⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Žiadosti o poskytnutie osobných údajov (PII) podľa GDPR a ISO 27701

Igor Petreski

Žiadosť prichádza v piatok o 16:47

Manažér zákazníckej starostlivosti prepošle právnemu oddeleniu e-mail s predmetom: „URGENT POLICE REQUEST.“ V prílohe je naskenovaný list, ktorý žiada údaje o účte, históriu prihlásení, IP adresy, záznamy o platbách a „akékoľvek ďalšie relevantné informácie“ o menovite uvedenej osobe. Odosielateľ tvrdí, že je z útvaru pre boj proti počítačovej kriminalite. E-mail žiada poskytnutie údajov do 24 hodín a požaduje, aby organizácia „neinformovala dotknutú osobu“.

V rovnakom čase tím bezpečnostných operácií vyšetruje nezvyčajnú aktivitu v tom istom zákazníckom účte. DPO je v inom časovom pásme. CISO sa pýta, či ide o incident, právnu žiadosť, poskytnutie údajov podľa GDPR alebo o všetky tri veci naraz. Obchodný tím chce „plne spolupracovať“. Podpora chce vedieť, či môže exportovať zákaznícky profil. Niekto navrhne odoslať celý záznam z CRM, pretože „orgány požiadali o všetko“.

Toto je medzera v správe a riadení.

Väčšina organizácií má politiku ochrany súkromia, plán reakcie na incidenty a proces pre žiadosti dotknutých osôb o prístup k osobným údajom. Mnohé zvládajú hĺbkové preverenie dodávateľov, komunikáciu s regulátormi a oznámenia o porušení ochrany osobných údajov. Výrazne menej organizácií má opakovateľný pracovný tok pre vynútené alebo oficiálne žiadosti o poskytnutie PII zo strany orgánov činných v trestnom konaní, regulátorov, súdov, daňových orgánov, orgánov finančného dohľadu, telekomunikačných regulátorov, útvarov pre boj proti počítačovej kriminalite alebo zahraničných orgánov verejnej moci.

Táto medzera je nebezpečná. Vyhovenie podvodnej žiadosti sa môže stať porušením ochrany osobných údajov. Odmietnutie legitímnej žiadosti môže viesť k právnej alebo regulačnej expozícii. Odpoveď bez riadeného procesu môže viesť k nadmernému poskytnutiu údajov, narušeniu reťazca držby dôkazov, zmeškaným lehotám, nezákonným medzinárodným prenosom a zlyhaniu pri audite.

Podľa GDPR, ISO 27701:2025 a ISO/IEC 27001:2022 nie je oficiálna žiadosť o poskytnutie PII iba otázkou e-mailovej schránky právneho oddelenia. Dotýka sa právneho základu, preukázateľnej zodpovednosti, obmedzenia účelu, minimalizácie údajov, dôvernosti, schvaľovania podľa rolí, správy a riadenia medzinárodných prenosov, pokynov sprostredkovateľovi, uchovania dôkazov, bezpečného prenosu a auditných stôp.

Praktický test je jednoduchý: keď žiadosť príde, vie vaša organizácia preukázať, že overila žiadateľa, posúdila právomoc, minimalizovala poskytnutie, získala správne schválenia, chránila dôkazy, zaznamenala rozhodnutie a uchovala auditovateľnú stopu?

Pozícia Clarysec je jasná. Žiadosti orgánov činných v trestnom konaní a regulátorov o poskytnutie PII riešte ako riadený pracovný tok ochrany súkromia a informačnej bezpečnosti, nie ako improvizovanú odpoveď e-mailom.

Prečo sú oficiálne žiadosti o poskytnutie PII odlišné

Bežná dohoda o externom zdieľaní údajov sa zvyčajne začína účelom organizácie. Dodávateľ potrebuje údaje zamestnancov na spracovanie miezd. Poskytovateľ SaaS spracúva identifikátory zákazníkov. Partner prijíma transakčné údaje na základe zmluvy. Model správy a riadenia je známy: hĺbkové preverenie, zmluva o spracúvaní osobných údajov, bezpečnostné požiadavky, posúdenie prenosu, podmienky uchovávania a priebežné monitorovanie.

Žiadosti orgánov činných v trestnom konaní a regulátorov o poskytnutie PII sú iné. Vznikajú na základe udalosti, sú časovo citlivé, často dôverné a niekedy právne záväzné. Môžu prísť mimo kanálov obstarávania. Môžu žiadať široké kategórie PII. Môžu zakazovať informovanie. Môžu zahŕňať zahraničné orgány. Môžu prísť počas incidentu, vyšetrovania podvodu, právnej blokácie, regulačného preverenia alebo vyšetrovania počítačovej kriminality.

Z toho vyplývajú tri okamžité požiadavky na správu a riadenie.

Po prvé, organizácia musí vedieť, kto môže odpovedať. Pracovník v prvej línii nemá rozhodovať, či je policajná žiadosť platná, či je znenie požiadavky regulátora záväzné alebo či je informovanie zákazníka zakázané.

Po druhé, spolupráca sa musí oddeliť od nadmerného poskytnutia údajov. GDPR nebráni zákonnej spolupráci s orgánmi, ale stále vyžaduje platný právny základ, spravodlivosť, transparentnosť tam, kde sa uplatňuje, obmedzenie účelu, minimalizáciu údajov, integritu, dôvernosť a preukázateľnú zodpovednosť.

Po tretie, dôkazy sa musia zachovať. Ak žiadosť súvisí s incidentom, podvodnou udalosťou, súdnym sporom alebo dohľadovým preverovaním, vymazanie logov, úprava záznamov alebo export údajov bez sledovateľnosti môžu poškodiť súlad aj právnu obhájiteľnosť.

Najsilnejší prevádzkový model spája správu a riadenie ochrany súkromia, právne schvaľovanie, nakladanie s dôkazmi, reakciu na incidenty, bezpečný prenos a kontakt s orgánmi do jedného pracovného toku.

Kontrolný klaster Clarysec: orgány, ochrana súkromia a dôkazy

V Zenith Controls: sprievodca súladom naprieč rámcami Clarysec pristupuje k správe a riadeniu poskytovania údajov orgánom činným v trestnom konaní a regulátorom ako k prepojenému klastru kontrol, nie ako k samostatnej úlohe ochrany súkromia. Kľúčové kontroly ISO/IEC 27002:2022 sú 5.5 Kontakt s orgánmi, 5.28 Zber dôkazov a 5.34 Ochrana súkromia a ochrana PII. Podporné väzby na kontroly zahŕňajú klasifikáciu a označovanie, riadenie prístupu, vzťahy s dodávateľmi, riadenie incidentov, logovanie, synchronizáciu systémového času, kryptografiu, maskovanie, výmaz a prenos informácií.

Je to dôležité, pretože oficiálne žiadosti o poskytnutie údajov môžu zlyhať na viacerých miestach. Tím ochrany súkromia môže overiť právny základ, ale nezachovať dôkazy. SOC môže zachovať logy, ale poskytnúť príliš veľa PII. Právne oddelenie môže schváliť odpoveď, ale zabudnúť aktualizovať register poskytnutí. Sprostredkovateľ môže odpovedať orgánu priamo, hoci mal žiadosť smerovať na prevádzkovateľa.

Zenith Blueprint: 30-kroková cestovná mapa audítora posilňuje toto prevádzkové prepojenie vo fáze Kontroly v praxi, krok 22, v časti Kontakt s orgánmi:

Kontrola 5.5 zabezpečuje, že organizácia je pripravená komunikovať s externými orgánmi, keď je to potrebné, nie reaktívne ani v panike, ale prostredníctvom vopred určených, štruktúrovaných a dobre pochopených kanálov.

Tá istá časť rámcuje otázky, ktoré musia byť zodpovedané skôr, než príde skutočná žiadosť:

Princíp je jednoduchý: ak by sa vaša organizácia stala terčom kybernetického útoku, bola zapojená do porušenia ochrany údajov alebo bola predmetom vyšetrovania, kto by kontaktoval orgány? Ako by vedel, čo povedať? Za akých podmienok by sa takýto kontakt inicioval? Tieto otázky musia byť zodpovedané vopred, nie až dodatočne.

Pri ochrane PII Zenith Blueprint vo fáze Kontroly v praxi, krok 23, rámcuje ochranu súkromia ako povinnosť počas celého životného cyklu:

Kontrola 5.34 vyžaduje, aby organizácie chránili súkromie jednotlivcov zavedením primeraných opatrení na nakladanie s PII počas celého ich životného cyklu.

Pri dôkazoch tá istá fáza a krok vysvetľujú, prečo je neformálne nakladanie rizikové:

Kontrola 5.28 uznáva, že po incidente je rovnako dôležité to, čo dokážete preukázať, ako to, čo sa skutočne stalo.

Tieto tri princípy spolu definujú model správy a riadenia: vedieť, kto komunikuje s orgánmi, chrániť PII počas celého životného cyklu poskytnutia a zachovať dôkazy obhájiteľným spôsobom.

Pohľad GDPR a ISO 27701:2025 na vynútené poskytnutie údajov

ISO 27701:2025 posilňuje potrebu disciplíny systému manažérstva informácií o ochrane súkromia. PIMS má definovať, ako prevádzkovatelia PII a sprostredkovatelia PII riešia oficiálne žiadosti o poskytnutie údajov vrátane príjmu, overenia, právneho preskúmania, autorizácie, zaznamenania, minimalizácie, bezpečného prenosu, uchovávania a preskúmania po odpovedi.

Pre prevádzkovateľa je základnou otázkou, či organizácia určuje účely a prostriedky spracúvania, a preto musí rozhodnúť, či a ako je poskytnutie zákonné. Pre sprostredkovateľa je otázkou, či vôbec môže poskytnúť údaje bez pokynu prevádzkovateľa, pokiaľ mu to neukladá právny predpis. Pri ďalšom sprostredkovateľovi sú smerovanie žiadosti a prenesené povinnosti ešte citlivejšie.

GDPR posilňuje tie isté prevádzkové požiadavky. Poskytnutie údajov orgánu verejnej moci je stále spracúvaním. Organizácia potrebuje právny základ podľa článku 6, zdokumentovaný účel, primerané zabezpečenie, minimalizáciu údajov podľa článku 5(1)(c) a dôkazy preukázateľnej zodpovednosti podľa článku 5(2). V mnohých prípadoch bude právnym základom článok 6(1)(c), teda spracúvanie nevyhnutné na splnenie zákonnej povinnosti, ale až po tom, čo právne oddelenie overí žiadosť a jurisdikciu.

Ak žiadosť prichádza od zahraničného orgánu verejnej moci, správa a riadenie prenosu a preskúmanie DPO sú nevyhnutné. Ak žiadosť zahŕňa sprostredkovateľa, musia sa skontrolovať zmluvné pravidlá informovania a pokynov. Ak žiadosť súvisí s kybernetickým incidentom, odpoveď musí byť zosúladená s požiadavkami na riešenie incidentov a zber dôkazov.

Súbor politík Clarysec premieňa tieto požiadavky na prevádzkové pravidlá.

Podniková P17 Politika ochrany údajov a súkromia, bod 6.1.1, uvádza:

Každé spracúvanie musí byť založené na platnom právnom základe (napr. súhlas, zmluva, zákonná povinnosť).

Tá istá politika, bod 6.2.1, dopĺňa oporu pre minimalizáciu:

Zhromažďovať a spracúvať sa môžu iba údaje nevyhnutné na konkrétny a oprávnený účel organizácie.

Pre MSP P17S Politika ochrany údajov a súkromia – MSP, bod 6.2.1, uvádza:

Zhromažďovať a uchovávať sa musia iba minimálne nevyhnutné osobné údaje.

Tieto ustanovenia sú dôležité, keď žiadosť požaduje „všetky informácie“, „úplnú históriu“ alebo „akékoľvek súvisiace záznamy“. Správnou odpoveďou nie je export každého poľa. Správnou odpoveďou je overiť žiadosť, určiť právne požadovaný rozsah, poskytnúť iba nevyhnutné PII, zdokumentovať rozhodnutie a uchovať dôkazy.

Od e-mailovej paniky k riadenému poskytnutiu údajov

Zrelý pracovný tok musí byť dostatočne jednoduchý, aby ho vedeli dodržať pracovníci v prvej línii, a zároveň dostatočne dôsledný pre audítorov, regulátorov a súdy. Clarysec odporúča sedemstupňový model.

EtapaCieľ kontrolyPrimárny vlastníkVytvorené dôkazy
1. Príjem a karanténaZabrániť neformálnej odpovedi alebo náhodnému poskytnutiu údajovservice desk, príjem právneho oddelenia, vedúci ochrany súkromiaticket žiadosti, pôvodná správa, prílohy, časová pečiatka
2. Overenie pravostiPotvrdiť identitu žiadateľa, právomoc, jurisdikciu a právny nástrojprávne oddelenie, DPO, compliancepoznámky z overenia, overenie kontaktu na orgán, posúdenie právneho základu
3. Určenie rolyRozhodnúť, či organizácia vystupuje ako prevádzkovateľ, sprostredkovateľ, spoločný prevádzkovateľ alebo ďalší sprostredkovateľvedúci ochrany súkromia, vlastník zmluvyposúdenie roly v PIMS, záznam o pokyne zákazníka, ak ide o sprostredkovateľa
4. Minimalizácia rozsahuPremietnuť žiadosť do konkrétnych kategórií PII a dátumových rozsahovvlastník procesu, bezpečnostný tím, právne oddelenievýpis z mapovania údajov, rozhodnutie o minimalizácii, poznámky k začierneniu
5. SchválenieZabezpečiť autorizované rozhodnutie pred poskytnutímDPO, právne oddelenie, CISO, vlastník organizáciezáznam o schválení, záznam o výnimke pri naliehavosti
6. Bezpečné poskytnutiePreniesť iba schválené údaje cez riadené kanálybezpečnostný tím, právna prevádzkalog prenosu, dôkazy o šifrovaní, potvrdenie príjemcu
7. Zápis do registra a preskúmanieUchovať dôkazy preukázateľnej zodpovednosti a poučeniamanažér PIMS, compliancezáznam v REG08, REG09 alebo REG12, auditná stopa, preskúmanie uzavretia

Prvým pravidlom je smerovanie. Každý zamestnanec musí vedieť, že oficiálne žiadosti o PII sa smerujú na určenú príjmovú cestu. Nikto nemá odpovedať z osobnej schránky. Nikto nemá volať žiadateľovi na telefónne číslo uvedené v neoverenom liste. Nikto nemá exportovať zákaznícke údaje pred tým, ako právne oddelenie a tím ochrany súkromia žiadosť preskúmajú.

Podniková P30 Politika reakcie na incidenty, bod 6.5.5, podporuje túto disciplínu smerovania:

Akákoľvek spolupráca s orgánmi činnými v trestnom konaní alebo poskytovateľmi forenzných služieb musí byť koordinovaná prostredníctvom právneho tímu a CISO.

Toto ustanovenie je osobitne dôležité tam, kde žiadosť o poskytnutie údajov súvisí s podvodom, počítačovou kriminalitou, kompromitáciou účtu, ransomvérom, vnútornou hrozbou alebo vyšetrovaním porušenia ochrany údajov. Právne oddelenie a bezpečnostný tím musia koordinovať postup, nie pracovať paralelne.

Podniková P37 Politika právneho a regulačného súladu, bod 7.3.1.2, riadi externé vyhlásenia:

Akékoľvek ústne alebo písomné vyhlásenia regulátorom musia byť vopred schválené.

Bod 7.3.1.3 dopĺňa disciplínu lehôt a dôkazov:

Lehoty na odpoveď musia byť sledované a logy dôkazov udržiavané.

Tieto pravidlá nie sú byrokratickou prekážkou. Predchádzajú náhodným priznaniam, neriadenému poskytnutiu údajov, zmeškaným lehotám a slabým dôkazom.

Disciplína schvaľovania a registrov: auditné dôkazy, ktoré tímom často chýbajú

Mnohé organizácie vedia ukázať pôvodný e-mail so žiadosťou. Menej ich vie ukázať, kto poskytnutie schválil, aký právny základ bol použitý, prečo boli určité polia zahrnuté alebo vylúčené, ako bol žiadateľ overený, či bola dotknutá osoba informovaná alebo zákonne neinformovaná a kde bola odpoveď zaznamenaná.

Práve tu sa registre PIMS spoločnosti Clarysec stávajú kľúčové.

Pre prevádzkovateľov podniková PII09 Politika zhromažďovania, používania, poskytovania a zdieľania PII, bod 4.4.1, vyžaduje:

[Prevádzkovateľ] Vlastník procesu / vlastník organizácie MUSÍ zaznamenať výsledok preskúmania vedúcim ochrany súkromia / manažérom PIMS v REG08 pred tým, ako sa začne akékoľvek nové externé poskytnutie alebo dohoda o zdieľaní údajov.

Bod 4.4.2 špecifikuje, čo sa musí zachytiť pri opakovanom zdieľaní:

[Prevádzkovateľ] Vlastník dodávateľa / obstarávania MUSÍ v REG08 zaznamenať identitu príjemcu, rolu príjemcu, účel poskytnutia, kategórie PII, frekvenciu zdieľania, lokalitu spracúvania a zdroj oprávnenia pred tým, ako sa začne opakované externé zdieľanie.

Pre sprostredkovateľov podniková PII12 Politika správy sprostredkovateľov, ďalších sprostredkovateľov a tretích strán v oblasti ochrany súkromia, bod 4.5.3, stanovuje osobitné pravidlo pre právne záväzné a zákazníkom autorizované žiadosti:

[Sprostredkovateľ] Vlastník dodávateľa / obstarávania MUSÍ zaznamenať žiadosti tretích strán o poskytnutie údajov, právne záväzné žiadosti o poskytnutie údajov alebo zákazníkom autorizované žiadosti o poskytnutie údajov v REG08 pred poskytnutím alebo do dvoch pracovných dní, ak predchádzajúci záznam nie je dovolený alebo prevádzkovo možný.

Pre žiadosti zahraničných orgánov verejnej moci je podniková PII13 Politika medzinárodného prenosu PII, bod 4.4.3, konkrétnejšia:

[Obe roly] Vedúci ochrany súkromia / manažér PIMS MUSÍ zaznamenať žiadosti zahraničných orgánov verejnej moci o poskytnutie údajov v REG09 alebo REG12 pred poskytnutím, ak je to uskutočniteľné, alebo do jedného pracovného dňa, ak predchádzajúci záznam nie je uskutočniteľný.

Bod 4.4.4 dopĺňa disciplínu preskúmania:

[Obe roly] Zodpovedná osoba pre ochranu osobných údajov / poradca pre ochranu súkromia MUSÍ pred odpoveďou preskúmať žiadosti zahraničných orgánov verejnej moci o poskytnutie údajov, ktoré sú významné z hľadiska ochrany súkromia, v REG09 alebo REG12, ak je to uskutočniteľné.

Register poskytnutí je jediným zdrojom pravdy organizácie. Nemajú ho nahrádzať roztrúsené e-maily, súkromné chatové vlákna ani ad hoc tabuľky.

Pole registraČo preukazuje
ID žiadostiŽiadosť bola jednoznačne sledovaná
Zdroj žiadostiOrgán alebo žiadateľ bol identifikovaný
Zdroj právomociPrávny nástroj alebo právomoc boli posúdené
Rola PIMSBoli zvážené povinnosti prevádzkovateľa, sprostredkovateľa, spoločného prevádzkovateľa alebo ďalšieho sprostredkovateľa
Požadované kategórie PIIPôvodný rozsah žiadosti bol zachytený
Schválené kategórie PIIKonečné poskytnutie bolo riadené
Vylúčené PIIMinimalizácia údajov bola aktívne uplatnená
Schvaľovací reťazecBoli zaznamenané schválenia právneho oddelenia, DPO, CISO a organizácie
Spôsob prenosuBoli použité kontroly bezpečného prenosu
Rozhodnutie o informovaníBoli zvážené obmedzenia alebo odklady transparentnosti
Uchovávanie a uzavretieDôkazy boli uchované a vec bola uzavretá

Praktický príklad: žiadosť regulátora v REG08

Predstavte si, že regulovaná fintech spoločnosť dostane písomnú žiadosť od vnútroštátneho finančného regulátora, ktorý požaduje PII súvisiace s podozrivými transakciami jedného zákazníka za obdobie 90 dní. Žiadosť požaduje záznamy o overení identity, transakčné logy, identifikátory zariadení, tikety podpory a interné rizikové poznámky.

Pomocou nástrojovej sady Clarysec vedúci ochrany súkromia otvorí záznam poskytnutia v REG08.

Pole REG08Príklad záznamu
ID žiadostiREG08-2026-041
Zdroj žiadostiVnútroštátny finančný regulátor, overený prostredníctvom oficiálneho adresára kontaktov dohľadu
Typ žiadostiŽiadosť regulátora o poskytnutie PII
Rola PIMSPrevádzkovateľ
Zdroj právomociZákonná žiadosť dohľadu o informácie, referencia FIN-REQ-7781
ÚčelVyšetrovanie podozrivých transakcií menovite uvedeného zákazníka
Požadované kategórie PIIÚdaje z overenia identity, transakčné logy, identifikátory zariadení, komunikácia so zákazníckou podporou, rizikové poznámky
Schválené kategórie PIITransakčné logy, identifikátory zariadení, relevantné polia overenia identity, dva tikety podpory v dátumovom rozsahu
Vylúčené PIINesúvisiaca história podpory, interné názory analytikov mimo dátumového rozsahu, odkazy na zákazníkov tretích strán
Odôvodnenie minimalizácieRozsah obmedzený na menovite uvedeného zákazníka, 90-dňové obdobie a záznamy relevantné k transakciám identifikovaným v žiadosti
Preskúmanie DPOSchválené s pokynmi na začiernenie
Právne schválenieSchválené, znenie odpovede preskúmané
Preskúmanie CISOSchválený bezpečný export a spôsob prenosu
Spôsob prenosuŠifrovaný archív cez bezpečný portál regulátora
Informovanie dotknutej osobyOdložené z dôvodu zákonného obmedzenia v žiadosti, stanovený dátum preskúmania
UchovávanieZáznam žiadosti a balík poskytnutých údajov uchované podľa harmonogramu právnej blokácie
Dôkazy o uzavretíPotvrdenie o odoslaní cez portál, hash balíka poskytnutých údajov, schvaľovací reťazec

Toto je rozdiel medzi tvrdením „vyhoveli sme“ a tvrdením „vieme preukázať, že sme vyhoveli zákonne a primerane“. Ak sa zákazník neskôr sťažuje, ak orgán položí doplňujúce otázky alebo ak audítor vyberie poskytnutie do vzorky, záznam ukazuje logiku správy a riadenia.

Uchovanie dôkazov: nepoškoďte fakty pri snahe pomôcť

Keď žiadosť orgánov činných v trestnom konaní alebo regulátora súvisí s vyšetrovaním, správa a riadenie ochrany súkromia sa pretína s forenznou analýzou a právnou blokáciou. Poskytované údaje sú často dôkazom a ich zber musí zachovať integritu.

Politika právneho a regulačného súladu – MSP, bod 6.4.1, stanovuje kontext:

V prípade sporu, vyšetrovania alebo právnej žiadosti:

Bod 6.4.1.2 dáva jasný pokyn:

Zamestnanci nesmú vymazať ani meniť materiály, ktoré môžu tvoriť súčasť vyšetrovania.

P31S Politika zberu dôkazov a forenznej analýzy – MSP, bod 2.2.5, výslovne zahŕňa:

Regulačné preverovania alebo preverovania zo strany orgánov činných v trestnom konaní

Bod 5.2.1 ustanovuje disciplínu logovania:

Každá položka digitálnych dôkazov musí byť zaznamenaná s:

V prevádzkových podmienkach má záznam o dôkazoch zachytiť jedinečný identifikátor, dátum a čas zberu, meno osoby, ktorá zber vykonala, zdrojové umiestnenie a podľa potreby kryptografický hash. Cieľom je sledovateľnosť. Ak sa logy exportujú manuálne, názvy súborov sa menia, časové pečiatky sú nejasné alebo sa neuchová hash, organizácia môže mať neskôr problém preukázať integritu.

Silný pracovný tok dôkazov tiež obmedzuje prístup. Balíky poskytnutých údajov majú byť uložené v obmedzených umiestneniach, šifrované pri prenose, sledované prostredníctvom logov prenosu a uchovávané podľa požiadaviek právnej blokácie a uchovávania. Ak sa žiadosť o poskytnutie údajov prekrýva s reakciou na incident, tím musí vedieť, kedy prejsť z režimu nápravy do vyšetrovacieho režimu.

Mapovanie súladu naprieč rámcami: jeden pracovný tok, mnoho povinností

Dobre navrhnutý pracovný tok pre žiadosti o poskytnutie PII dokáže splniť viaceré rámce bez duplicitnej práce. Zenith Controls pomáha organizáciám mapovať tie isté prevádzkové dôkazy naprieč očakávaniami v oblasti ochrany súkromia, kybernetickej bezpečnosti, prevádzkovej odolnosti a správy a riadenia.

RámecČo očakáva audítor alebo regulátorAko to podporuje pracovný tok Clarysec
ISO 27701:2025roly PIMS, správa zákonného poskytnutia údajov, pokyny sprostredkovateľovi, záznamy o poskytnutí PII, ošetrenie rizík ochrany súkromiaurčenie roly, REG08, REG09, REG12, preskúmanie DPO, odôvodnenie minimalizácie
GDPRprávny základ, preukázateľná zodpovednosť, minimalizácia údajov, bezpečnosť, rozhodnutia o transparentnosti, správa a riadenie sprostredkovateľov a prenosovposúdenie právomoci, schvaľovací reťazec, obmedzený balík poskytnutých údajov, dôkazy bezpečného prenosu
ISO/IEC 27001:2022 a ISO/IEC 27002:2022kontakt s orgánmi, zber dôkazov, ochrana PII, riadenie prístupu, logovanie, kryptografia, výmazmatica kontaktov na orgány, záznam o dôkazoch, bezpečný export, záznam hashu, rozhodnutie o uchovávaní
NIS2disciplína hlásenia incidentov, spolupráca s príslušnými orgánmi, preukázateľná zodpovednosť správy a riadenia, povedomie o dodávateľskom reťazcikoordinácia právneho oddelenia a CISO, lehoty odpovedí, register kontaktov na orgány, väzba na incident
DORAspráva a riadenie IKT incidentov finančných subjektov, interakcia s regulátormi, pripravenosť dôkazov, riziko IKT tretích stránsmerovanie žiadostí regulátora, záznamy bezpečného poskytnutia, uchovanie incidentných dôkazov, rozhranie na dodávateľov
NIST Cybersecurity Frameworkvýsledky v oblastiach Govern, identify, protect, detect, respond a recover pre kybernetické udalostivlastníctvo politiky, inventár údajov, riadenie prístupu, logovanie, pracovný tok odpovede, preskúmanie po odpovedi
COBIT 2019ciele správy a riadenia pre súlad, riziko, bezpečnosť, správu informácií a uistenierozhodovacie právomoci, vlastníctvo procesov, auditné záznamy, dohľad manažmentu, neustále zlepšovanie

Relevantné sú aj podporné ISO normy. ISO/IEC 27035 pomáha štruktúrovať riadenie incidentov, keď žiadosť súvisí s incidentom. ISO/IEC 27037 podporuje identifikáciu, zber, získavanie a uchovanie digitálnych dôkazov. ISO/IEC 27018 je užitočná tam, kde sprostredkovatelia vo verejnom cloude nakladajú s PII. ISO/IEC 27017 podporuje zodpovednosti za cloudovú bezpečnosť. ISO 22301 je relevantná vtedy, ak povinnosti kontaktu s orgánmi a poskytnutia údajov musia pokračovať počas krízových podmienok. ISO/IEC 27006-1:2024 je nepriamo dôležitá, pretože certifikační audítori očakávajú konzistentnú a auditovateľnú implementáciu kontrol systému manažérstva v rozsahu certifikácie.

Cieľom nie je vytvoriť samostatný proces súladu pre každý rámec. Cieľom je navrhnúť jeden obhájiteľný pracovný tok, ktorý vytvára opätovne použiteľné dôkazy.

Ako budú rôzni audítori testovať pracovný tok

Audítor ISO/IEC 27001:2022 zvyčajne začne integráciou do systému manažérstva. Bude sa pýtať, či organizácia určila zainteresované strany, právne a regulačné požiadavky, riziká, ciele kontrol, zdokumentované postupy, pridelené zodpovednosti a uchované dôkazy. Pri žiadostiach o poskytnutie údajov môže vyberať vzorku incidentov, komunikácie s regulátormi, zoznamov kontaktov na orgány, záznamov o dôkazoch a záznamov ochrany súkromia. Pravdepodobne otestuje kontroly prílohy A A.5.5 Kontakt s orgánmi, A.5.28 Zber dôkazov a A.5.34 Ochrana súkromia a ochrana PII.

Posudzovateľ ISO 27701:2025 sa zameria na jasnosť rolí PIMS. Boli ste prevádzkovateľ, sprostredkovateľ, spoločný prevádzkovateľ alebo ďalší sprostredkovateľ? Ak ste boli prevádzkovateľom, kde je právny základ a záznam o poskytnutí? Ak ste boli sprostredkovateľom, konali ste podľa pokynov prevádzkovateľa, pokiaľ vás právny predpis nenútil konať inak? Bol zákazník informovaný tam, kde to bolo požadované alebo zmluvne očakávané? Boli žiadosti zahraničných orgánov verejnej moci zaznamenané a preskúmané?

Regulátor GDPR sa zameria na preukázateľnú zodpovednosť. Otázka nebude iba „mali ste zákonnú povinnosť?“ Bude znieť: „prečo bolo poskytnuté toto množstvo údajov, kto to schválil, ako bol žiadateľ overený, aké zabezpečenie chránilo prenos, ako ste posúdili transparentnosť a kde je záznam?“

Posudzovateľ orientovaný na NIST preskúma výsledky správy a riadenia a reakcie. Bude sa pýtať, či boli roly definované, či boli logy zachované, či bol prístup k balíkom poskytnutých údajov obmedzený, či boli činnosti odpovede zdokumentované a či poučenia zlepšili program.

Audítor COBIT 2019 alebo ISACA otestuje správu a riadenie rozhodovacích právomocí. Môže sa pýtať, či manažment definoval vlastníka procesu, či sú zodpovednosti právneho oddelenia, ochrany súkromia, bezpečnosti a organizácie oddelené, či sa výnimky schvaľujú, či sa metriky reportujú a či sa uistenie môže opierať o dôkazy.

Regulátor, audítor, CISO a DPO môžu ten istý záznam vnímať rozdielne. Odborník na ochranu súkromia vidí záznam o zákonnom poskytnutí. Bezpečnostný audítor vidí uchovanie dôkazov a bezpečný prenos. Audítor správy a riadenia vidí preukázateľnú zodpovednosť a rozhodovacie právomoci. Organizácia musí vedieť odpovedať všetkým z toho istého dôkazového materiálu ku kontrole.

Bežné vzorce zlyhaní

Clarysec opakovane vidí tie isté predchádzateľné zlyhania.

Prvým je neformálny kontakt s orgánom. Policajt zavolá na podporu, podpora chce byť nápomocná a zamestnanec ústne potvrdí údaje o účte. Bez overenia, bez schválenia, bez záznamu.

Druhým je nadmerné poskytnutie údajov. Organizácia odošle celý zákaznícky spis namiesto konkrétnych záznamov a dátumového rozsahu, ktoré sú požadované. Tým vzniká zbytočné riziko podľa GDPR a oslabuje sa dôvera.

Tretím je prekročenie roly sprostredkovateľa. Poskytovateľ SaaS dostane žiadosť orgánov činných v trestnom konaní o zákazníkom kontrolované PII a odpovie bez toho, aby informoval alebo zapojil zákazníka, hoci zmluva a rola PIMS vyžadujú smerovanie žiadosti, pokiaľ to právny predpis nezakazuje.

Štvrtým je chýbajúce preskúmanie zahraničného orgánu. Žiadosť od zahraničného orgánu verejnej moci sa rieši ako bežné poskytnutie bez posúdenia prenosu, preskúmania DPO alebo záznamu v REG09 alebo REG12.

Piatym je slabé nakladanie s dôkazmi. Logy sa exportujú manuálne, časové pečiatky sú nejasné, názvy súborov sa menia a neexistuje hash ani záznam reťazca držby dôkazov.

Šiestym je neriadená dôvernosť. Do komunikácie k žiadosti je v kópii pridaných príliš veľa zamestnancov vrátane osôb bez potreby vedieť. Citlivé detaily vyšetrovania sa šíria cez chatové kanály.

Siedmym je zmätok v lehotách. Organizácia zmešká právne významný dátum odpovede, pretože žiadosť zostane v e-mailovej schránke namiesto sledovaného pracovného toku.

Každému zlyhaniu sa dá predísť vopred určenými kanálmi, registrami, schvaľovaním a dôkazovými štandardmi.

Roly a rozhodovacie právomoci

Praktický model správy a riadenia definuje rozhodovacie právomoci skôr, než príde prvá žiadosť.

RolaZodpovednosť v pracovnom toku poskytnutia údajov
Pracovník v prvej líniiPreposlať žiadosť do schváleného príjmového kanála, neodpovedať vecne, neposkytovať PII
Právny tímOveriť právny nástroj, jurisdikciu, právomoc, obmedzenie dôvernosti a znenie odpovede
DPO alebo poradca pre ochranu súkromiaPosúdiť dopady GDPR a ISO 27701:2025, minimalizáciu, transparentnosť, rolu PIMS a otázky prenosu
CISOSchváliť bezpečný zber dôkazov, bezpečný export, spôsob prenosu a väzbu na incident
Vlastník procesuIdentifikovať relevantné systémy a kategórie údajov, potvrdiť kontext organizácie
Manažér PIMSUdržiavať REG08, REG09 alebo REG12, sledovať výsledok preskúmania, uchovávať auditné dôkazy
Výkonný schvaľovateľSchvaľovať vysoko rizikové, zahraničné, strategické alebo reputačne citlivé poskytnutia
Vlastník dodávateľa alebo obstarávaniaKoordinovať záznamy žiadostí súvisiacich s tretími stranami alebo sprostredkovateľmi a zmluvné povinnosti

Tento model má byť začlenený do školenia bezpečnostného povedomia. Zamestnanci nemusia poznať každú právnu nuansu, ale musia poznať pravidlo: oficiálne žiadosti idú do určeného kanála a PII sa neposkytujú bez autorizácie.

Kontrolný zoznam pripravenosti pre vaše ďalšie stolové cvičenie

Použite tento kontrolný zoznam na workshope správy a riadenia ochrany súkromia, pri internom audite alebo počas stolového cvičenia.

  • Máme jednotný príjmový kanál pre žiadosti orgánov činných v trestnom konaní a regulátorov o poskytnutie PII?
  • Vedia zamestnanci, že nesmú odpovedať neformálne?
  • Overujeme identitu žiadateľa pomocou nezávislých kontaktných zdrojov?
  • Rozlišujeme žiadosti regulátorov, súdne príkazy, žiadosti orgánov činných v trestnom konaní, zákazníkom autorizované žiadosti a žiadosti zahraničných orgánov verejnej moci?
  • Určujeme pred odpoveďou, či sme prevádzkovateľ, sprostredkovateľ, spoločný prevádzkovateľ alebo ďalší sprostredkovateľ?
  • Dokumentujeme právny základ, právomoc, jurisdikciu a obmedzenia dôvernosti?
  • Uplatňujeme minimalizáciu údajov a začierňujeme nesúvisiace PII?
  • Vyžadujeme preskúmanie DPO alebo poradcu pre ochranu súkromia pri žiadostiach významných z hľadiska ochrany súkromia?
  • Vyžadujeme koordináciu právneho oddelenia a CISO tam, kde ide o orgány činné v trestnom konaní alebo forenzné otázky?
  • Zaznamenávame poskytnutia prevádzkovateľa v REG08?
  • Zaznamenávame žiadosti zahraničných orgánov verejnej moci v REG09 alebo REG12?
  • Sledujeme lehoty na odpoveď a udržiavame logy dôkazov?
  • Uchovávame potenciálne relevantné materiály a bránime ich vymazaniu alebo zmene?
  • Zabezpečujeme balíky poskytnutých údajov šifrovaním, riadením prístupu a logovaním prenosu?
  • Vykonávame preskúmanie po odpovedi pri vysoko rizikových žiadostiach?
  • Reportujeme metriky a poučenia manažmentu?

Ak je odpoveď na ktorúkoľvek z týchto otázok „zvyčajne to riešime e-mailom“, proces ešte nie je pripravený na audit.

Začleňte pracovný tok do ISMS a PIMS

Najlepší model správy a riadenia nežije iba v právnom oddelení. Je súčasťou ISMS a PIMS.

V Zenith Blueprint fáza Základy a vedenie ISMS, krok 5, odporúča plánovať externú komunikáciu a určiť, kto komunikuje s regulátormi, zákazníkmi, partnermi a verejnosťou. Uvádza, že právny zástupca sa môže podieľať na formulácii komunikácie s regulátormi. Tento princíp sa priamo uplatňuje na oficiálne žiadosti o poskytnutie PII.

Fáza Kontroly v praxi následne operacionalizuje pracovný tok prostredníctvom kontaktu s orgánmi, ochrany PII a zberu dôkazov. Preto 30-krokový sprievodca Clarysec nepovažuje ochranu súkromia, bezpečnosť a súlad za oddelené pracovné prúdy. Skutočná žiadosť prechádza všetkými tromi.

Pre vlastníkov organizácie je prínosom menší chaos. Pre CISO objasňuje, kedy možno bezpečnostné dôkazy zbierať, poskytnúť alebo uchovať. Pre DPO vytvára preukázateľnú zodpovednosť podľa GDPR a ISO 27701:2025. Pre manažérov súladu vytvára registre a auditné stopy. Pre audítorov vytvára jasnú cestu od požiadavky politiky k prevádzkovým dôkazom.

Ďalšie kroky s Clarysec

Žiadosť regulátora alebo orgánov činných v trestnom konaní nie je chvíľa na vymýšľanie procesu správy a riadenia ochrany súkromia. Je to chvíľa, keď je váš proces testovaný.

Začnite stolovým cvičením. Použite realistickú žiadosť týkajúcu sa počítačovej kriminality, regulátora alebo zahraničného orgánu verejnej moci. Požiadajte právne oddelenie, DPO, CISO, podporu a relevantného vlastníka procesu, aby prešli príjmom, overením, určením roly, minimalizáciou, schválením, bezpečným prenosom, zápisom do registra, uchovaním dôkazov a preskúmaním uzavretia.

Potom porovnajte svoje odpovede s prevádzkovým modelom Clarysec:

  • Použite Zenith Blueprint: 30-kroková cestovná mapa audítora na začlenenie kontaktu s orgánmi, externej komunikácie, ochrany PII a zberu dôkazov do implementačného plánu ISMS a PIMS.
  • Použite Zenith Controls: sprievodca súladom naprieč rámcami na mapovanie očakávaní ISO 27701:2025, GDPR, ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, NIST a COBIT 2019 do jedného kontrolného naratívu pripraveného na audit.
  • Použite politiky Clarysec pre ochranu údajov a súkromia, reakciu na incidenty, právny a regulačný súlad, zber dôkazov a forenznú analýzu, poskytovanie PII, správu sprostredkovateľov a medzinárodné prenosy na definovanie pravidiel pracovného toku, registrov, schvaľovania a dôkazových požiadaviek.

Clarysec pomáha tímom prejsť od reaktívnej paniky k riadenému vykonaniu. Stiahnite si príslušné nástrojové sady Clarysec, vykonajte stolové cvičenie a objednajte si posúdenie správy a riadenia poskytovania údajov, aby bola vaša ďalšia odpoveď zákonná, minimálna, schválená, zaznamenaná, bezpečná a auditovateľná.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article