DSAR, výmaz a dôkazy ISO 27001 v roku 2026

E-mail pristál v Sarahinej doručenej pošte o 9:03.

Nebola to prvá žiadosť dotknutej osoby o prístup k údajom, ktorú jej rýchlo rastúca SaaS spoločnosť dostala. Bola však prvá, ktorá pôsobila ako verejný audit.

Odosielateľom bol bývalý zamestnanec, dnes aktivista v oblasti ochrany súkromia. Žiadosť citovala články GDPR podľa čísel a požadovala všetky osobné údaje, okamžité obmedzenie spracúvania, zoznam každej služby tretej strany, ktorá uchováva jeho údaje, a overiteľný dôkaz výmazu z produkčných aj zálohovacích systémov. V kópii bol novinár.

V priebehu niekoľkých minút sa ukázali medzery. Vývojový tím upozornil, že „skutočný výmaz“ z multitenantnej databázy môže ovplyvniť iných zákazníkov. Marketing rozplietal používateľské údaje naprieč analytickými platformami. Právne oddelenie našlo nevyriešenú pracovnoprávnu vec. Bezpečnostný tím sa obával, že logy môžu odhaliť detekčnú logiku alebo údaje inej osoby. Podpora mala záznamy pod dvomi e-mailovými adresami. Financie mali faktúry pod treťou.

Lehota už začala plynúť.

Takýto scenár už nie je výnimočný. Práva dotknutých osôb v roku 2026 nie sú problémom jednej schránky pre ochranu súkromia. Sú riadeným obchodným procesom, ktorý závisí od inventára aktív, rozhodnutí o právnom základe, overenia identity, riadenia prístupu, pravidiel uchovávania, právnych blokácií, koordinácie dodávateľov, bezpečného sprístupnenia, dôkazov výmazu a logovania pripraveného na audit.

GDPR organizáciám hovorí, aké práva majú jednotlivci. ISO/IEC 27001:2022 dáva bezpečnostným tímom a tímom súladu disciplínu systému riadenia, aby vedeli preukázať, že tieto práva sa vybavujú konzistentne, bezpečne a opakovateľne.

Pre CISO, manažérov súladu, vedúcich ochrany súkromia a vlastníkov organizácie nie je cieľom vytvárať viac dokumentácie. Cieľom je vybudovať jeden spoľahlivý pracovný postup pre DSAR, výmaz a obmedzenie spracúvania, ktorý vytvára dôkazy požadované GDPR, auditmi ISO/IEC 27001:2022 a širšími očakávaniami uistenia podľa NIS2, DORA, NIST CSF 2.0 a COBIT 2019.

Prečo ad hoc vybavovanie DSAR pod tlakom zlyháva

Väčšina zlyhaní DSAR nie je spôsobená zlým úmyslom. Spôsobuje ich fragmentácia.

Organizácia môže mať oznámenie o ochrane súkromia, schránku DPO a doložku GDPR v zmluvách s dodávateľmi, a napriek tomu môže mať problém odpovedať na základné prevádzkové otázky:

• Kto overuje identitu žiadateľa?
• Ktorý právny subjekt je prevádzkovateľ alebo sprostredkovateľ?
• Ktoré systémy sa musia prehľadať?
• Kto vlastní jednotlivé systémy?
• Ktoré údaje sú v rozsahu?
• Ktoré údaje sa musia pred sprístupnením začierniť?
• Ktoré údaje nemožno vymazať z dôvodu daní, auditu, súdneho sporu, prevencie podvodov alebo zákonnej povinnosti?
• Ako sa obmedzenie spracúvania technicky uplatňuje?
• Ktorí dodávatelia musia podporiť vyhľadanie, export, výmaz alebo obmedzenie?
• Aké dôkazy preukazujú, že žiadosť bola vybavená načas?
• Čo sa stane, ak DSAR odhalí porušenie ochrany osobných údajov?

GDPR Article 5 vyžaduje, aby sa osobné údaje spracúvali zákonne, korektne a transparentne, zhromažďovali na určené účely, obmedzili na nevyhnutný rozsah, boli presné, uchovávali sa nie dlhšie, než je potrebné, a chránili sa primeranými technickými a organizačnými opatreniami. Article 5(2) výslovne stanovuje zásadu zodpovednosti: prevádzkovateľ musí byť schopný preukázať súlad. Article 4 definuje spracúvanie široko vrátane zhromažďovania, uchovávania, používania, sprístupňovania, obmedzenia, výmazu a zničenia.

To znamená, že samotný proces DSAR je spracovateľskou činnosťou. Musí byť riadený.

GDPR Article 3 je dôležitý aj pre cloudové, SaaS, fintech a digitálne podniky mimo EÚ. Ak ponúkate tovar alebo služby jednotlivcom v Únii, monitorujete ich správanie alebo spracúvate osobné údaje v kontexte prevádzkarne v EÚ, GDPR sa môže uplatniť aj vtedy, keď sú činnosti outsourcované alebo je infraštruktúra globálna.

ISO/IEC 27001:2022 vnáša do tejto reality štruktúru. Kapitoly 4.1 až 4.4 vyžadujú, aby organizácia rozumela svojmu kontextu, zainteresovaným stranám, požiadavkám, rozsahu ISMS a vzájomne pôsobiacim procesom. Dotknutá osoba je zainteresovaná strana. Práva podľa GDPR sú požiadavky. SaaS aplikácie, poskytovatelia identít, analytické platformy, nástroje podpory, dátové sklady a cloudové zálohy sú vzájomne pôsobiace procesy. Pracovný postup DSAR patrí do ISMS, nie mimo neho.

Tri práva dotknutých osôb, ktoré vytvárajú najväčší tlak

Prístup, výmaz a obmedzenie odhaľujú najväčšiu medzeru medzi právnym prísľubom a prevádzkovou schopnosťou.

GDPR Article 6 je pre túto rozhodovaciu logiku kľúčový. Nemožno spracúvať, uchovávať, sprístupniť ani odmietnuť výmaz bez pochopenia právneho základu. Article 9 zvyšuje nároky pri osobitných kategóriách osobných údajov, ako sú údaje o zdraví, biometrické údaje používané na jedinečnú identifikáciu alebo údaje odhaľujúce citlivé charakteristiky. V prostredí SaaS v roku 2026 to môže ovplyvniť onboarding, overovanie identity, monitorovanie podvodov, prílohy v zákazníckej podpore a zamestnanecké záznamy.

Podniková Politika ochrany údajov a súkromia [P17] spoločnosti Clarysec formuluje povinnosť priamo. V kapitole Ciele, bode 3.6, vyžaduje od organizácie:

Zachovávať práva dotknutých osôb vrátane prístupu, opravy, výmazu, obmedzenia, prenosnosti, namietania a ochrany pred automatizovaným rozhodovaním.

Tento cieľ sa stáva overiteľným až vtedy, keď je prepojený s vlastníkmi, registrami, pracovnými postupmi, kontrolami a dôkazmi.

Začnite tam, kde začínajú audítori: rozsah, zainteresované strany a vlastníctvo

V Zenith Blueprint: 30-kroková cestovná mapa audítora [ZB] sa fáza Základ ISMS a vedenie, krok 2, zameriava na potreby zainteresovaných strán a rozsah ISMS. Pre GDPR Blueprint identifikuje očakávania regulátorov takto:

Regulátori EÚ
(GDPR)

Zákonné spracúvanie osobných
údajov, hlásenie porušení do 72 h,
práva dotknutých osôb

Vymenovať zodpovednú osobu pre ochranu údajov, zaviesť
proces reakcie na porušenia, postupy na
vybavovanie žiadostí o údaje.

Toto je správny východiskový bod. Pred automatizáciou tiketov alebo konfiguráciou portálov definujte rozsah spracúvania práv dotknutých osôb:

1. Ktoré právne subjekty vystupujú ako prevádzkovateľ, spoloční prevádzkovatelia alebo sprostredkovateľ?
2. Ktoré produkty, služby a územia sú v rozsahu?
3. Ktoré kategórie dotknutých osôb existujú, napríklad zákazníci, zamestnanci, používatelia skúšobnej verzie, potenciálni zákazníci, dodávatelia, návštevníci webu alebo používatelia aplikácie?
4. Ktoré systémy, repozitáre a dodávatelia uchovávajú osobné údaje?
5. Ktoré roly schvaľujú sprístupnenie, odmietnutie, výmaz, obmedzenie alebo eskaláciu?
6. Ktoré metriky sa vykazujú manažmentu?

Kapitoly ISO/IEC 27001:2022 5.1 až 5.3 vyžadujú vedenie, zosúladenie politiky, zdroje a pridelené zodpovednosti. To priamo zodpovedá zásade zodpovednosti podľa GDPR.

Politika ochrany údajov a súkromia [P17], kapitola Požiadavky na implementáciu politiky, bod 6.4.1, uvádza:

Zodpovedná osoba pre ochranu osobných údajov (DPO) musí udržiavať zdokumentované procesy na prijímanie, overovanie, sledovanie a odpovedanie na žiadosti dotknutých osôb (DSR).

Pre MSP používa Politika ochrany údajov a súkromia - MSP [P17S] spoločnosti Clarysec primerané vlastníctvo. Kapitola Požiadavky na správu a riadenie, bod 5.2.1, uvádza:

Koordinátor ochrany súkromia musí udržiavať register všetkých činností spracúvania osobných údajov vrátane kategórií údajov, účelu, právneho základu a lehôt uchovávania

Tento register spracúvania je prevádzkovým jadrom pripravenosti na DSAR. Ak je neúplný, tím DSAR vyhľadáva podľa pamäti, správ v Slacku a neformálnych znalostí. Ak je presný, tím vyhľadáva podľa spracovateľskej činnosti, kategórie údajov, vlastníka systému, dodávateľa a pravidla uchovávania.

Pracovný postup DSAR podľa Clarysec: od prijatia po uzavretie

Pracovný postup DSAR pripravený na audit má byť dostatočne jednoduchý na použitie pod tlakom, ale dostatočne riadený na to, aby obstál pred regulátorom, pri zákazníckom posúdení uistenia alebo pri audite ISO/IEC 27001:2022.

1. Prijatie a potvrdenie

Žiadosti majú vstupovať cez riadený kanál, napríklad schránku ochrany súkromia, portál, formulár podpory alebo front právneho oddelenia. Personál musí rozpoznať žiadosti formulované bežným jazykom. Osoba nemusí napísať „DSAR“, aby uplatnila právo. „Aké údaje o mne máte?“ alebo „vymažte môj profil“ môže stačiť na spustenie pracovného postupu.

Politika ochrany údajov a súkromia - MSP [P17S], kapitola Požiadavky na implementáciu politiky, bod 6.5.2, stanovuje jasnú úroveň služby:

Koordinátor ochrany súkromia musí potvrdiť prijatie žiadostí do 3 pracovných dní a odpovedať do 30 dní

Potvrdenie má obsahovať referenčné číslo žiadosti, prípadné spresnenie rozsahu, pokyny na overenie identity a očakávaný termín odpovede.

2. Overenie identity a kontrola oprávnenia

DSAR sa môže zmeniť na porušenie ochrany osobných údajov, ak sa informácie odošlú nesprávnej osobe. Overenie má byť primerané a nemá zhromažďovať nadmerné nové osobné údaje. Ak je to možné, používajte autentifikované portály. Pri bývalých používateľoch overujte voči známym údajom účtu. Pri zamestnancoch koordinujte postup s HR. Pri zástupcoch vyžadujte dôkaz oprávnenia.

Uchovajte dôkazy o metóde overenia, dátume dokončenia, schvaľovateľovi, všetkých vyžiadaných doplňujúcich informáciách a rozhodnutí v prípade neúspešného overenia.

3. Klasifikujte žiadosť

Jedna správa môže obsahovať viacero práv. Klasifikujte každé právo samostatne, pretože prístup, výmaz, obmedzenie, námietka a prenosnosť vyžadujú odlišnú rozhodovaciu logiku a dôkazy. Označte aj potenciálne sťažnosti, zamestnanecké veci, údaje detí, osobitné kategórie údajov a možné porušenia ochrany osobných údajov.

4. Prehľadávajte inventár, nielen zjavné systémy

Tu sa ISO/IEC 27001:2022 stáva praktickou. Zenith Blueprint [ZB], fáza Kontroly v praxi, krok 22, upozorňuje, že rozsah inventára je širší, než mnohé organizácie očakávajú:

Rozsah tejto inventarizácie je širší, než si väčšina uvedomuje. Má zahŕňať:

✓ Fyzické aktíva: notebooky, servery, telefóny, zálohovacie pásky, prenosné médiá, tlačené
záznamy.
✓ Digitálne aktíva: dokumenty, súbory údajov, repozitáre, e-maily, zdrojový kód, súbory uložené
v cloude.
✓ Logické aktíva: používateľské účty, poverenia, kľúče, softvérové licencie, rozhrania API.
✓ Aktíva súvisiace so službami: SaaS platformy, riadené bezpečnostné služby, outsourcované
úložisko.
✓ Ľudia ako aktíva: nie v komodifikovanom zmysle, ale z hľadiska pridelených zodpovedností,
prístupu a vystavenia informáciám vyplývajúceho z roly.

Krok 22 vysvetľuje aj vlastníctvo:

Každé aktívum má mať určeného vlastníka, nie osobu, ktorá ho používa, ale osobu zodpovednú za
jeho používanie, ochranu a životný cyklus. Vlastníctvo je nevyhnutné na zosúladenie kontrol: kto klasifikuje
aktívum (5.10), kto rozhoduje o úrovni jeho prístupu (8.3), kto rieši jeho výmaz (8.10), kto zabezpečuje
jeho vrátenie (5.9 sa nenápadne prekrýva s postupmi vrátenia aktív).

V Zenith Controls: Sprievodca krížovým súladom [ZC] sa kontrola ISO/IEC 27002:2022 5.9, Inventár informácií a iných súvisiacich aktív, chápe ako preventívna kontrola podporujúca dôvernosť, integritu a dostupnosť. Jej koncept kybernetickej bezpečnosti je Identify, jej prevádzková schopnosť je správa aktív a medzi jej bezpečnostné domény patria správa a riadenie, ekosystém a ochrana.

Pre DSAR to znamená, že inventár nie je IT tabuľkový prehľad. Je to mapa, ktorá ochrane súkromia, právnemu oddeleniu a bezpečnosti ukazuje, kde sa môžu osobné údaje nachádzať.

5. Preskúmajte, začiernite a schváľte sprístupnenie

Odpoveď na DSAR nemá byť surový export. Preskúmanie musí chrániť osobné údaje iných osôb, dôverné informácie organizácie, advokátske tajomstvo, bezpečnostne citlivé údaje, signály podvodu a údaje mimo rozsahu žiadosti.

Schvaľovanie má byť založené na riziku. Rutinné odpovede na žiadosť o prístup môže schváliť koordinátor ochrany súkromia alebo DPO. Žiadosti týkajúce sa zamestnancov, súdnych sporov, osobitných kategórií údajov, detí, podvodov, bezpečnostných logov alebo veľkých exportov majú zahŕňať právne oddelenie, HR alebo vedenie bezpečnosti.

6. Doručte bezpečne

Nepripájajte veľké nešifrované súbory k e-mailu. Použite autentifikované portály, šifrované súbory so samostatným doručením hesla alebo bezpečné prenosové odkazy s expiráciou a logovaním prístupu. Zaznamenajte spôsob doručenia, dátum, účet príjemcu, dátum expirácie a potvrdenie, ak je dostupné.

7. Uzavrite s dôkazmi

Politika ochrany údajov a súkromia [P17], bod 6.4.3, je výslovná:

Všetky vykonané činnosti sa musia logovať na účely auditu vrátane rozhodnutí o odmietnutí žiadostí.

Politika ochrany údajov a súkromia - MSP [P17S], bod 6.5.4, uvádza:

Všetky odpovede na žiadosti dotknutých osôb sa musia logovať v zabezpečenom registri s prístupom obmedzeným na koordinátora ochrany súkromia a GM

DSAR nie je ukončený odoslaním e-mailu. Je ukončený vtedy, keď register obsahuje žiadosť, kontrolu identity, rozhodnutia, prehľadané systémy, odpoveď, výnimky, schválenia, doručenie a uzavretie.

Výmaz je riadené zničenie, nie stlačenie tlačidla Delete

Žiadosti o výmaz ukazujú, či bola ochrana súkromia zabudovaná do systémov, alebo dodatočne prilepená po spustení.

Podniková Politika uchovávania a likvidácie údajov [P14] spoločnosti Clarysec, kapitola Roly a zodpovednosti, bod 4.3.3, prideľuje zodpovednosť role, ktorá:

Odpovedá na žiadosti o výmaz a zabezpečuje včasný, overiteľný výmaz osobných údajov tam, kde sa vyžaduje.

Výraz „tam, kde sa vyžaduje“ je kľúčový. Výmaz podľa GDPR nie je absolútny. Organizácie môžu potrebovať uchovať údaje z dôvodu zákonných povinností, auditu, daní, regulačných povinností, prevencie podvodov, bezpečnosti, súdneho sporu alebo preukazovania, uplatňovania či obhajoby právnych nárokov. Pracovný postup musí obsahovať rozhodnutie o zákonnom uchovaní a výnimke.

Zenith Blueprint [ZB], fáza Kontroly v praxi, krok 19, vysvetľuje kontrolu ISO/IEC 27002:2022 8.10, Výmaz informácií, v prevádzkových pojmoch:

Táto kontrola zabezpečuje, aby sa údaje neuchovávali dlhšie, než je potrebné, a keď už nie sú
potrebné, musia sa bezpečne a spoľahlivo vymazať. Mnohé organizácie časom zhromažďujú veľké
objemy údajov, ale bez jasného procesu výmazu môžu tieto údaje nečinne zostávať
nechránené a ticho zvyšovať riziko sprístupnenia, porušenia alebo regulačného porušenia.

Upozorňuje aj na toto:

Nezabúdajte na zálohy a archivované systémy, tie často uchovávajú historické údaje dlho po tom, ako stratili
prevádzkovú hodnotu. Politiky výmazu sa musia vzťahovať aj na:

✓ nastavenia uchovávania záloh,
✓ životné cykly snapshotov,
✓ archivované e-mailové alebo dokumentové repozitáre.

A uzatvára dôkazmi:

Samotný proces výmazu sa musí logovať a v prípade vysokorizikových alebo regulovaných údajov
preskúmať alebo schváliť. Tým sa zabezpečuje sledovateľnosť a ochrana pred náhodným alebo
neoprávneným zničením hodnotných záznamov.

V Zenith Controls [ZC] je kontrola ISO/IEC 27002:2022 8.10, Výmaz informácií, mapovaná ako preventívna kontrola zameraná na dôvernosť, zosúladená s konceptom kybernetickej bezpečnosti Protect a prepojená s prevádzkovými schopnosťami ochrany informácií, právnych záležitostí a súladu s predpismi.

Pri zložitých cloudových architektúrach môže byť vhodný kryptografický výmaz, ak je správne navrhnutý. Ak sú osobné údaje šifrované kľúčom špecifickým pre dotknutú osobu alebo tenant, zničenie kľúča môže údaje trvalo zneprístupniť, a to aj tam, kde šifrované zvyšky zostanú v zálohách do plánovanej rotácie. Musí to byť starostlivo navrhnuté, zdokumentované, otestované a schválené. Nie je to obchádzka pre zlú architektúru výmazu.

Pripravenosť aplikácií je preto nevyhnutná. Politika požiadaviek na bezpečnosť aplikácií - MSP [P09S] spoločnosti Clarysec, bod 6.5.1.3, vyžaduje, aby aplikácie:

umožňovali bezpečný export a výmaz osobných údajov, keď to vyžaduje zákon (napr. GDPR Article 17 – právo na výmaz).

Ak produktové tímy nezabudujú schopnosť exportu a výmazu, tímy ochrany súkromia sú nútené používať databázové skripty, tikety u dodávateľov a nekonzistentnú manuálnu prácu.

Právna blokácia a pozastavenie výmazu

Zrelý pracovný postup výmazu musí obsahovať cestu „nevymazávať“. Nie je to ospravedlnenie na ignorovanie výmazu. Je to riadená výnimka.

Clarysec MSP Politika uchovávania údajov a bezpečnej likvidácie - MSP [P14S], kapitola Požiadavky na správu a riadenie, bod 5.4, uvádza:

Údaje podliehajúce právnej blokácii a pozastaveniu výmazu (napr. v prípade súdneho sporu, auditu alebo vyšetrovania) musia byť v systéme jasne identifikované a chránené pred výmazom, aj keď plánovaná lehota uchovávania uplynula.

Politika uchovávania a likvidácie údajov [P14], bod 6.4.1, odráža rovnaký princíp:

Ak je vydaná právna blokácia a pozastavenie výmazu (napr. prebiehajúci súdny spor, vyšetrovanie alebo audit), údaje, ktoré by inak podliehali zničeniu, musia byť uchované nad rámec svojej bežnej lehoty uchovávania.

Audítori chcú vidieť obe strany príbehu: dôkazy o včasnom výmaze aj dôkazy o odôvodnenom uchovaní.

Obmedzenie spracúvania: podceňované právo

Žiadosti o obmedzenie nie vždy vyžadujú výmaz. Vyžadujú, aby organizácia obmedzila aktívne spracúvanie a zároveň uchovávala údaje za riadených podmienok.

Bežné príklady zahŕňajú:

• Zákazník spochybní presnosť a požiada, aby ste údaje nepoužívali, kým sa overia.
• Bývalý zamestnanec namieta proti spracúvaniu, ale záznam je potrebný na právne nároky.
• Používateľ žiada o výmaz, ale minimálne údaje musia byť uchované na udržiavanie zoznamu potlačenia.
• Vyšetrovanie podvodu vyžaduje uchovanie, ale nie bežné prevádzkové používanie.

Praktický pracovný postup obmedzenia má zahŕňať právne rozhodnutie, systémový príznak, úpravu riadenia prístupu, potlačenie marketingu, vylúčenie z analytiky, pokyn dodávateľovi, pravidelné preskúmanie a dôkazy o výnimke.

V Zenith Controls [ZC] sa kontrola ISO/IEC 27002:2022 5.34, Súkromie a ochrana PII, chápe ako preventívna kontrola podporujúca dôvernosť, integritu a dostupnosť. Mapuje sa na Identify a Protect, s prevádzkovými schopnosťami ochrany informácií, právnych záležitostí a súladu s predpismi.

Zenith Blueprint [ZB], fáza Kontroly v praxi, krok 23, sumarizuje auditný test:

Potvrďte, že vaša organizácia implementovala opatrenia na ochranu súkromia (5.34) zosúladené s
uplatniteľnými právnymi požiadavkami. Overte klasifikáciu PII, správne riadenie prístupu, bezpečné
postupy nakladania a školenie povedomia. Overte, či sú žiadosti dotknutých osôb o prístup, výmaz
údajov alebo logy spracúvania podporované prevádzkovo, nielen politikou.

Kľúčová formulácia je „podporované prevádzkovo, nielen politikou“.

Mapovanie pracovných postupov DSAR na dôkazy ISO/IEC 27001:2022

ISO/IEC 27001:2022 nenahrádza GDPR. Usporiadava dôkazy.

Kapitoly 6.1.1 až 6.1.3 vyžadujú posúdenie rizík, ošetrenie rizík, kritériá akceptácie rizika, vlastníkov rizík, výber kontrol, vyhlásenie o uplatniteľnosti a plán ošetrenia rizík. Riziká DSAR zahŕňajú neoprávnené sprístupnenie, zmeškané lehoty, neúplný výmaz, nezákonné uchovanie, nadmerné overovanie identity, nespoluprácu dodávateľov a neschopnosť obmedziť spracúvanie.

Kapitola 8.1 vyžaduje, aby organizácie plánovali, implementovali a riadili procesy ISMS, uchovávali zdokumentované dôkazy, riadili zmeny a zabezpečili riadenie externe poskytovaných procesov, produktov a služieb relevantných pre ISMS. To zodpovedá prevádzke DSAR, pretože žiadosti prechádzajú internými funkciami aj externými sprostredkovateľmi.

Silný balík dôkazov zahŕňa postup DSR, register DSR, register spracovateľských činností, inventár aktív, harmonogram uchovávania údajov, register právnych blokácií, postup overovania identity, usmernenie pre začiernenie, metódu bezpečného sprístupnenia, postup výmazu, postup obmedzenia, scenár pre dodávateľov, register výnimiek, záznamy o školeniach, výsledky interného auditu a reportovanie z preskúmania manažmentom.

Praktický pracovný postup pre prístup, výmaz a obmedzenie

Tento pracovný postup mení Sarahinu krízu na overiteľný proces. Každá fáza má vlastníka, kontrolný základ a dôkazy.

Hodnota krížového súladu nad rámec GDPR

Pracovný postup DSAR vychádza z GDPR, ale rovnaké kontroly podporujú širšie rámce.

NIS2 Article 20 robí kybernetickú bezpečnosť zodpovednosťou manažmentu pri základných a dôležitých subjektoch. Article 21 vyžaduje primerané a proporcionálne technické, prevádzkové a organizačné opatrenia vrátane analýzy rizík, riešenia incidentov, kontinuity činností, bezpečnosti dodávateľského reťazca, posúdenia účinnosti, kybernetickej hygieny, školenia, riadenia prístupu, správy aktív, autentifikácie a bezpečnej komunikácie. DSAR sa opiera o mnohé z tých istých schopností.

DORA sa od 17. januára 2025 uplatňuje na mnohé finančné subjekty a stanovuje jednotné požiadavky na riadenie rizík IKT, nahlasovanie incidentov, testovanie odolnosti a riziká externých poskytovateľov IKT. Articles 5 a 6 vyžadujú správu a riadenie a zdokumentované riadenie rizík IKT. Articles 17 až 20 sa týkajú detekcie, klasifikácie, eskalácie, komunikácie a uzavretia incidentov. Articles 24 až 30 sa týkajú testovania odolnosti, rizík externých poskytovateľov IKT, registrov služieb, práv na audit, lokality údajov, pomoci pri incidentoch a stratégií ukončenia. Fintech spoločnosť vybavujúca DSAR prostredníctvom cloudových platforiem má zosúladiť vybavovanie žiadostí o ochranu súkromia so svojím registrom služieb IKT.

NIST CSF 2.0 pomáha premietnuť rovnakú prácu do výsledkov kybernetickej bezpečnosti. GOVERN sa venuje právnym, regulačným a zmluvným požiadavkám, stratégii rizík, rolám, politike a dohľadu. IDENTIFY a PROTECT silno súvisia s viditeľnosťou aktív, klasifikáciou údajov, riadením prístupu, výmazom, správou dodávateľov a ochranou súkromia.

COBIT 2019 kladie otázky správy a riadenia. Kto vlastní proces? Aké ciele sú definované? Ako sa meria výkonnosť? Ako sa schvaľujú výnimky? Ako sa získava uistenie? Dôkazy DSAR môžu podporiť ciele ako APO13 Managed Security, APO14 Managed Data a DSS06 Managed Business Process Controls.

Pohľad audítora

Nevytvárajte samostatné dôkazy pre každý rámec. Vytvorte jeden spoľahlivý pracovný postup DSAR a dobre ho namapujte.

Metriky DSAR, ktoré má vidieť manažment

Manažment nemôže dohliadať na to, čo nevidí. Užitočné metriky zahŕňajú objem žiadostí podľa typu práva, priemerný čas potvrdenia, priemerný čas uzavretia, plnenie lehôt, mieru potreby spresnenia identity, výnimky z výmazu, prípady právnej blokácie, časy odpovedí dodávateľov, čiastočné odmietnutia, incidenty identifikované počas vybavovania a otvorené nápravné opatrenia.

Tieto metriky ukazujú, či sú práva dotknutých osôb prevádzkovo zdravé, alebo závislé od hrdinského úsilia jednotlivcov.

Bežné medzery v pripravenosti na DSAR

Clarysec často vidí rovnaké slabiny naprieč SaaS, fintech, profesionálnymi službami a cloud-first MSP:

• Chýba vlastník pre každý systém obsahujúci osobné údaje
• Register spracúvania nie je zosúladený so skutočným používaním SaaS
• Marketingové, analytické a dátové skladové platformy sú vylúčené z vyhľadávania
• Chýba zdokumentovaný štandard overovania identity
• Pred sprístupnením neprebieha preskúmanie začiernenia
• Výmaz v produkcii sa vykonáva bez postupu pre zálohy
• Pred výmazom sa nekontroluje právna blokácia
• Obmedzenie sa rieši manuálne bez systémového príznaku
• V zmluvách s dodávateľmi chýbajú podmienky asistencie pri DSAR
• Odmietnutia a čiastočné odmietnutia nie sú zdokumentované
• Nevykonáva sa vzorkovanie dokončených DSAR v rámci interného auditu
• Pracovníci prvej línie nie sú školení rozpoznávať žiadosti

Kontrolný zoznam pripravenosti na DSAR pre rok 2026

Použite ho ako test zrelosti:

• Máme zdokumentovaný proces prijímania, overovania, sledovania a odpovedania na DSR?
• Potvrdzujeme prijatie žiadostí v rámci definovanej internej SLA?
• Udržiavame zabezpečený register DSR s obmedzeným prístupom?
• Máme aktuálny register spracovateľských činností s kategóriami, účelmi, právnymi základmi a lehotami uchovávania?
• Poznáme každý systém, SaaS platformu, repozitár a dodávateľa, ktorý môže uchovávať osobné údaje?
• Má každé relevantné aktívum vlastníka so zodpovednosťou?
• Vieme bezpečne exportovať osobné údaje?
• Vieme bezpečne vymazať osobné údaje tam, kde to vyžaduje zákon?
• Vieme technicky alebo procesne obmedziť spracúvanie?
• Kontrolujeme právnu blokáciu pred výmazom?
• Dokumentujeme rozhodnutia o odmietnutí, čiastočnom odmietnutí a výnimkách?
• Podporujú zmluvy s dodávateľmi asistenciu pri DSAR?
• Testujeme pracovný postup prostredníctvom interného auditu alebo stolových cvičení?
• Reportujeme výkonnosť DSAR manažmentu?
• Mapujeme kontroly DSAR do ošetrenia rizík ISO/IEC 27001:2022 a vyhlásenia o uplatniteľnosti?

Ak pri viacerých odpovediach platí „nie konzistentne“, ďalšia žiadosť môže odhaliť medzeru.

Premeňte práva dotknutých osôb na dôkazy pripravené na audit

Práva dotknutých osôb v roku 2026 vyžadujú viac než dobré úmysly a schránku ochrany súkromia. Vyžadujú pracovný postup, ktorý vie nájsť údaje, overiť identitu, prijať zákonné rozhodnutia, koordinovať dodávateľov, chrániť sprístupnenie, vykonať výmaz, uplatniť obmedzenie a zachovať dôkazy.

Clarysec pomáha organizáciám vybudovať tento pracovný postup bez vytvárania paralelnej byrokracie súladu. Začnite s Zenith Blueprint, aby ste zaradili práva dotknutých osôb do správnej fázy a krokov ISMS. Použite Politiku ochrany údajov a súkromia, Politiku ochrany údajov a súkromia - MSP, Politiku uchovávania a likvidácie údajov, Politiku uchovávania údajov a bezpečnej likvidácie - MSP a Politiku požiadaviek na bezpečnosť aplikácií - MSP spoločnosti Clarysec na definovanie vlastníctva a prevádzkových pravidiel.

Potom použite Zenith Controls na mapovanie kontrol ISO/IEC 27002:2022 5.9, 5.34 a 8.10 na dôkazy krížového súladu pre uistenie podľa GDPR, ISO/IEC 27001:2022, NIS2, DORA, NIST CSF 2.0 a COBIT 2019.

Ak chcete vedieť, či by vaše pracovné postupy DSAR, výmazu a obmedzenia obstáli pri zajtrajšom audite, Clarysec vám môže pomôcť otestovať proces, uzavrieť medzery a vybudovať balík dôkazov skôr, než príde ďalšia žiadosť. Stiahnite si príslušné šablóny politík Clarysec alebo si objednajte posúdenie pripravenosti na DSAR, aby ste prešli od reaktívnej odpovede k riadeným činnostiam ochrany súkromia pripraveným na audit.