost ograničenja obrade.

Točka 8.1 zahtijeva da organizacije planiraju, implementiraju i kontroliraju ISMS procese, zadrže dokumentirane dokaze, kontroliraju promjene i osiguraju kontrolu eksterno pruženih procesa, proizvoda i usluga relevantnih za ISMS. To odgovara DSAR operacijama jer zahtjevi prelaze interne funkcije i vanjske izvršitelje obrade.

Snažan paket dokaza uključuje DSR postupak, DSR registar, registar aktivnosti obrade, popis imovine, raspored zadržavanja podataka, registar pravnog zadržavanja podataka, postupak provjere identiteta, smjernice za redakciju, sigurnu metodu otkrivanja, postupak brisanja, postupak ograničenja obrade, operativne upute za dobavljače, registar iznimaka, zapise o obuci, rezultate interne revizije i izvješćivanje o preispitivanju od strane uprave.

Praktičan tijek rada za pristup, brisanje i ograničenje obrade

Ovaj tijek rada Sarinu krizu pretvara u proces koji se može revidirati. Svaka faza ima vlasnika, kontrolnu osnovu i dokaze.

Vrijednost unakrsne usklađenosti izvan GDPR-a

DSAR tijek rada ukorijenjen je u GDPR-u, ali iste kontrole podržavaju šire okvire.

Članak 20 NIS2 čini kibernetičku sigurnost odgovornošću uprave za ključne i važne subjekte. Članak 21 NIS2 zahtijeva odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere, uključujući analizu rizika, postupanje s incidentima, neprekidnost poslovanja, sigurnost opskrbnog lanca, procjenu učinkovitosti, kibernetičku higijenu, obuku, kontrolu pristupa, upravljanje imovinom, autentifikaciju i sigurne komunikacije. DSAR-ovi se oslanjaju na mnoge od tih istih sposobnosti.

DORA se od 17. siječnja 2025. primjenjuje na mnoge financijske subjekte i postavlja jedinstvene zahtjeve za upravljanje IKT rizicima, prijavljivanje incidenata, testiranje otpornosti i rizike trećih strana povezane s IKT-om. Članci 5 i 6 zahtijevaju upravljanje i dokumentirano upravljanje IKT rizicima. Članci 17 do 20 obrađuju otkrivanje, klasifikaciju, eskalaciju, komunikaciju i zatvaranje incidenata. Članci 24 do 30 obrađuju testiranje otpornosti, IKT rizik trećih strana, registre usluga, prava na reviziju, lokaciju podataka, pomoć pri incidentima i izlazne strategije. Fintech koji obrađuje DSAR-ove putem platformi u oblaku treba uskladiti obradu zahtjeva za privatnost sa svojim registrom IKT usluga.

NIST CSF 2.0 pomaže prevesti isti rad u ishode kibernetičke sigurnosti. GOVERN obuhvaća pravne, regulatorne i ugovorne zahtjeve, strategiju rizika, uloge, politiku i nadzor. IDENTIFY i PROTECT snažno se usklađuju s vidljivošću imovine, klasifikacijom podataka, kontrolom pristupa, brisanjem, upravljanjem dobavljačima i zaštitom privatnosti.

COBIT 2019 postavlja upravljačka pitanja. Tko je vlasnik procesa? Koji su ciljevi definirani? Kako se mjeri uspješnost? Kako se odobravaju iznimke? Kako se dobiva potvrda? DSAR dokazi mogu podržati ciljeve kao što su APO13 Managed Security, APO14 Managed Data i DSS06 Managed Business Process Controls.

Revizorska perspektiva

Nemojte stvarati zasebne dokaze za svaki okvir. Izgradite jedan pouzdan DSAR tijek rada i dobro ga mapirajte.

DSAR metrike koje uprava treba vidjeti

Uprava ne može nadzirati ono što ne vidi. Korisne metrike uključuju broj zahtjeva prema vrsti prava, prosječno vrijeme potvrde primitka, prosječno vrijeme zatvaranja, izvršenje rokova, stope pojašnjenja identiteta, iznimke od brisanja, slučajeve pravnog zadržavanja podataka, vremena odgovora dobavljača, djelomična odbijanja, incidente identificirane tijekom obrade i otvorene korektivne radnje.

Te metrike pokazuju jesu li prava ispitanika operativno zdrava ili ovise o herojskim naporima pojedinaca.

Česte praznine u spremnosti za DSAR

Clarysec često uočava iste slabosti u SaaS-u, fintechu, profesionalnim uslugama i MSP-ovima koji primarno koriste oblak:

• Ne postoji vlasnik za svaki sustav koji sadrži osobne podatke
• Registar obrade nije usklađen sa stvarnom uporabom SaaS-a
• Marketinške, analitičke i platforme skladišta podataka isključene su iz pretraživanja
• Ne postoji dokumentirani standard provjere identiteta
• Ne provodi se pregled redakcije prije otkrivanja
• Brisanje u produkciji provodi se bez postupanja sa sigurnosnim kopijama
• Ne provodi se provjera pravnog zadržavanja podataka prije brisanja
• Ograničenje obrade provodi se ručno, bez oznake u sustavu
• Ugovorima s dobavljačima nedostaju uvjeti pomoći za DSAR
• Odbijanja i djelomična odbijanja nisu dokumentirana
• Ne provodi se uzorkovanje dovršenih DSAR-ova u internoj reviziji
• Osoblje prve linije nije osposobljeno za prepoznavanje zahtjeva

Kontrolni popis spremnosti za DSAR u 2026.

Koristite ovo kao test zrelosti:

• Imamo li dokumentiran proces zaprimanja, provjere, praćenja i odgovora na DSR?
• Potvrđujemo li primitak zahtjeva unutar definiranog internog SLA-a?
• Održavamo li siguran DSR registar s ograničenim pristupom?
• Imamo li ažuran registar aktivnosti obrade s kategorijama, svrhama, pravnim osnovama i rokovima zadržavanja?
• Znamo li svaki sustav, SaaS platformu, repozitorij i dobavljača koji mogu sadržavati osobne podatke?
• Ima li svaka relevantna imovina odgovornog vlasnika?
• Možemo li sigurno izvesti osobne podatke?
• Možemo li sigurno izbrisati osobne podatke kada je to zakonski potrebno?
• Možemo li tehnički ili proceduralno ograničiti obradu?
• Provjeravamo li pravno zadržavanje podataka prije brisanja?
• Dokumentiramo li odluke o odbijanju, djelomičnom odbijanju i iznimkama?
• Podržavaju li ugovori s dobavljačima pomoć za DSAR?
• Testiramo li tijek rada kroz internu reviziju ili stolne vježbe?
• Izvješćujemo li upravu o uspješnosti DSAR-a?
• Mapiramo li DSAR kontrole u obradu rizika prema ISO/IEC 27001:2022 i Izjavu o primjenjivosti?

Ako je nekoliko odgovora „ne dosljedno”, sljedeći zahtjev može razotkriti prazninu.

Pretvorite prava ispitanika u dokaze spremne za reviziju

Prava ispitanika u 2026. zahtijevaju više od dobrih namjera i pretinca za privatnost. Zahtijevaju tijek rada koji može pronaći podatke, provjeriti identitet, donijeti zakonite odluke, koordinirati dobavljače, zaštititi otkrivanje, izvršiti brisanje, provesti ograničenje obrade i očuvati dokaze.

Clarysec pomaže organizacijama izgraditi taj tijek rada bez stvaranja paralelne birokracije usklađenosti. Počnite s Zenith Blueprint kako biste prava ispitanika smjestili u odgovarajuću fazu i korake ISMS-a. Upotrijebite Clarysecovu Politiku zaštite podataka i privatnosti, Politiku zaštite podataka i privatnosti za MSP, Politiku zadržavanja i zbrinjavanja podataka, Politiku zadržavanja podataka i sigurnog zbrinjavanja za MSP i Politiku zahtjeva sigurnosti aplikacija za MSP za definiranje vlasništva i operativnih pravila.

Zatim upotrijebite Zenith Controls za mapiranje kontrola ISO/IEC 27002:2022 5.9, 5.34 i 8.10 u dokaze unakrsne usklađenosti za GDPR, ISO/IEC 27001:2022, NIS2, DORA, NIST CSF 2.0 i pružanje potvrda prema COBIT 2019.

Ako želite znati bi li vaši DSAR tijekovi rada za brisanje i ograničenje obrade sutra izdržali reviziju, Clarysec vam može pomoći testirati proces, zatvoriti praznine i izgraditi paket dokaza prije nego što stigne sljedeći zahtjev. Preuzmite relevantne Clarysec predloške politika ili rezervirajte procjenu spremnosti za DSAR kako biste prešli s reaktivnog odgovora na kontrolirane operacije privatnosti spremne za reviziju.