⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Zahtjevi za otkrivanje osobnih podataka (PII) prema GDPR-u i ISO 27701

Igor Petreski
14 min read
Revizijski provjerljiv radni tijek za zahtjeve za otkrivanje osobnih podataka (PII) prema GDPR-u i ISO 27701

Zahtjev stiže u petak u 16:47

Voditelj korisničkog uspjeha prosljeđuje e-poštu pravnom odjelu s predmetom: „HITAN POLICIJSKI ZAHTJEV”. U privitku je skenirani dopis kojim se traže podaci o korisničkom računu, povijest prijava, IP adrese, evidencije plaćanja i „sve druge relevantne informacije” za imenovanu osobu. Pošiljatelj tvrdi da je iz jedinice za kibernetički kriminal. U e-poruci se traži otkrivanje podataka u roku od 24 sata i zahtijeva da organizacija „ne obavijesti ispitanika”.

Istodobno tim za sigurnosne operacije istražuje neuobičajenu aktivnost na istom korisničkom računu. Službenik za zaštitu podataka nalazi se u drugoj vremenskoj zoni. CISO pita je li riječ o incidentu, pravnom zahtjevu, otkrivanju prema GDPR-u ili o svemu navedenom. Prodaja želi „u potpunosti surađivati”. Podrška želi znati smije li izvesti korisnički profil. Netko predlaže slanje cjelokupnog CRM zapisa jer su „tijela zatražila sve”.

To je praznina u upravljanju.

Većina organizacija ima politiku privatnosti, plan odgovora na incidente i postupak za zahtjeve ispitanika za pristup osobnim podacima. Mnoge mogu upravljati dubinskom analizom dobavljača, regulatornom korespondencijom i prijavom povrede osobnih podataka. Znatno manje organizacija ima ponovljiv radni tijek za obvezujuće ili službene zahtjeve za otkrivanje osobnih podataka (PII) koje upućuju tijela kaznenog progona, regulatorna tijela, sudovi, porezna tijela, financijski nadzornici, telekomunikacijski regulatori, jedinice za kibernetički kriminal ili strana tijela javne vlasti.

Ta je praznina opasna. Postupanje po lažnom zahtjevu može postati povreda osobnih podataka. Odbijanje legitimnog zahtjeva može stvoriti pravnu izloženost. Odgovor bez kontroliranog postupka može dovesti do prekomjernog otkrivanja, narušenog lanca čuvanja dokaza, propuštenih rokova, nezakonitih međunarodnih prijenosa i nepovoljnog revizijskog nalaza.

Prema GDPR-u, ISO 27701:2025 i ISO/IEC 27001:2022, službeni zahtjev za otkrivanje osobnih podataka (PII) nije samo pitanje pretinca pravnog odjela. Obuhvaća pravnu osnovu, načelo odgovornosti, ograničavanje svrhe, smanjenje količine podataka, povjerljivost, odobravanje temeljeno na ulogama, upravljanje međunarodnim prijenosima, upute izvršitelju obrade, očuvanje dokaza, siguran prijenos i revizijske tragove.

Praktičan je test jednostavan: kada zahtjev stigne, može li vaša organizacija dokazati da je provjerila podnositelja zahtjeva, procijenila pravnu ovlast, ograničila opseg otkrivanja, pribavila odgovarajuća odobrenja, zaštitila dokaze, evidentirala odluku i zadržala revizijski provjerljiv trag?

Stav Claryseca je jasan. Zahtjeve tijela kaznenog progona i regulatornih tijela za otkrivanje osobnih podataka (PII) tretirajte kao kontrolirani radni tijek zaštite privatnosti i informacijske sigurnosti, a ne kao improvizirani odgovor e-poštom.

Zašto su službeni zahtjevi za otkrivanje osobnih podataka (PII) drukčiji

Uobičajeni model vanjskog dijeljenja podataka najčešće počinje poslovnom svrhom. Dobavljaču su potrebni podaci o zaposlenicima za obračun plaća. Pružatelj SaaS usluge obrađuje identifikatore korisnika. Partner prima transakcijske podatke na temelju ugovora. Obrazac upravljanja poznat je: dubinska analiza dobavljača, ugovor o obradi podataka, sigurnosni zahtjevi, procjena prijenosa, odredbe o zadržavanju i kontinuirano praćenje.

Zahtjevi tijela kaznenog progona i regulatornih tijela za otkrivanje osobnih podataka (PII) drukčiji su. Potaknuti su događajem, vremenski osjetljivi, često povjerljivi i ponekad pravno obvezujući. Mogu stići izvan nabavnih kanala. Mogu tražiti široke kategorije osobnih podataka (PII). Mogu zabranjivati obavješćivanje. Mogu uključivati strana tijela. Mogu stići tijekom incidenta, istrage prijevare, pravne mjere očuvanja podataka, regulatornog ispitivanja ili istrage kibernetičkog kriminala.

To stvara tri neposredna zahtjeva upravljanja.

Prvo, organizacija mora znati tko smije odgovoriti. Zaposlenik na prvoj liniji ne smije odlučivati je li policijski zahtjev valjan, je li formulacija regulatornog tijela obvezujuća ili je li obavješćivanje korisnika zabranjeno.

Drugo, suradnja se mora odvojiti od prekomjernog otkrivanja. GDPR ne sprječava zakonitu suradnju s nadležnim tijelima, ali i dalje zahtijeva valjanu pravnu osnovu, poštenost, transparentnost gdje je primjenjivo, ograničavanje svrhe, smanjenje količine podataka, cjelovitost, povjerljivost i načelo odgovornosti.

Treće, dokazi se moraju očuvati. Ako se zahtjev odnosi na incident, događaj prijevare, predmet sudskog spora ili nadzorni upit, brisanje dnevničkih zapisa, izmjena zapisa ili izvoz podataka bez sljedivosti može narušiti i usklađenost i dokaznu vrijednost.

Najjači operativni model povezuje upravljanje privatnošću, pravno odobrenje, postupanje s dokazima, odgovor na incidente, siguran prijenos i kontakt s nadležnim tijelima u jedinstveni radni tijek.

Clarysec skup kontrola: nadležna tijela, privatnost i dokazi

U Zenith Controls: vodiču za mapiranje usklađenosti među okvirima, Clarysec upravljanje otkrivanjem prema tijelima kaznenog progona i regulatornim tijelima promatra kao povezani skup kontrola, a ne kao samostalan zadatak zaštite privatnosti. Središnje kontrole ISO/IEC 27002:2022 jesu 5.5 Kontakt s nadležnim tijelima, 5.28 Prikupljanje dokaza i 5.34 Privatnost i zaštita osobnih podataka (PII). Potporni odnosi kontrola uključuju klasifikaciju i označavanje, kontrolu pristupa, odnose s dobavljačima, upravljanje incidentima, zapisivanje događaja, sinkronizaciju vremena sustava, kriptografiju, maskiranje, brisanje i prijenos informacija.

To je važno jer službeni zahtjevi za otkrivanje mogu zakazati na više točaka. Tim za zaštitu privatnosti može provjeriti pravnu osnovu, ali propustiti očuvati dokaze. SOC može očuvati dnevničke zapise, ali otkriti previše osobnih podataka (PII). Pravni odjel može odobriti odgovor, ali zaboraviti ažurirati registar otkrivanja. Izvršitelj obrade može izravno odgovoriti nadležnom tijelu iako je zahtjev trebao proslijediti voditelju obrade.

Zenith Blueprint: revizorov plan u 30 koraka dodatno potvrđuje tu operativnu povezanost u fazi Kontrole u praksi, korak 22, pod Kontaktom s nadležnim tijelima:

Kontrola 5.5 osigurava da je organizacija spremna komunicirati s vanjskim nadležnim tijelima kada je to potrebno, ne reaktivno ili u panici, nego putem unaprijed definiranih, strukturiranih i dobro razumljivih kanala.

Isti odjeljak postavlja pitanja na koja treba odgovoriti prije nego što stvarni zahtjev stigne:

Načelo je jednostavno: ako je vaša organizacija meta kibernetičkog napada, uključena u povredu podataka ili pod istragom, tko bi kontaktirao nadležna tijela? Kako bi znao što treba reći? Pod kojim bi se uvjetima takav kontakt pokrenuo? Na ta se pitanja mora odgovoriti unaprijed, a ne naknadno.

Za zaštitu osobnih podataka (PII), Zenith Blueprint u fazi Kontrole u praksi, korak 23, privatnost postavlja kao obvezu tijekom cijelog životnog ciklusa:

Kontrola 5.34 zahtijeva da organizacije štite privatnost pojedinaca provedbom odgovarajućih mjera za postupanje s osobnim podacima (PII) tijekom cijelog njihova životnog ciklusa.

Za dokaze, ista faza i korak objašnjavaju zašto je neformalno postupanje rizično:

Kontrola 5.28 prepoznaje da je nakon incidenta ono što možete dokazati jednako važno kao i ono što se stvarno dogodilo.

Zajedno, ta tri načela definiraju model upravljanja: znati tko komunicira s nadležnim tijelima, štititi osobne podatke (PII) tijekom cijelog životnog ciklusa otkrivanja i očuvati dokaze na dokaziv način.

Pogled GDPR-a i ISO 27701:2025 na obvezujuće otkrivanje

ISO 27701:2025 pojačava potrebu za disciplinom sustava upravljanja zaštitom privatnosti. PIMS treba definirati kako voditelji obrade i izvršitelji obrade postupaju sa službenim zahtjevima za otkrivanje, uključujući zaprimanje, provjeru, pravni pregled, autorizaciju, evidentiranje, ograničavanje opsega, siguran prijenos, zadržavanje i pregled nakon odgovora.

Za voditelja obrade ključno je pitanje određuje li organizacija svrhe i sredstva obrade te stoga mora odlučiti je li otkrivanje zakonito i kako ga provesti. Za izvršitelja obrade pitanje je smije li uopće otkriti podatke bez upute voditelja obrade, osim ako je to zakonski obvezan učiniti. Za podizvršitelja obrade usmjeravanje zahtjeva i prenesene obveze postaju još osjetljiviji.

GDPR potvrđuje iste operativne zahtjeve. Otkrivanje podataka tijelu javne vlasti i dalje je obrada. Organizacija treba pravnu osnovu prema Article 6, dokumentiranu svrhu, odgovarajuću sigurnost, smanjenje količine podataka prema Article 5(1)(c) i dokaze o odgovornosti prema Article 5(2). U mnogim slučajevima pravna osnova bit će Article 6(1)(c), obrada nužna radi poštovanja pravne obveze, ali tek nakon što pravni odjel provjeri zahtjev i nadležnost.

Kada zahtjev dolazi od stranog tijela javne vlasti, upravljanje prijenosom i pregled službenika za zaštitu podataka postaju nužni. Kada zahtjev uključuje izvršitelja obrade, potrebno je provjeriti ugovorna pravila o obavješćivanju i uputama. Kada se zahtjev odnosi na kibernetički incident, odgovor mora biti usklađen sa zahtjevima za postupanje s incidentima i prikupljanje dokaza.

Clarysec skup politika pretvara te zahtjeve u operativna pravila.

Organizacijska P17 Politika zaštite podataka i privatnosti, točka 6.1.1, navodi:

Sva obrada mora se temeljiti na valjanoj pravnoj osnovi (npr. privola, ugovor, pravna obveza).

Ista politika, točka 6.2.1, dodaje polazište za ograničavanje opsega:

Smiju se prikupljati i obrađivati samo podaci nužni za određenu, legitimnu poslovnu svrhu.

Za MSP-ove, P17S Politika zaštite podataka i privatnosti - SME, točka 6.2.1, navodi:

Moraju se prikupljati i zadržavati samo minimalni nužni osobni podaci.

Te su točke važne kada zahtjev traži „sve informacije”, „cjelokupnu povijest” ili „sve povezane zapise”. Ispravan odgovor nije izvoz svakog polja. Ispravan je odgovor provjeriti zahtjev, utvrditi pravno zahtijevani opseg, otkriti samo nužne osobne podatke (PII), dokumentirati odluku i zadržati dokaze.

Od panike u e-pošti do kontroliranog otkrivanja

Zreo radni tijek mora biti dovoljno jednostavan da ga mogu slijediti zaposlenici na prvoj liniji i dovoljno rigorozan za revizore, regulatorna tijela i sudove. Clarysec preporučuje model u sedam faza.

FazaCilj kontrolePrimarni vlasnikNastali dokazi
1. Zaprimanje i karantenaSpriječiti neformalni odgovor ili slučajno otkrivanjeServisni centar, pravni prijem, voditelj zaštite privatnostiPrijava zahtjeva, izvorna poruka, privici, vremenska oznaka
2. Provjera autentičnostiPotvrditi identitet podnositelja zahtjeva, ovlast, nadležnost i pravni instrumentPravni odjel, službenik za zaštitu podataka, usklađenostBilješke o provjeri, potvrda kontakta s nadležnim tijelom, procjena pravne osnove
3. Utvrđivanje ulogeOdlučiti djeluje li organizacija kao voditelj obrade, izvršitelj obrade, zajednički voditelj obrade ili podizvršitelj obradeVoditelj zaštite privatnosti, vlasnik ugovoraProcjena uloge u PIMS-u, zapis o uputi klijenta ako je riječ o izvršitelju obrade
4. Ograničavanje opsegaPrevesti zahtjev u konkretne kategorije osobnih podataka (PII) i razdobljaVlasnik procesa, sigurnost, pravni odjelIzvadak mapiranja podataka, odluka o ograničavanju opsega, bilješke o redigiranju
5. OdobrenjeOsigurati autoriziranu odluku prije otkrivanjaSlužbenik za zaštitu podataka, pravni odjel, CISO, vlasnik poslovnog područjaZapis o odobrenju, zapis o iznimci ako je hitno
6. Sigurno otkrivanjePrenijeti samo odobrene podatke kroz kontrolirane kanaleSigurnost, pravne operacijeZapis o prijenosu, dokazi o šifriranju, potvrda primatelja
7. Evidentiranje i pregledZadržati dokaze o odgovornosti i naučene lekcijeVoditelj PIMS-a, usklađenostUnos u REG08, REG09 ili REG12, revizijski trag, pregled zatvaranja

Prvo je pravilo usmjeravanje. Svaki zaposlenik treba znati da se službeni zahtjevi za osobne podatke (PII) upućuju na definirani kanal zaprimanja. Nitko ne smije odgovarati s osobnog pretinca. Nitko ne smije nazvati podnositelja zahtjeva na telefonski broj naveden u neprovjerenom dopisu. Nitko ne smije izvoziti korisničke podatke prije nego što pravni odjel i tim za zaštitu privatnosti pregledaju zahtjev.

Organizacijska P30 Politika odgovora na incidente, točka 6.5.5, podupire tu disciplinu usmjeravanja:

Svaki angažman s tijelima kaznenog progona ili pružateljima forenzičkih usluga mora se koordinirati putem pravnog tima i CISO-a.

Ta je točka posebno važna kada je zahtjev za otkrivanje povezan s prijevarom, kibernetičkim kriminalom, kompromitacijom računa, ransomwareom, unutarnjom prijetnjom ili istragom povrede. Pravni odjel i sigurnost moraju koordinirati aktivnosti, a ne djelovati paralelno.

Organizacijska P37 Politika pravne i regulatorne usklađenosti, točka 7.3.1.2, kontrolira vanjske izjave:

Sve usmene ili pisane izjave regulatornim tijelima moraju biti prethodno odobrene.

Točka 7.3.1.3 dodaje disciplinu rokova i dokaza:

Rokovi za odgovor moraju se pratiti, a zapisi o dokazima održavati.

Ta pravila nisu birokratsko opterećenje. Ona sprječavaju slučajna priznanja, nekontrolirano otkrivanje, propuštene rokove i slabe dokaze.

Disciplina odobrenja i registara: revizijski dokazi koje većina timova propušta

Mnoge organizacije mogu pokazati izvornu e-poruku zahtjeva. Manje ih može pokazati tko je odobrio otkrivanje, koja je pravna osnova korištena, zašto su određena polja uključena ili isključena, kako je podnositelj zahtjeva provjeren, je li ispitanik obaviješten ili zakonito nije obaviješten te gdje je odgovor evidentiran.

Tu Clarysec PIMS registri postaju ključni.

Za voditelje obrade, organizacijska PII09 Politika prikupljanja, uporabe, otkrivanja i dijeljenja osobnih podataka (PII), točka 4.4.1, zahtijeva:

[Voditelj obrade] Vlasnik procesa / vlasnik poslovanja MORA evidentirati ishod pregleda voditelja zaštite privatnosti / voditelja PIMS-a u REG08 prije početka svakog novog vanjskog otkrivanja ili aranžmana dijeljenja podataka.

Točka 4.4.2 određuje što se mora zabilježiti za ponavljajuće dijeljenje:

[Voditelj obrade] Vlasnik dobavljača / nabave MORA evidentirati identitet primatelja, ulogu primatelja, svrhu otkrivanja, kategorije osobnih podataka (PII), učestalost dijeljenja, lokaciju obrade i izvor ovlasti u REG08 prije početka ponavljajućeg vanjskog dijeljenja.

Za izvršitelje obrade, organizacijska PII12 Politika upravljanja izvršiteljima obrade, podizvršiteljima obrade i privatnošću trećih strana, točka 4.5.3, daje posebno pravilo za pravno obvezujuće zahtjeve i zahtjeve koje je odobrio klijent:

[Izvršitelj obrade] Vlasnik dobavljača / nabave MORA evidentirati zahtjeve trećih strana za otkrivanje, pravno obvezujuće zahtjeve za otkrivanje ili zahtjeve za otkrivanje koje je odobrio klijent u REG08 prije otkrivanja ili u roku od dva radna dana kada prethodno evidentiranje nije dopušteno ili operativno moguće.

Za zahtjeve stranih tijela javne vlasti, organizacijska PII13 Politika međunarodnog prijenosa osobnih podataka (PII), točka 4.4.3, još je konkretnija:

[Oboje] Voditelj zaštite privatnosti / voditelj PIMS-a MORA evidentirati zahtjeve stranih tijela javne vlasti za otkrivanje podataka u REG09 ili REG12 prije otkrivanja gdje je to izvedivo, ili u roku od jednog radnog dana kada prethodno evidentiranje nije izvedivo.

Točka 4.4.4 dodaje disciplinu pregleda:

[Oboje] Službenik za zaštitu podataka / savjetnik za privatnost MORA pregledati zahtjeve stranih tijela javne vlasti za otkrivanje podataka koji su značajni za privatnost u REG09 ili REG12 prije odgovora gdje je to izvedivo.

Registar otkrivanja jedinstveni je izvor istine organizacije. Ne smiju ga zamijeniti raspršene e-poruke, privatne niti chata ili ad hoc proračunske tablice.

Polje registraŠto dokazuje
ID zahtjevaZahtjev je jedinstveno praćen
Izvor zahtjevaNadležno tijelo ili podnositelj zahtjeva identificiran je
Izvor pravne ovlastiPravni instrument ili ovlast su procijenjeni
Uloga u PIMS-uRazmotrene su obveze voditelja obrade, izvršitelja obrade, zajedničkog voditelja obrade ili podizvršitelja obrade
Tražene kategorije osobnih podataka (PII)Izvorni opseg zahtjeva je zabilježen
Odobrene kategorije osobnih podataka (PII)Konačno otkrivanje bilo je kontrolirano
Isključeni osobni podaci (PII)Smanjenje količine podataka aktivno je primijenjeno
Lanac odobrenjaEvidentirana su odobrenja pravnog odjela, službenika za zaštitu podataka, CISO-a i poslovnih funkcija
Način prijenosaKorištene su kontrole sigurnog prijenosa
Odluka o obavješćivanjuRazmotrena su ograničenja transparentnosti ili odgode
Zadržavanje i zatvaranjeDokazi su zadržani, a predmet je zatvoren

Praktičan primjer: zahtjev regulatornog tijela u REG08

Zamislite da regulirano fintech društvo zaprimi pisani zahtjev nacionalnog financijskog regulatornog tijela za osobne podatke (PII) povezane sa sumnjivim transakcijama jednog korisnika tijekom razdoblja od 90 dana. Zahtjev traži zapise o provjeri identiteta, dnevnike transakcija, identifikatore uređaja, prijave podršci i interne bilješke o riziku.

Koristeći Clarysec paket alata, voditelj zaštite privatnosti otvara REG08 zapis o otkrivanju.

Polje REG08Primjer unosa
ID zahtjevaREG08-2026-041
Izvor zahtjevaNacionalno financijsko regulatorno tijelo, provjereno putem službenog imenika nadzornih kontakata
Vrsta zahtjevaZahtjev regulatornog tijela za otkrivanje osobnih podataka (PII)
Uloga u PIMS-uVoditelj obrade
Izvor pravne ovlastiZakonski zahtjev nadzornog tijela za informacijama, referenca FIN-REQ-7781
SvrhaIstraga sumnjivih transakcija za imenovanog korisnika
Tražene kategorije osobnih podataka (PII)Podaci za provjeru identiteta, dnevnici transakcija, identifikatori uređaja, komunikacija s podrškom, bilješke o riziku
Odobrene kategorije osobnih podataka (PII)Dnevnici transakcija, identifikatori uređaja, relevantna polja provjere identiteta, dvije prijave podršci unutar razdoblja
Isključeni osobni podaci (PII)Nepovezana povijest podrške, interna mišljenja analitičara izvan razdoblja, reference na korisnike trećih strana
Obrazloženje ograničavanja opsegaOpseg ograničen na imenovanog korisnika, razdoblje od 90 dana i zapise relevantne za transakcije navedene u zahtjevu
Pregled službenika za zaštitu podatakaOdobreno uz upute za redigiranje
Pravno odobrenjeOdobreno, tekst odgovora pregledan
Pregled CISO-aOdobren sigurni izvoz i način prijenosa
Način prijenosaŠifrirana arhiva putem sigurnog portala regulatornog tijela
Obavješćivanje ispitanikaOdgođeno zbog pravnog ograničenja u zahtjevu, određen datum pregleda
ZadržavanjeZapis zahtjeva i paket za otkrivanje zadržani prema rasporedu pravne mjere očuvanja podataka
Dokazi o zatvaranjuPotvrda slanja putem portala, sažetak paketa za otkrivanje, lanac odobrenja

To je razlika između „postupili smo” i „možemo dokazati da smo postupili zakonito i razmjerno”. Ako se korisnik kasnije požali, ako nadležno tijelo postavi dodatna pitanja ili ako revizor uzorkuje otkrivanje, zapis pokazuje logiku upravljanja.

Očuvanje dokaza: ne oštetite činjenice dok pokušavate pomoći

Kada je zahtjev tijela kaznenog progona ili regulatornog tijela povezan s istragom, upravljanje privatnošću preklapa se s forenzikom i pravnom mjerom očuvanja podataka. Otkriveni podaci često su dokazi, a sam čin njihova prikupljanja mora očuvati cjelovitost.

Politika pravne i regulatorne usklađenosti - SME, točka 6.4.1, postavlja kontekst:

U slučaju spora, istrage ili pravnog zahtjeva:

Točka 6.4.1.2 daje jasnu uputu:

Zaposlenici ne smiju brisati ili mijenjati materijale koji mogu činiti dio istrage.

P31S Politika prikupljanja dokaza i forenzike - SME, točka 2.2.5, izričito uključuje:

Upite regulatornih tijela ili tijela kaznenog progona

Točka 5.2.1 uspostavlja disciplinu zapisivanja:

Svaka stavka digitalnog dokaza mora se evidentirati s:

Operativno, zapis o dokazima treba obuhvatiti jedinstveni identifikator, datum i vrijeme prikupljanja, ime osobe koja je prikupila dokaz, izvornu lokaciju i kriptografski sažetak gdje je to primjenjivo. Svrha je sljedivost. Ako se dnevnički zapisi izvoze ručno, nazivi datoteka mijenjaju, vremenske oznake nisu jasne ili se ne zadržava sažetak, organizacija kasnije može teško dokazati cjelovitost.

Snažan radni tijek za dokaze također ograničava pristup. Paketi za otkrivanje trebaju se čuvati na ograničenim lokacijama, šifrirati u prijenosu, pratiti putem zapisa o prijenosu i zadržavati prema zahtjevima pravne mjere očuvanja podataka i zadržavanja. Ako se zahtjev za otkrivanje preklapa s odgovorom na incident, tim mora znati kada prijeći iz načina otklanjanja posljedica u istražni pristup.

Mapiranje usklađenosti među okvirima: jedan radni tijek, više obveza

Dobro oblikovan radni tijek za zahtjeve za otkrivanje osobnih podataka (PII) može zadovoljiti više okvira bez dupliciranja posla. Zenith Controls pomaže organizacijama mapirati iste operativne dokaze na očekivanja u području privatnosti, kibernetičke sigurnosti, operativne otpornosti i upravljanja.

OkvirŠto revizor ili regulatorno tijelo očekujeKako Clarysec radni tijek to podupire
ISO 27701:2025Uloge u PIMS-u, zakonito upravljanje otkrivanjem, upute izvršitelju obrade, zapisi o otkrivanju osobnih podataka (PII), obrada rizika za privatnostUtvrđivanje uloge, REG08, REG09, REG12, pregled službenika za zaštitu podataka, obrazloženje ograničavanja opsega
GDPRPravna osnova, načelo odgovornosti, smanjenje količine podataka, sigurnost, odluke o transparentnosti, upravljanje izvršiteljima obrade i prijenosimaProcjena pravne ovlasti, lanac odobrenja, ograničen paket za otkrivanje, dokazi o sigurnom prijenosu
ISO/IEC 27001:2022 i ISO/IEC 27002:2022Kontakt s nadležnim tijelima, prikupljanje dokaza, zaštita osobnih podataka (PII), kontrola pristupa, zapisivanje događaja, kriptografija, brisanjeMatrica kontakata nadležnih tijela, zapis o dokazima, siguran izvoz, zapis sažetka, odluka o zadržavanju
NIS2Disciplina prijavljivanja incidenata, suradnja s nadležnim tijelima, odgovornost upravljanja, svijest o opskrbnom lancuKoordinacija pravnog odjela i CISO-a, rokovi odgovora, registar kontakata nadležnih tijela, povezanost s incidentom
DORAUpravljanje IKT incidentima financijskog subjekta, interakcija s regulatornim tijelima, spremnost dokaza, IKT rizik trećih stranaUsmjeravanje zahtjeva regulatornog tijela, sigurni zapisi otkrivanja, očuvanje dokaza o incidentu, sučelje s dobavljačem
NIST Cybersecurity FrameworkIshodi upravljanja, identifikacije, zaštite, otkrivanja, odgovora i oporavka za kibernetičke događajeVlasništvo nad politikom, popis podataka, kontrole pristupa, zapisivanje događaja, radni tijek odgovora, pregled nakon odgovora
COBIT 2019Ciljevi upravljanja za usklađenost, rizik, sigurnost, upravljanje informacijama i osiguranjePrava odlučivanja, vlasništvo nad procesom, revizijski zapisi, nadzor uprave, kontinuirano poboljšanje

Relevantni su i potporni ISO standardi. ISO/IEC 27035 pomaže strukturirati upravljanje incidentima kada je zahtjev povezan s incidentom. ISO/IEC 27037 podupire identifikaciju, prikupljanje, pribavljanje i očuvanje digitalnih dokaza. ISO/IEC 27018 koristan je kada izvršitelji obrade u javnom oblaku obrađuju osobne podatke (PII). ISO/IEC 27017 podupire odgovornosti za sigurnost oblaka. ISO 22301 postaje relevantan ako se kontakt s nadležnim tijelima i obveze otkrivanja moraju nastaviti tijekom kriznih uvjeta. ISO/IEC 27006-1:2024 neizravno je važan jer certifikacijski revizori očekuju dosljednu, revizijski provjerljivu implementaciju kontrola sustava upravljanja unutar opsega.

Cilj nije izgraditi zaseban proces usklađenosti za svaki okvir. Cilj je oblikovati jedan dokaziv radni tijek koji stvara ponovno upotrebljive dokaze.

Kako će različiti revizori testirati radni tijek

Revizor ISO/IEC 27001:2022 obično će početi od integracije sa sustavom upravljanja. Pitat će je li organizacija utvrdila zainteresirane strane, pravne i regulatorne zahtjeve, rizike, ciljeve kontrola, dokumentirane postupke, dodijeljene odgovornosti i zadržane dokaze. Za zahtjeve za otkrivanje može uzorkovati incidente, korespondenciju s regulatornim tijelima, popise kontakata nadležnih tijela, zapise o dokazima i zapise o privatnosti. Vjerojatno će testirati kontrole iz Priloga A: A.5.5 Kontakt s nadležnim tijelima, A.5.28 Prikupljanje dokaza i A.5.34 Privatnost i zaštita osobnih podataka (PII).

Procjenitelj za ISO 27701:2025 usredotočit će se na jasnoću uloga u PIMS-u. Jeste li bili voditelj obrade, izvršitelj obrade, zajednički voditelj obrade ili podizvršitelj obrade? Ako ste voditelj obrade, gdje su pravna osnova i zapis o otkrivanju? Ako ste izvršitelj obrade, jeste li postupali prema uputama voditelja obrade osim ako vas pravo nije drukčije obvezivalo? Je li korisnik obaviješten gdje je to bilo potrebno ili ugovorno očekivano? Jesu li zahtjevi stranih tijela javne vlasti evidentirani i pregledani?

Regulatorno tijelo za GDPR usredotočit će se na načelo odgovornosti. Pitanje neće biti samo „jeste li imali pravnu obvezu?”. Bit će: „zašto je otkrivena ova količina podataka, tko je to odobrio, kako je podnositelj zahtjeva provjeren, kojom je sigurnošću zaštićen prijenos, kako ste procijenili transparentnost i gdje je zapis?”.

Procjenitelj orijentiran na NIST ispitat će ishode upravljanja i odgovora. Pitat će jesu li uloge definirane, jesu li dnevnički zapisi očuvani, je li pristup paketima za otkrivanje ograničen, jesu li aktivnosti odgovora dokumentirane i jesu li naučene lekcije poboljšale program.

Revizor COBIT 2019 ili ISACA testirat će upravljanje pravima odlučivanja. Može pitati je li uprava definirala vlasnika procesa, jesu li odgovornosti pravnog odjela, privatnosti, sigurnosti i poslovanja razdvojene, jesu li iznimke odobrene, izvješćuje li se o metrikama i može li se osiguranje osloniti na dokaze.

Regulatorno tijelo, revizor, CISO i službenik za zaštitu podataka mogu isti zapis promatrati različito. Stručnjak za privatnost vidi zapis o zakonitom otkrivanju. Sigurnosni revizor vidi očuvanje dokaza i siguran prijenos. Revizor upravljanja vidi odgovornost i prava odlučivanja. Organizacija treba moći odgovoriti svima na temelju istih kontrolnih dokaza.

Uobičajeni obrasci propusta

Clarysec opetovano uočava iste sprječive propuste.

Prvi je neformalni kontakt s nadležnim tijelom. Policijski službenik nazove podršku, podrška želi pomoći, a zaposlenik usmeno potvrdi podatke o računu. Nema provjere, nema odobrenja, nema zapisa.

Drugi je prekomjerno otkrivanje. Organizacija šalje cijeli korisnički dosje umjesto konkretnih zapisa i razdoblja koji su potrebni. Time se stvara izbježan rizik prema GDPR-u i slabi povjerenje.

Treći je prekoračenje uloge izvršitelja obrade. Pružatelj SaaS usluge zaprimi zahtjev tijela kaznenog progona za osobne podatke (PII) pod kontrolom korisnika i odgovori bez obavješćivanja ili uključivanja korisnika, iako ugovor i uloga u PIMS-u zahtijevaju usmjeravanje, osim ako je to zakonski zabranjeno.

Četvrti je izostanak pregleda zahtjeva stranog tijela. Zahtjev nedomaćeg tijela javne vlasti tretira se kao obično otkrivanje, bez procjene prijenosa, pregleda službenika za zaštitu podataka ili unosa u REG09 ili REG12.

Peti je slabo postupanje s dokazima. Dnevnički zapisi izvoze se ručno, vremenske oznake nisu jasne, nazivi datoteka se mijenjaju i ne postoji zapis o sažetku ili lancu čuvanja dokaza.

Šesti je neupravljana povjerljivost. Previše zaposlenika uključeno je u zahtjev, uključujući osobe bez potrebe za pristupom informacijama. Osjetljivi detalji istrage šire se kanalima za chat.

Sedmi je nejasnoća oko rokova. Organizacija propušta pravno značajan datum odgovora jer zahtjev stoji u poštanskom sandučiću umjesto u praćenom radnom tijeku.

Svaki se propust može spriječiti unaprijed definiranim kanalima, registrima, odobrenjima i standardima dokaza.

Uloge i prava odlučivanja

Praktičan model upravljanja definira prava odlučivanja prije nego što stigne prvi zahtjev.

UlogaOdgovornost u radnom tijeku otkrivanja
Zaposlenik na prvoj linijiProslijediti zahtjev na odobreni kanal zaprimanja, ne odgovarati sadržajno, ne otkrivati osobne podatke (PII)
Pravni timProvjeriti pravni instrument, nadležnost, ovlast, ograničenje povjerljivosti i tekst odgovora
Službenik za zaštitu podataka ili savjetnik za privatnostProcijeniti implikacije GDPR-a i ISO 27701:2025, ograničavanje opsega, transparentnost, ulogu u PIMS-u i pitanja prijenosa
CISOOdobriti sigurno prikupljanje dokaza, siguran izvoz, način prijenosa i povezanost s incidentom
Vlasnik procesaIdentificirati relevantne sustave i kategorije podataka, potvrditi poslovni kontekst
Voditelj PIMS-aOdržavati REG08, REG09 ili REG12, pratiti ishod pregleda, zadržati revizijske dokaze
Izvršni odobravateljOdobriti visokorizična, strana, strateška ili reputacijski osjetljiva otkrivanja
Vlasnik dobavljača ili nabaveKoordinirati zapise o zahtjevima povezanima s trećim stranama ili izvršiteljima obrade i ugovorne obveze

Taj model treba ugraditi u obuku za podizanje svijesti. Zaposlenici ne moraju znati svaku pravnu nijansu, ali moraju znati pravilo: službeni zahtjevi idu na definirani kanal, a osobni podaci (PII) ne otkrivaju se bez autorizacije.

Kontrolni popis spremnosti za sljedeću stolnu vježbu

Upotrijebite ovaj kontrolni popis u radionici upravljanja privatnošću, internoj reviziji ili stolnoj vježbi.

  • Imamo li jedinstveni kanal zaprimanja za zahtjeve tijela kaznenog progona i regulatornih tijela za otkrivanje osobnih podataka (PII)?
  • Znaju li zaposlenici da ne smiju odgovarati neformalno?
  • Provjeravamo li identitet podnositelja zahtjeva putem neovisnih izvora kontakata?
  • Razlikujemo li zahtjeve regulatornih tijela, sudske naloge, zahtjeve tijela kaznenog progona, zahtjeve koje je odobrio klijent i zahtjeve stranih tijela javne vlasti?
  • Utvrđujemo li prije odgovora jesmo li voditelj obrade, izvršitelj obrade, zajednički voditelj obrade ili podizvršitelj obrade?
  • Dokumentiramo li pravnu osnovu, pravnu ovlast, nadležnost i ograničenja povjerljivosti?
  • Primjenjujemo li smanjenje količine podataka i redigiramo nepovezane osobne podatke (PII)?
  • Zahtijevamo li pregled službenika za zaštitu podataka ili savjetnika za privatnost za zahtjeve značajne za privatnost?
  • Zahtijevamo li koordinaciju pravnog odjela i CISO-a kada su uključena pitanja tijela kaznenog progona ili forenzike?
  • Evidentiramo li otkrivanja voditelja obrade u REG08?
  • Evidentiramo li zahtjeve stranih tijela javne vlasti u REG09 ili REG12?
  • Pratimo li rokove odgovora i održavamo zapise o dokazima?
  • Čuvamo li potencijalno relevantne materijale i sprječavamo brisanje ili izmjenu?
  • Štitimo li pakete za otkrivanje šifriranjem, kontrolom pristupa i zapisivanjem prijenosa?
  • Provodimo li pregled nakon odgovora za visokorizične zahtjeve?
  • Izvješćujemo li upravu o metrikama i naučenim lekcijama?

Ako je odgovor na bilo koje od ovih pitanja „to obično rješavamo e-poštom”, proces još nije spreman za reviziju.

Ugradite radni tijek u ISMS i PIMS

Najbolji model upravljanja ne postoji samo u pravnom odjelu. On je dio ISMS-a i PIMS-a.

U Zenith Blueprintu, faza ISMS Foundation & Leadership, korak 5, preporučuje planiranje vanjske komunikacije i utvrđivanje tko komunicira s regulatornim tijelima, korisnicima, partnerima i javnošću. Navodi se da pravni savjetnik može biti uključen u oblikovanje komunikacije prema regulatornim tijelima. To se načelo izravno primjenjuje na službene zahtjeve za otkrivanje osobnih podataka (PII).

Faza Kontrole u praksi zatim operacionalizira radni tijek putem kontakta s nadležnim tijelima, zaštite osobnih podataka (PII) i prikupljanja dokaza. Zato Clarysecov vodič u 30 koraka ne tretira privatnost, sigurnost i usklađenost kao odvojene radne tokove. Stvarni zahtjev prelazi sva tri područja.

Za vlasnike poslovanja korist je smanjenje kaosa. Za CISO-e pojašnjava kada se sigurnosni dokazi mogu prikupiti, otkriti ili očuvati. Za službenike za zaštitu podataka stvara dokazivo načelo odgovornosti prema GDPR-u i ISO 27701:2025. Za rukovoditelje usklađenosti proizvodi registre i revizijske tragove. Za revizore stvara jasan put od zahtjeva politike do operativnih dokaza.

Sljedeći koraci s Clarysecom

Zahtjev regulatornog tijela ili tijela kaznenog progona nije trenutak za osmišljavanje procesa upravljanja privatnošću. To je trenutak u kojem se vaš proces testira.

Počnite sa stolnom vježbom. Upotrijebite realističan zahtjev povezan s kibernetičkim kriminalom, regulatornim tijelom ili stranim tijelom javne vlasti. Zamolite pravni odjel, službenika za zaštitu podataka, CISO-a, podršku i relevantnog vlasnika procesa da prođu kroz zaprimanje, provjeru, utvrđivanje uloge, ograničavanje opsega, odobrenje, siguran prijenos, evidentiranje u registru, očuvanje dokaza i pregled zatvaranja.

Zatim usporedite svoje odgovore s Clarysecovim operativnim modelom:

  • Upotrijebite Zenith Blueprint: revizorov plan u 30 koraka kako biste kontakt s nadležnim tijelima, vanjsku komunikaciju, zaštitu osobnih podataka (PII) i prikupljanje dokaza ugradili u svoj plan implementacije ISMS-a i PIMS-a.
  • Upotrijebite Zenith Controls: vodič za mapiranje usklađenosti među okvirima kako biste očekivanja ISO 27701:2025, GDPR-a, ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA-e, NIST-a i COBIT 2019 mapirali u jednu kontrolnu priču spremnu za reviziju.
  • Upotrijebite Clarysecove politike zaštite podataka i privatnosti, odgovora na incidente, pravne i regulatorne usklađenosti, prikupljanja dokaza i forenzike, otkrivanja osobnih podataka (PII), upravljanja izvršiteljima obrade i međunarodnih prijenosa za definiranje pravila radnog tijeka, registara, odobrenja i zahtjeva za dokaze.

Clarysec pomaže timovima prijeći s reaktivne panike na kontroliranu provedbu. Preuzmite relevantne Clarysec pakete alata, provedite stolnu vježbu i rezervirajte procjenu upravljanja otkrivanjem kako biste osigurali da vaš sljedeći odgovor bude zakonit, minimalan, odobren, evidentiran, siguran i revizijski provjerljiv.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Dijeljenje obavještajnih podataka o prijetnjama uz ISO 27001 u 2026.

Dijeljenje obavještajnih podataka o prijetnjama uz ISO 27001 u 2026.

Praktičan Clarysecov vodič za izgradnju programa dijeljenja obavještajnih podataka o kibernetičkim prijetnjama pod upravljanjem ISO 27001, koji podržava DORA Article 45, suradnju prema NIS2, otkrivanje podataka usklađeno s GDPR-om, sudjelovanje u ISAC-u i dokaze spremne za reviziju u 2026.

Sigurno upravljanje udaljenim pristupom i VPN-om za NIS2 i DORA

Sigurno upravljanje udaljenim pristupom i VPN-om za NIS2 i DORA

Udaljeni pristup više nije uska IT tema. U 2026. VPN, MFA, pristup dobavljača, sigurnosno stanje krajnjih uređaja, zapisivanje događaja i dokazi o zakrpama moraju zadovoljiti revizore za ISO 27001, odgovornost uprave prema NIS2, pravila DORA za IKT rizike i sigurnosne obveze iz GDPR Article 32.

Dokazi o kibernetičkoj higijeni prema NIS2 mapirani na ISO 27001

Dokazi o kibernetičkoj higijeni prema NIS2 mapirani na ISO 27001

Praktični vodič za CISO-e o pretvaranju kibernetičke higijene i osposobljavanja o kibernetičkoj sigurnosti prema NIS2 Article 21 u revizijski spremne dokaze prema ISO/IEC 27001:2022, s polazištima politika, mapiranjem kontrola, usklađivanjem s DORA i GDPR te 10-dnevnim sprintom za otklanjanje nedostataka.