DSAR, törlés és ISO 27001-bizonyítékok 2026-ban

Az e-mail 9:03-kor érkezett meg Sarah postafiókjába.

Nem ez volt az első érintetti hozzáférési kérelem, amelyet gyorsan növekvő SaaS-vállalata kapott. Ez volt azonban az első, amely nyilvános auditnak tűnt.

A feladó korábbi munkavállaló volt, aki időközben adatvédelmi aktivistává vált. A kérelem a GDPR rendelkezéseit cikk szerinti hivatkozásokkal idézte, és követelte az összes személyes adat kiadását, az adatkezelés azonnali korlátozását, az adatait kezelő valamennyi harmadik fél szolgáltató felsorolását, valamint a törlés ellenőrizhető igazolását az éles rendszerekből és a biztonsági mentési rendszerekből. Másolatban egy újságíró is szerepelt.

Néhány percen belül láthatóvá váltak a hiányosságok. A fejlesztési csapat jelezte, hogy a több-bérlős adatbázisból történő „valódi törlés” más ügyfeleket is érinthet. A marketing az analitikai platformokon szétszórt felhasználói adatokat próbálta összefésülni. A jogi terület egy lezáratlan munkajogi ügyet talált. A biztonsági csapat attól tartott, hogy a naplók feltárhatják az észlelési logikát vagy más személy adatait. Az ügyféltámogatás két e-mail-cím alatt talált bejegyzéseket. A pénzügy egy harmadik cím alatt talált számlákat.

Az óra már elindult.

Ez a helyzet ma már nem rendkívüli. 2026-ban az érintetti jogok kezelése nem adatvédelmi postafiók-probléma. Szabályozott üzleti folyamat, amely eszköznyilvántartásokra, jogalapra vonatkozó döntésekre, digitális személyazonosság-ellenőrzésre, hozzáférés-szabályozásra, megőrzési szabályokra, jogi zárolásra, beszállítói koordinációra, biztonságos közlésre, törlési bizonyítékokra és auditkész naplózásra épül.

A GDPR azt határozza meg, milyen jogok illetik meg az érintetteket. Az ISO/IEC 27001:2022 megadja a biztonsági és megfelelőségi csapatoknak azt az irányítási rendszerszintű fegyelmet, amellyel bizonyítható, hogy ezeket a jogokat következetesen, biztonságosan és megismételhető módon kezelik.

A CISO-k, megfelelőségi vezetők, adatvédelmi vezetők és üzleti folyamatgazdák célja nem a papírmunka növelése. A cél egy megbízható DSAR-, törlési és korlátozási munkafolyamat kialakítása, amely előállítja a GDPR, az ISO/IEC 27001:2022 auditok, valamint a NIS2, DORA, NIST CSF 2.0 és COBIT 2019 szerinti szélesebb bizonyossági elvárások által megkövetelt bizonyítékokat.

Miért bukik el nyomás alatt az eseti DSAR-kezelés

A legtöbb DSAR-hiba nem rossz szándékból ered. A kiváltó ok a széttagoltság.

Egy vállalkozás rendelkezhet adatvédelmi tájékoztatóval, DPO-postafiókkal és GDPR-záradékkal a beszállítói szerződésekben, mégis nehezen tud választ adni alapvető működési kérdésekre:

• Ki ellenőrzi a kérelmező személyazonosságát?
• Melyik jogi személy adatkezelő vagy adatfeldolgozó?
• Mely rendszereket kell átvizsgálni?
• Ki az egyes rendszerek felelőse?
• Mely adatok tartoznak a hatókörbe?
• Mely adatokat kell kitakarni a kiadás előtt?
• Mely adatok nem törölhetők adózási, audit-, peres, csalásmegelőzési vagy jogi kötelezettség miatt?
• Hogyan érvényesíthető technikailag az adatkezelés korlátozása?
• Mely beszállítóknak kell támogatniuk a keresést, exportálást, törlést vagy korlátozást?
• Milyen bizonyíték igazolja, hogy a kérelmet határidőben kezelték?
• Mi történik, ha a DSAR személyesadat-sértést tár fel?

A GDPR Article 5 előírja, hogy a személyes adatokat jogszerűen, tisztességesen és átláthatóan kell kezelni; meghatározott célból kell gyűjteni; a szükséges mértékre kell korlátozni; pontosan kell tartani; nem őrizhetők meg a szükségesnél tovább; és megfelelő technikai és szervezési intézkedésekkel kell védeni. Az Article 5(2) kifejezetten rögzíti az elszámoltathatóságot: az adatkezelőnek képesnek kell lennie a megfelelés igazolására. Az Article 4 tágan határozza meg az adatkezelést, beleértve a gyűjtést, tárolást, felhasználást, közlést, korlátozást, törlést és megsemmisítést.

Ez azt jelenti, hogy maga a DSAR-folyamat is adatkezelési tevékenység. Kontrollált módon kell működnie.

A GDPR Article 3 a felhő-, SaaS-, fintech- és digitális vállalkozások számára akkor is fontos, ha az EU-n kívül működnek. Ha árukat vagy szolgáltatásokat kínálnak az Unióban tartózkodó személyeknek, megfigyelik a viselkedésüket, vagy személyes adatokat kezelnek egy uniós tevékenységi hely keretében, a GDPR akkor is alkalmazandó lehet, ha a működés kiszervezett vagy az infrastruktúra globális.

Az ISO/IEC 27001:2022 struktúrát ad ehhez a valósághoz. A 4.1–4.4 pontok előírják, hogy a szervezet értse meg a kontextusát, az érdekelt feleket, a követelményeket, az IBIR alkalmazási területét és az egymással kölcsönhatásban álló folyamatokat. Az érintett érdekelt fél. A GDPR-jogok követelmények. A SaaS-alkalmazások, identitásszolgáltatók, analitikai platformok, támogatási eszközök, adattárházak és felhőalapú biztonsági mentések egymással kölcsönhatásban álló folyamatok. A DSAR-munkafolyamatnak az IBIR-en belül kell lennie, nem mellette.

A három érintetti jog, amely a legnagyobb nyomást okozza

A hozzáférés, a törlés és a korlátozás mutatja meg leginkább a jogi ígéret és a működési képesség közötti rést.

A GDPR Article 6 központi szerepet játszik ebben a döntési logikában. Nem kezelhet, őrizhet meg vagy közölhet személyes adatot, és nem tagadhat meg törlést a jogalap megértése nélkül. Az Article 9 magasabb követelményt állít a személyes adatok különleges kategóriáira, például az egészségügyi adatokra, az egyedi azonosításra használt biometrikus adatokra vagy az érzékeny jellemzőket feltáró adatokra. Egy 2026-os SaaS-környezetben ez érintheti a beléptetést, a digitális személyazonosság-ellenőrzést, a csalásfigyelést, az ügyféltámogatási mellékleteket és a munkavállalói nyilvántartásokat.

A Clarysec vállalati Adatvédelmi és magánélet-védelmi szabályzat [P17] közvetlenül keretezi ezt a kötelezettséget. A Célkitűzések 3.6 pontja előírja a szervezet számára, hogy:

Tartsa tiszteletben az érintetti jogokat, beleértve a hozzáférést, helyesbítést, törlést, korlátozást, adathordozhatóságot, tiltakozást és az automatizált döntéshozatallal szembeni védelmet.

Ez a célkitűzés csak akkor válik auditálhatóvá, ha tulajdonosokhoz, nyilvántartásokhoz, munkafolyamatokhoz, kontrollokhoz és bizonyítékokhoz kapcsolódik.

Ott kezdje, ahol az auditorok kezdik: hatály, érdekelt felek és felelősség

A Zenith Blueprint: Auditori 30 lépéses ütemterv [ZB] IBIR-alapok és vezetés szakaszának 2. lépése az érdekelt felek igényeire és az IBIR alkalmazási területére összpontosít. A GDPR esetében a Blueprint a szabályozói elvárásokat így azonosítja:

EU-s szabályozó hatóságok
(GDPR)

Személyes adatok jogszerű kezelése,
adatsértés bejelentése 72 órán belül,
érintetti jogok

adatvédelmi tisztviselő kijelölése,
incidenskezelési folyamat kialakítása,
adatkérelmek kezelésére vonatkozó eljárások.

Ez a megfelelő kiindulópont. A jegyek automatizálása vagy portálok konfigurálása előtt meg kell határozni az érintetti jogok kezelésének hatályát:

1. Mely jogi személyek járnak el adatkezelőként, közös adatkezelőként vagy adatfeldolgozóként?
2. Mely termékek, szolgáltatások és területek tartoznak a hatókörbe?
3. Milyen érintetti kategóriák léteznek, például ügyfelek, munkavállalók, próbahasználók, érdeklődők, beszállítók, weboldal-látogatók vagy alkalmazásfelhasználók?
4. Mely rendszerek, adattárak és beszállítók kezelnek személyes adatokat?
5. Mely szerepkörök hagyják jóvá a közlést, megtagadást, törlést, korlátozást vagy eszkalációt?
6. Mely mutatókat jelentik a vezetésnek?

Az ISO/IEC 27001:2022 5.1–5.3 pontjai vezetői elkötelezettséget, szabályzati összhangot, erőforrásokat és kijelölt felelősségeket írnak elő. Ez közvetlenül illeszkedik a GDPR szerinti elszámoltathatósághoz.

Az Adatvédelmi és magánélet-védelmi szabályzat [P17] 6.4.1 pontja, a szabályzat végrehajtásának követelményei között, kimondja:

Az adatvédelmi tisztviselőnek (DPO) dokumentált folyamatokat kell fenntartania az érintetti kérelmek (DSR) befogadására, ellenőrzésére, nyomon követésére és megválaszolására.

A KKV-k számára a Clarysec Adatvédelmi és magánélet-védelmi szabályzat – KKV [P17S] arányos felelősségi modellt alkalmaz. Az Irányítási követelmények 5.2.1 pontja szerint:

Az adatvédelmi koordinátornak nyilvántartást kell vezetnie valamennyi személyesadat-kezelési tevékenységről, beleértve az adatkategóriákat, a célt, a jogalapot és a megőrzési időket.

Ez az adatkezelési nyilvántartás a DSAR-felkészültség működési központja. Ha hiányos, a DSAR-csapat emlékezet, Slack-üzenetek és informális tudás alapján keres. Ha pontos, a csapat adatkezelési tevékenység, adatkategória, rendszerfelelős, beszállító és megőrzési szabály alapján keres.

A Clarysec DSAR-munkafolyamat: befogadástól lezárásig

Az auditkész DSAR-munkafolyamatnak elég egyszerűnek kell lennie ahhoz, hogy nyomás alatt is működjön, ugyanakkor elég kontrolláltnak ahhoz, hogy kiálljon egy szabályozó hatósági vizsgálatot, ügyfélbizonyossági felülvizsgálatot vagy ISO/IEC 27001:2022 auditot.

1. Befogadás és visszaigazolás

A kérelmeknek kontrollált csatornán kell beérkezniük, például adatvédelmi postafiókon, portálon, támogatási űrlapon vagy jogi befogadási soron keresztül. A munkatársaknak fel kell ismerniük a köznyelven megfogalmazott kérelmeket is. Egy személynek nem kell leírnia a „DSAR” kifejezést ahhoz, hogy jogot gyakoroljon. A „Milyen adatokat tárolnak rólam?” vagy a „töröljék a profilomat” is elegendő lehet a munkafolyamat elindításához.

Az Adatvédelmi és magánélet-védelmi szabályzat – KKV [P17S] 6.5.2 pontja, a szabályzat végrehajtásának követelményei között, egyértelmű szolgáltatási szintet határoz meg:

Az adatvédelmi koordinátornak a kérelmeket 3 munkanapon belül vissza kell igazolnia, és 30 napon belül meg kell válaszolnia.

A visszaigazolásnak tartalmaznia kell a kérelem hivatkozási számát, szükség esetén a hatály pontosítását, a személyazonosság-ellenőrzési utasításokat és a várható válaszadási határidőt.

2. Személyazonosság-ellenőrzés és jogosultsági ellenőrzés

A DSAR személyesadat-sértéssé válhat, ha az információt rossz személynek küldik. Az ellenőrzésnek arányosnak kell lennie, és nem eredményezhet túlzott új személyesadat-gyűjtést. Ahol lehetséges, hitelesített portálokat kell használni. Korábbi felhasználóknál ismert fiókadatok alapján kell ellenőrizni. Munkavállalók esetében a HR-rel kell egyeztetni. Meghatalmazott képviselők esetében jogosultságot igazoló dokumentumot kell kérni.

Meg kell őrizni az ellenőrzési módszer, a befejezés dátuma, a jóváhagyó, a kért további információk és sikertelen ellenőrzés esetén a meghozott döntés bizonyítékait.

3. A kérelem besorolása

Egyetlen üzenet több jogot is érinthet. Mindegyiket külön kell besorolni, mert a hozzáférés, törlés, korlátozás, tiltakozás és adathordozhatóság eltérő döntési logikát és bizonyítékot igényel. Emellett jelölni kell az esetleges panaszokat, munkavállalói ügyeket, gyermekek adatait, különleges kategóriájú adatokat és lehetséges személyesadat-sértéseket.

4. A nyilvántartás alapján keressen, ne csak a kézenfekvő rendszerekben

Itt válik gyakorlativá az ISO/IEC 27001:2022. A Zenith Blueprint [ZB] Kontrollok a gyakorlatban szakaszának 22. lépése figyelmeztet arra, hogy az eszköznyilvántartás hatálya sokkal szélesebb annál, mint amit sok szervezet feltételez:

Ennek a nyilvántartásnak a hatálya szélesebb, mint azt a legtöbben gondolják. Tartalmaznia kell:

✓ Fizikai eszközök: laptopok, szerverek, telefonok, biztonsági mentési szalagok, cserélhető adathordozók, nyomtatott
nyilvántartások.
✓ Digitális vagyonelemek: dokumentumok, adatkészletek, adattárak, e-mailek, forráskód, felhőben tárolt
fájlok.
✓ Logikai eszközök: felhasználói fiókok, hitelesítő adatok, kulcsok, szoftverlicencek, alkalmazásprogramozási interfészek.
✓ Szolgáltatáshoz kapcsolódó eszközök: SaaS-platformok, menedzselt biztonsági szolgáltatások, kiszervezett
tárolás.
✓ Emberek mint eszközök: nem tárgyiasító értelemben, hanem a kijelölt felelősségek,
hozzáférés és szerepköralapú információs kitettség szempontjából.

A 22. lépés a tulajdonosi felelősséget is magyarázza:

Minden eszköznek meghatározott tulajdonossal kell rendelkeznie; nem azzal a személlyel, aki használja, hanem azzal, aki elszámoltatható
annak használatáért, védelméért és életciklusáért. A tulajdonosi felelősség alapvető a kontrollokkal való összhanghoz: ki osztályozza
az eszközt (5.10), ki dönt a hozzáférési szintjéről (8.3), ki kezeli a törlését (8.10), ki biztosítja
a visszaszolgáltatását (5.9 finoman átfed az eszköz-visszaszolgáltatási eljárásokkal).

A Zenith Controls: Keresztmegfelelési útmutató [ZC] az ISO/IEC 27002:2022 5.9, Információk és egyéb kapcsolódó vagyonelemek nyilvántartása kontrollt megelőző kontrollként kezeli, amely támogatja a bizalmasságot, a sértetlenséget és a rendelkezésre állást. Kiberbiztonsági koncepciója az Identify, operatív képessége az eszközkezelés, biztonsági területei pedig az irányítás, ökoszisztéma és védelem.

A DSAR-ok esetében ez azt jelenti, hogy a nyilvántartás nem IT-táblázat. Ez az a térkép, amely megmutatja az adatvédelmi, jogi és biztonsági területeknek, hol létezhet személyes adat.

5. Felülvizsgálat, kitakarás és közlési jóváhagyás

A DSAR-válasz nem lehet nyers export. A felülvizsgálatnak védenie kell más személyek személyes adatait, a bizalmas üzleti információkat, az ügyvédi titkot, a biztonságérzékeny adatokat, a csalási jelzéseket és a kérelem hatályán kívüli adatokat.

A jóváhagyásnak kockázatalapúnak kell lennie. A rutinszerű hozzáférési válaszokat jóváhagyhatja az adatvédelmi koordinátor vagy a DPO. A munkavállalókat, peres eljárást, különleges kategóriájú adatokat, gyermekeket, csalást, biztonsági naplókat vagy nagy exportokat érintő kérelmekbe be kell vonni a jogi, HR- vagy biztonsági vezetést.

6. Biztonságos kézbesítés

Nagy méretű, titkosítatlan fájlokat nem szabad e-mailhez csatolni. Hitelesített portálokat, külön csatornán átadott jelszóval védett titkosított fájlokat vagy lejárati idővel és hozzáférési naplózással rendelkező biztonságos átviteli hivatkozásokat kell használni. Rögzíteni kell a kézbesítési módszert, dátumot, címzett fiókot, lejárati dátumot és – ahol rendelkezésre áll – az átvételi visszaigazolást.

7. Lezárás bizonyítékokkal

Az Adatvédelmi és magánélet-védelmi szabályzat [P17] 6.4.3 pontja egyértelmű:

Minden megtett intézkedést auditcélból naplózni kell, beleértve a kérelmek megtagadására vonatkozó döntéseket is.

Az Adatvédelmi és magánélet-védelmi szabályzat – KKV [P17S] 6.5.4 pontja szerint:

Az érintetti kérelmekre adott valamennyi választ biztonságos nyilvántartásban kell naplózni, amelyhez a hozzáférés az adatvédelmi koordinátorra és az ügyvezetőre korlátozott.

A DSAR nem akkor teljesül, amikor az e-mailt elküldték. Akkor teljesül, amikor a nyilvántartás tartalmazza a kérelmet, a személyazonosság-ellenőrzést, a döntéseket, az átvizsgált rendszereket, a választ, a kivételeket, a jóváhagyásokat, a kézbesítést és a lezárást.

A törlés szabályozott megsemmisítés, nem egy törlés gomb

A törlési kérelmek megmutatják, hogy az adatvédelem beépült-e a rendszerekbe, vagy csak az éles indulás után került rájuk utólag.

A Clarysec vállalati Adatmegőrzési és megsemmisítési szabályzat [P14] Szerepkörök és felelősségek 4.3.3 pontja annak a szerepkörnek ad felelősséget, amely:

Válaszol a törlési kérelmekre, és biztosítja a személyes adatok időben történő, ellenőrizhető törlését ott, ahol ez előírt.

Az „ahol ez előírt” kifejezés kritikus. A GDPR szerinti törlés nem abszolút. A szervezeteknek meg kellhet őrizniük adatokat jogi kötelezettségek, audit, adózási vagy szabályozási kötelezettségek, csalásmegelőzés, biztonság, peres eljárás vagy jogi igények előterjesztése, érvényesítése vagy védelme céljából. A munkafolyamatnak tartalmaznia kell a jogszerű megőrzésről és a kivételről szóló döntést.

A Zenith Blueprint [ZB] Kontrollok a gyakorlatban szakaszának 19. lépése működési szempontból magyarázza az ISO/IEC 27002:2022 8.10, Információk törlése kontrollt:

Ez a kontroll biztosítja, hogy az adatokat ne őrizzék meg a szükségesnél tovább, és amikor már nincs rájuk
szükség, azokat biztonságosan és megbízhatóan törölni kell. Sok szervezet idővel nagy
adatmennyiséget halmoz fel, de egyértelmű törlési folyamat nélkül ezek az adatok tétlenül és
védtelenül maradhatnak, csendben növelve a kitettség, az adatsértés vagy a szabályozási jogsértés kockázatát.

Figyelmeztet továbbá:

Ne feledkezzen meg a biztonsági mentésekről és archivált rendszerekről; ezek gyakran jóval az
operatív értékük megszűnése után is megőrzik a történeti adatokat. A törlési szabályzatoknak ki kell terjedniük a következőkre:

✓ Biztonsági mentési megőrzési beállítások,
✓ Pillanatképek életciklusai,
✓ Archivált e-mail- vagy dokumentumtárak.

És bizonyítékkal zár:

Magát a törlési folyamatot naplózni kell, és magas kockázatú vagy szabályozott adatok esetén
felül kell vizsgálni vagy jóvá kell hagyni. Ez biztosítja a visszakövethetőséget, és véd az
értékes nyilvántartások véletlen vagy jogosulatlan megsemmisítése ellen.

A Zenith Controls [ZC] az ISO/IEC 27002:2022 8.10, Információk törlése kontrollt a bizalmasságra fókuszáló megelőző kontrollként képezi le, amely a Protect kiberbiztonsági koncepcióhoz igazodik, és az információvédelem, valamint a jogi és megfelelési operatív képességekhez kapcsolódik.

Összetett felhőarchitektúrák esetében megfelelő tervezés mellett alkalmazható lehet a kriptográfiai törlés. Ha a személyes adatokat érintett- vagy bérlőspecifikus kulccsal titkosítják, a kulcs megsemmisítése az adatokat véglegesen hozzáférhetetlenné teheti, akkor is, ha titkosított maradványok a biztonsági mentésekben az ütemezett rotációig megmaradnak. Ezt gondosan meg kell tervezni, dokumentálni, tesztelni és jóváhagyni. Nem kerülőút a gyenge törlési architektúra pótlására.

Ezért az alkalmazások felkészültsége alapvető. A Clarysec Alkalmazásbiztonsági követelmények szabályzata – KKV [P09S] 6.5.1.3 pontja előírja az alkalmazások számára, hogy:

tegyék lehetővé a személyes adatok biztonságos exportálását és törlését, ha azt jogszabály előírja (pl. GDPR Article 17 – törléshez való jog).

Ha a termékcsapatok nem építik be az exportálási és törlési képességet, az adatvédelmi csapatok adatbázis-szkriptekre, beszállítói jegyekre és következetlen manuális munkára kényszerülnek.

Jogi zárolás és törlés felfüggesztése

Egy érett törlési munkafolyamatnak tartalmaznia kell a „ne töröld” útvonalat. Ez nem mentség a törlés figyelmen kívül hagyására. Szabályozott kivétel.

A Clarysec KKV Adatmegőrzési és biztonságos megsemmisítési szabályzat – KKV [P14S] Irányítási követelmények 5.4 pontja szerint:

A jogi zárolás és törlési felfüggesztés hatálya alá tartozó adatokat (pl. peres eljárás, audit vagy vizsgálat esetén) egyértelműen azonosítani kell a rendszerben, és védeni kell a törléstől akkor is, ha az ütemezett megőrzési idő lejárt.

Az Adatmegőrzési és megsemmisítési szabályzat [P14] 6.4.1 pontja ugyanezt az elvet tükrözi:

Ha jogi zárolást és törlési felfüggesztést rendelnek el (pl. folyamatban lévő peres eljárás, vizsgálat vagy audit miatt), az egyébként megsemmisítés alá eső adatokat a szokásos megőrzési időn túl is meg kell őrizni.

Az auditorok a történet mindkét oldalát látni akarják: az időben történő törlés bizonyítékát és az indokolt megőrzés bizonyítékát.

Az adatkezelés korlátozása: az alábecsült jog

A korlátozási kérelmek nem mindig igényelnek törlést. Azt követelik meg, hogy a szervezet korlátozza az aktív adatkezelést, miközben az adatokat szabályozott feltételek mellett megőrzi.

Gyakori példák:

• Egy ügyfél vitatja a pontosságot, és kéri, hogy az adatokat az ellenőrzés ideje alatt ne használják.
• Egy korábbi munkavállaló tiltakozik az adatkezelés ellen, de a bejegyzés jogi igények miatt szükséges.
• Egy felhasználó törlést kér, de minimális adatot meg kell őrizni egy elnyomási lista fenntartásához.
• Egy csalásvizsgálat megőrzést igényel, de nem enged normál operatív felhasználást.

Egy gyakorlati korlátozási munkafolyamatnak tartalmaznia kell jogi döntést, rendszerjelölőt, hozzáférés-szabályozási módosítást, marketingelnyomást, analitikai kizárást, beszállítói utasítást, időszakos felülvizsgálatot és kivételbizonyítékot.

A Zenith Controls [ZC] az ISO/IEC 27002:2022 5.34, A PII védelme és a magánélet védelme kontrollt megelőző kontrollként kezeli, amely támogatja a bizalmasságot, a sértetlenséget és a rendelkezésre állást. Az Identify és Protect koncepciókhoz kapcsolódik, operatív képességei az információvédelem, valamint a jogi és megfelelés.

A Zenith Blueprint [ZB] Kontrollok a gyakorlatban szakaszának 23. lépése így foglalja össze az audittesztet:

Ellenőrizze, hogy a szervezet bevezette-e az alkalmazandó jogi követelményekkel összhangban álló
adatvédelmi intézkedéseket (5.34). Ellenőrizze a PII osztályozását, a megfelelő hozzáférés-szabályozást, a biztonságos
kezelési gyakorlatokat és a tudatossági képzést. Erősítse meg, hogy az érintetti hozzáférési kérelmek, az adatok
törlése vagy az adatkezelési naplók működésileg támogatottak-e, nem csak szabályzat szintjén.

A kulcsmondat: „működésileg támogatottak, nem csak szabályzat szintjén”.

DSAR-munkafolyamatok leképezése ISO/IEC 27001:2022 bizonyítékokra

Az ISO/IEC 27001:2022 nem helyettesíti a GDPR-t. Rendszerezi a bizonyítékokat.

A 6.1.1–6.1.3 pontok kockázatértékelést, kockázatkezelést, kockázatelfogadási kritériumokat, kockázatgazdákat, kontrollkiválasztást, alkalmazhatósági nyilatkozatot és kockázatkezelési tervet írnak elő. A DSAR-kockázatok közé tartozik a jogosulatlan közlés, a határidők elmulasztása, a hiányos törlés, a jogellenes megőrzés, a túlzott személyazonosság-ellenőrzés, a beszállítói együttműködés hiánya és az adatkezelés korlátozásának képtelensége.

A 8.1 pont előírja, hogy a szervezetek tervezzék meg, vezessék be és kontrollálják az IBIR-folyamatokat, őrizzék meg a dokumentált bizonyítékokat, kontrollálják a változásokat, és biztosítsák, hogy az IBIR szempontjából releváns, külső fél által biztosított folyamatok, termékek és szolgáltatások kontrolláltak legyenek. Ez illeszkedik a DSAR-működéshez, mert a kérelmek belső funkciókon és külső adatfeldolgozókon ívelnek át.

Egy erős bizonyítékcsomag tartalmazza a DSR-eljárást, a DSR-nyilvántartást, az adatkezelési tevékenységek nyilvántartását, az eszköznyilvántartást, az adatmegőrzési ütemtervet, a jogi zárolási nyilvántartást, a személyazonosság-ellenőrzési eljárást, a kitakarási iránymutatást, a biztonságos közlési módszert, a törlési eljárást, a korlátozási eljárást, a beszállítói forgatókönyvet, a kivételnyilvántartást, a képzési nyilvántartásokat, a belső audit eredményeit és a vezetőségi átvizsgálási jelentéseket.

Gyakorlati munkafolyamat hozzáféréshez, törléshez és korlátozáshoz

Ez a munkafolyamat Sarah krízisét auditálható folyamattá alakítja. Minden szakasznak van felelőse, kontrollalapja és bizonyítéka.

Keresztmegfelelési érték a GDPR-on túl

A DSAR-munkafolyamat a GDPR-ban gyökerezik, de ugyanezek a kontrollok szélesebb keretrendszereket is támogatnak.

A NIS2 Article 20 a kiberbiztonságot az alapvető és fontos szervezetek vezetői felelősségévé teszi. Az Article 21 megfelelő és arányos technikai, operatív és szervezési intézkedéseket ír elő, beleértve a kockázatelemzést, incidenskezelést, üzletmenet-folytonosságot, ellátásilánc-biztonságot, eredményességi értékelést, kiberhigiéniát, képzést, hozzáférés-szabályozást, eszközkezelést, hitelesítést és biztonságos kommunikációt. A DSAR-ok ezek közül sok képességre támaszkodnak.

A DORA 2025. január 17-től számos pénzügyi szervezetre alkalmazandó, és egységes IKT-kockázatkezelési, incidensjelentési, rezilienciatesztelési és IKT harmadik fél kockázati követelményeket határoz meg. Az Articles 5 and 6 irányítást és dokumentált IKT-kockázatkezelést írnak elő. Az Articles 17 to 20 az incidensészleléssel, besorolással, eszkalációval, kommunikációval és lezárással foglalkoznak. Az Articles 24 to 30 a rezilienciatesztelést, az IKT harmadik fél kockázatot, a szolgáltatásnyilvántartásokat, az auditálási jogokat, az adatok helyét, az incidensekhez nyújtott segítséget és a kilépési stratégiákat érintik. Egy felhőplatformokon keresztül DSAR-okat kezelő fintechnek az adatvédelmi kérelmek kezelését össze kell hangolnia az IKT-szolgáltatásnyilvántartásával.

A NIST CSF 2.0 segít ugyanezt a munkát kiberbiztonsági eredményekre lefordítani. A GOVERN a jogi, szabályozási és szerződéses követelményeket, a kockázati stratégiát, a szerepköröket, a szabályzatot és a felügyeletet kezeli. Az IDENTIFY és PROTECT erősen illeszkedik az eszközláthatósághoz, az adatosztályozáshoz, a hozzáférés-szabályozáshoz, a törléshez, a beszállítói irányításhoz és az adatvédelemhez.

A COBIT 2019 irányítási kérdéseket tesz fel. Ki a folyamat tulajdonosa? Milyen célkitűzések vannak meghatározva? Hogyan mérik a teljesítményt? Hogyan hagyják jóvá a kivételeket? Hogyan szerzik meg a bizonyosságot? A DSAR-bizonyítékok támogathatnak olyan célkitűzéseket, mint az APO13 Managed Security, az APO14 Managed Data és a DSS06 Managed Business Process Controls.

Az auditor nézőpontja

Ne hozzon létre külön bizonyítékot minden keretrendszerhez. Hozzon létre egy megbízható DSAR-munkafolyamatot, és képezze le megfelelően.

DSAR-mutatók, amelyeket a vezetésnek látnia kell

A vezetés nem tudja felügyelni azt, amit nem lát. Hasznos mutatók: kérelmek száma jogtípusonként, átlagos visszaigazolási idő, átlagos lezárási idő, határidő-teljesítés, személyazonosság-pontosítási arányok, törlési kivételek, jogi zárolási esetek, beszállítói válaszidők, részleges megtagadások, a kezelés során azonosított incidensek és nyitott helyesbítő intézkedések.

Ezek a mutatók megmutatják, hogy az érintetti jogok kezelése működésileg egészséges-e, vagy hősi erőfeszítésektől függ.

Gyakori DSAR-felkészültségi hiányosságok

A Clarysec gyakran ugyanazokat a gyengeségeket látja SaaS-, fintech-, szakmai szolgáltató és felhőközpontú KKV-k esetében:

• Nincs felelős minden személyes adatot tartalmazó rendszerhez
• Az adatkezelési nyilvántartás nincs összhangban a tényleges SaaS-használattal
• A marketing-, analitikai és adattárház-platformokat kihagyják a keresésekből
• Nincs dokumentált személyazonosság-ellenőrzési szabvány
• Nincs kitakarási felülvizsgálat a közlés előtt
• Éles rendszerbeli törlés történik biztonsági mentések kezelése nélkül
• Nincs jogi zárolási ellenőrzés törlés előtt
• A korlátozást manuálisan kezelik rendszerjelölő nélkül
• A beszállítói szerződésekből hiányoznak a DSAR-segítségnyújtási feltételek
• A megtagadásokat és részleges megtagadásokat nem dokumentálják
• Nincs belső audit mintavétel a lezárt DSAR-okból
• Az első vonalbeli munkatársakat nem képezték ki a kérelmek felismerésére

2026-os DSAR-felkészültségi ellenőrzőlista

Használja ezt érettségi tesztként:

• Van dokumentált DSR-befogadási, ellenőrzési, nyomon követési és válaszadási folyamatunk?
• Visszaigazoljuk a kérelmeket meghatározott belső SLA-n belül?
• Fenntartunk biztonságos, korlátozott hozzáférésű DSR-nyilvántartást?
• Rendelkezünk aktuális adatkezelési tevékenységi nyilvántartással, amely tartalmazza a kategóriákat, célokat, jogalapokat és megőrzési időket?
• Ismerünk minden rendszert, SaaS-platformot, adattárat és beszállítót, amely személyes adatot tarthat?
• Minden releváns eszköznek van elszámoltatható tulajdonosa?
• Biztonságosan tudunk személyes adatot exportálni?
• Biztonságosan tudunk személyes adatot törölni ott, ahol jogszabály előírja?
• Tudjuk technikailag vagy eljárásrend szerint korlátozni az adatkezelést?
• Ellenőrizzük a jogi zárolást törlés előtt?
• Dokumentáljuk a megtagadási, részleges megtagadási és kivételi döntéseket?
• A beszállítói szerződések támogatják a DSAR-segítségnyújtást?
• Teszteljük a munkafolyamatot belső audit vagy asztali gyakorlatok útján?
• Jelentjük a DSAR-teljesítményt a vezetésnek?
• Leképezzük a DSAR-kontrollokat az ISO/IEC 27001:2022 szerinti kockázatkezelésbe és az alkalmazhatósági nyilatkozatba?

Ha több válasz „nem következetesen”, a következő kérelem feltárhatja a hiányosságot.

Alakítsa az érintetti jogokat auditkész bizonyítékokká

2026-ban az érintetti jogokhoz több kell, mint jó szándék és adatvédelmi postafiók. Olyan munkafolyamat szükséges, amely képes adatokat megtalálni, személyazonosságot ellenőrizni, jogszerű döntéseket hozni, beszállítókat koordinálni, a közlést védeni, törlést végrehajtani, korlátozást érvényesíteni és bizonyítékokat megőrizni.

A Clarysec segít a szervezeteknek ilyen munkafolyamatot kialakítani anélkül, hogy párhuzamos megfelelési bürokráciát hoznának létre. Kezdje a Zenith Blueprint használatával, hogy az érintetti jogokat a megfelelő IBIR-szakaszba és lépésekbe helyezze. Használja a Clarysec Adatvédelmi és magánélet-védelmi szabályzatát, Adatvédelmi és magánélet-védelmi szabályzat – KKV, Adatmegőrzési és megsemmisítési szabályzatát, Adatmegőrzési és biztonságos megsemmisítési szabályzat – KKV, valamint Alkalmazásbiztonsági követelmények szabályzata – KKV dokumentumait a felelősségek és működési szabályok meghatározásához.

Ezután használja a Zenith Controls megoldást az ISO/IEC 27002:2022 5.9, 5.34 és 8.10 kontrollok GDPR, ISO/IEC 27001:2022, NIS2, DORA, NIST CSF 2.0 és COBIT 2019 szerinti keresztmegfelelési bizonyítékokra történő leképezéséhez.

Ha szeretné tudni, hogy DSAR-, törlési és korlátozási munkafolyamatai holnap kiállnának-e egy auditot, a Clarysec segít a folyamat tesztelésében, a hiányosságok lezárásában és a bizonyítékcsomag felépítésében még a következő kérelem beérkezése előtt. Töltse le a releváns Clarysec szabályzatsablonokat, vagy foglaljon DSAR-felkészültségi értékelést, hogy a reaktív válaszadásról szabályozott, auditra felkészült adatvédelmi működésre váltson.