⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Personas datu izpaušanas pieprasījumi saskaņā ar GDPR un ISO 27701

Igor Petreski
14 min read
Auditam gatava personas datu izpaušanas pieprasījumu darbplūsma GDPR un ISO 27701 vajadzībām

Pieprasījums pienāk piektdien plkst. 16.47

Klientu attiecību vadītājs pārsūta e-pastu Juridiskajam dienestam ar tematu: “STEIDZAMS POLICIJAS PIEPRASĪJUMS”. Pielikumā ir skenēta vēstule, kurā pieprasīta konta informācija, pieteikšanās vēsture, IP adreses, maksājumu ieraksti un “jebkāda cita attiecīga informācija” par norādītu personu. Sūtītājs apgalvo, ka pārstāv kibernoziedzības apkarošanas vienību. E-pastā pieprasīts izpaust datus 24 stundu laikā un lūgts organizācijai “neinformēt datu subjektu”.

Vienlaikus drošības operāciju komanda izmeklē neparastu aktivitāti tajā pašā klienta kontā. Datu aizsardzības speciālists (DPO) atrodas citā laika joslā. Galvenais informācijas drošības vadītājs (CISO) jautā, vai tas ir incidents, juridisks pieprasījums, GDPR izpaušana vai viss kopā. Pārdošanas komanda vēlas “pilnībā sadarboties”. Atbalsta komanda vēlas zināt, vai drīkst eksportēt klienta profilu. Kāds ierosina nosūtīt pilnu CRM ierakstu, jo “iestādes pieprasīja visu”.

Tā ir pārvaldības nepilnība.

Lielākajai daļai organizāciju ir privātuma politika, reaģēšanas uz incidentiem plāns un datu subjekta piekļuves pieprasījumu process. Daudzas spēj pārvaldīt piegādātāju padziļināto pārbaudi, regulatīvo saraksti un paziņošanu par pārkāpumiem. Ievērojami mazāk organizācijām ir atkārtojama darbplūsma piespiedu vai oficiāliem personas datu izpaušanas pieprasījumiem no tiesībaizsardzības iestādēm, regulatoriem, tiesām, nodokļu iestādēm, finanšu uzraugiem, telekomunikāciju regulatoriem, kibernoziedzības apkarošanas vienībām vai ārvalstu publiskajām iestādēm.

Šī nepilnība ir bīstama. Izpildot krāpniecisku pieprasījumu, var rasties personas datu aizsardzības pārkāpums. Noraidot likumīgu pieprasījumu, var rasties tiesiskie riski. Atbilde bez kontrolēta procesa var izraisīt pārmērīgu izpaušanu, pārrautu pierādījumu glabāšanas ķēdi, nokavētus termiņus, nelikumīgu starptautisku nosūtīšanu un audita neatbilstību.

Saskaņā ar GDPR, ISO 27701:2025 un ISO/IEC 27001:2022 oficiāls personas datu izpaušanas pieprasījums nav tikai Juridiskā dienesta pastkastītes jautājums. Tas skar tiesisko pamatu, pārskatatbildību, nolūka ierobežojumus, datu minimizēšanu, konfidencialitāti, lomās balstītu apstiprināšanu, starptautiskās nosūtīšanas pārvaldību, apstrādātāja norādījumus, pierādījumu saglabāšanu, drošu nosūtīšanu un audita pierakstus.

Praktiskais tests ir vienkāršs: vai brīdī, kad pieprasījums pienāk, jūsu organizācija var pierādīt, ka tā validēja pieprasītāju, izvērtēja tiesisko pamatojumu, minimizēja izpaušanu, saņēma pareizos apstiprinājumus, aizsargāja pierādījumus, reģistrēja lēmumu un saglabāja auditam gatavu pierakstu kopumu?

Clarysec nostāja ir skaidra. Tiesībaizsardzības iestāžu un regulatoru personas datu izpaušanas pieprasījumi jāuzskata par kontrolētu privātuma un informācijas drošības darbplūsmu, nevis par improvizētu atbildi pa e-pastu.

Kāpēc oficiāli personas datu izpaušanas pieprasījumi ir atšķirīgi

Parasta ārēja datu koplietošana parasti sākas ar biznesa nolūku. Piegādātājam nepieciešami darbinieku dati darba samaksas aprēķinam. SaaS pakalpojumu sniedzējs apstrādā klientu identifikatorus. Partneris saskaņā ar līgumu saņem darījumu datus. Pārvaldības modelis ir pazīstams: sākotnējā izvērtēšana, datu apstrādes līgums, drošības prasības, nosūtīšanas izvērtēšana, glabāšanas noteikumi un nepārtraukta uzraudzība.

Tiesībaizsardzības iestāžu un regulatoru personas datu izpaušanas pieprasījumi ir citādi. Tos izraisa konkrēts notikums, tie ir laika ziņā kritiski, bieži konfidenciāli un dažkārt juridiski saistoši. Tie var pienākt ārpus iepirkuma kanāliem. Tajos var tikt pieprasītas plašas personas datu kategorijas. Tie var aizliegt paziņošanu. Tie var ietvert ārvalstu iestādes. Tie var pienākt incidenta, krāpšanas izmeklēšanas, juridiskās saglabāšanas, regulatora pārbaudes vai kibernozieguma izmeklēšanas laikā.

Tas rada trīs tūlītējas pārvaldības prasības.

Pirmkārt, organizācijai jāzina, kurš drīkst atbildēt. Pirmās līnijas darbinieks nedrīkst izlemt, vai policijas pieprasījums ir derīgs, vai regulatora formulējums ir saistošs, vai klienta informēšana ir aizliegta.

Otrkārt, sadarbība jānodala no pārmērīgas izpaušanas. GDPR neliedz likumīgi sadarboties ar iestādēm, taču tas joprojām prasa derīgu tiesisko pamatu, godprātību, pārredzamību, ja tā piemērojama, nolūka ierobežojumus, datu minimizēšanu, integritāti, konfidencialitāti un pārskatatbildību.

Treškārt, pierādījumi jāsaglabā. Ja pieprasījums attiecas uz incidentu, krāpšanas notikumu, tiesvedības jautājumu vai uzraudzības iestādes pieprasījumu, žurnālu dzēšana, ierakstu grozīšana vai datu eksportēšana bez izsekojamības var kaitēt gan atbilstībai, gan juridiskajai aizstāvībai.

Spēcīgākais darbības modelis vienā darbplūsmā savieno privātuma pārvaldību, juridisko apstiprinājumu, pierādījumu apstrādi, reaģēšanu uz incidentiem, drošu nosūtīšanu un saziņu ar iestādēm.

Clarysec kontroles pasākumu kopa: iestādes, privātums un pierādījumi

Zenith Controls: savstarpējās atbilstības ceļvedī Clarysec tiesībaizsardzības iestāžu un regulatoru izpaušanas pārvaldību aplūko kā savienotu kontroles pasākumu kopu, nevis kā atsevišķu privātuma uzdevumu. Galvenie ISO/IEC 27002:2022 kontroles pasākumi ir 5.5 Saziņa ar iestādēm, 5.28 Pierādījumu vākšana un 5.34 Privātums un personu identificējošas informācijas (PII) aizsardzība. Atbalstošās kontroles attiecības ietver klasifikāciju un marķēšanu, piekļuves kontroli, piegādātāju attiecības, incidentu pārvaldību, žurnālfiksēšanu, pulksteņu sinhronizāciju, kriptogrāfiju, maskēšanu, dzēšanu un informācijas nosūtīšanu.

Tas ir būtiski, jo oficiāli izpaušanas pieprasījumi var izgāzties vairākos punktos. Privātuma komanda var validēt tiesisko pamatu, bet nenodrošināt pierādījumu saglabāšanu. SOC var saglabāt žurnālus, bet izpaust pārāk daudz personas datu. Juridiskais dienests var apstiprināt atbildi, bet aizmirst atjaunināt izpaušanas reģistru. Apstrādātājs var atbildēt tieši iestādei, lai gan pieprasījums bija jānovirza pārzinim.

Zenith Blueprint: auditora 30 soļu ceļvedis pastiprina šo operacionālo sasaisti fāzē “Kontroles pasākumi darbībā”, 22. solī, sadaļā “Saziņa ar iestādēm”:

Kontroles pasākums 5.5 nodrošina, ka organizācija ir gatava nepieciešamības gadījumā sazināties ar ārējām iestādēm — nevis reaktīvi vai panikā, bet izmantojot iepriekš noteiktus, strukturētus un labi saprotamus kanālus.

Tajā pašā sadaļā formulēti jautājumi, uz kuriem jāatbild pirms reāla pieprasījuma saņemšanas:

Princips ir vienkāršs: ja jūsu organizācija kļūtu par kiberuzbrukuma mērķi, būtu iesaistīta datu aizsardzības pārkāpumā vai tiktu izmeklēta, kurš zvanītu iestādēm? Kā šī persona zinātu, ko teikt? Kādos apstākļos šāda saziņa tiktu uzsākta? Uz šiem jautājumiem jāatbild iepriekš, nevis pēc notikuma.

Attiecībā uz personas datu aizsardzību Zenith Blueprint fāzē “Kontroles pasākumi darbībā”, 23. solī, privātumu definē kā dzīves cikla pienākumu:

Kontroles pasākums 5.34 prasa organizācijām aizsargāt fizisko personu privātumu, ieviešot atbilstošus pasākumus PII apstrādei visā tās dzīves ciklā.

Attiecībā uz pierādījumiem tajā pašā fāzē un solī skaidrots, kāpēc neformāla rīcība ir riskanta:

Kontroles pasākums 5.28 atzīst, ka pēc incidenta tas, ko varat pierādīt, ir tikpat svarīgi kā tas, kas faktiski notika.

Kopā šie trīs principi definē pārvaldības modeli: zināt, kurš sazinās ar iestādēm, aizsargāt personas datus visā izpaušanas dzīves ciklā un saglabāt pierādījumus aizstāvamā veidā.

GDPR un ISO 27701:2025 skatījums uz piespiedu izpaušanu

ISO 27701:2025 pastiprina nepieciešamību pēc privātuma informācijas pārvaldības sistēmas (PIMS) disciplīnas. PIMS jānosaka, kā PII pārziņi un PII apstrādātāji apstrādā oficiālus izpaušanas pieprasījumus, tostarp pieņemšanu, validēšanu, juridisko pārskatīšanu, autorizāciju, reģistrēšanu, minimizēšanu, drošu nosūtīšanu, glabāšanu un pārskatīšanu pēc atbildes sniegšanas.

Pārzinim galvenais jautājums ir, vai organizācija nosaka apstrādes nolūkus un līdzekļus un tādēļ tai jālemj, vai un kā izpaušana ir likumīga. Apstrādātājam jautājums ir, vai tas vispār drīkst izpaust datus bez pārziņa norādījuma, ja vien tiesību akti to neprasa. Apakšapstrādātājam maršrutēšana un tālāk nododamie pienākumi kļūst vēl sensitīvāki.

GDPR nostiprina tās pašas operacionālās prasības. Izpaušana publiskai iestādei joprojām ir apstrāde. Organizācijai nepieciešams tiesiskais pamats saskaņā ar Article 6, dokumentēts nolūks, atbilstoša drošība, datu minimizēšana saskaņā ar Article 5(1)(c) un pārskatatbildības pierādījumi saskaņā ar Article 5(2). Daudzos gadījumos tiesiskais pamats būs Article 6(1)(c), apstrāde, kas nepieciešama juridiska pienākuma izpildei, bet tikai pēc tam, kad Juridiskais dienests ir validējis pieprasījumu un jurisdikciju.

Ja pieprasījums nāk no ārvalstu publiskas iestādes, būtiska kļūst datu nosūtīšanas pārvaldība un DPO pārskatīšana. Ja pieprasījums attiecas uz apstrādātāju, jāpārbauda līgumiskās paziņošanas un norādījumu prasības. Ja pieprasījums attiecas uz kiberdrošības incidentu, atbilde jāsaskaņo ar incidentu apstrādes un pierādījumu vākšanas prasībām.

Clarysec politiku kopa pārvērš šīs prasības operacionālos noteikumos.

Uzņēmuma P17 Datu aizsardzības un privātuma politika, 6.1.1. punkts, nosaka:

Visai apstrādei jābalstās uz derīgu tiesisko pamatu (piemēram, piekrišana, līgums, juridisks pienākums).

Tā pati politika, 6.2.1. punkts, papildina minimizēšanas pamatu:

Drīkst vākt un apstrādāt tikai tos datus, kas nepieciešami konkrētam, leģitīmam biznesa nolūkam.

SME organizācijām P17S Datu aizsardzības un privātuma politika — SME, 6.2.1. punkts, nosaka:

Jāvāc un jāglabā tikai minimāli nepieciešamie personas dati.

Šie punkti ir būtiski, kad pieprasījumā norādīts “visa informācija”, “pilna vēsture” vai “jebkādi saistīti ieraksti”. Pareizā atbilde nav eksportēt katru lauku. Pareizā atbilde ir validēt pieprasījumu, noteikt juridiski nepieciešamo apjomu, izpaust tikai nepieciešamos personas datus, dokumentēt lēmumu un saglabāt pierādījumus.

No e-pasta panikas līdz kontrolētai izpaušanai

Nobriedušai darbplūsmai jābūt pietiekami vienkāršai, lai pirmās līnijas darbinieki to varētu ievērot, un pietiekami stingrai auditoriem, regulatoriem un tiesām. Clarysec iesaka septiņu posmu modeli.

PosmsKontroles mērķisGalvenais īpašnieksIzveidotie pierādījumi
1. Pieņemšana un izolēšanaNovērst neformālu atbildi vai nejaušu izpaušanuPalīdzības dienests, juridiskā pieņemšana, privātuma vadītājsPieprasījuma pieteikums, sākotnējais ziņojums, pielikumi, laikspiedols
2. Autentiskuma validācijaApstiprināt pieprasītāja identitāti, pilnvaras, jurisdikciju un tiesisko instrumentuJuridiskais dienests, DPO, atbilstības funkcijaValidācijas piezīmes, iestādes kontaktinformācijas verifikācija, tiesiskā pamata izvērtējums
3. Lomas noteikšanaIzlemt, vai organizācija darbojas kā pārzinis, apstrādātājs, kopīgs pārzinis vai apakšapstrādātājsPrivātuma vadītājs, līguma īpašnieksPIMS lomas izvērtējums, klienta norādījuma ieraksts, ja organizācija ir apstrādātājs
4. Tvēruma minimizēšanaPārvērst pieprasījumu konkrētās personas datu kategorijās un datumu diapazonosProcesa īpašnieks, drošības funkcija, Juridiskais dienestsDatu kartēšanas izvilkums, minimizēšanas lēmums, rediģēšanas piezīmes
5. ApstiprināšanaNodrošināt autorizētu lēmumu pirms izpaušanasDPO, Juridiskais dienests, CISO, biznesa īpašnieksApstiprinājuma ieraksts, izņēmuma ieraksts steidzamības gadījumā
6. Droša izpaušanaNosūtīt tikai apstiprinātos datus, izmantojot kontrolētus kanālusDrošības funkcija, juridiskās operācijasNosūtīšanas žurnāls, šifrēšanas pierādījumi, saņēmēja apstiprinājums
7. Reģistrēšana un pārskatīšanaSaglabāt pārskatatbildības pierādījumus un gūtās atziņasPIMS vadītājs, atbilstības funkcijaREG08, REG09 vai REG12 ieraksts, audita pieraksti, slēgšanas pārskatīšana

Pirmais noteikums ir maršrutēšana. Katram darbiniekam jāzina, ka oficiāli personas datu pieprasījumi jānovirza uz noteiktu pieņemšanas kanālu. Neviens nedrīkst atbildēt no personīgās pastkastītes. Neviens nedrīkst zvanīt pieprasītājam, izmantojot tālruņa numuru, kas norādīts nepārbaudītā vēstulē. Neviens nedrīkst eksportēt klienta datus, pirms Juridiskais dienests un privātuma funkcija nav pārskatījuši pieprasījumu.

Uzņēmuma P30 Incidentu reaģēšanas politika, 6.5.5. punkts, atbalsta šo maršrutēšanas disciplīnu:

Jebkāda iesaiste ar tiesībaizsardzības iestādēm vai digitālās kriminālistikas pakalpojumu sniedzējiem jāsaskaņo ar Juridisko dienestu un CISO.

Šis punkts ir īpaši svarīgs, ja izpaušanas pieprasījums ir saistīts ar krāpšanu, kibernoziegumu, konta kompromitēšanu, izspiedējprogrammatūru, iekšējiem draudiem vai pārkāpuma izmeklēšanu. Juridiskajam dienestam un drošības funkcijai jāsadarbojas, nevis jādarbojas paralēli.

Uzņēmuma P37 Tiesiskās un regulatīvās atbilstības politika, 7.3.1.2. punkts, kontrolē ārējos paziņojumus:

Jebkādi mutiski vai rakstiski paziņojumi regulatoriem iepriekš jāapstiprina.

7.3.1.3. punkts papildina termiņu un pierādījumu disciplīnu:

Atbildes termiņi jāizseko, un pierādījumu žurnāli jāuztur.

Šie noteikumi nav birokrātiska berze. Tie novērš nejaušas atzīšanās, nekontrolētu izpaušanu, nokavētus termiņus un vājus pierādījumus.

Apstiprināšanas un reģistru disciplīna: audita pierādījumi, ko komandas visbiežāk palaiž garām

Daudzas organizācijas var parādīt sākotnējo pieprasījuma e-pastu. Mazāk organizāciju var parādīt, kurš apstiprināja izpaušanu, kāds tiesiskais pamats tika izmantots, kāpēc konkrēti lauki tika iekļauti vai izslēgti, kā pieprasītājs tika validēts, vai datu subjekts tika informēts vai likumīgi netika informēts un kur atbilde tika reģistrēta.

Šeit Clarysec PIMS reģistri kļūst būtiski.

Pārziņiem uzņēmuma PII09 Personas datu vākšanas, izmantošanas, izpaušanas un koplietošanas politika, 4.4.1. punkts, prasa:

[Pārzinis] Procesa īpašniekam / biznesa īpašniekam PIRMS jebkādas jaunas ārējas izpaušanas vai datu koplietošanas sākšanas REG08 jāreģistrē privātuma vadītāja / PIMS vadītāja pārskatīšanas rezultāts.

4.4.2. punkts nosaka, kas jāfiksē atkārtotai koplietošanai:

[Pārzinis] Piegādātāja / iepirkuma īpašniekam PIRMS atkārtotas ārējas koplietošanas sākšanas REG08 jāreģistrē saņēmēja identitāte, saņēmēja loma, izpaušanas nolūks, personas datu kategorijas, koplietošanas biežums, apstrādes vieta un pilnvarojuma avots.

Apstrādātājiem uzņēmuma PII12 Apstrādātāju, apakšapstrādātāju un trešo pušu privātuma pārvaldības politika, 4.5.3. punkts, paredz īpašu noteikumu juridiski saistošiem un klienta autorizētiem pieprasījumiem:

[Apstrādātājs] Piegādātāja / iepirkuma īpašniekam trešo pušu izpaušanas pieprasījumi, juridiski saistoši izpaušanas pieprasījumi vai klienta autorizēti izpaušanas pieprasījumi jāreģistrē REG08 pirms izpaušanas vai divu darbdienu laikā, ja iepriekšēja reģistrēšana nav atļauta vai operacionāli iespējama.

Ārvalstu publisko iestāžu pieprasījumiem uzņēmuma PII13 Starptautisko personas datu nosūtīšanas politika, 4.4.3. punkts, ir konkrētāks:

[Abi] Privātuma vadītājam / PIMS vadītājam ārvalstu publisko iestāžu izpaušanas pieprasījumi jāreģistrē REG09 vai REG12 pirms izpaušanas, ja tas ir praktiski iespējams, vai vienas darbdienas laikā, ja iepriekšēja reģistrēšana nav praktiski iespējama.

4.4.4. punkts papildina pārskatīšanas disciplīnu:

[Abi] Datu aizsardzības speciālistam / privātuma konsultantam pirms atbildes sniegšanas jāizskata privātuma ziņā būtiski ārvalstu publisko iestāžu izpaušanas pieprasījumi REG09 vai REG12, ja tas ir praktiski iespējams.

Izpaušanas reģistrs ir organizācijas vienotais patiesības avots. To nedrīkst aizstāt ar izkaisītiem e-pastiem, privātiem tērzēšanas pavedieniem vai ad hoc izklājlapām.

Reģistra lauksKo tas pierāda
Pieprasījuma IDPieprasījums tika unikāli izsekots
Pieprasījuma avotsIestāde vai pieprasītājs tika identificēts
Tiesiskā pamatojuma avotsTiesiskais instruments vai pilnvarojums tika izvērtēts
PIMS lomaTika apsvērti pārziņa, apstrādātāja, kopīgā pārziņa vai apakšapstrādātāja pienākumi
Pieprasītās personas datu kategorijasSākotnējais pieprasījuma tvērums tika fiksēts
Apstiprinātās personas datu kategorijasGalīgā izpaušana tika kontrolēta
Izslēgtie personas datiDatu minimizēšana tika aktīvi piemērota
Apstiprinājumu ķēdeJuridiskā dienesta, DPO, CISO un biznesa apstiprinājumi tika reģistrēti
Nosūtīšanas metodeTika izmantoti drošas nosūtīšanas kontroles pasākumi
Paziņošanas lēmumsTika apsvērti pārredzamības ierobežojumi vai atlikšana
Glabāšana un slēgšanaPierādījumi tika saglabāti, un lieta tika slēgta

Praktisks piemērs: regulatora pieprasījums REG08

Pieņemsim, ka regulēta FinTech organizācija saņem rakstisku pieprasījumu no valsts finanšu regulatora par personas datiem, kas saistīti ar aizdomīgiem darījumiem vienam klientam 90 dienu periodā. Pieprasījumā lūgti identitātes pārbaudes ieraksti, darījumu žurnāli, ierīču identifikatori, atbalsta pieteikumi un iekšējās riska piezīmes.

Izmantojot Clarysec rīkkopu, privātuma vadītājs atver REG08 izpaušanas ierakstu.

REG08 lauksPiemēra ieraksts
Pieprasījuma IDREG08-2026-041
Pieprasījuma avotsValsts finanšu regulators, verificēts, izmantojot oficiālo uzraudzības kontaktu direktoriju
Pieprasījuma veidsRegulatora personas datu izpaušanas pieprasījums
PIMS lomaPārzinis
Tiesiskā pamatojuma avotsLikumā noteikts uzraudzības informācijas pieprasījums, atsauce FIN-REQ-7781
NolūksAizdomīgu darījumu izmeklēšana par norādīto klientu
Pieprasītās personas datu kategorijasIdentitātes pārbaudes dati, darījumu žurnāli, ierīču identifikatori, atbalsta saziņa, riska piezīmes
Apstiprinātās personas datu kategorijasDarījumu žurnāli, ierīču identifikatori, attiecīgie identitātes pārbaudes lauki, divi atbalsta pieteikumi datumu diapazonā
Izslēgtie personas datiNesaistīta atbalsta vēsture, iekšējo analītiķu viedokļi ārpus datumu diapazona, atsauces uz trešo pušu klientiem
Minimizēšanas pamatojumsTvērums ierobežots līdz norādītajam klientam, 90 dienu periodam un ierakstiem, kas attiecas uz pieprasījumā identificētajiem darījumiem
DPO pārskatīšanaApstiprināts ar rediģēšanas norādījumiem
Juridiskais apstiprinājumsApstiprināts, atbildes formulējums pārskatīts
CISO pārskatīšanaApstiprināts drošs eksports un nosūtīšanas metode
Nosūtīšanas metodeŠifrēts arhīvs, izmantojot regulatora drošo portālu
Datu subjekta informēšanaAtlikta pieprasījumā norādīta tiesiska ierobežojuma dēļ, noteikts pārskatīšanas datums
GlabāšanaPieprasījuma ieraksts un izpaušanas pakete saglabāta saskaņā ar juridiskās saglabāšanas grafiku
Slēgšanas pierādījumiPortāla iesniegšanas kvīts, izpaušanas paketes hešvērtība, apstiprinājumu ķēde

Tā ir atšķirība starp “mēs izpildījām pieprasījumu” un “mēs varam pierādīt, ka izpildījām to likumīgi un samērīgi”. Ja klients vēlāk iesniedz sūdzību, ja iestāde uzdod papildu jautājumus vai ja auditors iekļauj izpaušanu izlasē, ieraksts parāda pārvaldības loģiku.

Pierādījumu saglabāšana: palīdzot nesabojājiet faktus

Ja tiesībaizsardzības iestādes vai regulatora pieprasījums ir saistīts ar izmeklēšanu, privātuma pārvaldība pārklājas ar digitālo kriminālistiku un juridisko saglabāšanu. Izpaustie dati bieži ir pierādījumi, un to iegūšanas darbībai jāsaglabā integritāte.

Tiesiskās un regulatīvās atbilstības politika — SME, 6.4.1. punkts, nosaka kontekstu:

Strīda, izmeklēšanas vai juridiska pieprasījuma gadījumā:

6.4.1.2. punkts sniedz skaidru norādījumu:

Darbinieki nedrīkst dzēst vai mainīt materiālus, kas var būt daļa no izmeklēšanas.

P31S Digitālo pierādījumu iegūšanas un kriminālistikas politika — SME, 2.2.5. punkts, nepārprotami ietver:

Regulatoru vai tiesībaizsardzības iestāžu pieprasījumi

5.2.1. punkts nosaka žurnālfiksēšanas disciplīnu:

Katrs digitālo pierādījumu objekts jāreģistrē ar:

Operacionāli pierādījumu žurnālā jāfiksē unikāls identifikators, iegūšanas datums un laiks, iegūšanas veicēja vārds, avota atrašanās vieta un, ja piemērojams, kriptogrāfiskā hešvērtība. Mērķis ir izsekojamība. Ja žurnāli tiek eksportēti manuāli, datņu nosaukumi tiek mainīti, laikspiedoli nav skaidri vai hešvērtība netiek saglabāta, organizācijai vēlāk var būt grūti pierādīt integritāti.

Spēcīga pierādījumu darbplūsma arī ierobežo piekļuvi. Izpaušanas paketes jāglabā ierobežotas piekļuves vietās, jāpārsūta šifrēti, jāizseko ar nosūtīšanas žurnāliem un jāglabā saskaņā ar juridiskās saglabāšanas un glabāšanas prasībām. Ja izpaušanas pieprasījums pārklājas ar reaģēšanu uz incidentiem, komandai jāzina, kad pāriet no trūkumu novēršanas režīma uz izmeklēšanas pozīciju.

Savstarpējās atbilstības kartēšana: viena darbplūsma, daudzi pienākumi

Labi izstrādāta personas datu izpaušanas pieprasījumu darbplūsma var izpildīt vairāku ietvaru prasības bez darba dublēšanas. Zenith Controls palīdz organizācijām kartēt vienus un tos pašus operacionālos pierādījumus pret privātuma, kiberdrošības, darbības noturības un pārvaldības prasībām.

IetvarsKo sagaida auditors vai regulatorsKā to atbalsta Clarysec darbplūsma
ISO 27701:2025PIMS lomas, likumīgas izpaušanas pārvaldība, apstrādātāja norādījumi, personas datu izpaušanas ieraksti, privātuma riska apstrādeLomas noteikšana, REG08, REG09, REG12, DPO pārskatīšana, minimizēšanas pamatojums
GDPRTiesiskais pamats, pārskatatbildība, datu minimizēšana, drošība, pārredzamības lēmumi, apstrādātāju un nosūtīšanas pārvaldībaTiesiskā pamatojuma izvērtējums, apstiprinājumu ķēde, ierobežota izpaušanas pakete, drošas nosūtīšanas pierādījumi
ISO/IEC 27001:2022 un ISO/IEC 27002:2022Saziņa ar iestādēm, pierādījumu vākšana, PII aizsardzība, piekļuves kontrole, žurnālfiksēšana, kriptogrāfija, dzēšanaIestāžu kontaktu matrica, pierādījumu žurnāls, drošs eksports, hešvērtības ieraksts, glabāšanas lēmums
NIS2Incidentu ziņošanas disciplīna, sadarbība ar kompetentajām iestādēm, pārvaldības pārskatatbildība, piegādes ķēdes apzināšanāsJuridiskā dienesta un CISO koordinācija, atbildes termiņi, kompetento iestāžu kontaktu reģistrs, saistība ar incidentu
DORAFinanšu vienības IKT incidentu pārvaldība, mijiedarbība ar regulatoru, gatavība pierādījumiem, trešo pušu IKT risksRegulatora pieprasījumu maršrutēšana, droši izpaušanas ieraksti, incidenta pierādījumu saglabāšana, piegādātāja saskarne
NIST Cybersecurity FrameworkPārvaldības, identificēšanas, aizsardzības, atklāšanas, reaģēšanas un atjaunošanas rezultāti kiberdrošības notikumiemPolitikas īpašumtiesības, datu uzskaite, piekļuves kontroles pasākumi, žurnālfiksēšana, reaģēšanas darbplūsma, pārskatīšana pēc atbildes
COBIT 2019Pārvaldības mērķi atbilstībai, riskam, drošībai, informācijas pārvaldībai un apliecināšanaiLēmumu tiesības, procesa īpašumtiesības, audita ieraksti, vadības pārraudzība, nepārtraukta uzlabošana

Atbalstošie ISO standarti arī ir nozīmīgi. ISO/IEC 27035 palīdz strukturēt incidentu pārvaldību, ja pieprasījums ir saistīts ar incidentu. ISO/IEC 27037 atbalsta digitālo pierādījumu identificēšanu, vākšanu, iegūšanu un saglabāšanu. ISO/IEC 27018 ir noderīgs, ja publiskā mākoņa apstrādātāji apstrādā personas datus. ISO/IEC 27017 atbalsta mākoņdrošības atbildības. ISO 22301 kļūst nozīmīgs, ja saziņa ar iestādēm un izpaušanas pienākumi jāturpina krīzes apstākļos. ISO/IEC 27006-1:2024 ir netieši svarīgs, jo sertifikācijas auditori sagaida konsekventu un auditējamu darbības jomā iekļauto pārvaldības sistēmas kontroles pasākumu ieviešanu.

Mērķis nav izveidot atsevišķu atbilstības procesu katram ietvaram. Mērķis ir izstrādāt vienu aizstāvamu darbplūsmu, kas rada atkārtoti izmantojamus pierādījumus.

Kā dažādi auditori testēs darbplūsmu

ISO/IEC 27001:2022 auditors parasti sāks ar pārvaldības sistēmas integrāciju. Viņš jautās, vai organizācija ir noteikusi ieinteresētās puses, tiesiskās un regulatīvās prasības, riskus, kontroles mērķus, dokumentētas procedūras, piešķirtās atbildības un saglabātos pierādījumus. Izpaušanas pieprasījumiem auditors var veikt izlasi no incidentiem, regulatoru sarakstes, iestāžu kontaktu sarakstiem, pierādījumu žurnāliem un privātuma ierakstiem. Visticamāk, tiks testēti Annex A kontroles pasākumi A.5.5 Saziņa ar iestādēm, A.5.28 Pierādījumu vākšana un A.5.34 Privātums un personu identificējošas informācijas (PII) aizsardzība.

ISO 27701:2025 izvērtētājs koncentrēsies uz PIMS lomu skaidrību. Vai jūs bijāt pārzinis, apstrādātājs, kopīgs pārzinis vai apakšapstrādātājs? Ja pārzinis — kur ir tiesiskais pamats un izpaušanas ieraksts? Ja apstrādātājs — vai rīkojāties saskaņā ar pārziņa norādījumiem, ja vien tiesiski nebijāt spiesti rīkoties citādi? Vai klients tika informēts, ja tas bija nepieciešams vai līgumiski sagaidāms? Vai ārvalstu publisko iestāžu pieprasījumi tika reģistrēti un pārskatīti?

GDPR regulators koncentrēsies uz pārskatatbildību. Jautājums nebūs tikai “vai jums bija juridisks pienākums?”. Tas būs “kāpēc tika izpausts šāds datu apjoms, kurš to apstiprināja, kā tika validēts pieprasītājs, kāda drošība aizsargāja nosūtīšanu, kā tika izvērtēta pārredzamība un kur ir ieraksts?”.

Uz NIST orientēts izvērtētājs pārbaudīs pārvaldības un reaģēšanas rezultātus. Viņš jautās, vai lomas bija definētas, vai žurnāli tika saglabāti, vai piekļuve izpaušanas paketēm tika ierobežota, vai reaģēšanas darbības tika dokumentētas un vai gūtās atziņas uzlaboja programmu.

COBIT 2019 vai ISACA auditors testēs lēmumu tiesību pārvaldību. Viņš var jautāt, vai vadība noteica procesa īpašnieku, vai Juridiskā dienesta, privātuma, drošības un biznesa atbildības ir nošķirtas, vai izņēmumi tiek apstiprināti, vai rādītāji tiek ziņoti un vai apliecinājums var balstīties uz pierādījumiem.

Regulators, auditors, CISO un DPO vienu un to pašu ierakstu var skatīt atšķirīgi. Privātuma speciālists redz likumīgas izpaušanas ierakstu. Drošības auditors redz pierādījumu saglabāšanu un drošu nosūtīšanu. Pārvaldības auditors redz pārskatatbildību un lēmumu tiesības. Organizācijai jāspēj atbildēt visiem, izmantojot tos pašus kontroles pierādījumus.

Biežākie kļūmju modeļi

Clarysec atkārtoti redz vienas un tās pašas novēršamās kļūmes.

Pirmā ir neformāla saziņa ar iestādi. Policijas darbinieks zvana atbalsta komandai, atbalsta komanda vēlas palīdzēt, un darbinieks mutiski apstiprina konta informāciju. Nav validācijas, nav apstiprinājuma, nav ieraksta.

Otrā ir pārmērīga izpaušana. Organizācija nosūta pilnu klienta lietu, nevis konkrētos ierakstus un nepieciešamo datumu diapazonu. Tas rada novēršamu GDPR risku un vājina uzticēšanos.

Trešā ir apstrādātāja pilnvaru pārsniegšana. SaaS pakalpojumu sniedzējs saņem tiesībaizsardzības iestādes pieprasījumu par klienta kontrolētiem personas datiem un atbild, neinformējot vai neiesaistot klientu, lai gan līgums un PIMS loma prasa maršrutēšanu, ja vien tas nav tiesiski aizliegts.

Ceturtā ir ārvalstu iestādes pārskatīšanas trūkums. Pieprasījums no ārvalsts publiskas iestādes tiek apstrādāts kā parasta izpaušana bez nosūtīšanas izvērtēšanas, DPO pārskatīšanas vai REG09 vai REG12 ieraksta.

Piektā ir vāja pierādījumu apstrāde. Žurnāli tiek eksportēti manuāli, laikspiedoli nav skaidri, datņu nosaukumi tiek mainīti, un nav hešvērtības vai pierādījumu glabāšanas ķēdes ieraksta.

Sestā ir nepārvaldīta konfidencialitāte. Pieprasījuma kopijā tiek iekļauts pārāk daudz darbinieku, tostarp personas bez nepieciešamības zināt. Sensitīva izmeklēšanas informācija izplatās tērzēšanas kanālos.

Septītā ir termiņu neskaidrība. Organizācija nokavē tiesiski nozīmīgu atbildes datumu, jo pieprasījums atrodas pastkastītē, nevis izsekojamā darbplūsmā.

Katra no šīm kļūmēm ir novēršama ar iepriekš noteiktiem kanāliem, reģistriem, apstiprinājumiem un pierādījumu standartiem.

Lomas un lēmumu tiesības

Praktisks pārvaldības modelis nosaka lēmumu tiesības pirms pirmā pieprasījuma saņemšanas.

LomaAtbildība izpaušanas darbplūsmā
Pirmās līnijas darbinieksPārsūtīt pieprasījumu uz apstiprinātu pieņemšanas kanālu, neatbildēt pēc būtības, neizpaust personas datus
Juridiskais dienestsValidēt tiesisko instrumentu, jurisdikciju, pilnvarojumu, konfidencialitātes ierobežojumu un atbildes formulējumu
DPO vai privātuma konsultantsIzvērtēt GDPR un ISO 27701:2025 ietekmi, minimizēšanu, pārredzamību, PIMS lomu un nosūtīšanas jautājumus
Galvenais informācijas drošības vadītājs (CISO)Apstiprināt drošu pierādījumu vākšanu, drošu eksportu, nosūtīšanas metodi un saistību ar incidentu
Procesa īpašnieksIdentificēt attiecīgās sistēmas un datu kategorijas, apstiprināt biznesa kontekstu
PIMS vadītājsUzturēt REG08, REG09 vai REG12, izsekot pārskatīšanas rezultātu, saglabāt audita pierādījumus
Izpildvadības apstiprinātājsApstiprināt augsta riska, ārvalstu, stratēģiski vai reputācijas ziņā sensitīvas izpaušanas
Piegādātāja vai iepirkuma īpašnieksKoordinēt ar trešajām pusēm vai apstrādātāju saistīto pieprasījumu ierakstus un līgumiskos pienākumus

Šis modelis jāiekļauj informētības apmācībā. Darbiniekiem nav jāzina katra juridiskā nianse, bet viņiem jāzina noteikums: oficiāli pieprasījumi jānovirza uz noteikto kanālu, un personas dati netiek izpausti bez autorizācijas.

Gatavības kontrolsaraksts nākamajai galda scenārija izspēlei

Izmantojiet šo kontrolsarakstu privātuma pārvaldības darbnīcā, iekšējā auditā vai galda scenārija izspēlē.

  • Vai mums ir viens pieņemšanas kanāls tiesībaizsardzības iestāžu un regulatoru personas datu izpaušanas pieprasījumiem?
  • Vai darbinieki zina, ka nedrīkst atbildēt neformāli?
  • Vai mēs validējam pieprasītāja identitāti, izmantojot neatkarīgus kontaktinformācijas avotus?
  • Vai mēs nošķiram regulatoru pieprasījumus, tiesas rīkojumus, tiesībaizsardzības iestāžu pieprasījumus, klienta autorizētus pieprasījumus un ārvalstu publisko iestāžu pieprasījumus?
  • Vai pirms atbildes sniegšanas nosakām, vai esam pārzinis, apstrādātājs, kopīgs pārzinis vai apakšapstrādātājs?
  • Vai dokumentējam tiesisko pamatu, tiesisko pilnvarojumu, jurisdikciju un konfidencialitātes ierobežojumus?
  • Vai piemērojam datu minimizēšanu un rediģējam nesaistītus personas datus?
  • Vai privātuma ziņā būtiskiem pieprasījumiem prasām DPO vai privātuma konsultanta pārskatīšanu?
  • Vai gadījumos, kuros iesaistītas tiesībaizsardzības iestādes vai digitālās kriminālistikas jautājumi, prasām Juridiskā dienesta un CISO koordināciju?
  • Vai pārziņa izpaušanas reģistrējam REG08?
  • Vai ārvalstu publisko iestāžu pieprasījumus reģistrējam REG09 vai REG12?
  • Vai izsekojam atbildes termiņus un uzturam pierādījumu žurnālus?
  • Vai saglabājam potenciāli būtiskus materiālus un novēršam to dzēšanu vai grozīšanu?
  • Vai aizsargājam izpaušanas paketes ar šifrēšanu, piekļuves kontroli un nosūtīšanas žurnālfiksēšanu?
  • Vai augsta riska pieprasījumiem veicam pārskatīšanu pēc atbildes sniegšanas?
  • Vai ziņojam vadībai rādītājus un gūtās atziņas?

Ja uz kādu no šiem jautājumiem atbilde ir “parasti to kārtojam pa e-pastu”, process vēl nav gatavs auditam.

Iekļaujiet darbplūsmu ISMS un PIMS

Labākais pārvaldības modelis nedzīvo tikai Juridiskajā dienestā. Tas ir daļa no informācijas drošības pārvaldības sistēmas (ISMS) un privātuma informācijas pārvaldības sistēmas (PIMS).

Zenith Blueprint fāzē “ISMS pamati un vadība”, 5. solī, iesaka plānot ārējo komunikāciju un noteikt, kurš sazinās ar regulatoriem, klientiem, partneriem un sabiedrību. Tajā norādīts, ka Juridiskais dienests var piedalīties regulatoriem adresēto paziņojumu formulēšanā. Šis princips tieši attiecas uz oficiāliem personas datu izpaušanas pieprasījumiem.

Fāze “Kontroles pasākumi darbībā” pēc tam operacionalizē darbplūsmu, izmantojot saziņu ar iestādēm, personas datu aizsardzību un pierādījumu vākšanu. Tāpēc Clarysec 30 soļu ceļvedis neuzskata privātumu, drošību un atbilstību par nesaistītām darba plūsmām. Reāls pieprasījums šķērso visas trīs jomas.

Biznesa īpašniekiem ieguvums ir mazāks haoss. CISO tas precizē, kad drošības pierādījumus var vākt, izpaust vai saglabāt. DPO tas rada pierādāmu GDPR un ISO 27701:2025 pārskatatbildību. Atbilstības vadītājiem tas rada reģistrus un audita pierakstus. Auditoriem tas izveido skaidru ceļu no politikas prasības līdz operacionāliem pierādījumiem.

Nākamie soļi ar Clarysec

Regulatora vai tiesībaizsardzības iestādes pieprasījums nav brīdis, kad izgudrot privātuma pārvaldības procesu. Tas ir brīdis, kad process tiek pārbaudīts.

Sāciet ar galda scenārija izspēli. Izmantojiet reālistisku kibernozieguma, regulatora vai ārvalstu publiskas iestādes pieprasījumu. Lūdziet Juridiskajam dienestam, DPO, CISO, atbalsta komandai un attiecīgajam procesa īpašniekam iziet cauri pieņemšanai, validēšanai, lomas noteikšanai, minimizēšanai, apstiprināšanai, drošai nosūtīšanai, reģistra ierakstam, pierādījumu saglabāšanai un slēgšanas pārskatīšanai.

Pēc tam salīdziniet savas atbildes ar Clarysec darbības modeli:

  • Izmantojiet Zenith Blueprint: auditora 30 soļu ceļvedi, lai saziņu ar iestādēm, ārējo komunikāciju, personas datu aizsardzību un pierādījumu vākšanu iekļautu savā ISMS un PIMS ieviešanas plānā.
  • Izmantojiet Zenith Controls: savstarpējās atbilstības ceļvedi, lai ISO 27701:2025, GDPR, ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, NIST un COBIT 2019 prasības kartētu vienā auditam gatavā kontroles pasākumu naratīvā.
  • Izmantojiet Clarysec Datu aizsardzības un privātuma, Reaģēšanas uz incidentiem, Tiesiskās un regulatīvās atbilstības, Digitālo pierādījumu iegūšanas un kriminālistikas, Personas datu izpaušanas, Apstrādātāju pārvaldības un Starptautisko nosūtīšanu politikas, lai definētu darbplūsmas noteikumus, reģistrus, apstiprinājumus un pierādījumu prasības.

Clarysec palīdz komandām pāriet no reaktīvas panikas uz kontrolētu izpildi. Lejupielādējiet attiecīgās Clarysec rīkkopas, veiciet galda scenārija izspēli un rezervējiet izpaušanas pārvaldības izvērtēšanu, lai pārliecinātos, ka nākamā atbilde ir likumīga, minimāla, apstiprināta, reģistrēta, droša un auditējama.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

ENISA EUVD 2026: ISO 27001, NIS2 un CRA vajadzībām

ENISA EUVD 2026: ISO 27001, NIS2 un CRA vajadzībām

ENISA EUVD mainīs to, kā ES organizācijas izmanto draudu izlūkošanas informāciju par ievainojamībām, pārvalda CVD, koordinē piegādātājus un pamato NIS2, DORA, GDPR un CRA ziņošanas lēmumus. Šajā ceļvedī parādīts, kā ISO/IEC 27001:2022, Clarysec politikas, Zenith Blueprint un Zenith Controls pārvērš ievainojamību brīdinājumus auditējamā darbības modelī.

Drošas attālinātās piekļuves un VPN pārvaldība NIS2 un DORA prasību izpildei

Drošas attālinātās piekļuves un VPN pārvaldība NIS2 un DORA prasību izpildei

Attālinātā piekļuve vairs nav šaurs IT jautājums. 2026. gadā VPN, MFA, piegādātāju piekļuvei, galiekārtu drošības stāvoklim, žurnālfiksēšanai un ielāpu pierādījumiem jāatbilst ISO 27001 auditoru prasībām, NIS2 vadības pārskatatbildībai, DORA IKT risku prasībām un GDPR Article 32 drošības pienākumiem.