⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Wnioski o ujawnienie PII w ramach GDPR i ISO 27701

Igor Petreski
14 min read
Gotowy do audytu proces obsługi wniosków o ujawnienie PII dla GDPR i ISO 27701

Wniosek wpływa w piątek o 16:47

Menedżer ds. sukcesu klienta przekazuje do Działu Prawnego wiadomość e-mail z tematem: „PILNY WNIOSEK POLICJI”. W załączeniu znajduje się zeskanowane pismo z prośbą o dane konta, historię logowania, adresy IP, zapisy płatności oraz „wszelkie inne istotne informacje” dotyczące wskazanej osoby. Nadawca twierdzi, że reprezentuje jednostkę ds. zwalczania cyberprzestępczości. Wiadomość zawiera żądanie ujawnienia danych w ciągu 24 godzin oraz prośbę, aby organizacja „nie informowała osoby, której dane dotyczą”.

W tym samym czasie zespół operacji bezpieczeństwa bada nietypową aktywność na tym samym koncie klienta. IOD znajduje się w innej strefie czasowej. Dyrektor ds. bezpieczeństwa informacji pyta, czy jest to incydent, wniosek prawny, ujawnienie na gruncie GDPR, czy wszystkie te kwestie jednocześnie. Sprzedaż chce „w pełni współpracować”. Wsparcie pyta, czy może wyeksportować profil klienta. Ktoś sugeruje wysłanie pełnego rekordu CRM, bo „organy poprosiły o wszystko”.

To właśnie luka w ładzie.

Większość organizacji ma politykę prywatności, plan reagowania na incydenty oraz proces obsługi żądań dostępu do danych osobowych. Wiele potrafi zarządzać due diligence dostawców, korespondencją regulacyjną i zgłoszeniami naruszeń. Znacznie mniej organizacji ma powtarzalny proces obsługi wymuszonych lub oficjalnych wniosków o ujawnienie PII składanych przez organy ścigania, regulatorów, sądy, organy podatkowe, nadzór finansowy, regulatorów telekomunikacyjnych, jednostki ds. cyberprzestępczości lub zagraniczne organy publiczne.

Ta luka jest niebezpieczna. Realizacja fałszywego wniosku może stać się naruszeniem ochrony danych osobowych. Odmowa realizacji zasadnego wniosku może spowodować ekspozycję prawną. Odpowiedź udzielona bez kontrolowanego procesu może prowadzić do nadmiernego ujawnienia, przerwania łańcucha nadzoru, przekroczenia terminów, niezgodnych z prawem transferów międzynarodowych oraz negatywnego wyniku audytu.

Na gruncie GDPR, ISO 27701:2025 oraz ISO/IEC 27001:2022 oficjalny wniosek o ujawnienie PII nie jest wyłącznie sprawą skrzynki Działu Prawnego. Dotyczy podstawy prawnej, rozliczalności, ograniczenia celu, minimalizacji danych, poufności, zatwierdzania opartego na rolach, nadzoru nad transferami międzynarodowymi, poleceń dla podmiotu przetwarzającego, zabezpieczenia dowodów, bezpiecznego transferu oraz ścieżek audytowych.

Praktyczny test jest prosty: gdy wpływa wniosek, czy organizacja potrafi wykazać, że zweryfikowała wnioskodawcę, oceniła podstawę uprawnienia organu, zminimalizowała ujawnienie, uzyskała właściwe zatwierdzenia, zabezpieczyła dowody, zarejestrowała decyzję oraz zachowała gotową do audytu ścieżkę?

Stanowisko Clarysec jest jednoznaczne. Wnioski organów ścigania i regulatorów o ujawnienie PII należy traktować jako kontrolowany proces w zakresie prywatności i bezpieczeństwa informacji, a nie jako improwizowaną odpowiedź e-mailową.

Dlaczego oficjalne wnioski o ujawnienie PII są inne

Typowe uzgodnienie dotyczące zewnętrznego udostępniania danych zwykle zaczyna się od celu biznesowego. Dostawca potrzebuje danych pracowników do naliczania wynagrodzeń. Dostawca SaaS przetwarza identyfikatory klientów. Partner otrzymuje dane transakcyjne na podstawie umowy. Wzorzec nadzoru jest znany: due diligence, umowa powierzenia przetwarzania danych, wymagania bezpieczeństwa, ocena transferu, warunki retencji oraz bieżące monitorowanie.

Wnioski organów ścigania i regulatorów o ujawnienie PII są inne. Są wywołane zdarzeniem, wrażliwe czasowo, często poufne, a czasem prawnie wiążące. Mogą wpływać poza kanałami zakupowymi. Mogą obejmować szerokie kategorie PII. Mogą zakazywać powiadomienia. Mogą dotyczyć organów zagranicznych. Mogą pojawić się w trakcie incydentu, postępowania dotyczącego oszustwa, blokady prawnej, kontroli regulacyjnej lub dochodzenia w sprawie cyberprzestępstwa.

Powoduje to trzy natychmiastowe wymagania dotyczące ładu.

Po pierwsze, organizacja musi wiedzieć, kto może odpowiedzieć. Pracownik pierwszej linii nie powinien decydować, czy wniosek policji jest ważny, czy brzmienie pisma regulatora jest wiążące, ani czy powiadomienie klienta jest zabronione.

Po drugie, współpracę należy oddzielić od nadmiernego ujawnienia. GDPR nie uniemożliwia zgodnej z prawem współpracy z organami, ale nadal wymaga ważnej podstawy prawnej, rzetelności, przejrzystości tam, gdzie ma zastosowanie, ograniczenia celu, minimalizacji danych, integralności, poufności i rozliczalności.

Po trzecie, dowody muszą zostać zabezpieczone. Jeżeli wniosek dotyczy incydentu, zdarzenia oszustwa, sprawy spornej lub zapytania organu nadzorczego, usunięcie logów, modyfikacja zapisów albo eksport danych bez identyfikowalności mogą zaszkodzić zarówno zgodności, jak i możliwości obrony prawnej.

Najsilniejszy model operacyjny łączy ład w zakresie prywatności, zatwierdzenie prawne, postępowanie z materiałem dowodowym, reagowanie na incydenty, bezpieczną transmisję oraz kontakt z organami w jeden proces.

Klaster kontroli Clarysec: organy, prywatność i dowody

W Zenith Controls: The Cross-Compliance Guide Clarysec traktuje nadzór nad ujawnieniami wobec organów ścigania i regulatorów jako powiązany klaster kontroli, a nie jako odrębne zadanie prywatnościowe. Centralne zabezpieczenia ISO/IEC 27002:2022 to 5.5 Contact with authorities, 5.28 Collection of evidence oraz 5.34 Privacy and protection of PII. Relacje wspierające obejmują klasyfikację i oznaczanie, kontrolę dostępu, relacje z dostawcami, zarządzanie incydentami, rejestrowanie, synchronizację zegara, kryptografię, maskowanie, usuwanie oraz przekazywanie informacji.

Ma to znaczenie, ponieważ oficjalne wnioski o ujawnienie mogą zakończyć się niepowodzeniem w wielu punktach. Zespół ds. prywatności może zweryfikować podstawę prawną, ale nie zabezpieczyć dowodów. SOC może zabezpieczyć logi, ale ujawnić zbyt dużo PII. Dział Prawny może zatwierdzić odpowiedź, ale zapomnieć o aktualizacji rejestru ujawnień. Podmiot przetwarzający może odpowiedzieć bezpośrednio organowi, choć powinien był przekierować wniosek do administratora.

Zenith Blueprint: An Auditor’s 30-Step Roadmap wzmacnia to operacyjne powiązanie w fazie Controls in Action, krok 22, w ramach Contact with Authorities:

Control 5.5 zapewnia, że organizacja jest przygotowana do współpracy z organami zewnętrznymi wtedy, gdy jest to konieczne — nie reaktywnie ani pod presją paniki, lecz przez uprzednio zdefiniowane, ustrukturyzowane i dobrze rozumiane kanały.

Ta sama sekcja określa pytania, na które trzeba odpowiedzieć, zanim pojawi się rzeczywisty wniosek:

Zasada jest prosta: jeżeli organizacja stałaby się celem cyberataku, uczestniczyłaby w naruszeniu ochrony danych albo znalazła się pod dochodzeniem, kto kontaktowałby się z organami? Skąd ta osoba wiedziałaby, co powiedzieć? W jakich warunkach taki kontakt zostałby zainicjowany? Na te pytania trzeba odpowiedzieć z wyprzedzeniem, a nie po fakcie.

W odniesieniu do ochrony PII Zenith Blueprint, w fazie Controls in Action, krok 23, przedstawia prywatność jako obowiązek obejmujący cały cykl życia:

Control 5.34 wymaga od organizacji ochrony prywatności osób fizycznych przez wdrożenie odpowiednich środków dotyczących postępowania z PII przez cały cykl życia tych danych.

W odniesieniu do dowodów ta sama faza i krok wyjaśniają, dlaczego nieformalne postępowanie jest ryzykowne:

Control 5.28 uznaje, że po incydencie to, co można udowodnić, ma równie duże znaczenie jak to, co faktycznie się wydarzyło.

Łącznie te trzy zasady definiują model ładu: wiadomo, kto kontaktuje się z organami, PII jest chronione przez cały cykl życia ujawnienia, a dowody są zabezpieczane w sposób możliwy do obrony.

Perspektywa GDPR i ISO 27701:2025 na wymuszone ujawnienie

ISO 27701:2025 wzmacnia potrzebę dyscypliny w ramach systemu zarządzania informacjami o prywatności. PIMS powinien określać, jak administratorzy PII i podmioty przetwarzające PII obsługują oficjalne wnioski o ujawnienie, w tym przyjęcie, walidację, przegląd prawny, autoryzację, rejestrowanie, minimalizację, bezpieczną transmisję, retencję oraz przegląd po udzieleniu odpowiedzi.

Dla administratora kluczowe pytanie brzmi, czy organizacja określa cele i sposoby przetwarzania, a zatem musi zdecydować, czy ujawnienie jest zgodne z prawem i w jaki sposób powinno nastąpić. Dla podmiotu przetwarzającego pytanie brzmi, czy może w ogóle ujawnić dane bez polecenia administratora, chyba że wymaga tego prawo. Dla podwykonawcy przetwarzania kierowanie wniosku oraz obowiązki przenoszone na dalsze podmioty stają się jeszcze bardziej wrażliwe.

GDPR wzmacnia te same wymagania operacyjne. Ujawnienie danych organowi publicznemu nadal jest przetwarzaniem. Organizacja potrzebuje podstawy prawnej zgodnie z Article 6, udokumentowanego celu, odpowiedniego bezpieczeństwa, minimalizacji danych zgodnie z Article 5(1)(c) oraz dowodów rozliczalności zgodnie z Article 5(2). W wielu przypadkach podstawą prawną będzie Article 6(1)(c), czyli przetwarzanie niezbędne do wypełnienia obowiązku prawnego, ale dopiero po zweryfikowaniu wniosku i jurysdykcji przez Dział Prawny.

Gdy wniosek pochodzi od zagranicznego organu publicznego, niezbędne stają się nadzór nad transferem oraz przegląd IOD. Gdy wniosek dotyczy podmiotu przetwarzającego, należy sprawdzić umowne zasady powiadamiania i wydawania poleceń. Gdy wniosek dotyczy incydentu cyberbezpieczeństwa, odpowiedź musi być zgodna z wymaganiami obsługi incydentów i gromadzenia dowodów.

Zestaw polityk Clarysec przekłada te wymagania na reguły operacyjne.

Firmowa P17 Polityka ochrony danych i prywatności, klauzula 6.1.1, stanowi:

Całe przetwarzanie musi opierać się na ważnej podstawie prawnej, np. zgodzie, umowie albo obowiązku prawnym.

Ta sama polityka, klauzula 6.2.1, dodaje podstawę minimalizacji:

Zbierane i przetwarzane mogą być wyłącznie dane niezbędne do określonego, prawnie uzasadnionego celu biznesowego.

Dla MŚP P17S Polityka ochrony danych i prywatności - MŚP, klauzula 6.2.1, stanowi:

Należy zbierać i przechowywać wyłącznie minimalny zakres niezbędnych danych osobowych.

Te klauzule mają znaczenie, gdy wniosek obejmuje „wszystkie informacje”, „pełną historię” albo „wszelkie powiązane zapisy”. Prawidłową odpowiedzią nie jest eksport każdego pola. Prawidłową odpowiedzią jest zweryfikowanie wniosku, ustalenie prawnie wymaganego zakresu, ujawnienie wyłącznie niezbędnych PII, udokumentowanie decyzji oraz zachowanie dowodów.

Od paniki w skrzynce e-mail do kontrolowanego ujawnienia

Dojrzały proces musi być na tyle prosty, aby pracownicy pierwszej linii mogli go stosować, oraz na tyle rygorystyczny, aby spełniał oczekiwania audytorów, regulatorów i sądów. Clarysec rekomenduje model siedmioetapowy.

EtapCel kontroliGłówny właścicielTworzone dowody
1. Przyjęcie i kwarantannaZapobieżenie nieformalnej odpowiedzi lub przypadkowemu ujawnieniuService desk, punkt przyjęcia w Dziale Prawnym, osoba odpowiedzialna za prywatnośćZgłoszenie wniosku, oryginalna wiadomość, załączniki, znacznik czasu
2. Walidacja autentycznościPotwierdzenie tożsamości wnioskodawcy, uprawnień, jurysdykcji i instrumentu prawnegoDział Prawny, IOD, zgodnośćNotatki z walidacji, weryfikacja kontaktu z organem, ocena podstawy prawnej
3. Ustalenie roliDecyzja, czy organizacja działa jako administrator, podmiot przetwarzający, współadministrator czy podwykonawca przetwarzaniaOsoba odpowiedzialna za prywatność, właściciel umowyOcena roli PIMS, zapis polecenia klienta, jeżeli organizacja działa jako podmiot przetwarzający
4. Minimalizacja zakresuPrzełożenie wniosku na konkretne kategorie PII i zakresy datWłaściciel procesu, bezpieczeństwo, Dział PrawnyWyciąg z mapowania danych, decyzja o minimalizacji, notatki z redakcji danych
5. ZatwierdzenieZapewnienie autoryzowanej decyzji przed ujawnieniemIOD, Dział Prawny, Dyrektor ds. bezpieczeństwa informacji, właściciel biznesowyZapis zatwierdzenia, zapis odstępstwa w trybie pilnym
6. Bezpieczne ujawnieniePrzekazanie wyłącznie zatwierdzonych danych przez kontrolowane kanałyBezpieczeństwo, operacje prawneRejestr transferu, dowody szyfrowania, potwierdzenie odbiorcy
7. Rejestracja i przeglądZachowanie dowodów rozliczalności i wniosków z procesuMenedżer PIMS, zgodnośćWpis w REG08, REG09 lub REG12, ścieżka audytowa, przegląd zamknięcia

Pierwszą zasadą jest kierowanie wniosku. Każdy pracownik powinien wiedzieć, że oficjalne wnioski dotyczące PII trafiają do zdefiniowanej ścieżki przyjęcia. Nikt nie powinien odpowiadać z prywatnej skrzynki. Nikt nie powinien dzwonić do wnioskodawcy na numer telefonu podany w niezweryfikowanym piśmie. Nikt nie powinien eksportować danych klienta przed przeglądem wniosku przez Dział Prawny i funkcję prywatności.

Firmowa P30 Polityka reagowania na incydenty, klauzula 6.5.5, wspiera tę dyscyplinę kierowania:

Każdy kontakt z organami ścigania lub dostawcami usług informatyki śledczej musi być koordynowany przez Dział Prawny i Dyrektora ds. bezpieczeństwa informacji.

Ta klauzula jest szczególnie ważna, gdy wniosek o ujawnienie wiąże się z oszustwem, cyberprzestępczością, naruszeniem bezpieczeństwa konta, ransomware, zagrożeniem wewnętrznym albo dochodzeniem dotyczącym naruszenia. Dział Prawny i bezpieczeństwo muszą działać w koordynacji, a nie równolegle.

Firmowa P37 Polityka zgodności prawnej i regulacyjnej, klauzula 7.3.1.2, kontroluje oświadczenia zewnętrzne:

Wszelkie ustne lub pisemne oświadczenia kierowane do regulatorów muszą być uprzednio zatwierdzone.

Klauzula 7.3.1.3 dodaje dyscyplinę terminów i dowodów:

Terminy odpowiedzi muszą być śledzone, a rejestry materiału dowodowego utrzymywane.

Te reguły nie są biurokratycznym obciążeniem. Zapobiegają przypadkowym przyznaniom, niekontrolowanemu ujawnieniu, przekroczeniu terminów i słabym dowodom.

Dyscyplina zatwierdzania i rejestrów: dowody audytowe, których często brakuje zespołom

Wiele organizacji potrafi pokazać oryginalną wiadomość z wnioskiem. Znacznie mniej potrafi wykazać, kto zatwierdził ujawnienie, jaką podstawę prawną zastosowano, dlaczego określone pola uwzględniono albo wyłączono, jak zweryfikowano wnioskodawcę, czy osoba, której dane dotyczą, została powiadomiona albo zgodnie z prawem nie została powiadomiona, oraz gdzie zarejestrowano odpowiedź.

W tym miejscu kluczowe stają się rejestry PIMS Clarysec.

Dla administratorów firmowa PII09 Polityka zbierania, wykorzystywania, ujawniania i udostępniania PII, klauzula 4.4.1, wymaga:

[Administrator] Właściciel procesu / właściciel biznesowy MUSI odnotować wynik przeglądu przeprowadzonego przez osobę odpowiedzialną za prywatność / Menedżera PIMS w REG08 przed rozpoczęciem każdego nowego ujawnienia zewnętrznego lub uzgodnienia dotyczącego udostępniania danych.

Klauzula 4.4.2 określa, co należy uchwycić przy cyklicznym udostępnianiu:

[Administrator] Właściciel dostawcy / zakupów MUSI odnotować w REG08 tożsamość odbiorcy, rolę odbiorcy, cel ujawnienia, kategorie PII, częstotliwość udostępniania, lokalizację przetwarzania oraz źródło uprawnienia przed rozpoczęciem cyklicznego zewnętrznego udostępniania.

Dla podmiotów przetwarzających firmowa PII12 Polityka zarządzania prywatnością podmiotów przetwarzających, podwykonawców przetwarzania i stron trzecich, klauzula 4.5.3, ustanawia szczególną regułę dla wniosków prawnie wiążących i autoryzowanych przez klienta:

[Podmiot przetwarzający] Właściciel dostawcy / zakupów MUSI odnotować wnioski stron trzecich o ujawnienie, prawnie wiążące wnioski o ujawnienie albo wnioski o ujawnienie autoryzowane przez klienta w REG08 przed ujawnieniem lub w ciągu dwóch dni roboczych, jeżeli wcześniejsze odnotowanie nie jest dozwolone albo operacyjnie możliwe.

W przypadku wniosków zagranicznych organów publicznych firmowa PII13 Polityka międzynarodowego przekazywania PII, klauzula 4.4.3, jest bardziej szczegółowa:

[Obie role] Osoba odpowiedzialna za prywatność / Menedżer PIMS MUSI odnotować wnioski zagranicznych organów publicznych o ujawnienie w REG09 lub REG12 przed ujawnieniem, jeżeli jest to wykonalne, albo w ciągu jednego dnia roboczego, jeżeli wcześniejsze odnotowanie nie jest wykonalne.

Klauzula 4.4.4 dodaje dyscyplinę przeglądu:

[Obie role] Inspektor Ochrony Danych / doradca ds. prywatności MUSI przeprowadzić przegląd istotnych z punktu widzenia prywatności wniosków zagranicznych organów publicznych o ujawnienie w REG09 lub REG12 przed odpowiedzią, jeżeli jest to wykonalne.

Rejestr ujawnień jest pojedynczym źródłem prawdy organizacji. Nie powinien być zastępowany rozproszonymi wiadomościami e-mail, prywatnymi wątkami czatu ani doraźnymi arkuszami kalkulacyjnymi.

Pole rejestruCo potwierdza
Identyfikator wnioskuWniosek był śledzony w sposób unikalny
Źródło wnioskuOrgan lub wnioskodawca został zidentyfikowany
Źródło uprawnienia prawnegoInstrument prawny lub uprawnienie organu zostały ocenione
Rola PIMSUwzględniono obowiązki administratora, podmiotu przetwarzającego, współadministratora lub podwykonawcy przetwarzania
Żądane kategorie PIIUchwycono pierwotny zakres wniosku
Zatwierdzone kategorie PIIKońcowe ujawnienie było kontrolowane
Wyłączone PIIMinimalizacja danych została aktywnie zastosowana
Łańcuch zatwierdzeńOdnotowano zatwierdzenia Działu Prawnego, IOD, Dyrektora ds. bezpieczeństwa informacji i jednostki biznesowej
Metoda transmisjiZastosowano środki kontroli bezpiecznego transferu
Decyzja o powiadomieniuRozważono ograniczenia przejrzystości lub odroczenia
Retencja i zamknięcieDowody zostały zachowane, a sprawa zamknięta

Przykład praktyczny: wniosek regulatora w REG08

Wyobraźmy sobie, że regulowana spółka fintech otrzymuje pisemny wniosek od krajowego nadzoru finansowego dotyczący PII związanych z podejrzanymi transakcjami jednego klienta w okresie 90 dni. Wniosek obejmuje zapisy weryfikacji tożsamości, logi transakcyjne, identyfikatory urządzeń, zgłoszenia wsparcia oraz wewnętrzne notatki ryzyka.

Korzystając z zestawu narzędzi Clarysec, osoba odpowiedzialna za prywatność otwiera rekord ujawnienia w REG08.

Pole REG08Przykładowy wpis
Identyfikator wnioskuREG08-2026-041
Źródło wnioskuKrajowy nadzór finansowy, zweryfikowany przez oficjalny katalog kontaktów nadzorczych
Typ wnioskuWniosek regulatora o ujawnienie PII
Rola PIMSAdministrator
Źródło uprawnienia prawnegoUstawowy wniosek nadzorczy o udzielenie informacji, numer referencyjny FIN-REQ-7781
CelDochodzenie dotyczące podejrzanych transakcji wskazanego klienta
Żądane kategorie PIIDane weryfikacji tożsamości, logi transakcyjne, identyfikatory urządzeń, komunikacja ze wsparciem, notatki ryzyka
Zatwierdzone kategorie PIILogi transakcyjne, identyfikatory urządzeń, odpowiednie pola weryfikacji tożsamości, dwa zgłoszenia wsparcia z zakresu dat
Wyłączone PIINiepowiązana historia wsparcia, wewnętrzne opinie analityków spoza zakresu dat, odniesienia do klientów będących stronami trzecimi
Uzasadnienie minimalizacjiZakres ograniczony do wskazanego klienta, okresu 90 dni oraz zapisów istotnych dla transakcji określonych we wniosku
Przegląd IODZatwierdzono z instrukcjami redakcji danych
Zatwierdzenie prawneZatwierdzono, treść odpowiedzi poddano przeglądowi
Przegląd Dyrektora ds. bezpieczeństwa informacjiZatwierdzono bezpieczny eksport i metodę transferu
Metoda transmisjiSzyfrowane archiwum przekazane przez bezpieczny portal regulatora
Powiadomienie osoby, której dane dotycząOdroczone ze względu na ograniczenie prawne we wniosku, wyznaczono datę przeglądu
RetencjaRekord wniosku i pakiet ujawnienia zachowane zgodnie z harmonogramem blokady prawnej
Dowody zamknięciaPotwierdzenie wysłania przez portal, skrót pakietu ujawnienia, łańcuch zatwierdzeń

Na tym polega różnica między „spełniliśmy wniosek” a „możemy wykazać, że spełniliśmy go zgodnie z prawem i proporcjonalnie”. Jeżeli klient później złoży skargę, organ zada pytania uzupełniające albo audytor pobierze próbkę ujawnienia, rekord pokazuje logikę ładu.

Zabezpieczenie dowodów: nie naruszaj faktów, próbując pomóc

Gdy wniosek organów ścigania lub regulatora wiąże się z dochodzeniem, ład w zakresie prywatności przecina się z informatyką śledczą i blokadą prawną. Ujawniane dane często stanowią dowody, a czynność ich zebrania musi zachować integralność.

Polityka zgodności prawnej i regulacyjnej - MŚP, klauzula 6.4.1, określa kontekst:

W przypadku sporu, dochodzenia lub wniosku prawnego:

Klauzula 6.4.1.2 zawiera jasne polecenie:

Pracownicy nie mogą usuwać ani modyfikować materiałów, które mogą stanowić część dochodzenia.

P31S Polityka zabezpieczania materiału dowodowego i informatyki śledczej - MŚP, klauzula 2.2.5, wyraźnie obejmuje:

Zapytania regulacyjne lub organów ścigania

Klauzula 5.2.1 ustanawia dyscyplinę rejestrowania:

Każdy element dowodu cyfrowego musi zostać zarejestrowany wraz z:

W ujęciu operacyjnym rejestr materiału dowodowego powinien obejmować unikalny identyfikator, datę i godzinę zebrania, imię i nazwisko osoby zbierającej, lokalizację źródłową oraz skrót kryptograficzny, gdy jest to właściwe. Celem jest identyfikowalność. Jeżeli logi są eksportowane ręcznie, nazwy plików są zmieniane, znaczniki czasu są niejasne albo nie zachowano skrótu, organizacja może mieć później trudności z wykazaniem integralności.

Silny proces dowodowy ogranicza również dostęp. Pakiety ujawnienia powinny być przechowywane w lokalizacjach o ograniczonym dostępie, szyfrowane w tranzycie, śledzone w rejestrach transferu oraz przechowywane zgodnie z wymaganiami blokady prawnej i retencji. Jeżeli wniosek o ujawnienie nakłada się na reagowanie na incydent, zespół musi wiedzieć, kiedy przejść z trybu remediacji do postawy dochodzeniowej.

Mapowanie zgodności między ramami: jeden proces, wiele obowiązków

Dobrze zaprojektowany proces obsługi wniosków o ujawnienie PII może spełniać wymagania wielu ram bez dublowania pracy. Zenith Controls pomaga organizacjom mapować te same dowody operacyjne względem oczekiwań dotyczących prywatności, cyberbezpieczeństwa, odporności operacyjnej i ładu.

RamyCzego oczekuje audytor lub regulatorJak wspiera to proces Clarysec
ISO 27701:2025Role PIMS, nadzór nad zgodnym z prawem ujawnieniem, polecenia dla podmiotu przetwarzającego, zapisy ujawnienia PII, postępowanie z ryzykiem dla prywatnościUstalenie roli, REG08, REG09, REG12, przegląd IOD, uzasadnienie minimalizacji
GDPRPodstawa prawna, rozliczalność, minimalizacja danych, bezpieczeństwo, decyzje dotyczące przejrzystości, nadzór nad podmiotami przetwarzającymi i transferamiOcena podstawy uprawnienia organu, łańcuch zatwierdzeń, ograniczony pakiet ujawnienia, dowody bezpiecznego transferu
ISO/IEC 27001:2022 i ISO/IEC 27002:2022Kontakt z organami, gromadzenie dowodów, ochrona PII, kontrola dostępu, rejestrowanie, kryptografia, usuwanieMacierz kontaktów z organami, rejestr materiału dowodowego, bezpieczny eksport, zapis skrótu, decyzja dotycząca retencji
NIS2Dyscyplina zgłaszania incydentów, współpraca z właściwymi organami, rozliczalność ładu, świadomość łańcucha dostawKoordynacja Działu Prawnego i Dyrektora ds. bezpieczeństwa informacji, terminy odpowiedzi, rejestr kontaktów z organami, powiązanie z incydentem
DORANadzór nad incydentami ICT w podmiocie finansowym, interakcja z regulatorem, gotowość dowodowa, ryzyko ICT stron trzecichKierowanie wniosków regulatora, zapisy bezpiecznego ujawnienia, zabezpieczenie dowodów incydentu, interfejs z dostawcą
NIST Cybersecurity FrameworkWyniki funkcji govern, identify, protect, detect, respond i recover dla zdarzeń cyberbezpieczeństwaWłasność polityki, inwentarz danych, kontrola dostępu, rejestrowanie, proces reakcji, przegląd po odpowiedzi
COBIT 2019Cele ładu dotyczące zgodności, ryzyka, bezpieczeństwa, zarządzania informacją i zapewnieniaUprawnienia decyzyjne, własność procesu, zapisy audytowe, nadzór organu zarządzającego, ciągłe doskonalenie

Istotne są także wspierające normy ISO. ISO/IEC 27035 pomaga strukturyzować zarządzanie incydentami, gdy wniosek dotyczy incydentu. ISO/IEC 27037 wspiera identyfikację, gromadzenie, pozyskiwanie i zabezpieczanie dowodów cyfrowych. ISO/IEC 27018 jest przydatna, gdy publiczne podmioty przetwarzające w chmurze obsługują PII. ISO/IEC 27017 wspiera odpowiedzialności w zakresie bezpieczeństwa chmury. ISO 22301 staje się istotna, gdy obowiązki kontaktu z organami i ujawnienia muszą być kontynuowane w warunkach kryzysowych. ISO/IEC 27006-1:2024 ma znaczenie pośrednie, ponieważ audytorzy certyfikujący oczekują spójnego, możliwego do audytu wdrożenia zabezpieczeń systemu zarządzania w zakresie.

Celem nie jest budowanie osobnego procesu zgodności dla każdej ramy. Celem jest zaprojektowanie jednego możliwego do obrony procesu, który wytwarza dowody nadające się do ponownego wykorzystania.

Jak różni audytorzy będą testować proces

Audytor ISO/IEC 27001:2022 zwykle zacznie od integracji z systemem zarządzania. Zapyta, czy organizacja określiła zainteresowane strony, wymagania prawne i regulacyjne, ryzyka, cele kontroli, udokumentowane procedury, przypisane odpowiedzialności oraz zachowane dowody. W przypadku wniosków o ujawnienie może pobrać próbki incydentów, korespondencji z regulatorem, list kontaktowych organów, rejestrów materiału dowodowego oraz zapisów prywatności. Prawdopodobnie przetestuje zabezpieczenia Annex A: A.5.5 Contact with authorities, A.5.28 Collection of evidence oraz A.5.34 Privacy and protection of PII.

Asesor ISO 27701:2025 skoncentruje się na jasności ról PIMS. Czy organizacja była administratorem, podmiotem przetwarzającym, współadministratorem czy podwykonawcą przetwarzania? Jeżeli administratorem, gdzie znajduje się podstawa prawna i zapis ujawnienia? Jeżeli podmiotem przetwarzającym, czy działała na podstawie poleceń administratora, chyba że przepisy prawnie wymuszały inne działanie? Czy klient został powiadomiony tam, gdzie było to wymagane albo oczekiwane umownie? Czy wnioski zagranicznych organów publicznych zostały odnotowane i poddane przeglądowi?

Regulator GDPR skoncentruje się na rozliczalności. Pytanie nie będzie brzmiało jedynie „czy mieli Państwo obowiązek prawny?”. Będzie brzmiało: „dlaczego ujawniono taki zakres danych, kto to zatwierdził, jak zweryfikowano wnioskodawcę, jakie zabezpieczenia chroniły transfer, jak oceniono przejrzystość i gdzie znajduje się zapis?”.

Asesor ukierunkowany na NIST zbada wyniki ładu i reakcji. Zapyta, czy role zostały zdefiniowane, czy logi zostały zabezpieczone, czy dostęp do pakietów ujawnienia był ograniczony, czy działania reakcji zostały udokumentowane oraz czy wyciągnięte wnioski usprawniły program.

Audytor COBIT 2019 lub ISACA przetestuje nadzór nad uprawnieniami decyzyjnymi. Może zapytać, czy kierownictwo zdefiniowało właściciela procesu, czy odpowiedzialności Działu Prawnego, prywatności, bezpieczeństwa i biznesu są rozdzielone, czy wyjątki są zatwierdzane, czy metryki są raportowane oraz czy zapewnienie może opierać się na dowodach.

Regulator, audytor, Dyrektor ds. bezpieczeństwa informacji i IOD mogą patrzeć na ten sam rekord inaczej. Specjalista ds. prywatności widzi zapis zgodnego z prawem ujawnienia. Audytor bezpieczeństwa widzi zabezpieczenie dowodów i bezpieczny transfer. Audytor ładu widzi rozliczalność i uprawnienia decyzyjne. Organizacja powinna być w stanie odpowiedzieć wszystkim na podstawie tych samych dowodów kontroli.

Typowe wzorce nieskuteczności

Clarysec wielokrotnie obserwuje te same możliwe do uniknięcia nieskuteczności.

Pierwsza to nieformalny kontakt z organem. Funkcjonariusz policji dzwoni do wsparcia, wsparcie chce pomóc, a pracownik ustnie potwierdza dane konta. Brak walidacji, brak zatwierdzenia, brak zapisu.

Druga to nadmierne ujawnienie. Organizacja wysyła pełny plik klienta zamiast konkretnych zapisów i wymaganego zakresu dat. Powoduje to możliwe do uniknięcia ryzyko GDPR i osłabia zaufanie.

Trzecia to przekroczenie roli przez podmiot przetwarzający. Dostawca SaaS otrzymuje wniosek organów ścigania dotyczący PII kontrolowanych przez klienta i odpowiada bez powiadomienia lub zaangażowania klienta, mimo że umowa i rola PIMS wymagają przekierowania wniosku, chyba że jest to prawnie zabronione.

Czwarta to brak przeglądu wniosku organu zagranicznego. Wniosek od zagranicznego organu publicznego jest traktowany jak zwykłe ujawnienie, bez oceny transferu, przeglądu IOD ani wpisu w REG09 lub REG12.

Piąta to słabe postępowanie z materiałem dowodowym. Logi są eksportowane ręcznie, znaczniki czasu są niejasne, nazwy plików są zmieniane, a nie istnieje żaden skrót ani zapis łańcucha nadzoru.

Szósta to niezarządzana poufność. Do korespondencji kopiowanych jest zbyt wielu pracowników, w tym osoby bez potrzeby dostępu do informacji. Wrażliwe szczegóły dochodzenia rozprzestrzeniają się przez kanały czatu.

Siódma to chaos terminów. Organizacja przekracza prawnie istotny termin odpowiedzi, ponieważ wniosek pozostaje w skrzynce pocztowej zamiast w śledzonym procesie.

Każdej z tych nieskuteczności można zapobiec dzięki uprzednio zdefiniowanym kanałom, rejestrom, zatwierdzeniom i standardom dowodowym.

Role i uprawnienia decyzyjne

Praktyczny model ładu definiuje uprawnienia decyzyjne przed wpływem pierwszego wniosku.

RolaOdpowiedzialność w procesie ujawnienia
Pracownik pierwszej liniiPrzekazuje wniosek do zatwierdzonego kanału przyjęcia, nie odpowiada merytorycznie, nie ujawnia PII
Dział PrawnyWaliduje instrument prawny, jurysdykcję, organ, ograniczenie poufności i treść odpowiedzi
IOD lub doradca ds. prywatnościOcenia konsekwencje GDPR i ISO 27701:2025, minimalizację, przejrzystość, rolę PIMS i kwestie transferu
Dyrektor ds. bezpieczeństwa informacjiZatwierdza bezpieczne gromadzenie dowodów, bezpieczny eksport, metodę transferu i powiązanie z incydentem
Właściciel procesuIdentyfikuje właściwe systemy i kategorie danych, potwierdza kontekst biznesowy
Menedżer PIMSUtrzymuje REG08, REG09 lub REG12, śledzi wynik przeglądu, przechowuje dowody audytowe
Osoba zatwierdzająca na poziomie kierowniczymZatwierdza ujawnienia wysokiego ryzyka, zagraniczne, strategiczne lub wrażliwe reputacyjnie
Właściciel dostawcy lub zakupówKoordynuje zapisy wniosków dotyczących stron trzecich lub podmiotów przetwarzających oraz obowiązki umowne

Model ten powinien zostać włączony do szkoleń z zakresu świadomości. Pracownicy nie muszą znać każdego niuansu prawnego, ale muszą znać zasadę: oficjalne wnioski trafiają do zdefiniowanego kanału, a PII nie są ujawniane bez autoryzacji.

Lista kontrolna gotowości do następnego ćwiczenia typu tabletop

Użyj tej listy kontrolnej podczas warsztatu ładu w zakresie prywatności, audytu wewnętrznego lub ćwiczenia typu tabletop.

  • Czy mamy jeden kanał przyjęcia wniosków organów ścigania i regulatorów o ujawnienie PII?
  • Czy pracownicy wiedzą, że nie wolno im odpowiadać nieformalnie?
  • Czy weryfikujemy tożsamość wnioskodawcy przy użyciu niezależnych źródeł kontaktu?
  • Czy odróżniamy wnioski regulatorów, nakazy sądowe, wnioski organów ścigania, wnioski autoryzowane przez klienta oraz wnioski zagranicznych organów publicznych?
  • Czy przed odpowiedzią ustalamy, czy jesteśmy administratorem, podmiotem przetwarzającym, współadministratorem czy podwykonawcą przetwarzania?
  • Czy dokumentujemy podstawę prawną, uprawnienie organu, jurysdykcję i ograniczenia poufności?
  • Czy stosujemy minimalizację danych i redagujemy niepowiązane PII?
  • Czy wymagamy przeglądu IOD lub doradcy ds. prywatności dla wniosków istotnych z punktu widzenia prywatności?
  • Czy wymagamy koordynacji Działu Prawnego i Dyrektora ds. bezpieczeństwa informacji, gdy sprawa obejmuje organy ścigania lub kwestie informatyki śledczej?
  • Czy rejestrujemy ujawnienia administratora w REG08?
  • Czy rejestrujemy wnioski zagranicznych organów publicznych w REG09 lub REG12?
  • Czy śledzimy terminy odpowiedzi i utrzymujemy rejestry materiału dowodowego?
  • Czy zabezpieczamy potencjalnie istotne materiały i zapobiegamy ich usunięciu lub modyfikacji?
  • Czy zabezpieczamy pakiety ujawnienia za pomocą szyfrowania, kontroli dostępu i rejestrowania transferu?
  • Czy przeprowadzamy przegląd po odpowiedzi w przypadku wniosków wysokiego ryzyka?
  • Czy raportujemy metryki i wyciągnięte wnioski kierownictwu?

Jeżeli odpowiedź na którekolwiek z tych pytań brzmi „zwykle obsługujemy to e-mailowo”, proces nie jest jeszcze gotowy do audytu.

Włącz proces do ISMS i PIMS

Najlepszy model ładu nie funkcjonuje wyłącznie w Dziale Prawnym. Jest częścią ISMS i PIMS.

W Zenith Blueprint, w fazie ISMS Foundation & Leadership, krok 5, zaleca się zaplanowanie komunikacji zewnętrznej oraz wskazanie, kto komunikuje się z regulatorami, klientami, partnerami i opinią publiczną. Dokument wskazuje, że doradca prawny może uczestniczyć w formułowaniu komunikacji do regulatorów. Ta zasada bezpośrednio dotyczy oficjalnych wniosków o ujawnienie PII.

Faza Controls in Action następnie operacjonalizuje proces przez kontakt z organami, ochronę PII i gromadzenie dowodów. Dlatego 30-etapowy przewodnik Clarysec nie traktuje prywatności, bezpieczeństwa i zgodności jako rozłącznych strumieni pracy. Rzeczywisty wniosek przecina wszystkie trzy obszary.

Dla właścicieli biznesowych korzyścią jest mniejszy chaos. Dla Dyrektorów ds. bezpieczeństwa informacji wyjaśnia to, kiedy dowody bezpieczeństwa mogą być gromadzone, ujawniane albo zabezpieczane. Dla IOD tworzy wykazywalną rozliczalność na gruncie GDPR i ISO 27701:2025. Dla menedżerów zgodności wytwarza rejestry i ścieżki audytowe. Dla audytorów tworzy jasną ścieżkę od wymagania polityki do dowodów operacyjnych.

Następne kroki z Clarysec

Wniosek regulatora lub organów ścigania nie jest momentem na wymyślanie procesu ładu w zakresie prywatności. Jest momentem, w którym ten proces zostaje sprawdzony.

Zacznij od ćwiczenia typu tabletop. Użyj realistycznego wniosku dotyczącego cyberprzestępstwa, regulatora albo zagranicznego organu publicznego. Poproś Dział Prawny, IOD, Dyrektora ds. bezpieczeństwa informacji, wsparcie oraz właściwego właściciela procesu, aby przeszli przez przyjęcie, walidację, ustalenie roli, minimalizację, zatwierdzenie, bezpieczny transfer, wpis do rejestru, zabezpieczenie dowodów i przegląd zamknięcia.

Następnie porównaj odpowiedzi z modelem operacyjnym Clarysec:

  • Użyj Zenith Blueprint: An Auditor’s 30-Step Roadmap, aby umieścić kontakt z organami, komunikację zewnętrzną, ochronę PII i gromadzenie dowodów w planie wdrożenia ISMS i PIMS.
  • Użyj Zenith Controls: The Cross-Compliance Guide, aby zmapować oczekiwania ISO 27701:2025, GDPR, ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, NIST i COBIT 2019 w jedną gotową do audytu narrację kontrolną.
  • Użyj polityk Clarysec dotyczących ochrony danych i prywatności, reagowania na incydenty, zgodności prawnej i regulacyjnej, zabezpieczania materiału dowodowego i informatyki śledczej, ujawniania PII, zarządzania podmiotami przetwarzającymi oraz transferów międzynarodowych, aby zdefiniować reguły procesu, rejestry, zatwierdzenia i wymagania dowodowe.

Clarysec pomaga zespołom przejść od reaktywnej paniki do kontrolowanej realizacji. Pobierz właściwe zestawy narzędzi Clarysec, przeprowadź ćwiczenie typu tabletop i zarezerwuj ocenę nadzoru nad ujawnieniami, aby mieć pewność, że kolejna odpowiedź będzie zgodna z prawem, minimalna, zatwierdzona, zarejestrowana, bezpieczna i możliwa do audytu.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

ENISA EUVD 2026: ISO 27001 dla NIS2 i CRA

ENISA EUVD 2026: ISO 27001 dla NIS2 i CRA

ENISA EUVD zmieni sposób, w jaki organizacje w UE korzystają z informacji o podatnościach, zarządzają skoordynowanym ujawnianiem podatności, koordynują działania z dostawcami oraz dokumentują decyzje raportowe wynikające z NIS2, DORA, GDPR i CRA. Ten przewodnik pokazuje, jak ISO/IEC 27001:2022, polityki Clarysec, Zenith Blueprint i Zenith Controls przekształcają alerty o podatnościach w możliwy do audytu model operacyjny.

Klasyfikacja istotności incydentów dla DORA, NIS2 i GDPR

Klasyfikacja istotności incydentów dla DORA, NIS2 i GDPR

Praktyczny przewodnik po budowie jednolitego modelu klasyfikacji istotności incydentów, który mapuje poważne incydenty ICT w DORA, istotne incydenty w NIS2 oraz ryzyko naruszenia według GDPR na dowody wymagane w ISO/IEC 27001:2022.