DSAR, dzēšana un ISO 27001 pierādījumi 2026. gadā

E-pasts Sāras iesūtnē ienāca plkst. 9.03.

Tas nebija pirmais datu subjekta piekļuves pieprasījums, ko bija saņēmis viņas strauji augošais SaaS uzņēmums. Taču tas bija pirmais, kas izskatījās pēc publiskas pārbaudes.

Sūtītājs bija bijušais darbinieks, tagad — privātuma aizstāvis. Pieprasījumā bija norādīti GDPR panti pēc numuriem un pieprasīti visi personas dati, tūlītēja apstrādes ierobežošana, pilns trešo pušu pakalpojumu saraksts, kuros tiek glabāti šīs personas dati, kā arī pārbaudāmi pierādījumi par dzēšanu no produkcijas un rezerves kopiju sistēmām. Kopijā bija iekļauts žurnālists.

Dažu minūšu laikā kļuva redzamas nepilnības. Inženierijas komanda brīdināja, ka “patiesa dzēšana” no vairāknomnieku datubāzes var ietekmēt citus klientus. Mārketinga komanda mēģināja atšķetināt lietotāju datus analītikas platformās. Juridiskais dienests konstatēja neatrisinātu nodarbinātības jautājumu. Drošības komanda raizējās, ka žurnāli var atklāt atklāšanas loģiku vai citu personu datus. Atbalsta komandai bija ieraksti ar divām e-pasta adresēm. Finanšu nodaļai bija rēķini ar trešo adresi.

Termiņa atskaite jau bija sākusies.

Šāds scenārijs vairs nav neparasts. Datu subjektu tiesības 2026. gadā nav tikai privātuma iesūtnes jautājums. Tas ir kontrolēts biznesa process, kas balstās uz aktīvu uzskaiti, lēmumiem par tiesisko pamatu, digitālās identitātes pārbaudi, piekļuves kontroli, glabāšanas noteikumiem, juridisko saglabāšanu, piegādātāju koordināciju, drošu izpaušanu, dzēšanas pierādījumiem un auditam gatavu žurnalēšanu.

GDPR nosaka, kādas tiesības ir fiziskām personām. ISO/IEC 27001:2022 drošības un atbilstības komandām nodrošina pārvaldības sistēmas disciplīnu, lai pierādītu, ka šīs tiesības tiek īstenotas konsekventi, droši un atkārtojami.

Informācijas drošības vadītājiem, atbilstības vadītājiem, privātuma vadītājiem un uzņēmumu īpašniekiem mērķis nav radīt vairāk dokumentu. Mērķis ir izveidot vienu uzticamu DSAR, dzēšanas un apstrādes ierobežošanas darbplūsmu, kas nodrošina pierādījumus, ko prasa GDPR, ISO/IEC 27001:2022 auditi un plašākas apliecinājuma gaidas saskaņā ar NIS2, DORA, NIST CSF 2.0 un COBIT 2019.

Kāpēc ad hoc DSAR apstrāde neiztur spiedienu

Lielāko daļu DSAR neveiksmju neizraisa ļauni nolūki. Tās izraisa sadrumstalotība.

Organizācijai var būt privātuma paziņojums, DPO pastkaste un GDPR klauzula piegādātāju līgumos, bet tā joprojām var nespēt atbildēt uz pamatjautājumiem par operatīvo izpildi:

• Kas validē pieprasītāja identitāti?
• Kura juridiskā persona ir pārzinis vai apstrādātājs?
• Kurās sistēmās jāveic meklēšana?
• Kam pieder katra sistēma?
• Kuri dati ietilpst tvērumā?
• Kuri dati pirms izpaušanas ir jāaizklāj?
• Kurus datus nedrīkst dzēst nodokļu, audita, tiesvedības, krāpšanas novēršanas vai juridiska pienākuma dēļ?
• Kā apstrādes ierobežošana tiek tehniski piemērota?
• Kuriem piegādātājiem jāatbalsta meklēšana, eksportēšana, dzēšana vai ierobežošana?
• Kādi pierādījumi apliecina, ka pieprasījums apstrādāts laikā?
• Kas notiek, ja DSAR atklāj personas datu aizsardzības pārkāpumu?

GDPR Article 5 prasa, lai personas dati tiktu apstrādāti likumīgi, godprātīgi un pārredzami, vākti konkrētiem nolūkiem, ierobežoti līdz nepieciešamajam apjomam, uzturēti precīzi, glabāti ne ilgāk kā nepieciešams un aizsargāti ar atbilstošiem tehniskiem un organizatoriskiem pasākumiem. Article 5(2) skaidri nosaka pārskatatbildības principu: pārzinim jāspēj pierādīt atbilstību. Article 4 plaši definē apstrādi, tostarp vākšanu, glabāšanu, izmantošanu, izpaušanu, ierobežošanu, dzēšanu un iznīcināšanu.

Tas nozīmē, ka pats DSAR process ir personas datu apstrādes darbība. Tas ir jākontrolē.

GDPR Article 3 ir būtisks arī mākoņpakalpojumu, SaaS, fintech un digitālajiem uzņēmumiem ārpus ES. Ja jūs piedāvājat preces vai pakalpojumus fiziskām personām Savienībā, uzraugāt viņu uzvedību vai apstrādājat personas datus saistībā ar ES struktūrvienības darbību, GDPR var būt piemērojams arī tad, ja darbības ir nodotas ārpakalpojumā vai infrastruktūra ir globāla.

ISO/IEC 27001:2022 šajā realitātē ievieš struktūru. Punkti 4.1 līdz 4.4 prasa organizācijai izprast savu kontekstu, ieinteresētās puses, prasības, ISMS darbības jomu un savstarpēji saistītos procesus. Datu subjekts ir ieinteresētā puse. GDPR tiesības ir prasības. SaaS lietojumprogrammas, identitātes nodrošinātāji, analītikas platformas, atbalsta rīki, datu noliktavas un mākoņvides rezerves kopijas ir savstarpēji saistīti procesi. DSAR darbplūsmai jāatrodas ISMS ietvaros, nevis tai līdzās.

Trīs datu subjekta tiesības, kas rada vislielāko spiedienu

Piekļuve, dzēšana un apstrādes ierobežošana vislabāk atklāj plaisu starp juridisko solījumu un operatīvo spēju.

GDPR Article 6 ir šīs lēmumu loģikas centrā. Personas datus nedrīkst apstrādāt, glabāt, izpaust vai atteikt to dzēšanu, neizprotot tiesisko pamatu. Article 9 paaugstina prasības īpašām personas datu kategorijām, piemēram, veselības datiem, biometriskajiem datiem, ko izmanto unikālai identifikācijai, vai datiem, kas atklāj sensitīvas pazīmes. 2026. gada SaaS vidē tas var ietekmēt lietotāju ievadi, digitālās identitātes pārbaudi, krāpšanas uzraudzību, klientu atbalsta pielikumus un darbinieku ierakstus.

Clarysec uzņēmuma Datu aizsardzības un privātuma politika [P17] pienākumu formulē tieši. Mērķu 3.6. punktā tā prasa organizācijai:

Ievērot datu subjektu tiesības, tostarp piekļuvi, labošanu, dzēšanu, ierobežošanu, pārnesamību, iebildumus un aizsardzību pret automatizētu lēmumu pieņemšanu.

Šis mērķis kļūst auditējams tikai tad, kad tas ir sasaistīts ar īpašniekiem, reģistriem, darbplūsmām, kontroles pasākumiem un pierādījumiem.

Sāciet tur, kur sāk auditori: piemērošanas joma, ieinteresētās puses un īpašumtiesības

Zenith Blueprint: auditora 30 soļu ceļvedī [ZB] ISMS pamata un vadības posma 2. solis koncentrējas uz ieinteresēto pušu vajadzībām un ISMS darbības jomu. Attiecībā uz GDPR Blueprint regulatoru gaidas identificē šādi:

ES regulatori
(GDPR)

Likumīga personas
datu apstrāde, paziņošana par pārkāpumu 72 h laikā,
datu subjektu tiesības

Iecelt datu aizsardzības speciālistu, izveidot
pārkāpumu reaģēšanas procesu, procedūras
datu pieprasījumu apstrādei.

Tas ir pareizais sākumpunkts. Pirms pieteikumu automatizēšanas vai portālu konfigurēšanas definējiet datu subjektu tiesību apstrādes piemērošanas jomu:

1. Kuras juridiskās personas darbojas kā pārzinis, kopīgais pārzinis vai apstrādātājs?
2. Kuri produkti, pakalpojumi un teritorijas ietilpst tvērumā?
3. Kādas datu subjektu kategorijas pastāv, piemēram, klienti, darbinieki, izmēģinājuma lietotāji, potenciālie klienti, piegādātāji, tīmekļvietnes apmeklētāji vai lietotnes lietotāji?
4. Kuras sistēmas, repozitoriji un piegādātāji glabā personas datus?
5. Kuras lomas apstiprina izpaušanu, atteikumu, dzēšanu, ierobežošanu vai eskalāciju?
6. Kuri rādītāji tiek ziņoti vadībai?

ISO/IEC 27001:2022 punkti 5.1 līdz 5.3 prasa līderību, politikas saskaņošanu, resursus un piešķirtas atbildības. Tas tieši atbilst GDPR pārskatatbildības principam.

Datu aizsardzības un privātuma politika [P17], Politikas ieviešanas prasību 6.4.1. punktā, nosaka:

Datu aizsardzības speciālistam (DPO) jāuztur dokumentēti procesi datu subjekta pieprasījumu (DSR) saņemšanai, validācijai, izsekošanai un atbildēšanai.

MVU vajadzībām Clarysec Datu aizsardzības un privātuma politika — MVU [P17S] izmanto atbilstoša mēroga atbildību. Pārvaldības prasību 5.2.1. punkts nosaka:

Privātuma koordinatoram jāuztur visu personas datu apstrādes darbību reģistrs, tostarp datu kategorijas, nolūks, tiesiskais pamats un glabāšanas termiņi

Šis apstrādes reģistrs ir DSAR gatavības operatīvais pamats. Ja tas ir nepilnīgs, DSAR komanda meklē pēc atmiņas, Slack ziņām un neformālām zināšanām. Ja tas ir precīzs, komanda meklē pēc apstrādes darbības, datu kategorijas, sistēmas īpašnieka, piegādātāja un glabāšanas noteikuma.

Clarysec DSAR darbplūsma: no saņemšanas līdz slēgšanai

Auditam gatavai DSAR darbplūsmai jābūt pietiekami vienkāršai, lai to varētu izpildīt spiediena apstākļos, un pietiekami kontrolētai, lai tā izturētu regulatora pārbaudi, klientu apliecinājuma pārskatīšanu vai ISO/IEC 27001:2022 auditu.

1. Saņemšana un apstiprinājums

Pieprasījumiem jāienāk kontrolētā kanālā, piemēram, privātuma pastkastē, portālā, atbalsta veidlapā vai juridisko pieprasījumu rindā. Personālam jāspēj atpazīt pieprasījumus vienkāršā valodā. Personai nav jāuzraksta “DSAR”, lai īstenotu tiesību. “Kādi dati jums ir par mani?” vai “izdzēsiet manu profilu” var būt pietiekami, lai iedarbinātu darbplūsmu.

Datu aizsardzības un privātuma politika — MVU [P17S], Politikas ieviešanas prasību 6.5.2. punkts, nosaka skaidru pakalpojuma līmeni:

Privātuma koordinatoram jāapstiprina pieprasījumi 3 darba dienu laikā un jāsniedz atbilde 30 dienu laikā

Apstiprinājumā jāiekļauj pieprasījuma atsauce, tvēruma precizējums, ja nepieciešams, identitātes pārbaudes norādījumi un paredzamais atbildes termiņš.

2. Identitātes pārbaude un pilnvarojuma pārbaude

DSAR var kļūt par personas datu aizsardzības pārkāpumu, ja informācija tiek nosūtīta nepareizajai personai. Pārbaudei jābūt samērīgai, un tajā nedrīkst vākt pārmērīgi daudz jaunu personas datu. Kur iespējams, izmantojiet autentificētus portālus. Bijušajiem lietotājiem validējiet pret zināmiem konta datiem. Darbinieku gadījumā koordinējiet ar personāla vadības funkciju. Pārstāvjiem pieprasiet pilnvarojuma pierādījumu.

Saglabājiet pierādījumus par pārbaudes metodi, pabeigšanas datumu, apstiprinātāju, jebkādu pieprasīto papildu informāciju un lēmumu, ja pārbaude neizdodas.

3. Klasificējiet pieprasījumu

Vienā ziņojumā var būt ietvertas vairākas tiesības. Klasificējiet katru atsevišķi, jo piekļuvei, dzēšanai, ierobežošanai, iebildumam un pārnesamībai nepieciešama atšķirīga lēmumu loģika un pierādījumi. Atzīmējiet arī iespējamās sūdzības, darbinieku jautājumus, bērnu datus, īpašu kategoriju datus un iespējamos personas datu aizsardzības pārkāpumus.

4. Meklējiet aktīvu uzskaitē, ne tikai acīmredzamās sistēmās

Šeit ISO/IEC 27001:2022 kļūst praktisks. Zenith Blueprint [ZB], Kontroles pasākumi darbībā posma 22. solis, brīdina, ka uzskaites tvērums ir plašāks, nekā daudzas organizācijas pieņem:

Šīs uzskaites tvērums ir plašāks, nekā vairums apzinās. Tajā jāiekļauj:

✓ Fiziskie aktīvi: klēpjdatori, serveri, tālruņi, rezerves kopiju lentes, noņemami datu nesēji, drukāti
ieraksti.
✓ Digitālie aktīvi: dokumenti, datu kopas, repozitoriji, e-pasti, pirmkods, mākonī glabāti
faili.
✓ Loģiskie aktīvi: lietotāju konti, akreditācijas dati, atslēgas, programmatūras licences, lietojumprogrammu saskarnes.
✓ Ar pakalpojumiem saistīti aktīvi: SaaS platformas, pārvaldīti drošības pakalpojumi, ārpakalpojuma
glabātuves.
✓ Cilvēki kā aktīvi: ne prečiskā nozīmē, bet piešķirto atbildību,
piekļuves un lomu noteiktas pakļautības informācijai izpratnē.

22. solis arī skaidro īpašumtiesības:

Katram aktīvam jābūt definētam īpašniekam, nevis personai, kas to lieto, bet tai, kura ir pārskatatbildīga par
tā izmantošanu, aizsardzību un dzīves ciklu. Īpašumtiesības ir būtiskas kontroles pasākumu saskaņošanai: kurš klasificē
aktīvu (5.10), kurš lemj par tā piekļuves līmeni (8.3), kurš nodrošina tā dzēšanu (8.10), kurš nodrošina
tā atdošanu (5.9 smalki pārklājas ar aktīvu atdošanas procedūrām).

Zenith Controls: savstarpējās atbilstības ceļvedī [ZC] ISO/IEC 27002:2022 kontroles pasākums 5.9, informācijas un citu saistīto aktīvu uzskaite, tiek uzskatīts par preventīvu kontroles pasākumu, kas atbalsta konfidencialitāti, integritāti un pieejamību. Tā kiberdrošības koncepts ir Identify, operatīvā spēja ir aktīvu pārvaldība, un drošības jomas ietver pārvaldību, ekosistēmu un aizsardzību.

DSAR gadījumā tas nozīmē, ka aktīvu uzskaite nav IT izklājlapa. Tā ir karte, kas privātuma, juridiskajai un drošības funkcijai parāda, kur personas dati varētu pastāvēt.

5. Pārskatiet, aizklājiet un apstipriniet izpaušanu

DSAR atbilde nedrīkst būt neapstrādāts eksports. Pārskatīšanai jāaizsargā citu personu personas dati, konfidenciāla biznesa informācija, advokāta–klienta privilēģija, drošībai sensitīvi dati, krāpšanas signāli un dati ārpus pieprasījuma tvēruma.

Apstiprināšanai jābūt balstītai uz risku. Rutīnas piekļuves atbildes var apstiprināt privātuma koordinators vai DPO. Pieprasījumos, kas saistīti ar darbiniekiem, tiesvedību, īpašu kategoriju datiem, bērniem, krāpšanu, drošības žurnāliem vai lieliem eksportiem, jāiesaista juridiskais dienests, personāla vadība vai drošības vadība.

6. Nodrošiniet drošu piegādi

Nepievienojiet e-pastam lielas nešifrētas datnes. Izmantojiet autentificētus portālus, šifrētas datnes ar atsevišķu paroles piegādi vai drošas pārsūtīšanas saites ar derīguma termiņu un piekļuves žurnalēšanu. Reģistrējiet piegādes metodi, datumu, saņēmēja kontu, derīguma termiņu un apstiprinājumu, ja tas ir pieejams.

7. Slēdziet ar pierādījumiem

Datu aizsardzības un privātuma politika [P17], 6.4.3. punkts, ir nepārprotama:

Visas veiktās darbības jāreģistrē audita vajadzībām, tostarp lēmumi atteikt pieprasījumus.

Datu aizsardzības un privātuma politika — MVU [P17S], 6.5.4. punkts, nosaka:

Visas atbildes uz datu subjektu pieprasījumiem jāreģistrē drošā reģistrā, kuram piekļuve ir ierobežota privātuma koordinatoram un ģenerāldirektoram

DSAR nav pabeigts brīdī, kad e-pasts ir nosūtīts. Tas ir pabeigts, kad reģistrs parāda pieprasījumu, identitātes pārbaudi, lēmumus, pārmeklētās sistēmas, atbildi, izņēmumus, apstiprinājumus, piegādi un slēgšanu.

Dzēšana ir kontrolēta iznīcināšana, nevis dzēšanas poga

Dzēšanas pieprasījumi parāda, vai privātums ir iestrādāts sistēmās vai pievienots pēc palaišanas.

Clarysec uzņēmuma Datu glabāšanas un likvidēšanas politika [P14], Lomu un pienākumu 4.3.3. punkts, piešķir atbildību lomai, kas:

Atbild uz dzēšanas pieprasījumiem un nodrošina savlaicīgu, pārbaudāmu personas datu dzēšanu, ja tas ir prasīts.

Frāze “ja tas ir prasīts” ir kritiska. GDPR dzēšana nav absolūta. Organizācijām var būt jāglabā dati juridisko pienākumu, audita, nodokļu, regulatīvo pienākumu, krāpšanas novēršanas, drošības, tiesvedības vai juridisku prasījumu celšanas, īstenošanas vai aizstāvības nolūkā. Darbplūsmai jāietver lēmums par likumīgu glabāšanu un izņēmums.

Zenith Blueprint [ZB], Kontroles pasākumi darbībā posma 19. solis, skaidro ISO/IEC 27002:2022 kontroles pasākumu 8.10, informācijas dzēšanu, operatīvos terminos:

Šis kontroles pasākums nodrošina, ka dati netiek glabāti ilgāk nekā nepieciešams, un, kad tie vairs nav
vajadzīgi, tie ir droši un uzticami jādzēš. Daudzas organizācijas laika gaitā uzkrāj lielus
datu apjomus, bet bez skaidra dzēšanas procesa šie dati var palikt dīkstāvē un
neaizsargāti, nemanāmi palielinot ekspozīcijas, pārkāpuma vai regulatīva pārkāpuma risku.

Tas arī brīdina:

Neaizmirstiet rezerves kopijas un arhivētās sistēmas — tās bieži saglabā vēsturiskos datus ilgi pēc to
operatīvās vērtības beigām. Dzēšanas politikām jāattiecas uz:

✓ Rezerves kopiju glabāšanas iestatījumiem,
✓ momentuzņēmumu dzīves cikliem,
✓ arhivētiem e-pasta vai dokumentu repozitorijiem.

Un noslēdz ar pierādījumiem:

Pats dzēšanas process ir jāreģistrē žurnālā, un augsta riska vai reglamentētu datu gadījumā
jāpārskata vai jāapstiprina. Tas nodrošina izsekojamību un aizsargā pret nejaušu vai
nesankcionētu vērtīgu ierakstu iznīcināšanu.

Zenith Controls [ZC] ISO/IEC 27002:2022 kontroles pasākums 8.10, informācijas dzēšana, ir kartēts kā preventīvs kontroles pasākums, kas koncentrējas uz konfidencialitāti, ir saskaņots ar Protect kiberdrošības konceptu un saistīts ar informācijas aizsardzības, kā arī juridisko lietu un atbilstības operatīvajām spējām.

Sarežģītām mākoņarhitektūrām kriptogrāfiska dzēšana var būt piemērota, ja tā ir pareizi projektēta. Ja personas dati ir šifrēti ar subjektam specifisku vai nomniekam specifisku atslēgu, atslēgas iznīcināšana var padarīt datus pastāvīgi nepieejamus, tostarp gadījumos, kad šifrēti atlikumi paliek rezerves kopijās līdz plānotajai rotācijai. Tas ir rūpīgi jāprojektē, jādokumentē, jātestē un jāapstiprina. Tas nav apiešanas risinājums sliktai dzēšanas arhitektūrai.

Tāpēc lietojumprogrammu gatavība ir būtiska. Clarysec Lietojumprogrammu drošības prasību politika — MVU [P09S], 6.5.1.3. punkts, prasa lietojumprogrammām:

ļaut droši eksportēt un dzēst personas datus, kad tas ir juridiski prasīts (piem., GDPR Article 17 – tiesības uz dzēšanu).

Ja produktu komandas neizveido eksportēšanas un dzēšanas iespējas, privātuma komandas tiek spiestas izmantot datubāzu skriptus, piegādātāju pieteikumus un nekonsekventu manuālu darbu.

Juridiskā saglabāšana un dzēšanas apturēšana

Nobriedušai dzēšanas darbplūsmai jāietver ceļš “nedzēst”. Tas nav attaisnojums dzēšanas ignorēšanai. Tas ir kontrolēts izņēmums.

Clarysec MVU Datu glabāšanas un drošas likvidēšanas politika — MVU [P14S], Pārvaldības prasību 5.4. punkts, nosaka:

Dati, uz kuriem attiecas juridiskā saglabāšana un dzēšanas apturēšana (piem., tiesvedības, audita vai izmeklēšanas gadījumā), sistēmā ir skaidri jāidentificē un jāaizsargā pret dzēšanu, pat ja plānotais glabāšanas termiņš ir beidzies.

Datu glabāšanas un likvidēšanas politika [P14], 6.4.1. punkts, atspoguļo to pašu principu:

Ja tiek izdota juridiskā saglabāšana un dzēšanas apturēšana (piem., gaidot tiesvedību, izmeklēšanu vai auditu), dati, kas citādi būtu iznīcināmi, ir jāsaglabā ilgāk par to parasto glabāšanas termiņu.

Auditori vēlas redzēt abas puses — pierādījumus par savlaicīgu dzēšanu un pierādījumus par pamatotu glabāšanu.

Apstrādes ierobežošana: nepietiekami novērtētā tiesība

Apstrādes ierobežošanas pieprasījumi ne vienmēr prasa dzēšanu. Tie prasa organizācijai ierobežot aktīvu apstrādi, vienlaikus glabājot datus kontrolētos apstākļos.

Bieži piemēri:

• Klients apstrīd precizitāti un lūdz pārtraukt datu izmantošanu, kamēr tie tiek pārbaudīti.
• Bijušais darbinieks iebilst pret apstrādi, bet ieraksts ir nepieciešams juridisku prasījumu vajadzībām.
• Lietotājs pieprasa dzēšanu, bet minimāli dati ir jāsaglabā, lai uzturētu izslēgšanas sarakstu.
• Krāpšanas izmeklēšanai nepieciešama glabāšana, bet ne parasta operatīva izmantošana.

Praktiskai apstrādes ierobežošanas darbplūsmai jāietver juridisks lēmums, sistēmas marķējums, piekļuves kontroles pielāgošana, mārketinga izslēgšana, analītikas izslēgšana, norādījums piegādātājam, periodiska pārskatīšana un izņēmuma pierādījumi.

Zenith Controls [ZC] ISO/IEC 27002:2022 kontroles pasākums 5.34, PII privātums un aizsardzība, tiek uzskatīts par preventīvu kontroles pasākumu, kas atbalsta konfidencialitāti, integritāti un pieejamību. Tas kartējas uz Identify un Protect ar informācijas aizsardzības un juridisko lietu un atbilstības operatīvajām spējām.

Zenith Blueprint [ZB], Kontroles pasākumi darbībā posma 23. solis, apkopo audita testu:

Apstipriniet, ka jūsu organizācija ir ieviesusi privātuma pasākumus (5.34), kas saskaņoti ar
piemērojamajām juridiskajām prasībām. Pārbaudiet PII klasifikāciju, pienācīgus piekļuves kontroles pasākumus, drošas
apstrādes prakses un informētības apmācību. Validējiet, vai subjekta piekļuves pieprasījumi, datu
dzēšana vai apstrādes žurnāli tiek atbalstīti operatīvi, ne tikai politikā.

Galvenā frāze ir “atbalstīti operatīvi, ne tikai politikā”.

DSAR darbplūsmu sasaiste ar ISO/IEC 27001:2022 pierādījumiem

ISO/IEC 27001:2022 neaizstāj GDPR. Tas organizē pierādījumus.

Punkti 6.1.1 līdz 6.1.3 prasa risku novērtēšanu, risku apstrādi, riska pieņemšanas kritērijus, riska īpašniekus, kontroles pasākumu atlasi, piemērojamības deklarāciju (SoA) un risku apstrādes plānu. DSAR riski ietver nesankcionētu izpaušanu, nokavētus termiņus, nepilnīgu dzēšanu, nelikumīgu glabāšanu, pārmērīgu identitātes pārbaudi, piegādātāju nesadarbošanos un nespēju ierobežot apstrādi.

8.1. punkts prasa organizācijām plānot, ieviest un kontrolēt ISMS procesus, saglabāt dokumentētus pierādījumus, kontrolēt izmaiņas un nodrošināt, ka ārēji nodrošināti procesi, produkti un pakalpojumi, kas ir būtiski ISMS, tiek kontrolēti. Tas atbilst DSAR operācijām, jo pieprasījumi šķērso iekšējās funkcijas un ārējos apstrādātājus.

Spēcīga pierādījumu pakotne ietver DSR procedūru, DSR reģistru, apstrādes darbību reģistru, aktīvu uzskaiti, datu glabāšanas grafiku, juridiskās saglabāšanas reģistru, identitātes pārbaudes procedūru, aizklāšanas vadlīnijas, drošas izpaušanas metodi, dzēšanas procedūru, apstrādes ierobežošanas procedūru, piegādātāju rokasgrāmatu, izņēmumu reģistru, apmācību ierakstus, iekšējā audita rezultātus un vadības pārskata ziņošanu.

Praktiska darbplūsma piekļuvei, dzēšanai un ierobežošanai

Šī darbplūsma pārvērš Sāras krīzi auditējamā procesā. Katram posmam ir īpašnieks, kontroles pamats un pierādījumi.

Savstarpējās atbilstības vērtība ārpus GDPR

DSAR darbplūsma sakņojas GDPR, taču tie paši kontroles pasākumi atbalsta plašākus ietvarus.

NIS2 Article 20 padara kiberdrošību par vadības atbildību būtiskām un svarīgām vienībām. Article 21 prasa atbilstošus un samērīgus tehniskus, operatīvus un organizatoriskus pasākumus, tostarp riska analīzi, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, efektivitātes novērtēšanu, kiberdrošības higiēnu, apmācību, piekļuves kontroli, aktīvu pārvaldību, autentifikāciju un drošu saziņu. DSAR balstās uz daudzām no šīm pašām spējām.

DORA no 2025. gada 17. janvāra piemēro daudzām finanšu vienībām un nosaka vienotas IKT risku pārvaldības, incidentu ziņošanas, noturības testēšanas un IKT trešo pušu riska prasības. Articles 5 un 6 prasa pārvaldību un dokumentētu IKT risku pārvaldību. Articles 17 līdz 20 attiecas uz incidentu atklāšanu, klasifikāciju, eskalāciju, komunikāciju un slēgšanu. Articles 24 līdz 30 attiecas uz noturības testēšanu, IKT trešo pušu risku, pakalpojumu reģistriem, audita tiesībām, datu atrašanās vietu, incidentu atbalstu un izstāšanās stratēģijām. Fintech uzņēmumam, kas apstrādā DSAR caur mākoņplatformām, privātuma pieprasījumu apstrāde jāsaskaņo ar tā IKT pakalpojumu reģistru.

NIST CSF 2.0 palīdz pārtulkot to pašu darbu kiberdrošības rezultātos. GOVERN aptver juridiskās, regulatīvās un līgumiskās prasības, riska stratēģiju, lomas, politiku un pārraudzību. IDENTIFY un PROTECT cieši saskan ar aktīvu redzamību, datu klasifikāciju, piekļuves kontroli, dzēšanu, piegādātāju pārvaldību un privātuma aizsardzību.

COBIT 2019 uzdod pārvaldības jautājumus. Kam pieder process? Kādi mērķi ir definēti? Kā tiek mērīta veiktspēja? Kā tiek apstiprināti izņēmumi? Kā tiek iegūts apliecinājums? DSAR pierādījumi var atbalstīt tādus mērķus kā APO13 Managed Security, APO14 Managed Data un DSS06 Managed Business Process Controls.

Auditora skatījums

Neveidojiet atsevišķus pierādījumus katram ietvaram. Izveidojiet vienu uzticamu DSAR darbplūsmu un korekti to kartējiet.

DSAR rādītāji, kas jāredz vadībai

Vadība nevar pārraudzīt to, ko neredz. Noderīgi rādītāji ietver pieprasījumu apjomu pēc tiesību veida, vidējo apstiprināšanas laiku, vidējo slēgšanas laiku, termiņu izpildi, identitātes precizēšanas īpatsvaru, dzēšanas izņēmumus, juridiskās saglabāšanas gadījumus, piegādātāju atbildes laikus, daļējus atteikumus, incidentus, kas identificēti apstrādes laikā, un atvērtos trūkumu novēršanas pasākumus.

Šie rādītāji parāda, vai datu subjektu tiesības ir operatīvi veselīgas vai atkarīgas no varonīgas individuālas rīcības.

Biežākās DSAR gatavības nepilnības

Clarysec bieži redz vienas un tās pašas vājās vietas SaaS, fintech, profesionālo pakalpojumu un mākoņpakalpojumu orientētās MVU organizācijās:

• Nav īpašnieka katrai sistēmai, kurā ir personas dati
• Apstrādes reģistrs nav saskaņots ar faktisko SaaS izmantošanu
• Mārketinga, analītikas un datu noliktavu platformas ir izslēgtas no meklēšanas
• Nav dokumentēta identitātes pārbaudes standarta
• Pirms izpaušanas netiek veikta aizklāšanas pārskatīšana
• Produkcijas vides dzēšana tiek veikta bez rezerves kopiju apstrādes
• Pirms dzēšanas netiek pārbaudīta juridiskā saglabāšana
• Ierobežošana tiek veikta manuāli bez sistēmas marķējuma
• Piegādātāju līgumos trūkst DSAR atbalsta noteikumu
• Atteikumi un daļēji atteikumi netiek dokumentēti
• Nav pabeigto DSAR iekšējā audita izlases pārbaudes
• Priekšējās līnijas personāls nav apmācīts atpazīt pieprasījumus

Jūsu 2026. gada DSAR gatavības kontrolsaraksts

Izmantojiet šo kā brieduma testu:

• Vai mums ir dokumentēts DSR saņemšanas, validācijas, izsekošanas un atbildēšanas process?
• Vai mēs apstiprinām pieprasījumus noteiktā iekšējā SLA ietvaros?
• Vai mēs uzturam drošu DSR reģistru ar ierobežotu piekļuvi?
• Vai mums ir aktuāls apstrādes darbību reģistrs ar kategorijām, nolūkiem, tiesiskajiem pamatiem un glabāšanas termiņiem?
• Vai mēs zinām katru sistēmu, SaaS platformu, repozitoriju un piegādātāju, kur var būt personas dati?
• Vai katram attiecīgajam aktīvam ir pārskatatbildīgs īpašnieks?
• Vai varam droši eksportēt personas datus?
• Vai varam droši dzēst personas datus, kad tas juridiski prasīts?
• Vai varam tehniski vai procedurāli ierobežot apstrādi?
• Vai pirms dzēšanas pārbaudām juridisko saglabāšanu?
• Vai dokumentējam atteikuma, daļēja atteikuma un izņēmuma lēmumus?
• Vai piegādātāju līgumi atbalsta DSAR palīdzību?
• Vai testējam darbplūsmu ar iekšējo auditu vai galda mācībām?
• Vai ziņojam vadībai par DSAR veiktspēju?
• Vai kartējam DSAR kontroles pasākumus ISO/IEC 27001:2022 risku apstrādē un piemērojamības deklarācijā (SoA)?

Ja vairākas atbildes ir “ne konsekventi”, nākamais pieprasījums var atklāt nepilnību.

Pārvērtiet datu subjektu tiesības auditam gatavos pierādījumos

Datu subjektu tiesības 2026. gadā prasa vairāk nekā labus nodomus un privātuma iesūtni. Tām nepieciešama darbplūsma, kas spēj atrast datus, validēt identitāti, pieņemt likumīgus lēmumus, koordinēt piegādātājus, aizsargāt izpaušanu, izpildīt dzēšanu, piemērot ierobežošanu un saglabāt pierādījumus.

Clarysec palīdz organizācijām izveidot šo darbplūsmu, neradot paralēlu atbilstības birokrātiju. Sāciet ar Zenith Blueprint, lai novietotu datu subjektu tiesības pareizajā ISMS posmā un soļos. Izmantojiet Clarysec Datu aizsardzības un privātuma politiku, Datu aizsardzības un privātuma politiku — MVU, Datu glabāšanas un likvidēšanas politiku, Datu glabāšanas un drošas likvidēšanas politiku — MVU un Lietojumprogrammu drošības prasību politiku — MVU, lai definētu īpašumtiesības un darbības noteikumus.

Pēc tam izmantojiet Zenith Controls, lai kartētu ISO/IEC 27002:2022 kontroles pasākumus 5.9, 5.34 un 8.10 savstarpējās atbilstības pierādījumos GDPR, ISO/IEC 27001:2022, NIS2, DORA, NIST CSF 2.0 un COBIT 2019 apliecinājumam.

Ja vēlaties zināt, vai jūsu DSAR, dzēšanas un apstrādes ierobežošanas darbplūsmas rīt izturētu auditu, Clarysec var palīdzēt pārbaudīt procesu, novērst nepilnības un izveidot pierādījumu pakotni, pirms pienāk nākamais pieprasījums. Lejupielādējiet attiecīgās Clarysec politiku veidnes vai rezervējiet DSAR gatavības izvērtēšanu, lai pārietu no reaktīvas reaģēšanas uz kontrolētām, auditam gatavām privātuma operācijām.