⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Prašymai atskleisti asmens duomenis (AII) pagal GDPR ir ISO 27701

Igor Petreski

Prašymas gaunamas penktadienį 16:47

Klientų sėkmės vadovas persiunčia el. laišką Teisės skyriui su temos eilute: „SKUBUS POLICIJOS PRAŠYMAS“. Pridėtas nuskenuotas raštas, kuriame prašoma pateikti paskyros duomenis, prisijungimų istoriją, IP adresus, mokėjimų įrašus ir „bet kokią kitą aktualią informaciją“ apie įvardytą asmenį. Siuntėjas teigia esantis kibernetinių nusikaltimų tyrimo padalinio atstovas. Laiške prašoma atskleisti duomenis per 24 valandas ir nurodoma organizacijai „neinformuoti duomenų subjekto“.

Tuo pačiu metu saugumo operacijų komanda tiria neįprastą veiklą toje pačioje kliento paskyroje. DAP yra kitoje laiko juostoje. CISO klausia, ar tai incidentas, teisinis prašymas, GDPR atskleidimas, ar visi trys dalykai kartu. Pardavimų komanda nori „visapusiškai bendradarbiauti“. Pagalbos tarnybos komanda klausia, ar gali eksportuoti kliento profilį. Kažkas pasiūlo išsiųsti visą CRM įrašą, nes „institucijos paprašė visko“.

Tai yra valdysenos spraga.

Dauguma organizacijų turi privatumo politiką, reagavimo į incidentus planą ir duomenų subjektų prašymų susipažinti su asmens duomenimis tvarkymo procesą. Daugelis geba valdyti tiekėjų deramąjį patikrinimą, susirašinėjimą su reguliuotojais ir pranešimus apie pažeidimus. Gerokai mažiau organizacijų turi pakartojamą darbo eigą privalomiems ar oficialiems teisėsaugos institucijų, reguliuotojų, teismų, mokesčių administratorių, finansų priežiūros institucijų, telekomunikacijų reguliuotojų, kibernetinių nusikaltimų tyrimo padalinių ar užsienio valdžios institucijų prašymams atskleisti AII.

Ši spraga pavojinga. Įvykdžius suklastotą prašymą gali įvykti asmens duomenų saugumo pažeidimas. Atsisakius vykdyti teisėtą prašymą gali kilti teisinė rizika. Atsakymas be kontroliuojamo proceso gali lemti perteklinį atskleidimą, pažeistą įrodymų perdavimo grandinę, praleistus terminus, neteisėtus tarptautinius duomenų perdavimus ir audito nesėkmę.

Pagal GDPR, ISO 27701:2025 ir ISO/IEC 27001:2022 oficialus prašymas atskleisti AII nėra vien Teisės skyriaus pašto dėžutės klausimas. Jis apima teisinį pagrindą, atskaitomybę, tikslo apribojimą, duomenų kiekio mažinimą, konfidencialumą, vaidmenimis grindžiamą patvirtinimą, tarptautinių duomenų perdavimų valdyseną, duomenų tvarkytojo nurodymus, įrodymų išsaugojimą, saugų perdavimą ir audito pėdsakus.

Praktinis testas paprastas: kai prašymas gaunamas, ar jūsų organizacija gali įrodyti, kad patikrino prašymo teikėją, įvertino teisinį įgaliojimą, minimizavo atskleidimą, gavo reikiamus patvirtinimus, apsaugojo įrodymus, užregistravo sprendimą ir išsaugojo auditui tinkamą pėdsaką?

Clarysec pozicija aiški. Teisėsaugos institucijų ir reguliuotojų prašymus atskleisti AII būtina tvarkyti kaip kontroliuojamą privatumo ir informacijos saugumo darbo eigą, o ne kaip improvizuotą atsakymą el. paštu.

Kuo oficialūs AII atskleidimo prašymai skiriasi

Įprastas išorinis dalijimosi duomenimis susitarimas dažniausiai prasideda nuo verslo tikslo. Tiekėjui reikia darbuotojų duomenų darbo užmokesčiui apskaičiuoti. SaaS teikėjas tvarko klientų identifikatorius. Partneris gauna sandorių duomenis pagal sutartį. Valdysenos modelis pažįstamas: deramasis patikrinimas, duomenų tvarkymo sutartis, saugumo reikalavimai, perdavimo vertinimas, saugojimo sąlygos ir nuolatinė stebėsena.

Teisėsaugos institucijų ir reguliuotojų prašymai atskleisti AII yra kitokie. Juos inicijuoja konkretus įvykis, jiems taikomi terminai, jie dažnai yra konfidencialūs ir kartais teisiškai privalomi. Jie gali būti gaunami ne per pirkimų kanalus. Juose gali būti prašoma plačių AII kategorijų. Juose gali būti draudžiama informuoti duomenų subjektą. Juose gali dalyvauti užsienio institucijos. Jie gali būti gauti incidento, sukčiavimo tyrimo, teisinio saugojimo įpareigojimo, reguliuotojo patikrinimo ar kibernetinio nusikaltimo tyrimo metu.

Tai sukuria tris neatidėliotinus valdysenos reikalavimus.

Pirma, organizacija turi žinoti, kas gali atsakyti. Pirmosios linijos darbuotojas neturėtų spręsti, ar policijos prašymas galioja, ar reguliuotojo formuluotė yra privaloma, ar draudžiama informuoti klientą.

Antra, bendradarbiavimas turi būti atskirtas nuo perteklinio atskleidimo. GDPR nedraudžia teisėto bendradarbiavimo su institucijomis, tačiau vis tiek reikalauja galiojančio teisinio pagrindo, sąžiningumo, skaidrumo, kai jis taikomas, tikslo apribojimo, duomenų kiekio mažinimo, vientisumo, konfidencialumo ir atskaitomybės.

Trečia, įrodymai turi būti išsaugoti. Jei prašymas susijęs su incidentu, sukčiavimo įvykiu, bylinėjimosi klausimu ar priežiūros institucijos paklausimu, žurnalų trynimas, įrašų keitimas arba duomenų eksportavimas be atsekamumo gali pakenkti ir atitikčiai, ir teisiniam pagrįstumui.

Stipriausias veiklos modelis sujungia privatumo valdyseną, teisinį patvirtinimą, įrodymų tvarkymą, reagavimą į incidentus, saugų perdavimą ir ryšius su institucijomis į vieną darbo eigą.

Clarysec kontrolės priemonių klasteris: institucijos, privatumas ir įrodymai

Zenith Controls: kelių atitikties režimų vadove Clarysec teisėsaugos institucijų ir reguliuotojų atskleidimų valdyseną vertina kaip susietą kontrolės priemonių klasterį, o ne kaip atskirą privatumo užduotį. Pagrindinės ISO/IEC 27002:2022 kontrolės priemonės yra 5.5 Kontaktas su institucijomis, 5.28 Įrodymų rinkimas ir 5.34 Privatumas ir AII apsauga. Papildomi kontrolės ryšiai apima klasifikavimą ir ženklinimą, prieigos kontrolę, santykius su tiekėjais, incidentų valdymą, žurnalų valdymą, laikrodžių sinchronizavimą, kriptografiją, maskavimą, ištrynimą ir informacijos perdavimą.

Tai svarbu, nes oficialūs atskleidimo prašymai gali sutrikti keliose vietose. Privatumo komanda gali patikrinti teisinį pagrindą, bet neišsaugoti įrodymų. SOC gali išsaugoti žurnalus, bet atskleisti per daug AII. Teisės skyrius gali patvirtinti atsakymą, bet pamiršti atnaujinti atskleidimų registrą. Duomenų tvarkytojas gali atsakyti institucijai tiesiogiai, nors turėjo nukreipti prašymą duomenų valdytojui.

Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas sustiprina šį operacinį ryšį etape „Kontrolės priemonės praktikoje“, 22 žingsnyje, dalyje „Kontaktas su institucijomis“:

Kontrolė 5.5 užtikrina, kad organizacija būtų pasirengusi prireikus bendrauti su išorės institucijomis ne reaktyviai ar panikos sąlygomis, o per iš anksto apibrėžtus, struktūruotus ir gerai suprantamus kanalus.

Toje pačioje dalyje suformuluojami klausimai, į kuriuos būtina atsakyti prieš gaunant realų prašymą:

Principas paprastas: jei jūsų organizacija taptų kibernetinės atakos taikiniu, patirtų duomenų saugumo pažeidimą arba būtų tiriama, kas kreiptųsi į institucijas? Kaip tas asmuo žinotų, ką sakyti? Kokiomis sąlygomis toks kontaktas būtų inicijuojamas? Į šiuos klausimus turi būti atsakyta iš anksto, o ne po fakto.

AII apsaugos klausimu Zenith Blueprint, etape „Kontrolės priemonės praktikoje“, 23 žingsnyje, privatumą apibrėžia kaip gyvavimo ciklo įsipareigojimą:

Kontrolė 5.34 reikalauja, kad organizacijos saugotų asmenų privatumą, taikydamos tinkamas AII tvarkymo priemones per visą jos gyvavimo ciklą.

Dėl įrodymų tas pats etapas ir žingsnis paaiškina, kodėl neformalus tvarkymas yra rizikingas:

Kontrolė 5.28 pripažįsta, kad po incidento tai, ką galite įrodyti, yra ne mažiau svarbu nei tai, kas faktiškai įvyko.

Kartu šie trys principai apibrėžia valdysenos modelį: žinoti, kas bendrauja su institucijomis, saugoti AII per visą atskleidimo gyvavimo ciklą ir išsaugoti įrodymus taip, kad jie būtų teisiškai pagrįsti.

GDPR ir ISO 27701:2025 požiūris į privalomą atskleidimą

ISO 27701:2025 sustiprina privatumo informacijos valdymo sistemos disciplinos poreikį. PIMS turėtų apibrėžti, kaip PII duomenų valdytojai ir PII duomenų tvarkytojai tvarko oficialius atskleidimo prašymus, įskaitant priėmimą, tikrinimą, teisinę peržiūrą, autorizavimą, registravimą, minimizavimą, saugų perdavimą, saugojimą ir peržiūrą po atsakymo.

Duomenų valdytojui pagrindinis klausimas yra, ar organizacija nustato tvarkymo tikslus ir priemones, todėl privalo nuspręsti, ar atskleidimas yra teisėtas ir kaip jis turi būti atliktas. Duomenų tvarkytojui klausimas yra, ar jis apskritai gali atskleisti duomenis be duomenų valdytojo nurodymo, išskyrus atvejus, kai to reikalauja teisės aktai. Subtvarkytojui prašymo nukreipimas ir toliau perduodamos prievolės tampa dar jautresni.

GDPR patvirtina tuos pačius veiklos reikalavimus. Atskleidimas viešajai institucijai vis tiek yra tvarkymas. Organizacijai reikia teisinio pagrindo pagal Article 6, dokumentuoto tikslo, tinkamo saugumo, duomenų kiekio mažinimo pagal Article 5(1)(c) ir atskaitomybės įrodymų pagal Article 5(2). Daugeliu atvejų teisinis pagrindas bus Article 6(1)(c) – tvarkymas, būtinas teisinei prievolei įvykdyti, tačiau tik po to, kai Teisės skyrius patikrina prašymą ir jurisdikciją.

Kai prašymą pateikia užsienio valdžios institucija, perdavimo valdysena ir DAP peržiūra tampa būtinos. Kai prašymas susijęs su duomenų tvarkytoju, būtina patikrinti sutartines informavimo ir nurodymų taisykles. Kai prašymas susijęs su kibernetinio saugumo incidentu, atsakymas turi būti suderintas su incidentų valdymo ir įrodymų rinkimo reikalavimais.

Clarysec politikų rinkinys šiuos reikalavimus paverčia operacinėmis taisyklėmis.

Organizacijoms skirtoje P17 Duomenų apsaugos ir privatumo politikoje, 6.1.1 punkte, nurodyta:

Visi duomenys turi būti tvarkomi remiantis galiojančiu teisiniu pagrindu (pvz., sutikimu, sutartimi, teisine prievole).

Toje pačioje politikoje, 6.2.1 punkte, įtvirtinamas minimizavimo principas:

Gali būti renkami ir tvarkomi tik konkrečiam teisėtam verslo tikslui būtini duomenys.

MVĮ skirtoje P17S Duomenų apsaugos ir privatumo politikoje – MVĮ, 6.2.1 punkte, nurodyta:

Turi būti renkami ir saugomi tik būtini minimalūs asmens duomenys

Šie punktai svarbūs, kai prašyme nurodoma „visa informacija“, „visa istorija“ arba „bet kokie susiję įrašai“. Teisingas atsakymas nėra eksportuoti kiekvieną lauką. Teisingas atsakymas yra patikrinti prašymą, nustatyti teisiškai reikalaujamą apimtį, atskleisti tik būtiną AII, dokumentuoti sprendimą ir išsaugoti įrodymus.

Nuo panikos el. paštu iki kontroliuojamo atskleidimo

Brandžios darbo eigos turi būti pakankamai paprastos, kad jas galėtų taikyti pirmosios linijos darbuotojai, ir pakankamai griežtos auditoriams, reguliuotojams ir teismams. Clarysec rekomenduoja septynių etapų modelį.

EtapasKontrolės tikslasPagrindinis savininkasSukuriami įrodymai
1. Priėmimas ir karantinavimasUžkirsti kelią neformaliam atsakymui ar atsitiktiniam atskleidimuiPaslaugų tarnyba, Teisės skyriaus priėmimo funkcija, privatumo vadovasPrašymo užklausa, pradinis pranešimas, priedai, laiko žyma
2. Autentiškumo tikrinimasPatvirtinti prašymo teikėjo tapatybę, įgaliojimus, jurisdikciją ir teisinį dokumentąTeisės skyrius, DAP, atitikties funkcijaTikrinimo pastabos, institucijos kontakto patikrinimas, teisinio pagrindo vertinimas
3. Vaidmens nustatymasNuspręsti, ar organizacija veikia kaip duomenų valdytojas, duomenų tvarkytojas, bendras duomenų valdytojas ar subtvarkytojasPrivatumo vadovas, sutarties savininkasPIMS vaidmens vertinimas, kliento nurodymo įrašas, jei organizacija yra duomenų tvarkytojas
4. Apimties minimizavimasPrašymą paversti konkrečiomis AII kategorijomis ir datų intervalaisProceso savininkas, saugumo komanda, Teisės skyriusDuomenų susiejimo išrašas, minimizavimo sprendimas, užmaskavimo pastabos
5. PatvirtinimasUžtikrinti autorizuotą sprendimą prieš atskleidimąDAP, Teisės skyrius, CISO, verslo savininkasPatvirtinimo įrašas, išimties įrašas skubos atveju
6. Saugus atskleidimasPerduoti tik patvirtintus duomenis kontroliuojamais kanalaisSaugumo komanda, teisinių operacijų funkcijaPerdavimo žurnalas, šifravimo įrodymai, gavėjo patvirtinimas
7. Registravimas ir peržiūraIšsaugoti atskaitomybės įrodymus ir įgytą patirtįPIMS vadovas, atitikties funkcijaREG08, REG09 arba REG12 įrašas, audito pėdsakas, uždarymo peržiūra

Pirmoji taisyklė – nukreipimas. Kiekvienas darbuotojas turi žinoti, kad oficialūs AII prašymai perduodami nustatytu priėmimo keliu. Niekas neturi atsakyti iš asmeninės pašto dėžutės. Niekas neturi skambinti prašymo teikėjui telefono numeriu, nurodytu nepatikrintame rašte. Niekas neturi eksportuoti kliento duomenų, kol Teisės ir privatumo funkcijos neperžiūrėjo prašymo.

Organizacijoms skirtoje P30 Reagavimo į incidentus politikoje, 6.5.5 punkte, palaikoma ši nukreipimo disciplina:

Bet koks bendradarbiavimas su teisėsaugos institucijomis ar skaitmeninės kriminalistikos paslaugų teikėjais turi būti koordinuojamas per Teisės komandą ir CISO.

Šis punktas ypač svarbus, kai atskleidimo prašymas susijęs su sukčiavimu, kibernetiniais nusikaltimais, paskyros kompromitavimu, išpirkos reikalaujančia programine įranga, vidine grėsme ar pažeidimo tyrimu. Teisė ir saugumas turi koordinuoti veiksmus, o ne veikti lygiagrečiai.

Organizacijoms skirtoje P37 Teisinės ir reglamentavimo atitikties politikoje, 7.3.1.2 punkte, kontroliuojami išoriniai pareiškimai:

Bet kokie žodiniai ar rašytiniai pareiškimai reguliuotojams turi būti iš anksto patvirtinti

7.3.1.3 punktas papildo terminų ir įrodymų discipliną:

Atsakymo terminai turi būti stebimi, o įrodymų žurnalai – tvarkomi

Šios taisyklės nėra biurokratinė kliūtis. Jos apsaugo nuo atsitiktinių pripažinimų, nekontroliuojamo atskleidimo, praleistų terminų ir silpnų įrodymų.

Patvirtinimų ir registrų disciplina: audito įrodymai, kurių komandoms dažniausiai trūksta

Daugelis organizacijų gali parodyti pradinį el. laišką su prašymu. Mažiau organizacijų gali parodyti, kas patvirtino atskleidimą, koks teisinis pagrindas buvo taikytas, kodėl tam tikri laukai buvo įtraukti arba neįtraukti, kaip buvo patikrintas prašymo teikėjas, ar duomenų subjektas buvo informuotas arba teisėtai neinformuotas, ir kur atsakymas buvo užregistruotas.

Būtent čia Clarysec PIMS registrai tampa esminiai.

Duomenų valdytojams organizacijoms skirtoje PII09 AII rinkimo, naudojimo, atskleidimo ir dalijimosi politikoje, 4.4.1 punkte, reikalaujama:

[Duomenų valdytojas] Proceso savininkas / verslo savininkas PRIVALO REG08 užregistruoti privatumo vadovo / PIMS vadovo peržiūros rezultatą prieš pradedant bet kokį naują išorinį atskleidimą ar dalijimosi duomenimis susitarimą.

4.4.2 punkte nurodoma, kas turi būti užfiksuota pasikartojančio dalijimosi atveju:

[Duomenų valdytojas] Tiekėjo / pirkimų savininkas PRIVALO REG08 užregistruoti gavėjo tapatybę, gavėjo vaidmenį, atskleidimo tikslą, AII kategorijas, dalijimosi dažnumą, tvarkymo vietą ir įgaliojimo šaltinį prieš pradedant pasikartojantį išorinį dalijimąsi.

Duomenų tvarkytojams organizacijoms skirtoje PII12 Duomenų tvarkytojų, subtvarkytojų ir trečiųjų šalių privatumo valdymo politikoje, 4.5.3 punkte, nustatyta konkreti taisyklė teisiškai privalomiems ir kliento autorizuotiems prašymams:

[Duomenų tvarkytojas] Tiekėjo / pirkimų savininkas PRIVALO REG08 užregistruoti trečiųjų šalių atskleidimo prašymus, teisiškai privalomus atskleidimo prašymus arba kliento autorizuotus atskleidimo prašymus prieš atskleidimą arba per dvi darbo dienas, kai išankstinis registravimas neleidžiamas arba operaciškai neįmanomas.

Užsienio valdžios institucijų prašymams organizacijoms skirtoje PII13 Tarptautinio AII perdavimo politikoje, 4.4.3 punkte, nustatyta konkretesnė taisyklė:

[Abu] Privatumo vadovas / PIMS vadovas PRIVALO užregistruoti užsienio valdžios institucijų atskleidimo prašymus REG09 arba REG12 prieš atskleidimą, kai tai praktiškai įmanoma, arba per vieną darbo dieną, kai išankstinis registravimas praktiškai neįmanomas.

4.4.4 punktas papildo peržiūros discipliną:

[Abu] Duomenų apsaugos pareigūnas / privatumo konsultantas PRIVALO peržiūrėti privatumo požiūriu reikšmingus užsienio valdžios institucijų atskleidimo prašymus REG09 arba REG12 prieš atsakymą, kai tai praktiškai įmanoma.

Atskleidimų registras yra oficiali organizacijos įrašų sistema. Jo neturi pakeisti išskaidyti el. laiškai, privačios pokalbių gijos ar ad hoc skaičiuoklės.

Registro laukasKą jis įrodo
Prašymo IDPrašymas buvo unikaliai sekamas
Prašymo šaltinisInstitucija arba prašymo teikėjas buvo identifikuoti
Teisinio įgaliojimo šaltinisTeisinis dokumentas arba įgaliojimas buvo įvertintas
PIMS vaidmuoBuvo įvertintos duomenų valdytojo, duomenų tvarkytojo, bendro duomenų valdytojo arba subtvarkytojo prievolės
Prašomos AII kategorijosPradinė prašymo apimtis buvo užfiksuota
Patvirtintos AII kategorijosGalutinis atskleidimas buvo kontroliuojamas
Neįtraukta AIIDuomenų kiekio mažinimas buvo aktyviai taikytas
Patvirtinimų grandinėTeisės skyriaus, DAP, CISO ir verslo patvirtinimai buvo užregistruoti
Perdavimo būdasBuvo taikytos saugaus perdavimo kontrolės priemonės
Informavimo sprendimasBuvo įvertinti skaidrumo apribojimai arba atidėjimai
Saugojimas ir uždarymasĮrodymai buvo išsaugoti, o klausimas uždarytas

Praktinis pavyzdys: reguliuotojo prašymas REG08

Įsivaizduokite, kad reguliuojama finansinių technologijų įmonė gauna rašytinį nacionalinio finansų reguliuotojo prašymą pateikti AII, susijusią su įtartinais vieno kliento sandoriais per 90 dienų laikotarpį. Prašyme prašoma tapatybės patikrinimo įrašų, operacijų žurnalų, įrenginių identifikatorių, pagalbos tarnybos užklausų ir vidinių rizikos pastabų.

Naudodamas Clarysec priemonių rinkinį, privatumo vadovas atidaro REG08 atskleidimo įrašą.

REG08 laukasĮrašo pavyzdys
Prašymo IDREG08-2026-041
Prašymo šaltinisNacionalinis finansų reguliuotojas, patikrintas per oficialų priežiūros kontaktų katalogą
Prašymo tipasReguliuotojo prašymas atskleisti AII
PIMS vaidmuoDuomenų valdytojas
Teisinio įgaliojimo šaltinisĮstatyminis priežiūros informacijos prašymas, nuoroda FIN-REQ-7781
TikslasĮtartinų sandorių, susijusių su įvardytu klientu, tyrimas
Prašomos AII kategorijosTapatybės patikrinimo duomenys, operacijų žurnalai, įrenginių identifikatoriai, pagalbos tarnybos komunikacija, rizikos pastabos
Patvirtintos AII kategorijosOperacijų žurnalai, įrenginių identifikatoriai, aktualūs tapatybės patikrinimo laukai, dvi pagalbos tarnybos užklausos nurodytame datų intervale
Neįtraukta AIINesusijusi pagalbos tarnybos istorija, vidinės analitikų nuomonės už datų intervalo ribų, nuorodos į trečiųjų šalių klientus
Minimizavimo pagrindimasApimtis apribota įvardytu klientu, 90 dienų laikotarpiu ir įrašais, susijusiais su prašyme nurodytais sandoriais
DAP peržiūraPatvirtinta su užmaskavimo instrukcijomis
Teisinis patvirtinimasPatvirtinta, atsakymo formuluotė peržiūrėta
CISO peržiūraPatvirtintas saugus eksportas ir perdavimo būdas
Perdavimo būdasŠifruotas archyvas per reguliuotojo saugų portalą
Duomenų subjekto informavimasAtidėta dėl prašyme nurodyto teisinio apribojimo, nustatyta peržiūros data
SaugojimasPrašymo įrašas ir atskleidimo paketas saugomi pagal teisinio saugojimo įpareigojimo grafiką
Uždarymo įrodymaiPortalo pateikimo kvitas, atskleidimo paketo maišos reikšmė, patvirtinimų grandinė

Tai yra skirtumas tarp „mes įvykdėme“ ir „galime įrodyti, kad įvykdėme teisėtai ir proporcingai“. Jei klientas vėliau pateiks skundą, institucija užduos papildomų klausimų arba auditorius atrinks šį atskleidimą, įrašas parodys valdysenos logiką.

Įrodymų išsaugojimas: nepakenkite faktams bandydami padėti

Kai teisėsaugos institucijos ar reguliuotojo prašymas susijęs su tyrimu, privatumo valdysena susikerta su skaitmenine kriminalistika ir teisinio saugojimo įpareigojimu. Atskleidžiami duomenys dažnai yra įrodymai, todėl jų surinkimas turi išsaugoti vientisumą.

Teisinės ir reglamentavimo atitikties politika – MVĮ, 6.4.1 punktas, nustato kontekstą:

Ginčo, tyrimo ar teisinio prašymo atveju:

6.4.1.2 punkte pateikiama aiški instrukcija:

Darbuotojai privalo netrinti ir nekeisti medžiagos, kuri gali būti tyrimo dalis.

P31S Įrodymų rinkimo ir kriminalistikos politika – MVĮ, 2.2.5 punktas, aiškiai apima:

Reguliuotojų arba teisėsaugos paklausimus

5.2.1 punktas nustato registravimo žurnale discipliną:

Kiekvienas skaitmeninių įrodymų objektas turi būti registruojamas nurodant:

Operaciniu požiūriu įrodymų žurnale turėtų būti užfiksuotas unikalus identifikatorius, surinkimo data ir laikas, surinkusio asmens vardas, šaltinio vieta ir, kai tinkama, kriptografinė maišos reikšmė. Esmė – atsekamumas. Jei žurnalai eksportuojami rankiniu būdu, failų pavadinimai pakeičiami, laiko žymos neaiškios arba neišsaugoma maišos reikšmė, organizacijai vėliau gali būti sunku įrodyti vientisumą.

Stipri įrodymų darbo eiga taip pat riboja prieigą. Atskleidimo paketai turėtų būti saugomi ribotos prieigos vietose, šifruojami perduodant, sekami perdavimo žurnaluose ir saugomi pagal teisinio saugojimo įpareigojimo bei saugojimo terminų reikalavimus. Jei atskleidimo prašymas sutampa su reagavimu į incidentą, komanda turi žinoti, kada pereiti nuo trūkumų šalinimo režimo prie tyrimo laikysenos.

Kelių atitikties režimų susiejimas: viena darbo eiga, daug prievolių

Gerai suprojektuota AII atskleidimo prašymų darbo eiga gali tenkinti kelių sistemų reikalavimus nedubliuojant darbo. Zenith Controls padeda organizacijoms susieti tuos pačius operacinius įrodymus su privatumo, kibernetinio saugumo, veiklos atsparumo ir valdysenos lūkesčiais.

SistemaKo tikisi auditorius arba reguliuotojasKaip tai palaiko Clarysec darbo eiga
ISO 27701:2025PIMS vaidmenys, teisėto atskleidimo valdysena, duomenų tvarkytojo nurodymai, AII atskleidimo įrašai, privatumo rizikos valdymasVaidmens nustatymas, REG08, REG09, REG12, DAP peržiūra, minimizavimo pagrindimas
GDPRTeisinis pagrindas, atskaitomybė, duomenų kiekio mažinimas, saugumas, skaidrumo sprendimai, duomenų tvarkytojo ir perdavimo valdysenaTeisinio įgaliojimo vertinimas, patvirtinimų grandinė, ribotas atskleidimo paketas, saugaus perdavimo įrodymai
ISO/IEC 27001:2022 ir ISO/IEC 27002:2022Kontaktas su institucijomis, įrodymų rinkimas, AII apsauga, prieigos kontrolė, žurnalų valdymas, kriptografija, ištrynimasInstitucijų kontaktų matrica, įrodymų žurnalas, saugus eksportas, maišos įrašas, saugojimo sprendimas
NIS2Incidentų pranešimo disciplina, bendradarbiavimas su kompetentingomis institucijomis, valdysenos atskaitomybė, tiekimo grandinės informuotumasTeisės skyriaus ir CISO koordinavimas, atsakymo terminai, institucijų kontaktų registras, sąsaja su incidentu
DORAFinansų sektoriaus subjekto IRT incidentų valdysena, sąveika su reguliuotoju, pasirengimas įrodymams, trečiųjų šalių IRT rizikaReguliuotojo prašymo nukreipimas, saugūs atskleidimo įrašai, incidento įrodymų išsaugojimas, tiekėjo sąsaja
NIST Cybersecurity FrameworkKibernetinio saugumo įvykių valdysenos, identifikavimo, apsaugos, aptikimo, reagavimo ir atkūrimo rezultataiPolitikos savininkystė, duomenų apskaita, prieigos kontrolės priemonės, žurnalų valdymas, reagavimo darbo eiga, peržiūra po atsakymo
COBIT 2019Valdysenos tikslai, susiję su atitiktimi, rizika, saugumu, informacijos valdymu ir patikinimuSprendimų priėmimo teisės, proceso savininkystė, audito įrašai, vadovybės priežiūra, nuolatinis tobulinimas

Taip pat aktualūs pagalbiniai ISO standartai. ISO/IEC 27035 padeda struktūruoti incidentų valdymą, kai prašymas susijęs su incidentu. ISO/IEC 27037 palaiko skaitmeninių įrodymų identifikavimą, rinkimą, gavimą ir išsaugojimą. ISO/IEC 27018 naudingas, kai viešosios debesijos duomenų tvarkytojai tvarko AII. ISO/IEC 27017 palaiko debesijos saugumo atsakomybes. ISO 22301 tampa aktualus, jei ryšiai su institucijomis ir atskleidimo prievolės turi būti tęsiami krizės sąlygomis. ISO/IEC 27006-1:2024 netiesiogiai svarbus, nes sertifikavimo auditoriai tikisi nuoseklaus ir audituojamo valdymo sistemos kontrolės priemonių įgyvendinimo taikymo srityje.

Tikslas nėra kurti atskirą atitikties procesą kiekvienai sistemai. Tikslas – suprojektuoti vieną pagrindžiamą darbo eigą, kuri sukurtų pakartotinai naudojamus įrodymus.

Kaip skirtingi auditoriai tikrins darbo eigą

ISO/IEC 27001:2022 auditorius paprastai pradės nuo integracijos į valdymo sistemą. Jis klaus, ar organizacija nustatė suinteresuotąsias šalis, teisinius ir reglamentavimo reikalavimus, rizikas, kontrolės tikslus, dokumentuotas procedūras, priskirtas atsakomybes ir išsaugotus įrodymus. Dėl atskleidimo prašymų auditorius gali atrinkti incidentus, susirašinėjimą su reguliuotojais, institucijų kontaktų sąrašus, įrodymų žurnalus ir privatumo įrašus. Tikėtina, kad jis tikrins Annex A kontrolės priemones A.5.5 Kontaktas su institucijomis, A.5.28 Įrodymų rinkimas ir A.5.34 Privatumas ir AII apsauga.

ISO 27701:2025 vertintojas daugiausia dėmesio skirs PIMS vaidmenų aiškumui. Ar buvote duomenų valdytojas, duomenų tvarkytojas, bendras duomenų valdytojas ar subtvarkytojas? Jei buvote duomenų valdytojas, kur yra teisinis pagrindas ir atskleidimo įrašas? Jei buvote duomenų tvarkytojas, ar veikėte pagal duomenų valdytojo nurodymus, išskyrus atvejus, kai teisiškai privalėjote elgtis kitaip? Ar klientas buvo informuotas, kai to reikėjo pagal teisės aktus arba sutartį? Ar užsienio valdžios institucijų prašymai buvo užregistruoti ir peržiūrėti?

GDPR reguliuotojas daugiausia dėmesio skirs atskaitomybei. Klausimas bus ne vien „ar turėjote teisinę prievolę?“ Klausimas bus „kodėl buvo atskleistas būtent toks duomenų kiekis, kas tai patvirtino, kaip buvo patikrintas prašymo teikėjas, kokios saugumo priemonės apsaugojo perdavimą, kaip įvertinote skaidrumą ir kur yra įrašas?“

NIST orientuotas vertintojas nagrinės valdysenos ir reagavimo rezultatus. Jis klaus, ar vaidmenys buvo apibrėžti, ar žurnalai buvo išsaugoti, ar prieiga prie atskleidimo paketų buvo apribota, ar reagavimo veiklos buvo dokumentuotos ir ar įgyta patirtis pagerino programą.

COBIT 2019 arba ISACA auditorius tikrins sprendimų priėmimo teisių valdyseną. Jis gali klausti, ar vadovybė apibrėžė proceso savininką, ar Teisės, privatumo, saugumo ir verslo atsakomybės yra atskirtos, ar išimtys patvirtintos, ar rodikliai teikiami ataskaitose ir ar patikinimas gali remtis įrodymais.

Reguliuotojas, auditorius, CISO ir DAP tą patį įrašą gali matyti skirtingai. Privatumo specialistas mato teisėto atskleidimo įrašą. Saugumo auditorius mato įrodymų išsaugojimą ir saugų perdavimą. Valdysenos auditorius mato atskaitomybę ir sprendimų priėmimo teises. Organizacija turėtų gebėti visiems atsakyti remdamasi tais pačiais kontrolės priemonių įrodymais.

Dažniausi kontrolės nesuveikimo modeliai

Clarysec nuolat mato tas pačias išvengiamas nesėkmes.

Pirmoji – neformalus kontaktas su institucija. Policijos pareigūnas paskambina pagalbos tarnybos komandai, ši nori padėti, o darbuotojas žodžiu patvirtina paskyros duomenis. Nėra patikrinimo, nėra patvirtinimo, nėra įrašo.

Antroji – perteklinis atskleidimas. Organizacija išsiunčia visą kliento bylą vietoj konkrečių reikalaujamų įrašų ir datų intervalo. Tai sukuria išvengiamą GDPR riziką ir silpnina pasitikėjimą.

Trečioji – duomenų tvarkytojo veikimas už įgaliojimų ribų. SaaS teikėjas gauna teisėsaugos prašymą dėl kliento valdomos AII ir atsako neinformavęs bei neįtraukęs kliento, nors sutartis ir PIMS vaidmuo reikalauja nukreipti prašymą, nebent tai teisiškai draudžiama.

Ketvirtoji – praleista užsienio institucijos peržiūra. Ne vietinės viešosios institucijos prašymas tvarkomas kaip įprastas atskleidimas, neatliekant perdavimo vertinimo, DAP peržiūros arba REG09 ar REG12 įrašo.

Penktoji – silpnas įrodymų tvarkymas. Žurnalai eksportuojami rankiniu būdu, laiko žymos neaiškios, failų pavadinimai pakeičiami, o maišos reikšmė ar įrodymų perdavimo grandinės įrašas nesukuriamas.

Šeštoji – nevaldytas konfidencialumas. Per daug darbuotojų įtraukiama į prašymo kopiją, įskaitant asmenis, kuriems nėra būtinybės žinoti. Jautrios tyrimo detalės pasklinda pokalbių kanaluose.

Septintoji – terminų painiava. Organizacija praleidžia teisiškai reikšmingą atsakymo datą, nes prašymas yra pašto dėžutėje, o ne sekamoje darbo eigoje.

Kiekvienos iš šių nesėkmių galima išvengti turint iš anksto apibrėžtus kanalus, registrus, patvirtinimus ir įrodymų standartus.

Vaidmenys ir sprendimų priėmimo teisės

Praktinis valdysenos modelis apibrėžia sprendimų priėmimo teises prieš gaunant pirmąjį prašymą.

VaidmuoAtsakomybė atskleidimo darbo eigoje
Pirmosios linijos darbuotojasPersiųsti prašymą į patvirtintą priėmimo kanalą, neatsakyti iš esmės, neatskleisti AII
Teisės komandaPatikrinti teisinį dokumentą, jurisdikciją, instituciją, konfidencialumo apribojimą ir atsakymo formuluotę
DAP arba privatumo konsultantasĮvertinti GDPR ir ISO 27701:2025 poveikį, minimizavimą, skaidrumą, PIMS vaidmenį ir perdavimo klausimus
CISOPatvirtinti saugų įrodymų rinkimą, saugų eksportą, perdavimo būdą ir sąsają su incidentu
Proceso savininkasNustatyti aktualias sistemas ir duomenų kategorijas, patvirtinti verslo kontekstą
PIMS vadovasTvarkyti REG08, REG09 arba REG12, sekti peržiūros rezultatą, saugoti audito įrodymus
Vadovybės lygmens tvirtintojasPatvirtinti didelės rizikos, užsienio, strateginius arba reputacijos požiūriu jautrius atskleidimus
Tiekėjo arba pirkimų savininkasKoordinuoti su trečiosiomis šalimis arba duomenų tvarkytojais susijusių prašymų įrašus ir sutartines prievoles

Šis modelis turi būti įtrauktas į informuotumo mokymus. Darbuotojams nereikia žinoti kiekvieno teisinio niuanso, tačiau jie privalo žinoti taisyklę: oficialūs prašymai keliauja į nustatytą kanalą, o AII neatskleidžiama be autorizavimo.

Pasirengimo kontrolinis sąrašas kitoms stalo pratyboms

Naudokite šį kontrolinį sąrašą privatumo valdysenos dirbtuvėse, vidaus audite arba stalo pratybose.

  • Ar turime vieną priėmimo kanalą teisėsaugos institucijų ir reguliuotojų prašymams atskleisti AII?
  • Ar darbuotojai žino, kad negali atsakyti neformaliai?
  • Ar tikriname prašymo teikėjo tapatybę naudodami nepriklausomus kontaktų šaltinius?
  • Ar atskiriame reguliuotojų prašymus, teismo nutartis, teisėsaugos prašymus, kliento autorizuotus prašymus ir užsienio valdžios institucijų prašymus?
  • Ar prieš atsakydami nustatome, ar esame duomenų valdytojas, duomenų tvarkytojas, bendras duomenų valdytojas ar subtvarkytojas?
  • Ar dokumentuojame teisinį pagrindą, teisinį įgaliojimą, jurisdikciją ir konfidencialumo apribojimus?
  • Ar taikome duomenų kiekio mažinimą ir užmaskuojame nesusijusią AII?
  • Ar reikalaujame DAP arba privatumo konsultanto peržiūros privatumo požiūriu reikšmingiems prašymams?
  • Ar reikalaujame Teisės skyriaus ir CISO koordinavimo, kai susiję teisėsaugos ar skaitmeninės kriminalistikos klausimai?
  • Ar registruojame duomenų valdytojo atskleidimus REG08?
  • Ar registruojame užsienio valdžios institucijų prašymus REG09 arba REG12?
  • Ar sekame atsakymo terminus ir tvarkome įrodymų žurnalus?
  • Ar išsaugome potencialiai aktualią medžiagą ir užkertame kelią jos ištrynimui ar pakeitimui?
  • Ar apsaugome atskleidimo paketus šifravimu, prieigos kontrole ir perdavimo žurnalais?
  • Ar atliekame didelės rizikos prašymų peržiūrą po atsakymo?
  • Ar teikiame vadovybei rodiklius ir įgytą patirtį?

Jei į bet kurį klausimą atsakymas yra „paprastai tai tvarkome el. paštu“, procesas dar nėra tinkamas auditui.

Įtraukite darbo eigą į ISVS ir PIMS

Geriausias valdysenos modelis negyvena vien Teisės skyriuje. Jis yra ISVS ir PIMS dalis.

Zenith Blueprint ISVS pagrindo ir lyderystės etape, 5 žingsnyje, rekomenduojama planuoti išorinę komunikaciją ir nustatyti, kas bendrauja su reguliuotojais, klientais, partneriais ir visuomene. Jame pažymima, kad teisininkas gali dalyvauti formuluojant komunikaciją reguliuotojams. Šis principas tiesiogiai taikomas oficialiems AII atskleidimo prašymams.

Etape „Kontrolės priemonės praktikoje“ darbo eiga operaciniu lygmeniu įgyvendinama per kontaktus su institucijomis, AII apsaugą ir įrodymų rinkimą. Todėl Clarysec 30 žingsnių vadovas privatumo, saugumo ir atitikties nelaiko atskirtais darbo srautais. Tikras prašymas apima visus tris.

Verslo savininkams nauda yra mažesnis chaosas. CISO gauna aiškumą, kada saugumo įrodymai gali būti renkami, atskleidžiami ar išsaugomi. DAP gauna galimybę įrodyti GDPR ir ISO 27701:2025 atskaitomybę. Atitikties vadovai gauna registrus ir audito pėdsakus. Auditoriams sukuriamas aiškus kelias nuo politikos reikalavimo iki operacinių įrodymų.

Kiti žingsniai su Clarysec

Reguliuotojo ar teisėsaugos institucijos prašymas nėra tinkamas momentas kurti privatumo valdysenos procesą. Tai momentas, kai jūsų procesas tikrinamas.

Pradėkite nuo stalo pratybų. Naudokite realistišką kibernetinio nusikaltimo, reguliuotojo ar užsienio valdžios institucijos prašymą. Paprašykite Teisės skyriaus, DAP, CISO, pagalbos tarnybos komandos ir atitinkamo proceso savininko pereiti priėmimą, tikrinimą, vaidmens nustatymą, minimizavimą, patvirtinimą, saugų perdavimą, registravimą registre, įrodymų išsaugojimą ir uždarymo peržiūrą.

Tada palyginkite savo atsakymus su Clarysec veiklos modeliu:

  • Naudokite Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planą, kad kontaktus su institucijomis, išorinę komunikaciją, AII apsaugą ir įrodymų rinkimą įtrauktumėte į savo ISVS ir PIMS įgyvendinimo planą.
  • Naudokite Zenith Controls: kelių atitikties režimų vadovą, kad ISO 27701:2025, GDPR, ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, NIST ir COBIT 2019 lūkesčius susietumėte į vieną auditui tinkamą kontrolės priemonių naratyvą.
  • Naudokite Clarysec duomenų apsaugos ir privatumo, reagavimo į incidentus, teisinės ir reglamentavimo atitikties, įrodymų rinkimo ir kriminalistikos, AII atskleidimo, duomenų tvarkytojų valdymo ir tarptautinių perdavimų politikas, kad apibrėžtumėte darbo eigos taisykles, registrus, patvirtinimus ir įrodymų reikalavimus.

Clarysec padeda komandoms pereiti nuo reaktyvios panikos prie kontroliuojamo vykdymo. Atsisiųskite aktualius Clarysec priemonių rinkinius, atlikite stalo pratybas ir užsisakykite atskleidimų valdysenos vertinimą, kad kitas jūsų atsakymas būtų teisėtas, minimalus, patvirtintas, užregistruotas, saugus ir audituojamas.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article