⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

PII közlésére irányuló kérelmek kezelése a GDPR és az ISO 27701 szerint

Igor Petreski

A kérelem pénteken 16:47-kor érkezik

Egy ügyfélkapcsolati vezető továbbít egy e-mailt a jogi területnek a következő tárggyal: „SÜRGŐS RENDŐRSÉGI KÉRELEM.” A csatolmány egy beszkennelt levél, amely egy megnevezett személyre vonatkozóan fiókadatokat, bejelentkezési előzményeket, IP-címeket, fizetési nyilvántartásokat és „minden egyéb releváns információt” kér. A feladó azt állítja, hogy egy kiberbűnözés elleni egységtől érkezett. Az e-mail 24 órán belüli adatközlést kér, és azt is kéri, hogy a szervezet „ne értesítse az érintettet”.

Ezzel egy időben a biztonsági üzemeltetés szokatlan tevékenységet vizsgál ugyanabban az ügyfélfiókban. A DPO másik időzónában tartózkodik. A CISO azt kérdezi, hogy ez incidens, jogi kérelem, GDPR szerinti adatközlés, vagy mindhárom egyszerre. Az értékesítés „teljes körű együttműködést” szeretne. Az ügyféltámogatás azt kérdezi, exportálhatja-e az ügyfélprofilt. Valaki azt javasolja, hogy küldjék el a teljes CRM-bejegyzést, mert „a hatóságok mindent kértek”.

Ez irányítási hiányosság.

A legtöbb szervezet rendelkezik adatvédelmi szabályzattal, incidenskezelési tervvel és az érintetti hozzáférési kérelmek kezelésére szolgáló folyamattal. Sokan képesek kezelni a beszállítói átvilágítást, a szabályozó hatósági levelezést és az incidensbejelentést. Jóval kevesebb szervezet rendelkezik ismételhető munkafolyamattal a bűnüldöző szervektől, szabályozó hatóságoktól, bíróságoktól, adóhatóságoktól, pénzügyi felügyeletektől, távközlési hatóságoktól, kiberbűnözés elleni egységektől vagy külföldi közhatalmi szervektől érkező, kötelező vagy hivatalos PII-adatközlési kérelmekre.

Ez a hiányosság veszélyes. Egy csalárd kérelem teljesítése személyesadat-sértéssé válhat. Egy jogszerű kérelem elutasítása jogi kitettséget eredményezhet. A szabályozott folyamat nélküli válaszadás túlzott adatközléshez, megszakadt bizonyítéklánchoz, elmulasztott határidőkhöz, jogellenes nemzetközi adattovábbításokhoz és sikertelen audithoz vezethet.

A GDPR, az ISO 27701:2025 és az ISO/IEC 27001:2022 szerint egy hivatalos, PII közlésére irányuló kérelem nem pusztán a jogi postafiók ügye. Érinti a jogalapot, az elszámoltathatóságot, a célhoz kötöttséget, az adattakarékosságot, a bizalmasságot, a szerepkör-alapú jóváhagyást, a nemzetközi adattovábbítások irányítását, az adatfeldolgozói utasításokat, a bizonyítékok megőrzését, a biztonságos továbbítást és az auditnyomokat.

A gyakorlati teszt egyszerű: amikor a kérelem megérkezik, a szervezet képes-e bizonyítani, hogy ellenőrizte a kérelmezőt, értékelte a jogi felhatalmazást, minimalizálta az adatközlést, beszerezte a megfelelő jóváhagyásokat, védte a bizonyítékokat, rögzítette a döntést, és auditálható nyomvonalat őrzött meg?

A Clarysec álláspontja egyértelmű. A bűnüldöző szervektől és szabályozó hatóságoktól érkező, PII közlésére irányuló kérelmeket szabályozott adatvédelmi és információbiztonsági munkafolyamatként kell kezelni, nem rögtönzött e-mailes válaszként.

Miért különböznek a hivatalos PII-adatközlési kérelmek?

Egy szokásos külső adatmegosztási megállapodás általában üzleti céllal indul. Egy beszállítónak munkavállalói adatokra van szüksége a bérszámfejtéshez. Egy SaaS-szolgáltató ügyfélazonosítókat kezel. Egy partner szerződés alapján tranzakciós adatokat kap. Az irányítási minta ismert: átvilágítás, adatfeldolgozási szerződés, biztonsági követelmények, adattovábbítási értékelés, megőrzési feltételek és folyamatos felügyelet.

A bűnüldöző szervektől és szabályozó hatóságoktól érkező PII-adatközlési kérelmek mások. Eseményvezéreltek, időérzékenyek, gyakran bizalmasak, és esetenként jogilag kötelezőek. Beszerzési csatornákon kívül is érkezhetnek. Széles PII-kategóriákat kérhetnek. Megtilthatják az értesítést. Külföldi hatóságokat is érinthetnek. Érkezhetnek incidens, csalásvizsgálat, jogi zárolás, szabályozói vizsgálat vagy kiberbűnözési nyomozás közben.

Ez három azonnali irányítási követelményt teremt.

Először a szervezetnek tudnia kell, ki jogosult válaszolni. Egy ügyfélkapcsolati munkatárs nem dönthet arról, hogy egy rendőrségi kérelem érvényes-e, hogy egy szabályozó hatósági megfogalmazás kötelező erejű-e, vagy hogy az ügyfél értesítése tilos-e.

Másodszor az együttműködést el kell választani a túlzott adatközléstől. A GDPR nem akadályozza a hatóságokkal való jogszerű együttműködést, de továbbra is megköveteli az érvényes jogalapot, a tisztességességet, ahol alkalmazandó az átláthatóságot, a célhoz kötöttséget, az adattakarékosságot, a sértetlenséget, a bizalmasságot és az elszámoltathatóságot.

Harmadszor a bizonyítékokat meg kell őrizni. Ha a kérelem incidenshez, csalási eseményhez, peres ügyhöz vagy felügyeleti megkereséshez kapcsolódik, a naplók törlése, a bejegyzések módosítása vagy az adatok visszakövethetőség nélküli exportálása károsíthatja mind a megfelelést, mind a jogi igazolhatóságot.

A legerősebb működési modell egyetlen munkafolyamatba kapcsolja össze az adatvédelmi irányítást, a jogi jóváhagyást, a bizonyítékkezelést, az incidenskezelést, a biztonságos továbbítást és a hatósági kapcsolattartást.

A Clarysec kontrollcsoportja: hatóságok, adatvédelem és bizonyítékok

A Zenith Controls: The Cross-Compliance Guide a bűnüldöző szervekkel és szabályozó hatóságokkal kapcsolatos adatközlési irányítást összekapcsolt kontrollcsoportként kezeli, nem önálló adatvédelmi feladatként. A központi ISO/IEC 27002:2022 kontrollok: 5.5 Kapcsolattartás a hatóságokkal, 5.28 Bizonyítékgyűjtés és 5.34 A magánszféra védelme és a PII védelme. A támogató kontrollkapcsolatok közé tartozik az osztályozás és címkézés, a hozzáférés-szabályozás, a beszállítói kapcsolatok, az incidenskezelés, a naplózás, az óraszinkronizálás, a kriptográfia, az adatmaszkolás, a törlés és az információtovábbítás.

Ennek azért van jelentősége, mert a hivatalos adatközlési kérelmek több ponton is hibázhatnak. Az adatvédelmi csapat ellenőrizheti a jogalapot, de elmulaszthatja a bizonyítékok megőrzését. A SOC megőrizheti a naplókat, de túl sok PII-t közölhet. A jogi terület jóváhagyhatja a választ, de elfelejtheti frissíteni az adatközlési nyilvántartást. Egy adatfeldolgozó közvetlenül válaszolhat a hatóságnak, amikor a kérelmet az adatkezelőhöz kellett volna továbbítania.

A Zenith Blueprint: An Auditor’s 30-Step Roadmap a Controls in Action szakasz 22. lépésében, a Kapcsolattartás a hatóságokkal témakör alatt megerősíti ezt az operatív kapcsolatot:

Az 5.5 kontroll biztosítja, hogy a szervezet szükség esetén felkészült legyen a külső hatóságokkal való kapcsolattartásra, nem reaktív vagy pánikszerű módon, hanem előre meghatározott, strukturált és jól ismert csatornákon keresztül.

Ugyanez a szakasz keretezi azokat a kérdéseket, amelyekre a valós kérelem megérkezése előtt választ kell adni:

Az alapelv egyszerű: ha a szervezetet kibertámadás érné, adatsértésben lenne érintett, vagy vizsgálat alá kerülne, ki venné fel a kapcsolatot a hatóságokkal? Honnan tudná, mit kell mondania? Milyen feltételek mellett kezdeményeznék ezt a kapcsolatfelvételt? Ezekre a kérdésekre előre kell választ adni, nem utólag.

A PII védelme kapcsán a Zenith Blueprint a Controls in Action szakasz 23. lépésében az adatvédelmet életciklus-kötelezettségként határozza meg:

Az 5.34 kontroll megköveteli, hogy a szervezetek megfelelő intézkedések bevezetésével védjék az egyének magánszféráját a PII teljes életciklusa során történő kezelésekor.

A bizonyítékok tekintetében ugyanaz a szakasz és lépés megmagyarázza, miért kockázatos az informális kezelés:

Az 5.28 kontroll elismeri, hogy egy incidens után az, amit bizonyítani tud, ugyanolyan fontos, mint az, ami ténylegesen történt.

E három alapelv együtt határozza meg az irányítási modellt: tudni kell, ki kommunikál a hatóságokkal, védeni kell a PII-t az adatközlési életciklus egészében, és igazolható módon meg kell őrizni a bizonyítékokat.

A kötelező adatközlés GDPR és ISO 27701:2025 szerinti megközelítése

Az ISO 27701:2025 megerősíti az adatvédelmi információkezelési rendszer fegyelmének szükségességét. A PIMS-nek meg kell határoznia, hogyan kezelik a PII-adatkezelők és PII-adatfeldolgozók a hivatalos adatközlési kérelmeket, beleértve a kérelemfelvételt, az ellenőrzést, a jogi felülvizsgálatot, az engedélyezést, a nyilvántartást, a minimalizálást, a biztonságos továbbítást, a megőrzést és a válaszadást követő felülvizsgálatot.

Adatkezelő esetén az alapvető kérdés az, hogy a szervezet határozza-e meg az adatkezelés céljait és eszközeit, és ezért neki kell-e döntenie arról, jogszerű-e az adatközlés és milyen módon. Adatfeldolgozó esetén az a kérdés, hogy adatkezelői utasítás nélkül egyáltalán közölhet-e adatot, kivéve, ha jogszabály erre kötelezi. Al-adatfeldolgozó esetén a továbbítási útvonalak és a továbbadott követelmények még érzékenyebbé válnak.

A GDPR ugyanezeket a működési követelményeket erősíti meg. A közhatalmi szerv részére történő adatközlés továbbra is adatkezelés. A szervezetnek Article 6 szerinti jogalapra, dokumentált célra, megfelelő biztonságra, Article 5(1)(c) szerinti adattakarékosságra és Article 5(2) szerinti elszámoltathatósági bizonyítékokra van szüksége. Sok esetben a jogalap az Article 6(1)(c), vagyis a jogi kötelezettség teljesítéséhez szükséges adatkezelés lesz, de csak azt követően, hogy a jogi terület ellenőrizte a kérelmet és a joghatóságot.

Ha a kérelem külföldi közhatalmi szervtől érkezik, az adattovábbítási irányítás és a DPO felülvizsgálata alapvető. Ha a kérelem adatfeldolgozót érint, ellenőrizni kell a szerződéses értesítési és utasítási szabályokat. Ha a kérelem kiberbiztonsági incidenshez kapcsolódik, a válasznak összhangban kell lennie az incidenskezelési és bizonyítékgyűjtési követelményekkel.

A Clarysec szabályzatkészlete ezeket a követelményeket operatív szabályokká alakítja.

A vállalati P17 Adatvédelmi és magánszféra-védelmi szabályzat 6.1.1. pontja kimondja:

Minden adatkezelésnek érvényes jogalapon kell alapulnia (pl. hozzájárulás, szerződés, jogi kötelezettség).

Ugyanezen szabályzat 6.2.1. pontja hozzáteszi a minimalizálási alapelvet:

Csak meghatározott, jogszerű üzleti célhoz szükséges adatok gyűjthetők és kezelhetők.

KKV-k esetén a P17S Adatvédelmi és magánszféra-védelmi szabályzat - KKV 6.2.1. pontja kimondja:

Csak a szükséges minimális személyes adatokat szabad gyűjteni és megőrizni.

Ezek a pontok akkor válnak fontossá, amikor a kérelem „minden információt”, „teljes előzményt” vagy „bármely kapcsolódó nyilvántartást” kér. A helyes válasz nem minden mező exportálása. A helyes válasz a kérelem ellenőrzése, a jogilag szükséges hatókör azonosítása, kizárólag a szükséges PII közlése, a döntés dokumentálása és a bizonyítékok megőrzése.

Az e-mailes pániktól a szabályozott adatközlésig

Egy érett munkafolyamatnak elég egyszerűnek kell lennie ahhoz, hogy az ügyfélkapcsolati munkatársak követhessék, és elég szigorúnak ahhoz, hogy auditorok, szabályozó hatóságok és bíróságok előtt is megállja a helyét. A Clarysec hétlépcsős modellt javasol.

SzakaszKontrollcélElsődleges felelősLétrejövő bizonyíték
1. Kérelemfelvétel és karanténInformális válasz vagy véletlen adatközlés megelőzéseService desk, jogi kérelemfelvétel, adatvédelmi vezetőKérelemjegy, eredeti üzenet, csatolmányok, időbélyeg
2. Hitelesség ellenőrzéseA kérelmező személyazonosságának, hatáskörének, joghatóságának és jogi eszközének megerősítéseJogi terület, DPO, megfelelésEllenőrzési feljegyzések, hatósági kapcsolattartás ellenőrzése, jogalap-értékelés
3. Szerepkör meghatározásaAnnak eldöntése, hogy a szervezet adatkezelőként, adatfeldolgozóként, közös adatkezelőként vagy al-adatfeldolgozóként jár-e elAdatvédelmi vezető, szerződésgazdaPIMS-szerepkör-értékelés, adatfeldolgozó esetén ügyfélutasítási bejegyzés
4. Hatókör-minimalizálásA kérelem lefordítása konkrét PII-kategóriákra és dátumtartományokraFolyamatgazda, biztonsági terület, jogi területAdatleképezési kivonat, minimalizálási döntés, kitakarási feljegyzések
5. JóváhagyásJogosult döntés biztosítása az adatközlés előttDPO, jogi terület, CISO, üzleti felelősJóváhagyási bejegyzés, sürgősség esetén kivételbejegyzés
6. Biztonságos adatközlésCsak jóváhagyott adatok továbbítása szabályozott csatornákonBiztonsági terület, jogi műveletekTovábbítási napló, titkosítási bizonyíték, címzetti visszaigazolás
7. Nyilvántartás és felülvizsgálatElszámoltathatósági bizonyítékok és tanulságok megőrzésePIMS-vezető, megfelelésREG08-, REG09- vagy REG12-bejegyzés, auditnyom, lezárási felülvizsgálat

Az első szabály az irányítási útvonal. Minden munkavállalónak tudnia kell, hogy a hivatalos PII-kérelmeket a kijelölt kérelemfelvételi útvonalra kell irányítani. Senki nem válaszolhat személyes postafiókból. Senki nem hívhatja fel a kérelmezőt egy ellenőrizetlen levélben szereplő telefonszámon. Senki nem exportálhat ügyféladatokat, mielőtt a jogi és adatvédelmi terület felülvizsgálta volna a kérelmet.

A vállalati P30 Incidenskezelési szabályzat 6.5.5. pontja támogatja ezt az irányítási fegyelmet:

A bűnüldöző szervekkel vagy forenzikus szolgáltatókkal való bármely kapcsolatfelvételt a jogi csapaton és a CISO-n keresztül kell koordinálni.

Ez a pont különösen fontos, ha az adatközlési kérelem csaláshoz, kiberbűnözéshez, fiókkompromittálódáshoz, zsarolóvírushoz, belső fenyegetéshez vagy adatsértési vizsgálathoz kapcsolódik. A jogi és biztonsági területnek összehangoltan kell működnie, nem párhuzamosan.

A vállalati P37 Jogi és szabályozói megfelelési szabályzat 7.3.1.2. pontja szabályozza a külső nyilatkozatokat:

A szabályozó hatóságok részére tett bármely szóbeli vagy írásbeli nyilatkozatot előzetesen jóvá kell hagyni.

A 7.3.1.3. pont határidő- és bizonyítékfegyelmet ír elő:

A válaszadási határidőket nyomon kell követni, és bizonyítéknaplókat kell vezetni.

Ezek a szabályok nem bürokratikus akadályok. Megelőzik a véletlen elismeréseket, a kontrollálatlan adatközlést, az elmulasztott határidőket és a gyenge bizonyítékokat.

Jóváhagyási és nyilvántartási fegyelem: az auditbizonyíték, amelyet a legtöbb csapat elmulaszt

Sok szervezet be tudja mutatni az eredeti kérelem e-mailjét. Kevesebben tudják megmutatni, ki hagyta jóvá az adatközlést, milyen jogalapot alkalmaztak, miért kerültek be vagy maradtak ki bizonyos mezők, hogyan ellenőrizték a kérelmezőt, értesítették-e az érintettet vagy jogszerűen mellőzték-e az értesítést, és hol rögzítették a választ.

Itt válnak központi jelentőségűvé a Clarysec PIMS-nyilvántartásai.

Adatkezelők esetén a vállalati PII09 PII gyűjtésére, használatára, adatközlésére és megosztására vonatkozó szabályzat 4.4.1. pontja előírja:

[Adatkezelő] A folyamatgazdának / üzleti felelősnek rögzítenie kell az adatvédelmi vezető / PIMS-vezető felülvizsgálati eredményét a REG08-ban, mielőtt bármely új külső adatközlés vagy adatmegosztási megállapodás megkezdődik.

A 4.4.2. pont meghatározza, mit kell rögzíteni rendszeres adatmegosztás esetén:

[Adatkezelő] A beszállítói / beszerzési felelősnek rögzítenie kell a címzett azonosítását, a címzett szerepét, az adatközlés célját, a PII-kategóriákat, a megosztás gyakoriságát, az adatkezelés helyét és a felhatalmazás forrását a REG08-ban, mielőtt a rendszeres külső megosztás megkezdődik.

Adatfeldolgozók esetén a vállalati PII12 Adatfeldolgozói, al-adatfeldolgozói és harmadik fél adatvédelmi kezelési szabályzat 4.5.3. pontja külön szabályt ad a jogilag kötelező és ügyfél által engedélyezett kérelmekre:

[Adatfeldolgozó] A beszállítói / beszerzési felelősnek rögzítenie kell a harmadik féltől érkező adatközlési kérelmeket, a jogilag kötelező adatközlési kérelmeket vagy az ügyfél által engedélyezett adatközlési kérelmeket a REG08-ban az adatközlés előtt, vagy két munkanapon belül, ha az előzetes rögzítés nem engedélyezett vagy működésileg nem lehetséges.

Külföldi közhatalmi szervek kérelmei esetén a vállalati PII13 Nemzetközi PII-továbbítási szabályzat 4.4.3. pontja még konkrétabb:

[Mindkettő] Az adatvédelmi vezetőnek / PIMS-vezetőnek a külföldi közhatalmi szerv adatközlési kérelmeit a REG09-ben vagy a REG12-ben kell rögzítenie az adatközlés előtt, ha ez megvalósítható, vagy egy munkanapon belül, ha az előzetes rögzítés nem megvalósítható.

A 4.4.4. pont felülvizsgálati fegyelmet ad hozzá:

[Mindkettő] Az adatvédelmi tisztviselőnek / adatvédelmi tanácsadónak felül kell vizsgálnia az adatvédelmi szempontból jelentős, külföldi közhatalmi szervtől érkező adatközlési kérelmeket a REG09-ben vagy a REG12-ben a válaszadás előtt, ha ez megvalósítható.

Az adatközlési nyilvántartás a szervezet hiteles nyilvántartási rendszere. Nem helyettesíthetik szétszórt e-mailek, privát csevegési szálak vagy eseti táblázatok.

Nyilvántartási mezőMit bizonyít
KérelemazonosítóA kérelmet egyedileg nyomon követték
Kérelem forrásaA hatóságot vagy kérelmezőt azonosították
Jogi felhatalmazás forrásaA jogi eszközt vagy felhatalmazást értékelték
PIMS-szerepkörAz adatkezelői, adatfeldolgozói, közös adatkezelői vagy al-adatfeldolgozói kötelezettségeket figyelembe vették
Kért PII-kategóriákAz eredeti kérelem hatókörét rögzítették
Jóváhagyott PII-kategóriákA végleges adatközlést kontrollálták
Kizárt PIIAz adattakarékosságot ténylegesen alkalmazták
Jóváhagyási láncA jogi, DPO-, CISO- és üzleti jóváhagyásokat rögzítették
Továbbítás módjaBiztonságos továbbítási kontrollokat alkalmaztak
Értesítési döntésAz átláthatósági korlátozásokat vagy halasztásokat figyelembe vették
Megőrzés és lezárásA bizonyítékokat megőrizték, és az ügyet lezárták

Gyakorlati példa: szabályozó hatósági kérelem a REG08-ban

Tegyük fel, hogy egy szabályozott fintech írásbeli kérelmet kap egy nemzeti pénzügyi felügyelettől, amely egy ügyfél 90 napos időszakra vonatkozó gyanús tranzakcióihoz kapcsolódó PII-t kér. A kérelem személyazonosság-ellenőrzési nyilvántartásokat, tranzakciós naplókat, eszközazonosítókat, támogatási jegyeket és belső kockázati feljegyzéseket kér.

A Clarysec eszközkészletét használva az adatvédelmi vezető megnyit egy REG08 adatközlési bejegyzést.

REG08 mezőPéldabejegyzés
KérelemazonosítóREG08-2026-041
Kérelem forrásaNemzeti pénzügyi felügyelet, hivatalos felügyeleti kapcsolattartói jegyzék alapján ellenőrizve
KérelemtípusSzabályozó hatósági PII-adatközlési kérelem
PIMS-szerepkörAdatkezelő
Jogi felhatalmazás forrásaTörvényi felügyeleti információkérés, hivatkozás: FIN-REQ-7781
CélGyanús tranzakciók vizsgálata a megnevezett ügyfélre vonatkozóan
Kért PII-kategóriákSzemélyazonosság-ellenőrzési adatok, tranzakciós naplók, eszközazonosítók, támogatási kommunikáció, kockázati feljegyzések
Jóváhagyott PII-kategóriákTranzakciós naplók, eszközazonosítók, releváns személyazonosság-ellenőrzési mezők, két támogatási jegy a dátumtartományon belül
Kizárt PIINem kapcsolódó támogatási előzmények, a dátumtartományon kívüli belső elemzői vélemények, harmadik fél ügyfelekre vonatkozó hivatkozások
Minimalizálási indokolásA hatókör a megnevezett ügyfélre, a 90 napos időszakra és a kérelemben azonosított tranzakciókhoz kapcsolódó nyilvántartásokra korlátozódik
DPO felülvizsgálatJóváhagyva kitakarási utasításokkal
Jogi jóváhagyásJóváhagyva, a válasz megfogalmazása felülvizsgálva
CISO felülvizsgálatBiztonságos export és továbbítási mód jóváhagyva
Továbbítás módjaTitkosított archívum a szabályozó hatóság biztonságos portálján keresztül
Érintetti értesítésA kérelemben szereplő jogi korlátozás miatt elhalasztva, felülvizsgálati dátum meghatározva
MegőrzésA kérelembejegyzés és az adatközlési csomag jogi zárolási ütemezés szerint megőrizve
Lezárást igazoló bizonyítékPortálbeküldési visszaigazolás, az adatközlési csomag hash-e, jóváhagyási lánc

Ez a különbség a „teljesítettük” és a „bizonyítani tudjuk, hogy jogszerűen és arányosan teljesítettük” között. Ha az ügyfél később panaszt tesz, ha a hatóság további kérdéseket küld, vagy ha egy auditor mintavétellel vizsgálja az adatközlést, a bejegyzés bemutatja az irányítási logikát.

Bizonyítékok megőrzése: segítségnyújtás közben ne sérüljenek a tények

Amikor egy bűnüldöző szervtől vagy szabályozó hatóságtól érkező kérelem vizsgálathoz kapcsolódik, az adatvédelmi irányítás találkozik a forenzikával és a jogi zárolással. A közölt adatok gyakran bizonyítékok, és gyűjtésüknek meg kell őriznie a sértetlenséget.

A Jogi és szabályozói megfelelési szabályzat - KKV 6.4.1. pontja megadja a kontextust:

Vita, vizsgálat vagy jogi kérelem esetén:

A 6.4.1.2. pont egyértelmű utasítást ad:

A munkavállalók nem törölhetik és nem módosíthatják azokat az anyagokat, amelyek egy vizsgálat részét képezhetik.

A P31S Bizonyítékgyűjtési és forenzikai szabályzat - KKV 2.2.5. pontja kifejezetten tartalmazza:

Szabályozó hatósági vagy bűnüldöző szervi megkeresések

Az 5.2.1. pont naplózási fegyelmet állapít meg:

Minden digitális bizonyítékelemet rögzíteni kell a következőkkel:

Operatív szinten a bizonyítéknaplónak rögzítenie kell az egyedi azonosítót, a gyűjtés dátumát és időpontját, a gyűjtő nevét, a forráshelyet, és ahol indokolt, a kriptográfiai hash-t. A cél a visszakövethetőség. Ha a naplókat manuálisan exportálják, a fájlneveket módosítják, az időbélyegek nem egyértelműek, vagy nem őriznek meg hash-t, a szervezet később nehezen tudja bizonyítani a sértetlenséget.

Egy erős bizonyítékkezelési munkafolyamat a hozzáférést is korlátozza. Az adatközlési csomagokat korlátozott hozzáférésű helyeken kell tárolni, továbbítás közben titkosítani kell, továbbítási naplókban nyomon kell követni, és a jogi zárolási, valamint megőrzési követelmények szerint kell megőrizni. Ha egy adatközlési kérelem átfedésben van egy incidenskezeléssel, a csapatnak tudnia kell, mikor kell a helyreállítási módból vizsgálati üzemmódba váltani.

Megfelelőségi keretrendszerek közötti megfeleltetés: egy munkafolyamat, sok kötelezettség

Egy jól kialakított PII-adatközlési kérelemkezelési munkafolyamat több keretrendszernek is megfelelhet anélkül, hogy párhuzamos munkát hozna létre. A Zenith Controls segíti a szervezeteket abban, hogy ugyanazokat az operatív bizonyítékokat megfeleltessék az adatvédelmi, kiberbiztonsági, operatív reziliencia- és irányítási elvárásoknak.

KeretrendszerMit vár el az auditor vagy szabályozó hatóságHogyan támogatja ezt a Clarysec munkafolyamata
ISO 27701:2025PIMS-szerepkörök, jogszerű adatközlési irányítás, adatfeldolgozói utasítások, PII-adatközlési nyilvántartások, adatvédelmi kockázatkezelésSzerepkör meghatározása, REG08, REG09, REG12, DPO felülvizsgálat, minimalizálási indokolás
GDPRJogalap, elszámoltathatóság, adattakarékosság, biztonság, átláthatósági döntések, adatfeldolgozói és adattovábbítási irányításJogi felhatalmazás értékelése, jóváhagyási lánc, korlátozott adatközlési csomag, biztonságos továbbítási bizonyíték
ISO/IEC 27001:2022 és ISO/IEC 27002:2022Kapcsolattartás a hatóságokkal, bizonyítékgyűjtés, PII-védelem, hozzáférés-szabályozás, naplózás, kriptográfia, törlésHatósági kapcsolattartási mátrix, bizonyítéknapló, biztonságos export, hash-bejegyzés, megőrzési döntés
NIS2Incidensbejelentési fegyelem, együttműködés az illetékes hatóságokkal, irányítási elszámoltathatóság, ellátási lánc tudatosságaJogi és CISO-koordináció, válaszadási határidők, hatósági kapcsolattartók nyilvántartása, incidenskapcsolat
DORAPénzügyi szervezet IKT-incidensirányítása, szabályozó hatósági kapcsolattartás, bizonyítékokra való felkészültség, harmadik fél IKT-kockázatSzabályozó hatósági kérelem irányítása, biztonságos adatközlési nyilvántartások, incidenshez kapcsolódó bizonyítékok megőrzése, beszállítói interfész
NIST Cybersecurity FrameworkIrányítási, azonosítási, védelmi, észlelési, reagálási és helyreállítási eredmények kiberbiztonsági eseményekreSzabályzatgazdai felelősség, adatnyilvántartás, hozzáférés-szabályozási kontrollok, naplózás, válaszadási munkafolyamat, válaszadást követő felülvizsgálat
COBIT 2019Irányítási célkitűzések a megfelelés, kockázat, biztonság, információkezelés és bizonyosság területénDöntési jogosultságok, folyamatgazdai felelősség, auditnapló-bejegyzések, vezetői felügyelet, folyamatos fejlesztés

A támogató ISO-szabványok szintén relevánsak. Az ISO/IEC 27035 segít strukturálni az incidenskezelést, amikor a kérelem incidenshez kapcsolódik. Az ISO/IEC 27037 támogatja a digitális bizonyítékok azonosítását, gyűjtését, megszerzését és megőrzését. Az ISO/IEC 27018 hasznos, ha nyilvános felhőben működő adatfeldolgozók kezelnek PII-t. Az ISO/IEC 27017 támogatja a felhőbiztonsági felelősségeket. Az ISO 22301 akkor válik relevánssá, ha a hatósági kapcsolattartási és adatközlési kötelezettségeknek válsághelyzetben is folytatódniuk kell. Az ISO/IEC 27006-1:2024 közvetetten fontos, mert a tanúsító auditorok a hatókörön belüli irányítási rendszer kontrolljainak következetes, auditálható végrehajtását várják el.

A cél nem az, hogy minden keretrendszerhez külön megfelelési folyamat épüljön. A cél egy igazolható munkafolyamat kialakítása, amely újrahasznosítható bizonyítékokat állít elő.

Hogyan tesztelik a különböző auditorok a munkafolyamatot?

Egy ISO/IEC 27001:2022 auditor jellemzően az irányítási rendszerbe való integrációval kezdi. Megkérdezi, hogy a szervezet meghatározta-e az érdekelt feleket, a jogi és szabályozási követelményeket, a kockázatokat, a kontrollcélokat, a dokumentált eljárásokat, a kijelölt felelősségeket és a megőrzött bizonyítékokat. Adatközlési kérelmek esetén mintát vehet incidensekből, szabályozó hatósági levelezésből, hatósági kapcsolattartói listákból, bizonyítéknaplókból és adatvédelmi nyilvántartásokból. Valószínűleg tesztelni fogja az Annex A A.5.5 Kapcsolattartás a hatóságokkal, A.5.28 Bizonyítékgyűjtés és A.5.34 A magánszféra védelme és a PII védelme kontrollokat.

Egy ISO 27701:2025 értékelő a PIMS-szerepkörök egyértelműségére összpontosít. Adatkezelő, adatfeldolgozó, közös adatkezelő vagy al-adatfeldolgozó volt a szervezet? Adatkezelő esetén hol található a jogalap és az adatközlési bejegyzés? Adatfeldolgozó esetén az adatkezelő utasításai szerint járt-e el, kivéve, ha jogszabály másként kötelezte? Értesítették-e az ügyfelet, ahol ez kötelező vagy szerződés szerint elvárt volt? A külföldi közhatalmi szervtől érkező kérelmeket rögzítették és felülvizsgálták?

Egy GDPR szerinti szabályozó hatóság az elszámoltathatóságra összpontosít. A kérdés nem pusztán az lesz, hogy „volt-e jogi kötelezettség?”. Hanem az, hogy „miért ennyi adatot közöltek, ki hagyta jóvá, hogyan ellenőrizték a kérelmezőt, milyen biztonság védte a továbbítást, hogyan értékelték az átláthatóságot, és hol található a nyilvántartás?”.

Egy NIST-orientált értékelő az irányítási és reagálási eredményeket vizsgálja. Megkérdezi, hogy meghatározták-e a szerepköröket, megőrizték-e a naplókat, korlátozták-e az adatközlési csomagokhoz való hozzáférést, dokumentálták-e a válaszadási tevékenységeket, és a tanulságok javították-e a programot.

Egy COBIT 2019 vagy ISACA auditor a döntési jogosultságok feletti irányítást teszteli. Megkérdezheti, hogy a vezetés meghatározta-e a folyamatgazdát, el vannak-e választva a jogi, adatvédelmi, biztonsági és üzleti felelősségek, jóváhagyják-e a kivételeket, jelentik-e a mutatókat, és a bizonyosság támaszkodhat-e a bizonyítékokra.

Egy szabályozó hatóság, auditor, CISO és DPO ugyanazt a bejegyzést eltérően értelmezheti. Egy adatvédelmi szakember jogszerű adatközlési bejegyzést lát. Egy biztonsági auditor bizonyítékmegőrzést és biztonságos továbbítást lát. Egy irányítási auditor elszámoltathatóságot és döntési jogosultságokat lát. A szervezetnek képesnek kell lennie arra, hogy mindegyiküknek ugyanabból a kontrollbizonyítékból válaszoljon.

Gyakori hibamintázatok

A Clarysec újra és újra ugyanazokat a megelőzhető hibákat látja.

Az első az informális hatósági kapcsolattartás. Egy rendőr felhívja az ügyféltámogatást, az ügyféltámogatás segíteni akar, és a munkavállaló szóban megerősíti a fiókadatokat. Nincs ellenőrzés, nincs jóváhagyás, nincs nyilvántartás.

A második a túlzott adatközlés. A szervezet teljes ügyfélfájlt küld a szükséges konkrét nyilvántartások és dátumtartomány helyett. Ez elkerülhető GDPR-kockázatot teremt és gyengíti a bizalmat.

A harmadik az adatfeldolgozói túlterjeszkedés. Egy SaaS-szolgáltató bűnüldöző szervi kérelmet kap ügyfél által kontrollált PII-re, és az ügyfél értesítése vagy bevonása nélkül válaszol, noha a szerződés és a PIMS-szerepkör továbbítást követelne meg, kivéve, ha azt jogszabály tiltja.

A negyedik a külföldi hatósági felülvizsgálat hiánya. Egy nem belföldi közhatalmi szervtől érkező kérelmet szokásos adatközlésként kezelnek, adattovábbítási értékelés, DPO felülvizsgálat, illetve REG09- vagy REG12-bejegyzés nélkül.

Az ötödik a gyenge bizonyítékkezelés. A naplókat manuálisan exportálják, az időbélyegek nem egyértelműek, a fájlnevek módosulnak, és nincs hash vagy bizonyítéklánc-bejegyzés.

A hatodik a kezeletlen bizalmasság. Túl sok munkavállalót másolnak be a kérelembe, köztük olyanokat is, akiknél nem áll fenn a szükséges ismeret elve. Az érzékeny vizsgálati részletek csevegési csatornákon terjednek.

A hetedik a határidőzavar. A szervezet elmulaszt egy jogilag jelentős válaszadási határidőt, mert a kérelem nem nyomon követett munkafolyamatban, hanem postafiókban marad.

Minden hiba megelőzhető előre meghatározott csatornákkal, nyilvántartásokkal, jóváhagyásokkal és bizonyítékokra vonatkozó szabványokkal.

Szerepkörök és döntési jogosultságok

Egy gyakorlati irányítási modell még az első kérelem megérkezése előtt meghatározza a döntési jogosultságokat.

SzerepkörFelelősség az adatközlési munkafolyamatban
Ügyfélkapcsolati munkatársA kérelmet a jóváhagyott kérelemfelvételi csatornára továbbítja, érdemben nem válaszol, PII-t nem közöl
Jogi csapatEllenőrzi a jogi eszközt, a joghatóságot, a hatóságot, a bizalmassági korlátozást és a válasz megfogalmazását
DPO vagy adatvédelmi tanácsadóÉrtékeli a GDPR és az ISO 27701:2025 szerinti következményeket, a minimalizálást, az átláthatóságot, a PIMS-szerepkört és az adattovábbítási kérdéseket
CISOJóváhagyja a biztonságos bizonyítékgyűjtést, a biztonságos exportot, a továbbítási módot és az incidenshez való kapcsolódást
FolyamatgazdaAzonosítja a releváns rendszereket és adatkategóriákat, megerősíti az üzleti kontextust
PIMS-vezetőFenntartja a REG08-at, REG09-et vagy REG12-t, nyomon követi a felülvizsgálati eredményt, megőrzi az auditbizonyítékokat
Felsővezetői jóváhagyóJóváhagyja a magas kockázatú, külföldi, stratégiai vagy reputációs szempontból érzékeny adatközléseket
Beszállítói vagy beszerzési felelősKoordinálja a harmadik felekkel vagy adatfeldolgozókkal kapcsolatos kérelembejegyzéseket és szerződéses kötelezettségeket

Ezt a modellt be kell építeni a tudatossági képzésbe. A munkavállalóknak nem kell ismerniük minden jogi részletet, de ismerniük kell a szabályt: a hivatalos kérelmeket a kijelölt csatornára kell irányítani, és PII csak engedélyezés után közölhető.

Felkészültségi ellenőrzőlista a következő asztali gyakorlathoz

Használja ezt az ellenőrzőlistát adatvédelmi irányítási workshopon, belső auditon vagy asztali gyakorlaton.

  • Van-e egyetlen kérelemfelvételi csatornánk a bűnüldöző szervektől és szabályozó hatóságoktól érkező PII-adatközlési kérelmekre?
  • Tudják-e a munkavállalók, hogy nem válaszolhatnak informálisan?
  • Független kapcsolattartási források alapján ellenőrizzük-e a kérelmező személyazonosságát?
  • Megkülönböztetjük-e a szabályozó hatósági kérelmeket, bírósági végzéseket, bűnüldöző szervi kérelmeket, ügyfél által engedélyezett kérelmeket és külföldi közhatalmi szerv adatközlési kérelmeit?
  • Meghatározzuk-e a válaszadás előtt, hogy adatkezelők, adatfeldolgozók, közös adatkezelők vagy al-adatfeldolgozók vagyunk-e?
  • Dokumentáljuk-e a jogalapot, a jogi felhatalmazást, a joghatóságot és a bizalmassági korlátozásokat?
  • Alkalmazzuk-e az adattakarékosságot, és kitakarjuk-e a nem kapcsolódó PII-t?
  • Megköveteljük-e a DPO vagy adatvédelmi tanácsadó felülvizsgálatát az adatvédelmi szempontból jelentős kérelmeknél?
  • Megköveteljük-e a jogi terület és a CISO koordinációját, ha bűnüldözési vagy forenzikai kérdések érintettek?
  • Rögzítjük-e az adatkezelői adatközléseket a REG08-ban?
  • Rögzítjük-e a külföldi közhatalmi szervtől érkező kérelmeket a REG09-ben vagy REG12-ben?
  • Nyomon követjük-e a válaszadási határidőket, és vezetünk-e bizonyítéknaplókat?
  • Megőrizzük-e a potenciálisan releváns anyagokat, és megakadályozzuk-e törlésüket vagy módosításukat?
  • Titkosítással, hozzáférés-szabályozással és továbbítási naplózással védjük-e az adatközlési csomagokat?
  • Végzünk-e válaszadást követő felülvizsgálatot a magas kockázatú kérelmeknél?
  • Jelentjük-e a mutatókat és a levont tanulságokat a vezetésnek?

Ha bármelyik kérdésre az a válasz, hogy „ezt általában e-mailben kezeljük”, a folyamat még nem auditálható.

A munkafolyamat beépítése az IBIR-be és a PIMS-be

A legjobb irányítási modell nem kizárólag a jogi területen él. Az IBIR és a PIMS része.

A Zenith Blueprint ISMS Foundation & Leadership szakaszának 5. lépése javasolja a külső kommunikáció megtervezését és annak azonosítását, hogy ki kommunikál a szabályozó hatóságokkal, ügyfelekkel, partnerekkel és a nyilvánossággal. Megjegyzi, hogy a jogi tanácsadó részt vehet a szabályozó hatóságoknak szóló kommunikáció megfogalmazásában. Ez az alapelv közvetlenül alkalmazandó a hivatalos PII-adatközlési kérelmekre.

A Controls in Action szakasz ezután hatósági kapcsolattartással, PII-védelemmel és bizonyítékgyűjtéssel operatív szintre emeli a munkafolyamatot. Ezért a Clarysec 30-Step Guide nem kezeli az adatvédelmet, a biztonságot és a megfelelést egymástól elszigetelt munkafolyamatként. Egy valós kérelem mindhárom területet érinti.

Az üzleti felelősök számára az előny a káosz csökkenése. A CISO-k számára tisztázza, hogy mikor gyűjthető, közölhető vagy őrizhető meg biztonsági bizonyíték. A DPO-k számára igazolható GDPR- és ISO 27701:2025 szerinti elszámoltathatóságot teremt. A megfelelési vezetők számára nyilvántartásokat és auditnyomokat állít elő. Az auditorok számára világos útvonalat teremt a szabályzati követelménytől az operatív bizonyítékig.

Következő lépések a Clarysec-kel

Egy szabályozó hatósági vagy bűnüldöző szervi kérelem nem az a pillanat, amikor ki kell találni az adatvédelmi irányítási folyamatot. Ez az a pillanat, amikor a folyamatot tesztelik.

Kezdje asztali gyakorlattal. Használjon valószerű kiberbűnözési, szabályozó hatósági vagy külföldi közhatalmi szervtől érkező kérelmet. Kérje meg a jogi területet, a DPO-t, a CISO-t, az ügyféltámogatást és az érintett folyamatgazdát, hogy menjenek végig a kérelemfelvételen, az ellenőrzésen, a szerepkör meghatározásán, a minimalizáláson, a jóváhagyáson, a biztonságos továbbításon, a nyilvántartási rögzítésen, a bizonyítékok megőrzésén és a lezárási felülvizsgálaton.

Ezután hasonlítsa össze válaszait a Clarysec működési modelljével:

  • Használja a Zenith Blueprint: An Auditor’s 30-Step Roadmap útmutatót a hatósági kapcsolattartás, a külső kommunikáció, a PII-védelem és a bizonyítékgyűjtés elhelyezésére az IBIR- és PIMS-bevezetési tervben.
  • Használja a Zenith Controls: The Cross-Compliance Guide útmutatót az ISO 27701:2025, a GDPR, az ISO/IEC 27001:2022, az ISO/IEC 27002:2022, a NIS2, a DORA, a NIST és a COBIT 2019 elvárásainak egyetlen auditálható kontrollnarratívába történő leképezésére.
  • Használja a Clarysec adatvédelmi és magánszféra-védelmi, incidenskezelési, jogi és szabályozói megfelelési, bizonyítékgyűjtési és forenzikai, PII-adatközlési, adatfeldolgozó-kezelési és nemzetközi adattovábbítási szabályzatait a munkafolyamat-szabályok, nyilvántartások, jóváhagyások és bizonyítékkövetelmények meghatározására.

A Clarysec segít a csapatoknak eljutni a reaktív pániktól a szabályozott végrehajtásig. Töltse le a releváns Clarysec eszközkészleteket, futtassa le az asztali gyakorlatot, és foglaljon adatközlési irányítási felmérést annak biztosítására, hogy a következő válasz jogszerű, minimális, jóváhagyott, rögzített, biztonságos és auditálható legyen.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article