Zahtjevi za otkrivanje osobnih podataka (PII) prema GDPR-u i ISO 27701

Zahtjev stiže u petak u 16:47
Voditelj korisničkog uspjeha prosljeđuje e-poštu pravnom odjelu s predmetom: „HITAN POLICIJSKI ZAHTJEV”. U privitku je skenirani dopis kojim se traže podaci o korisničkom računu, povijest prijava, IP adrese, evidencije plaćanja i „sve druge relevantne informacije” za imenovanu osobu. Pošiljatelj tvrdi da je iz jedinice za kibernetički kriminal. U e-poruci se traži otkrivanje podataka u roku od 24 sata i zahtijeva da organizacija „ne obavijesti ispitanika”.
Istodobno tim za sigurnosne operacije istražuje neuobičajenu aktivnost na istom korisničkom računu. Službenik za zaštitu podataka nalazi se u drugoj vremenskoj zoni. CISO pita je li riječ o incidentu, pravnom zahtjevu, otkrivanju prema GDPR-u ili o svemu navedenom. Prodaja želi „u potpunosti surađivati”. Podrška želi znati smije li izvesti korisnički profil. Netko predlaže slanje cjelokupnog CRM zapisa jer su „tijela zatražila sve”.
To je praznina u upravljanju.
Većina organizacija ima politiku privatnosti, plan odgovora na incidente i postupak za zahtjeve ispitanika za pristup osobnim podacima. Mnoge mogu upravljati dubinskom analizom dobavljača, regulatornom korespondencijom i prijavom povrede osobnih podataka. Znatno manje organizacija ima ponovljiv radni tijek za obvezujuće ili službene zahtjeve za otkrivanje osobnih podataka (PII) koje upućuju tijela kaznenog progona, regulatorna tijela, sudovi, porezna tijela, financijski nadzornici, telekomunikacijski regulatori, jedinice za kibernetički kriminal ili strana tijela javne vlasti.
Ta je praznina opasna. Postupanje po lažnom zahtjevu može postati povreda osobnih podataka. Odbijanje legitimnog zahtjeva može stvoriti pravnu izloženost. Odgovor bez kontroliranog postupka može dovesti do prekomjernog otkrivanja, narušenog lanca čuvanja dokaza, propuštenih rokova, nezakonitih međunarodnih prijenosa i nepovoljnog revizijskog nalaza.
Prema GDPR-u, ISO 27701:2025 i ISO/IEC 27001:2022, službeni zahtjev za otkrivanje osobnih podataka (PII) nije samo pitanje pretinca pravnog odjela. Obuhvaća pravnu osnovu, načelo odgovornosti, ograničavanje svrhe, smanjenje količine podataka, povjerljivost, odobravanje temeljeno na ulogama, upravljanje međunarodnim prijenosima, upute izvršitelju obrade, očuvanje dokaza, siguran prijenos i revizijske tragove.
Praktičan je test jednostavan: kada zahtjev stigne, može li vaša organizacija dokazati da je provjerila podnositelja zahtjeva, procijenila pravnu ovlast, ograničila opseg otkrivanja, pribavila odgovarajuća odobrenja, zaštitila dokaze, evidentirala odluku i zadržala revizijski provjerljiv trag?
Stav Claryseca je jasan. Zahtjeve tijela kaznenog progona i regulatornih tijela za otkrivanje osobnih podataka (PII) tretirajte kao kontrolirani radni tijek zaštite privatnosti i informacijske sigurnosti, a ne kao improvizirani odgovor e-poštom.
Zašto su službeni zahtjevi za otkrivanje osobnih podataka (PII) drukčiji
Uobičajeni model vanjskog dijeljenja podataka najčešće počinje poslovnom svrhom. Dobavljaču su potrebni podaci o zaposlenicima za obračun plaća. Pružatelj SaaS usluge obrađuje identifikatore korisnika. Partner prima transakcijske podatke na temelju ugovora. Obrazac upravljanja poznat je: dubinska analiza dobavljača, ugovor o obradi podataka, sigurnosni zahtjevi, procjena prijenosa, odredbe o zadržavanju i kontinuirano praćenje.
Zahtjevi tijela kaznenog progona i regulatornih tijela za otkrivanje osobnih podataka (PII) drukčiji su. Potaknuti su događajem, vremenski osjetljivi, često povjerljivi i ponekad pravno obvezujući. Mogu stići izvan nabavnih kanala. Mogu tražiti široke kategorije osobnih podataka (PII). Mogu zabranjivati obavješćivanje. Mogu uključivati strana tijela. Mogu stići tijekom incidenta, istrage prijevare, pravne mjere očuvanja podataka, regulatornog ispitivanja ili istrage kibernetičkog kriminala.
To stvara tri neposredna zahtjeva upravljanja.
Prvo, organizacija mora znati tko smije odgovoriti. Zaposlenik na prvoj liniji ne smije odlučivati je li policijski zahtjev valjan, je li formulacija regulatornog tijela obvezujuća ili je li obavješćivanje korisnika zabranjeno.
Drugo, suradnja se mora odvojiti od prekomjernog otkrivanja. GDPR ne sprječava zakonitu suradnju s nadležnim tijelima, ali i dalje zahtijeva valjanu pravnu osnovu, poštenost, transparentnost gdje je primjenjivo, ograničavanje svrhe, smanjenje količine podataka, cjelovitost, povjerljivost i načelo odgovornosti.
Treće, dokazi se moraju očuvati. Ako se zahtjev odnosi na incident, događaj prijevare, predmet sudskog spora ili nadzorni upit, brisanje dnevničkih zapisa, izmjena zapisa ili izvoz podataka bez sljedivosti može narušiti i usklađenost i dokaznu vrijednost.
Najjači operativni model povezuje upravljanje privatnošću, pravno odobrenje, postupanje s dokazima, odgovor na incidente, siguran prijenos i kontakt s nadležnim tijelima u jedinstveni radni tijek.
Clarysec skup kontrola: nadležna tijela, privatnost i dokazi
U Zenith Controls: vodiču za mapiranje usklađenosti među okvirima, Clarysec upravljanje otkrivanjem prema tijelima kaznenog progona i regulatornim tijelima promatra kao povezani skup kontrola, a ne kao samostalan zadatak zaštite privatnosti. Središnje kontrole ISO/IEC 27002:2022 jesu 5.5 Kontakt s nadležnim tijelima, 5.28 Prikupljanje dokaza i 5.34 Privatnost i zaštita osobnih podataka (PII). Potporni odnosi kontrola uključuju klasifikaciju i označavanje, kontrolu pristupa, odnose s dobavljačima, upravljanje incidentima, zapisivanje događaja, sinkronizaciju vremena sustava, kriptografiju, maskiranje, brisanje i prijenos informacija.
To je važno jer službeni zahtjevi za otkrivanje mogu zakazati na više točaka. Tim za zaštitu privatnosti može provjeriti pravnu osnovu, ali propustiti očuvati dokaze. SOC može očuvati dnevničke zapise, ali otkriti previše osobnih podataka (PII). Pravni odjel može odobriti odgovor, ali zaboraviti ažurirati registar otkrivanja. Izvršitelj obrade može izravno odgovoriti nadležnom tijelu iako je zahtjev trebao proslijediti voditelju obrade.
Zenith Blueprint: revizorov plan u 30 koraka dodatno potvrđuje tu operativnu povezanost u fazi Kontrole u praksi, korak 22, pod Kontaktom s nadležnim tijelima:
Kontrola 5.5 osigurava da je organizacija spremna komunicirati s vanjskim nadležnim tijelima kada je to potrebno, ne reaktivno ili u panici, nego putem unaprijed definiranih, strukturiranih i dobro razumljivih kanala.
Isti odjeljak postavlja pitanja na koja treba odgovoriti prije nego što stvarni zahtjev stigne:
Načelo je jednostavno: ako je vaša organizacija meta kibernetičkog napada, uključena u povredu podataka ili pod istragom, tko bi kontaktirao nadležna tijela? Kako bi znao što treba reći? Pod kojim bi se uvjetima takav kontakt pokrenuo? Na ta se pitanja mora odgovoriti unaprijed, a ne naknadno.
Za zaštitu osobnih podataka (PII), Zenith Blueprint u fazi Kontrole u praksi, korak 23, privatnost postavlja kao obvezu tijekom cijelog životnog ciklusa:
Kontrola 5.34 zahtijeva da organizacije štite privatnost pojedinaca provedbom odgovarajućih mjera za postupanje s osobnim podacima (PII) tijekom cijelog njihova životnog ciklusa.
Za dokaze, ista faza i korak objašnjavaju zašto je neformalno postupanje rizično:
Kontrola 5.28 prepoznaje da je nakon incidenta ono što možete dokazati jednako važno kao i ono što se stvarno dogodilo.
Zajedno, ta tri načela definiraju model upravljanja: znati tko komunicira s nadležnim tijelima, štititi osobne podatke (PII) tijekom cijelog životnog ciklusa otkrivanja i očuvati dokaze na dokaziv način.
Pogled GDPR-a i ISO 27701:2025 na obvezujuće otkrivanje
ISO 27701:2025 pojačava potrebu za disciplinom sustava upravljanja zaštitom privatnosti. PIMS treba definirati kako voditelji obrade i izvršitelji obrade postupaju sa službenim zahtjevima za otkrivanje, uključujući zaprimanje, provjeru, pravni pregled, autorizaciju, evidentiranje, ograničavanje opsega, siguran prijenos, zadržavanje i pregled nakon odgovora.
Za voditelja obrade ključno je pitanje određuje li organizacija svrhe i sredstva obrade te stoga mora odlučiti je li otkrivanje zakonito i kako ga provesti. Za izvršitelja obrade pitanje je smije li uopće otkriti podatke bez upute voditelja obrade, osim ako je to zakonski obvezan učiniti. Za podizvršitelja obrade usmjeravanje zahtjeva i prenesene obveze postaju još osjetljiviji.
GDPR potvrđuje iste operativne zahtjeve. Otkrivanje podataka tijelu javne vlasti i dalje je obrada. Organizacija treba pravnu osnovu prema Article 6, dokumentiranu svrhu, odgovarajuću sigurnost, smanjenje količine podataka prema Article 5(1)(c) i dokaze o odgovornosti prema Article 5(2). U mnogim slučajevima pravna osnova bit će Article 6(1)(c), obrada nužna radi poštovanja pravne obveze, ali tek nakon što pravni odjel provjeri zahtjev i nadležnost.
Kada zahtjev dolazi od stranog tijela javne vlasti, upravljanje prijenosom i pregled službenika za zaštitu podataka postaju nužni. Kada zahtjev uključuje izvršitelja obrade, potrebno je provjeriti ugovorna pravila o obavješćivanju i uputama. Kada se zahtjev odnosi na kibernetički incident, odgovor mora biti usklađen sa zahtjevima za postupanje s incidentima i prikupljanje dokaza.
Clarysec skup politika pretvara te zahtjeve u operativna pravila.
Organizacijska P17 Politika zaštite podataka i privatnosti, točka 6.1.1, navodi:
Sva obrada mora se temeljiti na valjanoj pravnoj osnovi (npr. privola, ugovor, pravna obveza).
Ista politika, točka 6.2.1, dodaje polazište za ograničavanje opsega:
Smiju se prikupljati i obrađivati samo podaci nužni za određenu, legitimnu poslovnu svrhu.
Za MSP-ove, P17S Politika zaštite podataka i privatnosti - SME, točka 6.2.1, navodi:
Moraju se prikupljati i zadržavati samo minimalni nužni osobni podaci.
Te su točke važne kada zahtjev traži „sve informacije”, „cjelokupnu povijest” ili „sve povezane zapise”. Ispravan odgovor nije izvoz svakog polja. Ispravan je odgovor provjeriti zahtjev, utvrditi pravno zahtijevani opseg, otkriti samo nužne osobne podatke (PII), dokumentirati odluku i zadržati dokaze.
Od panike u e-pošti do kontroliranog otkrivanja
Zreo radni tijek mora biti dovoljno jednostavan da ga mogu slijediti zaposlenici na prvoj liniji i dovoljno rigorozan za revizore, regulatorna tijela i sudove. Clarysec preporučuje model u sedam faza.
| Faza | Cilj kontrole | Primarni vlasnik | Nastali dokazi |
|---|---|---|---|
| 1. Zaprimanje i karantena | Spriječiti neformalni odgovor ili slučajno otkrivanje | Servisni centar, pravni prijem, voditelj zaštite privatnosti | Prijava zahtjeva, izvorna poruka, privici, vremenska oznaka |
| 2. Provjera autentičnosti | Potvrditi identitet podnositelja zahtjeva, ovlast, nadležnost i pravni instrument | Pravni odjel, službenik za zaštitu podataka, usklađenost | Bilješke o provjeri, potvrda kontakta s nadležnim tijelom, procjena pravne osnove |
| 3. Utvrđivanje uloge | Odlučiti djeluje li organizacija kao voditelj obrade, izvršitelj obrade, zajednički voditelj obrade ili podizvršitelj obrade | Voditelj zaštite privatnosti, vlasnik ugovora | Procjena uloge u PIMS-u, zapis o uputi klijenta ako je riječ o izvršitelju obrade |
| 4. Ograničavanje opsega | Prevesti zahtjev u konkretne kategorije osobnih podataka (PII) i razdoblja | Vlasnik procesa, sigurnost, pravni odjel | Izvadak mapiranja podataka, odluka o ograničavanju opsega, bilješke o redigiranju |
| 5. Odobrenje | Osigurati autoriziranu odluku prije otkrivanja | Službenik za zaštitu podataka, pravni odjel, CISO, vlasnik poslovnog područja | Zapis o odobrenju, zapis o iznimci ako je hitno |
| 6. Sigurno otkrivanje | Prenijeti samo odobrene podatke kroz kontrolirane kanale | Sigurnost, pravne operacije | Zapis o prijenosu, dokazi o šifriranju, potvrda primatelja |
| 7. Evidentiranje i pregled | Zadržati dokaze o odgovornosti i naučene lekcije | Voditelj PIMS-a, usklađenost | Unos u REG08, REG09 ili REG12, revizijski trag, pregled zatvaranja |
Prvo je pravilo usmjeravanje. Svaki zaposlenik treba znati da se službeni zahtjevi za osobne podatke (PII) upućuju na definirani kanal zaprimanja. Nitko ne smije odgovarati s osobnog pretinca. Nitko ne smije nazvati podnositelja zahtjeva na telefonski broj naveden u neprovjerenom dopisu. Nitko ne smije izvoziti korisničke podatke prije nego što pravni odjel i tim za zaštitu privatnosti pregledaju zahtjev.
Organizacijska P30 Politika odgovora na incidente, točka 6.5.5, podupire tu disciplinu usmjeravanja:
Svaki angažman s tijelima kaznenog progona ili pružateljima forenzičkih usluga mora se koordinirati putem pravnog tima i CISO-a.
Ta je točka posebno važna kada je zahtjev za otkrivanje povezan s prijevarom, kibernetičkim kriminalom, kompromitacijom računa, ransomwareom, unutarnjom prijetnjom ili istragom povrede. Pravni odjel i sigurnost moraju koordinirati aktivnosti, a ne djelovati paralelno.
Organizacijska P37 Politika pravne i regulatorne usklađenosti, točka 7.3.1.2, kontrolira vanjske izjave:
Sve usmene ili pisane izjave regulatornim tijelima moraju biti prethodno odobrene.
Točka 7.3.1.3 dodaje disciplinu rokova i dokaza:
Rokovi za odgovor moraju se pratiti, a zapisi o dokazima održavati.
Ta pravila nisu birokratsko opterećenje. Ona sprječavaju slučajna priznanja, nekontrolirano otkrivanje, propuštene rokove i slabe dokaze.
Disciplina odobrenja i registara: revizijski dokazi koje većina timova propušta
Mnoge organizacije mogu pokazati izvornu e-poruku zahtjeva. Manje ih može pokazati tko je odobrio otkrivanje, koja je pravna osnova korištena, zašto su određena polja uključena ili isključena, kako je podnositelj zahtjeva provjeren, je li ispitanik obaviješten ili zakonito nije obaviješten te gdje je odgovor evidentiran.
Tu Clarysec PIMS registri postaju ključni.
Za voditelje obrade, organizacijska PII09 Politika prikupljanja, uporabe, otkrivanja i dijeljenja osobnih podataka (PII), točka 4.4.1, zahtijeva:
[Voditelj obrade] Vlasnik procesa / vlasnik poslovanja MORA evidentirati ishod pregleda voditelja zaštite privatnosti / voditelja PIMS-a u REG08 prije početka svakog novog vanjskog otkrivanja ili aranžmana dijeljenja podataka.
Točka 4.4.2 određuje što se mora zabilježiti za ponavljajuće dijeljenje:
[Voditelj obrade] Vlasnik dobavljača / nabave MORA evidentirati identitet primatelja, ulogu primatelja, svrhu otkrivanja, kategorije osobnih podataka (PII), učestalost dijeljenja, lokaciju obrade i izvor ovlasti u REG08 prije početka ponavljajućeg vanjskog dijeljenja.
Za izvršitelje obrade, organizacijska PII12 Politika upravljanja izvršiteljima obrade, podizvršiteljima obrade i privatnošću trećih strana, točka 4.5.3, daje posebno pravilo za pravno obvezujuće zahtjeve i zahtjeve koje je odobrio klijent:
[Izvršitelj obrade] Vlasnik dobavljača / nabave MORA evidentirati zahtjeve trećih strana za otkrivanje, pravno obvezujuće zahtjeve za otkrivanje ili zahtjeve za otkrivanje koje je odobrio klijent u REG08 prije otkrivanja ili u roku od dva radna dana kada prethodno evidentiranje nije dopušteno ili operativno moguće.
Za zahtjeve stranih tijela javne vlasti, organizacijska PII13 Politika međunarodnog prijenosa osobnih podataka (PII), točka 4.4.3, još je konkretnija:
[Oboje] Voditelj zaštite privatnosti / voditelj PIMS-a MORA evidentirati zahtjeve stranih tijela javne vlasti za otkrivanje podataka u REG09 ili REG12 prije otkrivanja gdje je to izvedivo, ili u roku od jednog radnog dana kada prethodno evidentiranje nije izvedivo.
Točka 4.4.4 dodaje disciplinu pregleda:
[Oboje] Službenik za zaštitu podataka / savjetnik za privatnost MORA pregledati zahtjeve stranih tijela javne vlasti za otkrivanje podataka koji su značajni za privatnost u REG09 ili REG12 prije odgovora gdje je to izvedivo.
Registar otkrivanja jedinstveni je izvor istine organizacije. Ne smiju ga zamijeniti raspršene e-poruke, privatne niti chata ili ad hoc proračunske tablice.
| Polje registra | Što dokazuje |
|---|---|
| ID zahtjeva | Zahtjev je jedinstveno praćen |
| Izvor zahtjeva | Nadležno tijelo ili podnositelj zahtjeva identificiran je |
| Izvor pravne ovlasti | Pravni instrument ili ovlast su procijenjeni |
| Uloga u PIMS-u | Razmotrene su obveze voditelja obrade, izvršitelja obrade, zajedničkog voditelja obrade ili podizvršitelja obrade |
| Tražene kategorije osobnih podataka (PII) | Izvorni opseg zahtjeva je zabilježen |
| Odobrene kategorije osobnih podataka (PII) | Konačno otkrivanje bilo je kontrolirano |
| Isključeni osobni podaci (PII) | Smanjenje količine podataka aktivno je primijenjeno |
| Lanac odobrenja | Evidentirana su odobrenja pravnog odjela, službenika za zaštitu podataka, CISO-a i poslovnih funkcija |
| Način prijenosa | Korištene su kontrole sigurnog prijenosa |
| Odluka o obavješćivanju | Razmotrena su ograničenja transparentnosti ili odgode |
| Zadržavanje i zatvaranje | Dokazi su zadržani, a predmet je zatvoren |
Praktičan primjer: zahtjev regulatornog tijela u REG08
Zamislite da regulirano fintech društvo zaprimi pisani zahtjev nacionalnog financijskog regulatornog tijela za osobne podatke (PII) povezane sa sumnjivim transakcijama jednog korisnika tijekom razdoblja od 90 dana. Zahtjev traži zapise o provjeri identiteta, dnevnike transakcija, identifikatore uređaja, prijave podršci i interne bilješke o riziku.
Koristeći Clarysec paket alata, voditelj zaštite privatnosti otvara REG08 zapis o otkrivanju.
| Polje REG08 | Primjer unosa |
|---|---|
| ID zahtjeva | REG08-2026-041 |
| Izvor zahtjeva | Nacionalno financijsko regulatorno tijelo, provjereno putem službenog imenika nadzornih kontakata |
| Vrsta zahtjeva | Zahtjev regulatornog tijela za otkrivanje osobnih podataka (PII) |
| Uloga u PIMS-u | Voditelj obrade |
| Izvor pravne ovlasti | Zakonski zahtjev nadzornog tijela za informacijama, referenca FIN-REQ-7781 |
| Svrha | Istraga sumnjivih transakcija za imenovanog korisnika |
| Tražene kategorije osobnih podataka (PII) | Podaci za provjeru identiteta, dnevnici transakcija, identifikatori uređaja, komunikacija s podrškom, bilješke o riziku |
| Odobrene kategorije osobnih podataka (PII) | Dnevnici transakcija, identifikatori uređaja, relevantna polja provjere identiteta, dvije prijave podršci unutar razdoblja |
| Isključeni osobni podaci (PII) | Nepovezana povijest podrške, interna mišljenja analitičara izvan razdoblja, reference na korisnike trećih strana |
| Obrazloženje ograničavanja opsega | Opseg ograničen na imenovanog korisnika, razdoblje od 90 dana i zapise relevantne za transakcije navedene u zahtjevu |
| Pregled službenika za zaštitu podataka | Odobreno uz upute za redigiranje |
| Pravno odobrenje | Odobreno, tekst odgovora pregledan |
| Pregled CISO-a | Odobren sigurni izvoz i način prijenosa |
| Način prijenosa | Šifrirana arhiva putem sigurnog portala regulatornog tijela |
| Obavješćivanje ispitanika | Odgođeno zbog pravnog ograničenja u zahtjevu, određen datum pregleda |
| Zadržavanje | Zapis zahtjeva i paket za otkrivanje zadržani prema rasporedu pravne mjere očuvanja podataka |
| Dokazi o zatvaranju | Potvrda slanja putem portala, sažetak paketa za otkrivanje, lanac odobrenja |
To je razlika između „postupili smo” i „možemo dokazati da smo postupili zakonito i razmjerno”. Ako se korisnik kasnije požali, ako nadležno tijelo postavi dodatna pitanja ili ako revizor uzorkuje otkrivanje, zapis pokazuje logiku upravljanja.
Očuvanje dokaza: ne oštetite činjenice dok pokušavate pomoći
Kada je zahtjev tijela kaznenog progona ili regulatornog tijela povezan s istragom, upravljanje privatnošću preklapa se s forenzikom i pravnom mjerom očuvanja podataka. Otkriveni podaci često su dokazi, a sam čin njihova prikupljanja mora očuvati cjelovitost.
Politika pravne i regulatorne usklađenosti - SME, točka 6.4.1, postavlja kontekst:
U slučaju spora, istrage ili pravnog zahtjeva:
Točka 6.4.1.2 daje jasnu uputu:
Zaposlenici ne smiju brisati ili mijenjati materijale koji mogu činiti dio istrage.
P31S Politika prikupljanja dokaza i forenzike - SME, točka 2.2.5, izričito uključuje:
Upite regulatornih tijela ili tijela kaznenog progona
Točka 5.2.1 uspostavlja disciplinu zapisivanja:
Svaka stavka digitalnog dokaza mora se evidentirati s:
Operativno, zapis o dokazima treba obuhvatiti jedinstveni identifikator, datum i vrijeme prikupljanja, ime osobe koja je prikupila dokaz, izvornu lokaciju i kriptografski sažetak gdje je to primjenjivo. Svrha je sljedivost. Ako se dnevnički zapisi izvoze ručno, nazivi datoteka mijenjaju, vremenske oznake nisu jasne ili se ne zadržava sažetak, organizacija kasnije može teško dokazati cjelovitost.
Snažan radni tijek za dokaze također ograničava pristup. Paketi za otkrivanje trebaju se čuvati na ograničenim lokacijama, šifrirati u prijenosu, pratiti putem zapisa o prijenosu i zadržavati prema zahtjevima pravne mjere očuvanja podataka i zadržavanja. Ako se zahtjev za otkrivanje preklapa s odgovorom na incident, tim mora znati kada prijeći iz načina otklanjanja posljedica u istražni pristup.
Mapiranje usklađenosti među okvirima: jedan radni tijek, više obveza
Dobro oblikovan radni tijek za zahtjeve za otkrivanje osobnih podataka (PII) može zadovoljiti više okvira bez dupliciranja posla. Zenith Controls pomaže organizacijama mapirati iste operativne dokaze na očekivanja u području privatnosti, kibernetičke sigurnosti, operativne otpornosti i upravljanja.
| Okvir | Što revizor ili regulatorno tijelo očekuje | Kako Clarysec radni tijek to podupire |
|---|---|---|
| ISO 27701:2025 | Uloge u PIMS-u, zakonito upravljanje otkrivanjem, upute izvršitelju obrade, zapisi o otkrivanju osobnih podataka (PII), obrada rizika za privatnost | Utvrđivanje uloge, REG08, REG09, REG12, pregled službenika za zaštitu podataka, obrazloženje ograničavanja opsega |
| GDPR | Pravna osnova, načelo odgovornosti, smanjenje količine podataka, sigurnost, odluke o transparentnosti, upravljanje izvršiteljima obrade i prijenosima | Procjena pravne ovlasti, lanac odobrenja, ograničen paket za otkrivanje, dokazi o sigurnom prijenosu |
| ISO/IEC 27001:2022 i ISO/IEC 27002:2022 | Kontakt s nadležnim tijelima, prikupljanje dokaza, zaštita osobnih podataka (PII), kontrola pristupa, zapisivanje događaja, kriptografija, brisanje | Matrica kontakata nadležnih tijela, zapis o dokazima, siguran izvoz, zapis sažetka, odluka o zadržavanju |
| NIS2 | Disciplina prijavljivanja incidenata, suradnja s nadležnim tijelima, odgovornost upravljanja, svijest o opskrbnom lancu | Koordinacija pravnog odjela i CISO-a, rokovi odgovora, registar kontakata nadležnih tijela, povezanost s incidentom |
| DORA | Upravljanje IKT incidentima financijskog subjekta, interakcija s regulatornim tijelima, spremnost dokaza, IKT rizik trećih strana | Usmjeravanje zahtjeva regulatornog tijela, sigurni zapisi otkrivanja, očuvanje dokaza o incidentu, sučelje s dobavljačem |
| NIST Cybersecurity Framework | Ishodi upravljanja, identifikacije, zaštite, otkrivanja, odgovora i oporavka za kibernetičke događaje | Vlasništvo nad politikom, popis podataka, kontrole pristupa, zapisivanje događaja, radni tijek odgovora, pregled nakon odgovora |
| COBIT 2019 | Ciljevi upravljanja za usklađenost, rizik, sigurnost, upravljanje informacijama i osiguranje | Prava odlučivanja, vlasništvo nad procesom, revizijski zapisi, nadzor uprave, kontinuirano poboljšanje |
Relevantni su i potporni ISO standardi. ISO/IEC 27035 pomaže strukturirati upravljanje incidentima kada je zahtjev povezan s incidentom. ISO/IEC 27037 podupire identifikaciju, prikupljanje, pribavljanje i očuvanje digitalnih dokaza. ISO/IEC 27018 koristan je kada izvršitelji obrade u javnom oblaku obrađuju osobne podatke (PII). ISO/IEC 27017 podupire odgovornosti za sigurnost oblaka. ISO 22301 postaje relevantan ako se kontakt s nadležnim tijelima i obveze otkrivanja moraju nastaviti tijekom kriznih uvjeta. ISO/IEC 27006-1:2024 neizravno je važan jer certifikacijski revizori očekuju dosljednu, revizijski provjerljivu implementaciju kontrola sustava upravljanja unutar opsega.
Cilj nije izgraditi zaseban proces usklađenosti za svaki okvir. Cilj je oblikovati jedan dokaziv radni tijek koji stvara ponovno upotrebljive dokaze.
Kako će različiti revizori testirati radni tijek
Revizor ISO/IEC 27001:2022 obično će početi od integracije sa sustavom upravljanja. Pitat će je li organizacija utvrdila zainteresirane strane, pravne i regulatorne zahtjeve, rizike, ciljeve kontrola, dokumentirane postupke, dodijeljene odgovornosti i zadržane dokaze. Za zahtjeve za otkrivanje može uzorkovati incidente, korespondenciju s regulatornim tijelima, popise kontakata nadležnih tijela, zapise o dokazima i zapise o privatnosti. Vjerojatno će testirati kontrole iz Priloga A: A.5.5 Kontakt s nadležnim tijelima, A.5.28 Prikupljanje dokaza i A.5.34 Privatnost i zaštita osobnih podataka (PII).
Procjenitelj za ISO 27701:2025 usredotočit će se na jasnoću uloga u PIMS-u. Jeste li bili voditelj obrade, izvršitelj obrade, zajednički voditelj obrade ili podizvršitelj obrade? Ako ste voditelj obrade, gdje su pravna osnova i zapis o otkrivanju? Ako ste izvršitelj obrade, jeste li postupali prema uputama voditelja obrade osim ako vas pravo nije drukčije obvezivalo? Je li korisnik obaviješten gdje je to bilo potrebno ili ugovorno očekivano? Jesu li zahtjevi stranih tijela javne vlasti evidentirani i pregledani?
Regulatorno tijelo za GDPR usredotočit će se na načelo odgovornosti. Pitanje neće biti samo „jeste li imali pravnu obvezu?”. Bit će: „zašto je otkrivena ova količina podataka, tko je to odobrio, kako je podnositelj zahtjeva provjeren, kojom je sigurnošću zaštićen prijenos, kako ste procijenili transparentnost i gdje je zapis?”.
Procjenitelj orijentiran na NIST ispitat će ishode upravljanja i odgovora. Pitat će jesu li uloge definirane, jesu li dnevnički zapisi očuvani, je li pristup paketima za otkrivanje ograničen, jesu li aktivnosti odgovora dokumentirane i jesu li naučene lekcije poboljšale program.
Revizor COBIT 2019 ili ISACA testirat će upravljanje pravima odlučivanja. Može pitati je li uprava definirala vlasnika procesa, jesu li odgovornosti pravnog odjela, privatnosti, sigurnosti i poslovanja razdvojene, jesu li iznimke odobrene, izvješćuje li se o metrikama i može li se osiguranje osloniti na dokaze.
Regulatorno tijelo, revizor, CISO i službenik za zaštitu podataka mogu isti zapis promatrati različito. Stručnjak za privatnost vidi zapis o zakonitom otkrivanju. Sigurnosni revizor vidi očuvanje dokaza i siguran prijenos. Revizor upravljanja vidi odgovornost i prava odlučivanja. Organizacija treba moći odgovoriti svima na temelju istih kontrolnih dokaza.
Uobičajeni obrasci propusta
Clarysec opetovano uočava iste sprječive propuste.
Prvi je neformalni kontakt s nadležnim tijelom. Policijski službenik nazove podršku, podrška želi pomoći, a zaposlenik usmeno potvrdi podatke o računu. Nema provjere, nema odobrenja, nema zapisa.
Drugi je prekomjerno otkrivanje. Organizacija šalje cijeli korisnički dosje umjesto konkretnih zapisa i razdoblja koji su potrebni. Time se stvara izbježan rizik prema GDPR-u i slabi povjerenje.
Treći je prekoračenje uloge izvršitelja obrade. Pružatelj SaaS usluge zaprimi zahtjev tijela kaznenog progona za osobne podatke (PII) pod kontrolom korisnika i odgovori bez obavješćivanja ili uključivanja korisnika, iako ugovor i uloga u PIMS-u zahtijevaju usmjeravanje, osim ako je to zakonski zabranjeno.
Četvrti je izostanak pregleda zahtjeva stranog tijela. Zahtjev nedomaćeg tijela javne vlasti tretira se kao obično otkrivanje, bez procjene prijenosa, pregleda službenika za zaštitu podataka ili unosa u REG09 ili REG12.
Peti je slabo postupanje s dokazima. Dnevnički zapisi izvoze se ručno, vremenske oznake nisu jasne, nazivi datoteka se mijenjaju i ne postoji zapis o sažetku ili lancu čuvanja dokaza.
Šesti je neupravljana povjerljivost. Previše zaposlenika uključeno je u zahtjev, uključujući osobe bez potrebe za pristupom informacijama. Osjetljivi detalji istrage šire se kanalima za chat.
Sedmi je nejasnoća oko rokova. Organizacija propušta pravno značajan datum odgovora jer zahtjev stoji u poštanskom sandučiću umjesto u praćenom radnom tijeku.
Svaki se propust može spriječiti unaprijed definiranim kanalima, registrima, odobrenjima i standardima dokaza.
Uloge i prava odlučivanja
Praktičan model upravljanja definira prava odlučivanja prije nego što stigne prvi zahtjev.
| Uloga | Odgovornost u radnom tijeku otkrivanja |
|---|---|
| Zaposlenik na prvoj liniji | Proslijediti zahtjev na odobreni kanal zaprimanja, ne odgovarati sadržajno, ne otkrivati osobne podatke (PII) |
| Pravni tim | Provjeriti pravni instrument, nadležnost, ovlast, ograničenje povjerljivosti i tekst odgovora |
| Službenik za zaštitu podataka ili savjetnik za privatnost | Procijeniti implikacije GDPR-a i ISO 27701:2025, ograničavanje opsega, transparentnost, ulogu u PIMS-u i pitanja prijenosa |
| CISO | Odobriti sigurno prikupljanje dokaza, siguran izvoz, način prijenosa i povezanost s incidentom |
| Vlasnik procesa | Identificirati relevantne sustave i kategorije podataka, potvrditi poslovni kontekst |
| Voditelj PIMS-a | Održavati REG08, REG09 ili REG12, pratiti ishod pregleda, zadržati revizijske dokaze |
| Izvršni odobravatelj | Odobriti visokorizična, strana, strateška ili reputacijski osjetljiva otkrivanja |
| Vlasnik dobavljača ili nabave | Koordinirati zapise o zahtjevima povezanima s trećim stranama ili izvršiteljima obrade i ugovorne obveze |
Taj model treba ugraditi u obuku za podizanje svijesti. Zaposlenici ne moraju znati svaku pravnu nijansu, ali moraju znati pravilo: službeni zahtjevi idu na definirani kanal, a osobni podaci (PII) ne otkrivaju se bez autorizacije.
Kontrolni popis spremnosti za sljedeću stolnu vježbu
Upotrijebite ovaj kontrolni popis u radionici upravljanja privatnošću, internoj reviziji ili stolnoj vježbi.
- Imamo li jedinstveni kanal zaprimanja za zahtjeve tijela kaznenog progona i regulatornih tijela za otkrivanje osobnih podataka (PII)?
- Znaju li zaposlenici da ne smiju odgovarati neformalno?
- Provjeravamo li identitet podnositelja zahtjeva putem neovisnih izvora kontakata?
- Razlikujemo li zahtjeve regulatornih tijela, sudske naloge, zahtjeve tijela kaznenog progona, zahtjeve koje je odobrio klijent i zahtjeve stranih tijela javne vlasti?
- Utvrđujemo li prije odgovora jesmo li voditelj obrade, izvršitelj obrade, zajednički voditelj obrade ili podizvršitelj obrade?
- Dokumentiramo li pravnu osnovu, pravnu ovlast, nadležnost i ograničenja povjerljivosti?
- Primjenjujemo li smanjenje količine podataka i redigiramo nepovezane osobne podatke (PII)?
- Zahtijevamo li pregled službenika za zaštitu podataka ili savjetnika za privatnost za zahtjeve značajne za privatnost?
- Zahtijevamo li koordinaciju pravnog odjela i CISO-a kada su uključena pitanja tijela kaznenog progona ili forenzike?
- Evidentiramo li otkrivanja voditelja obrade u REG08?
- Evidentiramo li zahtjeve stranih tijela javne vlasti u REG09 ili REG12?
- Pratimo li rokove odgovora i održavamo zapise o dokazima?
- Čuvamo li potencijalno relevantne materijale i sprječavamo brisanje ili izmjenu?
- Štitimo li pakete za otkrivanje šifriranjem, kontrolom pristupa i zapisivanjem prijenosa?
- Provodimo li pregled nakon odgovora za visokorizične zahtjeve?
- Izvješćujemo li upravu o metrikama i naučenim lekcijama?
Ako je odgovor na bilo koje od ovih pitanja „to obično rješavamo e-poštom”, proces još nije spreman za reviziju.
Ugradite radni tijek u ISMS i PIMS
Najbolji model upravljanja ne postoji samo u pravnom odjelu. On je dio ISMS-a i PIMS-a.
U Zenith Blueprintu, faza ISMS Foundation & Leadership, korak 5, preporučuje planiranje vanjske komunikacije i utvrđivanje tko komunicira s regulatornim tijelima, korisnicima, partnerima i javnošću. Navodi se da pravni savjetnik može biti uključen u oblikovanje komunikacije prema regulatornim tijelima. To se načelo izravno primjenjuje na službene zahtjeve za otkrivanje osobnih podataka (PII).
Faza Kontrole u praksi zatim operacionalizira radni tijek putem kontakta s nadležnim tijelima, zaštite osobnih podataka (PII) i prikupljanja dokaza. Zato Clarysecov vodič u 30 koraka ne tretira privatnost, sigurnost i usklađenost kao odvojene radne tokove. Stvarni zahtjev prelazi sva tri područja.
Za vlasnike poslovanja korist je smanjenje kaosa. Za CISO-e pojašnjava kada se sigurnosni dokazi mogu prikupiti, otkriti ili očuvati. Za službenike za zaštitu podataka stvara dokazivo načelo odgovornosti prema GDPR-u i ISO 27701:2025. Za rukovoditelje usklađenosti proizvodi registre i revizijske tragove. Za revizore stvara jasan put od zahtjeva politike do operativnih dokaza.
Sljedeći koraci s Clarysecom
Zahtjev regulatornog tijela ili tijela kaznenog progona nije trenutak za osmišljavanje procesa upravljanja privatnošću. To je trenutak u kojem se vaš proces testira.
Počnite sa stolnom vježbom. Upotrijebite realističan zahtjev povezan s kibernetičkim kriminalom, regulatornim tijelom ili stranim tijelom javne vlasti. Zamolite pravni odjel, službenika za zaštitu podataka, CISO-a, podršku i relevantnog vlasnika procesa da prođu kroz zaprimanje, provjeru, utvrđivanje uloge, ograničavanje opsega, odobrenje, siguran prijenos, evidentiranje u registru, očuvanje dokaza i pregled zatvaranja.
Zatim usporedite svoje odgovore s Clarysecovim operativnim modelom:
- Upotrijebite Zenith Blueprint: revizorov plan u 30 koraka kako biste kontakt s nadležnim tijelima, vanjsku komunikaciju, zaštitu osobnih podataka (PII) i prikupljanje dokaza ugradili u svoj plan implementacije ISMS-a i PIMS-a.
- Upotrijebite Zenith Controls: vodič za mapiranje usklađenosti među okvirima kako biste očekivanja ISO 27701:2025, GDPR-a, ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA-e, NIST-a i COBIT 2019 mapirali u jednu kontrolnu priču spremnu za reviziju.
- Upotrijebite Clarysecove politike zaštite podataka i privatnosti, odgovora na incidente, pravne i regulatorne usklađenosti, prikupljanja dokaza i forenzike, otkrivanja osobnih podataka (PII), upravljanja izvršiteljima obrade i međunarodnih prijenosa za definiranje pravila radnog tijeka, registara, odobrenja i zahtjeva za dokaze.
Clarysec pomaže timovima prijeći s reaktivne panike na kontroliranu provedbu. Preuzmite relevantne Clarysec pakete alata, provedite stolnu vježbu i rezervirajte procjenu upravljanja otkrivanjem kako biste osigurali da vaš sljedeći odgovor bude zakonit, minimalan, odobren, evidentiran, siguran i revizijski provjerljiv.
Frequently Asked Questions
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council


