DSAR, ištrynimas ir ISO 27001 įrodymai 2026 m.

El. laiškas pasiekė Saros pašto dėžutę 9:03 ryto.

Tai nebuvo pirmasis duomenų subjekto prieigos prašymas, kurį gavo jos sparčiai auganti SaaS įmonė. Tačiau tai buvo pirmasis prašymas, kuris atrodė kaip viešas auditas.

Siuntėjas buvo buvęs darbuotojas, dabar privatumo teisių gynėjas. Prašyme buvo nurodyti GDPR straipsnių numeriai ir reikalaujama pateikti visus asmens duomenis, nedelsiant apriboti tvarkymą, pateikti visų trečiųjų šalių paslaugų, kuriose laikomi jo duomenys, sąrašą ir patikrinamus ištrynimo iš produkcinių bei atsarginių kopijų sistemų įrodymus. Kopiją gavo ir žurnalistas.

Per kelias minutes išryškėjo spragos. Inžinerijos komanda įspėjo, kad „tikrasis ištrynimas“ iš keliems klientams bendros duomenų bazės gali paveikti kitus klientus. Rinkodaros komanda aiškinosi naudotojo duomenis analitikos platformose. Teisininkai rado neišspręstą darbo santykių klausimą. Saugumo komanda nerimavo, kad žurnalai gali atskleisti aptikimo logiką arba kito asmens duomenis. Klientų aptarnavimo komanda turėjo įrašų pagal du el. pašto adresus. Finansų skyrius turėjo sąskaitas faktūras pagal trečią adresą.

Laikas jau buvo pradėjęs tiksėti.

Toks scenarijus nebėra neįprastas. 2026 m. duomenų subjektų teisės nėra tik privatumo pašto dėžutės klausimas. Tai kontroliuojamas verslo procesas, priklausantis nuo turto apskaitos, sprendimų dėl teisinio pagrindo, tapatybės tikrinimo, prieigos kontrolės, saugojimo taisyklių, teisinio duomenų išsaugojimo, tiekėjų koordinavimo, saugaus atskleidimo, ištrynimo įrodymų ir auditui tinkamo žurnalų vedimo.

GDPR nurodo, kokias teises turi fiziniai asmenys. ISO/IEC 27001:2022 suteikia saugumo ir atitikties komandoms valdymo sistemos discipliną, leidžiančią įrodyti, kad šios teisės įgyvendinamos nuosekliai, saugiai ir pakartojamai.

Vyriausiesiems informacijos saugumo pareigūnams (CISO), atitikties vadovams, privatumo vadovams ir verslo savininkams tikslas nėra kurti daugiau dokumentų. Tikslas – sukurti vieną patikimą DSAR, ištrynimo ir tvarkymo apribojimo darbo eigą, kuri pateiktų įrodymus, reikalingus pagal GDPR, ISO/IEC 27001:2022 auditams ir platesniems patikinimo lūkesčiams pagal NIS2, DORA, NIST CSF 2.0 ir COBIT 2019.

Kodėl ad hoc DSAR tvarkymas neatlaiko spaudimo

Dauguma DSAR nesėkmių kyla ne dėl blogų ketinimų. Jas lemia fragmentacija.

Organizacija gali turėti privatumo pranešimą, DPO pašto dėžutę ir GDPR nuostatą tiekėjų sutartyse, tačiau vis tiek sunkiai atsakyti į pagrindinius operacinius klausimus:

• Kas patvirtina prašymą pateikusio asmens tapatybę?
• Kuris juridinis asmuo yra duomenų valdytojas arba duomenų tvarkytojas?
• Kuriose sistemose turi būti atliekama paieška?
• Kas yra kiekvienos sistemos savininkas?
• Kurie duomenys patenka į taikymo sritį?
• Kurie duomenys prieš atskleidžiant turi būti užmaskuoti arba pašalinti?
• Kurių duomenų negalima ištrinti dėl mokesčių, audito, bylinėjimosi, sukčiavimo prevencijos ar teisinės prievolės?
• Kaip tvarkymo apribojimas įgyvendinamas techniškai?
• Kurie tiekėjai turi padėti atlikti paiešką, eksportą, ištrynimą arba apribojimą?
• Kokie įrodymai patvirtina, kad prašymas buvo išnagrinėtas laiku?
• Kas vyksta, jei DSAR atskleidžia asmens duomenų saugumo pažeidimą?

GDPR 5 straipsnis reikalauja, kad asmens duomenys būtų tvarkomi teisėtai, sąžiningai ir skaidriai, renkami nustatytais tikslais, apriboti tuo, kas būtina, tikslūs, saugomi ne ilgiau nei būtina ir apsaugoti tinkamomis techninėmis bei organizacinėmis priemonėmis. 5(2) straipsnyje aiškiai įtvirtinta atskaitomybė: duomenų valdytojas turi gebėti įrodyti atitiktį. 4 straipsnyje tvarkymas apibrėžiamas plačiai, įskaitant rinkimą, saugojimą, naudojimą, atskleidimą, apribojimą, ištrynimą ir sunaikinimą.

Tai reiškia, kad pats DSAR procesas yra duomenų tvarkymo veikla. Ji turi būti kontroliuojama.

GDPR 3 straipsnis taip pat svarbus debesijos, SaaS, finansinių technologijų ir skaitmeninėms įmonėms už ES ribų. Jei siūlote prekes ar paslaugas Sąjungoje esantiems fiziniams asmenims, stebite jų elgseną arba tvarkote asmens duomenis ES padalinio veiklos kontekste, GDPR gali būti taikomas net tada, kai operacijos perduotos išorės paslaugų teikėjams arba infrastruktūra yra globali.

ISO/IEC 27001:2022 suteikia šiai realybei struktūrą. 4.1–4.4 punktai reikalauja, kad organizacija suprastų savo kontekstą, suinteresuotąsias šalis, reikalavimus, ISVS taikymo sritį ir sąveikaujančius procesus. Duomenų subjektas yra suinteresuotoji šalis. GDPR teisės yra reikalavimai. SaaS taikomosios programos, tapatybės teikėjai, analitikos platformos, pagalbos priemonės, duomenų saugyklos ir debesijos atsarginės kopijos yra sąveikaujantys procesai. DSAR darbo eiga turi būti ISVS dalis, o ne veikti šalia jos.

Trys duomenų subjektų teisės, kurios sukuria didžiausią spaudimą

Prieiga, ištrynimas ir tvarkymo apribojimas atskleidžia didžiausią spragą tarp teisinio pažado ir operacinio pajėgumo.

GDPR 6 straipsnis yra šios sprendimų logikos pagrindas. Negalite tvarkyti, saugoti, atskleisti duomenų ar atsisakyti juos ištrinti nesuprasdami teisinio pagrindo. 9 straipsnyje keliami aukštesni reikalavimai specialių kategorijų asmens duomenims, pavyzdžiui, sveikatos duomenims, biometriniams duomenims, naudojamiems unikaliai identifikuoti, arba duomenims, atskleidžiantiems jautrias savybes. 2026 m. SaaS aplinkoje tai gali paveikti darbuotojų priėmimą, tapatybės tikrinimą, sukčiavimo stebėseną, klientų aptarnavimo priedus ir darbuotojų įrašus.

Clarysec įmonėms skirta Duomenų apsaugos ir privatumo politika [P17] šį įpareigojimą formuluoja tiesiogiai. Tikslų 3.6 punkte ji reikalauja, kad organizacija:

Užtikrintų duomenų subjektų teises, įskaitant teisę susipažinti su duomenimis, juos ištaisyti, ištrinti, apriboti jų tvarkymą, perkelti duomenis, teisę nesutikti ir apsaugą nuo automatizuoto sprendimų priėmimo.

Šis tikslas tampa audituojamas tik tada, kai jis susietas su savininkais, registrais, darbo eigomis, kontrolės priemonėmis ir įrodymais.

Pradėkite ten, kur pradeda auditoriai: taikymo sritis, suinteresuotosios šalys ir atsakomybė

Zenith Blueprint: auditoriaus 30 žingsnių veiksmų plane [ZB], ISVS pagrindų ir lyderystės etape, 2 žingsnyje, dėmesys skiriamas suinteresuotųjų šalių poreikiams ir ISVS taikymo sričiai. GDPR atveju Blueprint reguliuotojų lūkesčius apibrėžia taip:

ES reguliuotojai
(GDPR)

Teisėtas asmens duomenų
tvarkymas, pranešimas apie pažeidimą per 72 val.,
duomenų subjektų teisės

Paskirti duomenų apsaugos pareigūną, nustatyti
reagavimo į pažeidimus procesą ir procedūras, skirtas
duomenų prašymams tvarkyti.

Tai tinkamas pradžios taškas. Prieš automatizuodami užklausas ar konfigūruodami portalus, apibrėžkite duomenų subjektų teisių tvarkymo taikymo sritį:

1. Kurie juridiniai asmenys veikia kaip duomenų valdytojai, bendri duomenų valdytojai arba duomenų tvarkytojai?
2. Kurie produktai, paslaugos ir teritorijos patenka į taikymo sritį?
3. Kokios duomenų subjektų kategorijos egzistuoja, pavyzdžiui, klientai, darbuotojai, bandomosios versijos naudotojai, potencialūs klientai, tiekėjai, svetainės lankytojai ar programėlės naudotojai?
4. Kurios sistemos, saugyklos ir tiekėjai saugo asmens duomenis?
5. Kurie vaidmenys tvirtina atskleidimą, atsisakymą, ištrynimą, tvarkymo apribojimą arba eskalavimą?
6. Kokie rodikliai teikiami vadovybei?

ISO/IEC 27001:2022 5.1–5.3 punktai reikalauja lyderystės, politikos suderinimo, išteklių ir priskirtų atsakomybių. Tai tiesiogiai dera su GDPR atskaitomybe.

Duomenų apsaugos ir privatumo politika [P17], Politikos įgyvendinimo reikalavimų 6.4.1 punktas, nustato:

Duomenų apsaugos pareigūnas (DPO) turi palaikyti dokumentuotus duomenų subjekto prašymo (DSR) priėmimo, tikrinimo, stebėjimo ir atsakymo procesus.

MVĮ atveju Clarysec Duomenų apsaugos ir privatumo politika - SME [P17S] taiko pagal mastą pritaikytą atsakomybių modelį. Valdysenos reikalavimų 5.2.1 punktas nustato:

Privatumo koordinatorius privalo palaikyti visų asmens duomenų tvarkymo veiklų registrą, įskaitant duomenų kategorijas, tikslą, teisinį pagrindą ir saugojimo laikotarpius.

Šis tvarkymo veiklų registras yra operacinė DSAR pasirengimo šerdis. Jei jis neišsamus, DSAR komanda ieško remdamasi atmintimi, Slack žinutėmis ir neformaliomis žiniomis. Jei jis tikslus, komanda ieško pagal tvarkymo veiklą, duomenų kategoriją, sistemos savininką, tiekėją ir saugojimo taisyklę.

Clarysec DSAR darbo eiga: nuo priėmimo iki uždarymo

Auditui tinkama DSAR darbo eiga turi būti pakankamai paprasta, kad veiktų spaudimo sąlygomis, tačiau pakankamai kontroliuojama, kad atlaikytų reguliuotojo, kliento patikinimo peržiūrą arba ISO/IEC 27001:2022 auditą.

1. Priėmimas ir gavimo patvirtinimas

Prašymai turi patekti į kontroliuojamą kanalą, pavyzdžiui, privatumo pašto dėžutę, portalą, pagalbos formą arba teisinį prašymų priėmimo kanalą. Darbuotojai turi atpažinti paprasta kalba pateiktus prašymus. Asmeniui nereikia parašyti „DSAR“, kad pasinaudotų teise. „Kokius duomenis apie mane turite?“ arba „ištrinkite mano profilį“ gali pakakti darbo eigai pradėti.

Duomenų apsaugos ir privatumo politika - SME [P17S], Politikos įgyvendinimo reikalavimų 6.5.2 punktas, nustato aiškų paslaugos lygį:

Privatumo koordinatorius privalo patvirtinti prašymų gavimą per 3 darbo dienas ir atsakyti per 30 dienų.

Gavimo patvirtinime turi būti nurodytas prašymo identifikatorius, prireikus taikymo srities patikslinimas, tapatybės tikrinimo instrukcijos ir numatomas atsakymo terminas.

2. Tapatybės tikrinimas ir įgaliojimų patikra

DSAR gali tapti asmens duomenų saugumo pažeidimu, jei informacija išsiunčiama netinkamam asmeniui. Tikrinimas turi būti proporcingas ir neturi rinkti perteklinių naujų asmens duomenų. Kai įmanoma, naudokite autentifikuotus portalus. Buvusių naudotojų atveju tikrinkite pagal žinomus paskyros duomenis. Darbuotojų atveju koordinuokite veiksmus su žmogiškaisiais ištekliais. Atstovų atveju reikalaukite įgaliojimų įrodymo.

Išsaugokite įrodymus apie tikrinimo metodą, užbaigimo datą, tvirtintoją, prašytą papildomą informaciją ir sprendimą, jei tikrinimas nepavyksta.

3. Prašymo klasifikavimas

Viename pranešime gali būti kelios teisės. Kiekvieną jų klasifikuokite atskirai, nes prieigai, ištrynimui, tvarkymo apribojimui, nesutikimui ir perkeliamumui reikia skirtingos sprendimų logikos ir įrodymų. Taip pat pažymėkite galimus skundus, darbuotojų klausimus, vaikų duomenis, specialių kategorijų duomenis ir galimus asmens duomenų saugumo pažeidimus.

4. Ieškokite turto apskaitoje, o ne tik akivaizdžiose sistemose

Čia ISO/IEC 27001:2022 tampa praktinis. Zenith Blueprint [ZB], Kontrolės priemonių veikimo etape, 22 žingsnyje, įspėja, kad apskaitos taikymo sritis yra platesnė, nei daugelis organizacijų mano:

Šios apskaitos taikymo sritis yra platesnė, nei dauguma įsivaizduoja. Ji turėtų apimti:

✓ Fizinį turtą: nešiojamuosius kompiuterius, serverius, telefonus, atsarginių kopijų juostas, keičiamąsias laikmenas, spausdintus
įrašus.
✓ Skaitmeninį turtą: dokumentus, duomenų rinkinius, saugyklas, el. laiškus, pirminį kodą, debesijoje saugomus
failus.
✓ Loginį turtą: naudotojų paskyras, prisijungimo duomenis, raktus, programinės įrangos licencijas, taikomųjų programų sąsajas.
✓ Su paslaugomis susijusį turtą: SaaS platformas, valdomas saugumo paslaugas, išorės paslaugų teikėjams perduotas
saugyklas.
✓ Žmones kaip turtą: ne suprekintos vertės prasme, o pagal priskirtas atsakomybes,
prieigą ir vaidmenimis grindžiamą poveikį informacijai.

22 žingsnyje taip pat paaiškinama atsakomybė:

Kiekvienas turtas turi turėti apibrėžtą savininką – ne asmenį, kuris juo naudojasi, o asmenį, atsakingą už
jo naudojimą, apsaugą ir gyvavimo ciklą. Savininkystė būtina kontrolės priemonių suderinimui: kas klasifikuoja
turtą (5.10), kas sprendžia jo prieigos lygį (8.3), kas tvarko jo ištrynimą (8.10), kas užtikrina,
kad jis būtų grąžintas (5.9 subtiliai persidengia su turto grąžinimo procedūromis).

Zenith Controls: kryžminės atitikties vadove [ZC], ISO/IEC 27002:2022 kontrolės priemonė 5.9, Informacijos ir kito susijusio turto apskaita, traktuojama kaip prevencinė kontrolės priemonė, palaikanti konfidencialumą, vientisumą ir prieinamumą. Jos kibernetinio saugumo sąvoka yra Identify, operacinis pajėgumas – turto valdymas, o saugumo sritys apima valdyseną, ekosistemą ir apsaugą.

DSAR atveju tai reiškia, kad apskaita nėra IT skaičiuoklė. Tai žemėlapis, nurodantis privatumo, teisės ir saugumo komandoms, kur gali būti asmens duomenų.

5. Peržiūrėkite, užmaskuokite ir patvirtinkite atskleidimą

DSAR atsakymas neturi būti neapdorotas eksportas. Peržiūra turi apsaugoti kitų asmenų asmens duomenis, konfidencialią verslo informaciją, teisinę privilegiją, saugumo požiūriu jautrius duomenis, sukčiavimo signalus ir duomenis, nepatenkančius į prašymo taikymo sritį.

Patvirtinimas turi būti grindžiamas rizika. Įprastus prieigos atsakymus gali patvirtinti privatumo koordinatorius arba DPO. Prašymuose, susijusiuose su darbuotojais, bylinėjimusi, specialių kategorijų duomenimis, vaikais, sukčiavimu, saugumo žurnalais ar dideliais eksportais, turi dalyvauti teisės, žmogiškųjų išteklių arba saugumo vadovybė.

6. Pateikite saugiai

Nepridėkite didelių nešifruotų failų prie el. laiškų. Naudokite autentifikuotus portalus, šifruotus failus su atskiru slaptažodžio perdavimu arba saugias perdavimo nuorodas su galiojimo pabaiga ir prieigos žurnalų vedimu. Užregistruokite perdavimo būdą, datą, gavėjo paskyrą, galiojimo pabaigos datą ir patvirtinimą, kai jis prieinamas.

7. Uždarykite su įrodymais

Duomenų apsaugos ir privatumo politika [P17], 6.4.3 punktas, yra aiškus:

Visi atlikti veiksmai turi būti registruojami audito tikslais, įskaitant sprendimus atsisakyti tenkinti prašymus.

Duomenų apsaugos ir privatumo politika - SME [P17S], 6.5.4 punktas, nustato:

Visi atsakymai į duomenų subjektų prašymus turi būti registruojami saugiame registre, prieigą suteikiant tik privatumo koordinatoriui ir generaliniam direktoriui (GM).

DSAR nėra baigtas, kai išsiunčiamas el. laiškas. Jis baigtas tada, kai registre matomas prašymas, tapatybės patikra, sprendimai, patikrintos sistemos, atsakymas, išimtys, patvirtinimai, pateikimas ir uždarymas.

Ištrynimas yra kontroliuojamas sunaikinimas, o ne trynimo mygtukas

Ištrynimo prašymai parodo, ar privatumas buvo įdiegtas į sistemas projektavimo metu, ar pridėtas po paleidimo.

Clarysec įmonėms skirta Duomenų saugojimo ir sunaikinimo politika [P14], Vaidmenų ir atsakomybių 4.3.3 punktas, priskiria atsakomybę vaidmeniui, kuris:

Atsako į ištrynimo prašymus ir užtikrina savalaikį, patikrinamą asmens duomenų ištrynimą, kai to reikalaujama.

Formuluotė „kai to reikalaujama“ yra kritiškai svarbi. GDPR ištrynimas nėra absoliutus. Organizacijoms gali reikėti saugoti duomenis dėl teisinių prievolių, audito, mokesčių, reguliacinių pareigų, sukčiavimo prevencijos, saugumo, bylinėjimosi arba teisinių reikalavimų pareiškimo, vykdymo ar gynimo. Darbo eiga turi apimti teisėto saugojimo ir išimties sprendimą.

Zenith Blueprint [ZB], Kontrolės priemonių veikimo etape, 19 žingsnyje, ISO/IEC 27002:2022 kontrolės priemonę 8.10, Informacijos ištrynimą, paaiškina operaciniais terminais:

Ši kontrolės priemonė užtikrina, kad duomenys nebūtų saugomi ilgiau nei būtina, o kai jie nebereikalingi,
turi būti saugiai ir patikimai ištrinti. Daugelis organizacijų laikui bėgant sukaupia didelius
duomenų kiekius, tačiau be aiškaus ištrynimo proceso šie duomenys gali likti nenaudojami ir
neapsaugoti, tyliai didindami atskleidimo, pažeidimo ar reguliacinių pažeidimų riziką.

Jame taip pat įspėjama:

Nepamirškite atsarginių kopijų ir archyvuotų sistemų – jose istoriniai duomenys dažnai saugomi gerokai ilgiau nei jų
operacinė vertė. Ištrynimo politikos turi apimti:

✓ Atsarginių kopijų saugojimo nustatymus,
✓ Momentinių kopijų gyvavimo ciklus,
✓ Archyvuotų el. laiškų ar dokumentų saugyklas.

Ir baigiama įrodymais:

Pats ištrynimo procesas turi būti registruojamas žurnale, o didelės rizikos arba reglamentuojamų duomenų atveju –
peržiūrimas arba patvirtinamas. Tai užtikrina atsekamumą ir apsaugo nuo atsitiktinio ar
neautorizuoto vertingų įrašų sunaikinimo.

Zenith Controls [ZC] ISO/IEC 27002:2022 kontrolės priemonė 8.10, Informacijos ištrynimas, susieta kaip prevencinė kontrolės priemonė, orientuota į konfidencialumą, suderinta su Protect kibernetinio saugumo sąvoka ir susieta su informacijos apsaugos bei teisės ir atitikties operaciniais pajėgumais.

Sudėtingose debesijos architektūrose kriptografinis ištrynimas gali būti tinkamas, jei jis tinkamai suprojektuotas. Jei asmens duomenys šifruojami subjektui arba nuomininkui specifiniu raktu, rakto sunaikinimas gali padaryti duomenis visam laikui neprieinamus, įskaitant atvejus, kai šifruotos liekanos išlieka atsarginėse kopijose iki suplanuotos rotacijos. Tai turi būti kruopščiai suprojektuota, dokumentuota, ištestuota ir patvirtinta. Tai nėra prastos ištrynimo architektūros apėjimo sprendimas.

Todėl taikomųjų programų pasirengimas yra būtinas. Clarysec Taikomųjų programų saugumo reikalavimų politika - SME [P09S], 6.5.1.3 punktas, reikalauja, kad taikomosios programos:

leistų saugiai eksportuoti ir ištrinti asmens duomenis, kai to reikalauja teisė (pvz., GDPR 17 straipsnis – teisė į ištrynimą).

Jei produktų komandos nesukuria eksporto ir ištrynimo galimybių, privatumo komandos priverstos naudoti duomenų bazės scenarijus, tiekėjų užklausas ir nenuoseklų rankinį darbą.

Teisinis duomenų išsaugojimas ir ištrynimo sustabdymas

Brandžioje ištrynimo darbo eigoje turi būti kelias „netrinti“. Tai nėra pasiteisinimas ignoruoti ištrynimą. Tai kontroliuojama išimtis.

Clarysec MVĮ Duomenų saugojimo politika ir saugaus sunaikinimo politika - SME [P14S], Valdysenos reikalavimų 5.4 punktas, nustato:

Duomenys, kuriems taikomas teisinis duomenų išsaugojimas ir ištrynimo sustabdymas (pvz., bylinėjimosi, audito ar tyrimo atveju), turi būti aiškiai identifikuoti sistemoje ir apsaugoti nuo ištrynimo, net jei suplanuotas saugojimo laikotarpis yra pasibaigęs.

Duomenų saugojimo ir sunaikinimo politika [P14], 6.4.1 punktas, atspindi tą patį principą:

Jei paskelbiamas teisinis duomenų išsaugojimas ir ištrynimo sustabdymas (pvz., laukiant bylinėjimosi, tyrimo ar audito), duomenys, kuriems kitu atveju būtų taikomas sunaikinimas, turi būti išsaugomi ilgiau nei įprastas jų saugojimo laikotarpis.

Auditoriai nori matyti abi istorijos puses: savalaikio ištrynimo įrodymus ir pagrįsto saugojimo įrodymus.

Tvarkymo apribojimas: nepakankamai įvertinta teisė

Tvarkymo apribojimo prašymai ne visada reikalauja ištrynimo. Jie reikalauja, kad organizacija apribotų aktyvų tvarkymą, kartu išlaikydama duomenis kontroliuojamomis sąlygomis.

Dažni pavyzdžiai:

• Klientas ginčija tikslumą ir prašo nustoti naudoti duomenis, kol jie tikrinami.
• Buvęs darbuotojas nesutinka su tvarkymu, tačiau įrašas reikalingas teisiniams reikalavimams.
• Naudotojas prašo ištrinti duomenis, tačiau minimalūs duomenys turi būti saugomi, kad būtų palaikomas slopinimo sąrašas.
• Sukčiavimo tyrimui reikia saugoti duomenis, bet ne naudoti jų įprastai operacinei veiklai.

Praktinė tvarkymo apribojimo darbo eiga turi apimti teisinį sprendimą, sistemos žymą, prieigos kontrolės koregavimą, rinkodaros slopinimą, analitikos išskyrimą, tiekėjo nurodymą, periodinę peržiūrą ir išimties įrodymus.

Zenith Controls [ZC] ISO/IEC 27002:2022 kontrolės priemonė 5.34, Privatumas ir PII apsauga, traktuojama kaip prevencinė kontrolės priemonė, palaikanti konfidencialumą, vientisumą ir prieinamumą. Ji susieta su Identify ir Protect, o jos operaciniai pajėgumai – informacijos apsauga ir teisė bei atitiktis.

Zenith Blueprint [ZB], Kontrolės priemonių veikimo etape, 23 žingsnyje, audito testą apibendrina taip:

Patvirtinkite, kad jūsų organizacija įgyvendino privatumo priemones (5.34), suderintas su
taikomais teisiniais reikalavimais. Patikrinkite PII klasifikavimą, tinkamas prieigos kontrolės priemones, saugią
tvarkymo praktiką ir informuotumo mokymus. Patvirtinkite, ar subjekto prieigos prašymai, duomenų
ištrynimas arba tvarkymo žurnalai palaikomi operaciniu lygmeniu, o ne tik politikoje.

Pagrindinė frazė yra „palaikomi operaciniu lygmeniu, o ne tik politikoje“.

DSAR darbo eigų susiejimas su ISO/IEC 27001:2022 įrodymais

ISO/IEC 27001:2022 nepakeičia GDPR. Jis struktūruoja įrodymus.

6.1.1–6.1.3 punktai reikalauja rizikos vertinimo, rizikos tvarkymo, rizikos priėmimo kriterijų, rizikos savininkų, kontrolės priemonių parinkimo, Taikytinumo pareiškimo ir rizikos tvarkymo plano. DSAR rizikos apima neautorizuotą atskleidimą, praleistus terminus, neišsamų ištrynimą, neteisėtą saugojimą, perteklinį tapatybės tikrinimą, tiekėjų nebendradarbiavimą ir negalėjimą apriboti tvarkymo.

8.1 punktas reikalauja, kad organizacijos planuotų, įgyvendintų ir kontroliuotų ISVS procesus, saugotų dokumentuotus įrodymus, valdytų pakeitimus ir užtikrintų, kad su ISVS susiję išorės teikiami procesai, produktai ir paslaugos būtų kontroliuojami. Tai tinka DSAR operacijoms, nes prašymai kerta vidines funkcijas ir išorės tvarkytojus.

Stiprus įrodymų paketas apima DSR procedūrą, DSR registrą, tvarkymo veiklų registrą, turto apskaitą, duomenų saugojimo terminų sąrašą, teisinio duomenų išsaugojimo registrą, tapatybės tikrinimo procedūrą, maskavimo gaires, saugaus atskleidimo metodą, ištrynimo procedūrą, tvarkymo apribojimo procedūrą, tiekėjų veiksmų planą, išimčių registrą, mokymų įrašus, vidaus audito rezultatus ir vadovybės peržiūros ataskaitas.

Praktinė prieigos, ištrynimo ir tvarkymo apribojimo darbo eiga

Ši darbo eiga Saros krizę paverčia audituojamu procesu. Kiekvienas etapas turi savininką, kontrolės pagrindą ir įrodymus.

Kryžminės atitikties vertė už GDPR ribų

DSAR darbo eiga kyla iš GDPR, tačiau tos pačios kontrolės priemonės palaiko platesnes sistemas.

NIS2 20 straipsnis kibernetinį saugumą paverčia vadovybės atsakomybe esminiams ir svarbiems subjektams. 21 straipsnis reikalauja tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių, įskaitant rizikos analizę, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, veiksmingumo vertinimą, kibernetinę higieną, mokymus, prieigos kontrolę, turto valdymą, autentifikavimą ir saugią komunikaciją. DSAR remiasi daugeliu tų pačių pajėgumų.

DORA nuo 2025 m. sausio 17 d. taikomas daugeliui finansų sektoriaus subjektų ir nustato vienodus IRT rizikos valdymo, pranešimo apie incidentus, atsparumo testavimo ir IRT trečiųjų šalių rizikos reikalavimus. 5 ir 6 straipsniai reikalauja valdysenos ir dokumentuoto IRT rizikos valdymo. 17–20 straipsniai apima incidentų aptikimą, klasifikavimą, eskalavimą, komunikaciją ir uždarymą. 24–30 straipsniai apima atsparumo testavimą, IRT trečiųjų šalių riziką, paslaugų registrus, audito teises, duomenų vietą, pagalbą incidentų atveju ir pasitraukimo strategijas. Finansinių technologijų įmonė, DSAR tvarkanti per debesijos platformas, turi suderinti privatumo prašymų tvarkymą su savo IRT paslaugų registru.

NIST CSF 2.0 padeda tą patį darbą paversti kibernetinio saugumo rezultatais. GOVERN apima teisinius, reglamentavimo ir sutartinius reikalavimus, rizikos strategiją, vaidmenis, politiką ir priežiūrą. IDENTIFY ir PROTECT stipriai dera su turto matomumu, duomenų klasifikavimu, prieigos kontrole, ištrynimu, tiekėjų valdysena ir privatumo apsauga.

COBIT 2019 kelia valdysenos klausimus. Kas yra proceso savininkas? Kokie tikslai apibrėžti? Kaip matuojamas veiksmingumas? Kaip tvirtinamos išimtys? Kaip gaunamas patikinimas? DSAR įrodymai gali palaikyti tokius tikslus kaip APO13 Managed Security, APO14 Managed Data ir DSS06 Managed Business Process Controls.

Auditoriaus perspektyva

Nekurkite atskirų įrodymų kiekvienai sistemai. Sukurkite vieną patikimą DSAR darbo eigą ir tinkamai ją susiekite.

DSAR rodikliai, kuriuos turi matyti vadovybė

Vadovybė negali prižiūrėti to, ko nemato. Naudingi rodikliai apima prašymų kiekį pagal teisių tipą, vidutinį gavimo patvirtinimo laiką, vidutinį uždarymo laiką, terminų laikymąsi, tapatybės patikslinimo dažnį, ištrynimo išimtis, teisinio duomenų išsaugojimo atvejus, tiekėjų atsakymo laiką, dalinius atsisakymus, tvarkymo metu nustatytus incidentus ir atvirus taisomuosius veiksmus.

Šie rodikliai parodo, ar duomenų subjektų teisės operaciniu požiūriu valdomos tinkamai, ar priklauso nuo pavienių didvyriškų pastangų.

Dažnos DSAR pasirengimo spragos

Clarysec dažnai mato tas pačias silpnybes SaaS, finansinių technologijų, profesinių paslaugų ir debesiją pirmiausia naudojančiose MVĮ:

• Nėra kiekvienos sistemos, kurioje yra asmens duomenų, savininko
• Tvarkymo veiklų registras nesuderintas su faktiniu SaaS naudojimu
• Rinkodaros, analitikos ir duomenų saugyklų platformos neįtraukiamos į paieškas
• Nėra dokumentuoto tapatybės tikrinimo standarto
• Prieš atskleidimą neatliekama maskavimo peržiūra
• Produkcinėje aplinkoje ištrinama neįvertinus atsarginių kopijų
• Prieš ištrynimą neatliekama teisinio duomenų išsaugojimo patikra
• Tvarkymo apribojimas tvarkomas rankiniu būdu be sistemos žymos
• Tiekėjų sutartyse trūksta DSAR pagalbos sąlygų
• Atsisakymai ir daliniai atsisakymai nedokumentuojami
• Nevykdoma užbaigtų DSAR atrankinė vidaus audito patikra
• Pirmojo kontakto darbuotojai neapmokyti atpažinti prašymų

Jūsų 2026 m. DSAR pasirengimo kontrolinis sąrašas

Naudokite tai kaip brandos testą:

• Ar turime dokumentuotą DSR priėmimo, tikrinimo, stebėjimo ir atsakymo procesą?
• Ar patvirtiname prašymų gavimą pagal apibrėžtą vidinį SLA?
• Ar palaikome saugų DSR registrą su ribota prieiga?
• Ar turime aktualų tvarkymo veiklų registrą su kategorijomis, tikslais, teisiniais pagrindais ir saugojimo laikotarpiais?
• Ar žinome kiekvieną sistemą, SaaS platformą, saugyklą ir tiekėją, kuriuose gali būti asmens duomenų?
• Ar kiekvienas susijęs turtas turi atskaitingą savininką?
• Ar galime saugiai eksportuoti asmens duomenis?
• Ar galime saugiai ištrinti asmens duomenis, kai to reikalauja teisė?
• Ar galime techniškai arba procedūriškai apriboti tvarkymą?
• Ar prieš ištrynimą tikriname teisinį duomenų išsaugojimą?
• Ar dokumentuojame atsisakymo, dalinio atsisakymo ir išimčių sprendimus?
• Ar tiekėjų sutartys palaiko DSAR pagalbą?
• Ar testuojame darbo eigą per vidaus auditą arba stalo pratybas?
• Ar teikiame DSAR veiklos rodiklius vadovybei?
• Ar susiejame DSAR kontrolės priemones su ISO/IEC 27001:2022 rizikos tvarkymu ir Taikytinumo pareiškimu?

Jei keli atsakymai yra „ne nuosekliai“, kitas prašymas gali atskleisti spragą.

Paverskite duomenų subjektų teises auditui tinkamais įrodymais

2026 m. duomenų subjektų teisėms reikia daugiau nei gerų ketinimų ir privatumo pašto dėžutės. Joms reikia darbo eigos, galinčios rasti duomenis, patikrinti tapatybę, priimti teisėtus sprendimus, koordinuoti tiekėjus, apsaugoti atskleidimą, įvykdyti ištrynimą, įgyvendinti tvarkymo apribojimą ir išsaugoti įrodymus.

Clarysec padeda organizacijoms sukurti tokią darbo eigą nesukuriant lygiagrečios atitikties biurokratijos. Pradėkite nuo Zenith Blueprint, kad duomenų subjektų teises įtrauktumėte į tinkamą ISVS etapą ir žingsnius. Naudokite Clarysec Duomenų apsaugos ir privatumo politiką, Duomenų apsaugos ir privatumo politiką - SME, Duomenų saugojimo ir sunaikinimo politiką, Duomenų saugojimo politiką ir saugaus sunaikinimo politiką - SME ir Taikomųjų programų saugumo reikalavimų politiką - SME, kad apibrėžtumėte savininkystę ir veiklos taisykles.

Tada naudokite Zenith Controls, kad ISO/IEC 27002:2022 kontrolės priemones 5.9, 5.34 ir 8.10 susietumėte su kryžminės atitikties įrodymais GDPR, ISO/IEC 27001:2022, NIS2, DORA, NIST CSF 2.0 ir COBIT 2019 patikinimui.

Jei norite žinoti, ar jūsų DSAR, ištrynimo ir tvarkymo apribojimo darbo eigos rytoj atlaikytų auditą, Clarysec gali padėti ištestuoti procesą, uždaryti spragas ir sukurti įrodymų paketą prieš gaunant kitą prašymą. Atsisiųskite atitinkamus Clarysec politikų šablonus arba užsisakykite DSAR pasirengimo vertinimą, kad pereitumėte nuo reaktyvaus atsakymo prie kontroliuojamų, auditui tinkamų privatumo operacijų.