DSAR, izbris in dokazila ISO 27001 v letu 2026

E-poštno sporočilo je v Sarin nabiralnik prispelo ob 9:03.

To ni bila prva zahteva za dostop posameznika (Data Subject Access Request, DSAR), ki jo je prejelo njeno hitro rastoče podjetje SaaS. Bila pa je prva, ki je učinkovala kot javna presoja.

Pošiljatelj je bil nekdanji zaposleni, zdaj zagovornik zasebnosti. Zahteva je navajala člene GDPR po številkah ter zahtevala vse osebne podatke, takojšnjo omejitev obdelave, seznam vseh storitev tretjih oseb, ki hranijo njegove podatke, in preverljiva dokazila o izbrisu iz produkcijskih sistemov in sistemov za varnostno kopiranje. V kopiji je bil novinar.

V nekaj minutah so se pokazale vrzeli. Razvojna ekipa je opozorila, da bi »dejanski izbris« iz večnajemniške zbirke podatkov lahko vplival na druge stranke. Marketing je razpletal uporabniške podatke po analitičnih platformah. Pravna služba je odkrila odprto zadevo iz delovnega razmerja. Varnostno ekipo je skrbelo, da bi dnevniki lahko razkrili logiko zaznavanja ali podatke druge osebe. Podpora je imela zapise pod dvema e-poštnima naslovoma. Finance so imele račune pod tretjim.

Rok je že začel teči.

Tak scenarij ni več neobičajen. Pravice posameznikov, na katere se nanašajo osebni podatki, v letu 2026 niso zadeva, ki bi jo obravnaval zgolj nabiralnik za zasebnost. So nadzorovan poslovni proces, ki je odvisen od evidence sredstev, odločitev o pravni podlagi, preverjanja identitete, nadzora dostopa, pravil hrambe, pravnega zadržanja hrambe, usklajevanja z dobavitelji, varnega razkritja, dokazil o izbrisu in beleženja, pripravljenega za presojo.

GDPR organizacijam pove, katere pravice imajo posamezniki. ISO/IEC 27001:2022 ekipam za informacijsko varnost in skladnost daje disciplino sistema upravljanja, s katero lahko dokažejo, da se te pravice obravnavajo dosledno, varno in ponovljivo.

Za vodje informacijske varnosti, vodje skladnosti, vodje zasebnosti in lastnike podjetij cilj ni ustvariti več dokumentacije. Cilj je vzpostaviti en zanesljiv delovni tok za DSAR, izbris in omejitev obdelave, ki ustvarja dokazila, zahtevana po GDPR, pri presojah ISO/IEC 27001:2022 in v širših pričakovanjih glede zagotovil po NIS2, DORA, NIST CSF 2.0 in COBIT 2019.

Zakaj ad hoc obravnava DSAR odpove pod pritiskom

Večina neuspehov pri DSAR ni posledica slabih namenov. Povzroča jih razdrobljenost.

Podjetje ima lahko obvestilo o zasebnosti, nabiralnik pooblaščene osebe za varstvo podatkov in klavzulo GDPR v pogodbah z dobavitelji, pa ima še vedno težave pri odgovorih na osnovna operativna vprašanja:

• Kdo preverja identiteto vlagatelja zahteve?
• Katera pravna oseba je upravljavec ali obdelovalec?
• Katere sisteme je treba pregledati?
• Kdo je lastnik posameznega sistema?
• Kateri podatki spadajo v obseg?
• Katere podatke je treba pred razkritjem prekriti ali izločiti?
• Katerih podatkov ni mogoče izbrisati zaradi davčnih razlogov, presoje, sodnega postopka, preprečevanja goljufij ali zakonske obveznosti?
• Kako se omejitev obdelave tehnično uveljavi?
• Kateri dobavitelji morajo podpreti iskanje, izvoz, izbris ali omejitev obdelave?
• Katera dokazila dokazujejo, da je bila zahteva obravnavana pravočasno?
• Kaj se zgodi, če DSAR razkrije kršitev varstva osebnih podatkov?

GDPR Article 5 zahteva, da se osebni podatki obdelujejo zakonito, pošteno in pregledno, zbirajo za določene namene, omejijo na nujno potrebno, ohranjajo točni, hranijo ne dlje, kot je potrebno, in varujejo z ustreznimi tehničnimi in organizacijskimi ukrepi. Article 5(2) izrecno določa odgovornost: upravljavec mora biti zmožen dokazati skladnost. Article 4 obdelavo opredeljuje široko, vključno z zbiranjem, hrambo, uporabo, razkritjem, omejitvijo, izbrisom in uničenjem.

To pomeni, da je sam postopek DSAR dejavnost obdelave. Mora biti nadzorovan.

GDPR Article 3 je pomemben tudi za podjetja v oblaku, SaaS, fintech in digitalna podjetja zunaj EU. Če posameznikom v Uniji ponujate blago ali storitve, spremljate njihovo vedenje ali obdelujete osebne podatke v okviru poslovne enote v EU, se GDPR lahko uporablja tudi, kadar so operacije oddane zunanjim izvajalcem ali je infrastruktura globalna.

ISO/IEC 27001:2022 tej realnosti daje strukturo. Klavzule 4.1 do 4.4 zahtevajo, da organizacija razume svoj kontekst, zainteresirane strani, zahteve, obseg ISMS in medsebojno povezane procese. Posameznik, na katerega se nanašajo osebni podatki, je zainteresirana stran. Pravice po GDPR so zahteve. Aplikacije SaaS, ponudniki identitet, analitične platforme, orodja za podporo, podatkovna skladišča in varnostne kopije v oblaku so medsebojno povezani procesi. Delovni tok DSAR spada v ISMS, ne ob njega.

Tri pravice posameznikov, ki ustvarjajo največji pritisk

Dostop, izbris in omejitev obdelave razkrijejo največjo vrzel med pravno obljubo in operativno zmožnostjo.

GDPR Article 6 je osrednji del te logike odločanja. Osebnih podatkov ni mogoče obdelovati, hraniti, razkrivati ali zavrniti njihovega izbrisa brez razumevanja pravne podlage. Article 9 zvišuje prag za posebne vrste osebnih podatkov, kot so zdravstveni podatki, biometrični podatki, uporabljeni za enolično identifikacijo, ali podatki, ki razkrivajo občutljive značilnosti. V okolju SaaS leta 2026 to lahko vpliva na uvajanje uporabnikov, preverjanje identitete, spremljanje goljufij, priponke v podpori strankam in evidence zaposlenih.

Clarysecova podjetniška Politika varstva podatkov in zasebnosti [P17] obveznost opredeljuje neposredno. V klavzuli 3.6 poglavja Cilji zahteva, da organizacija:

podpira pravice posameznikov, na katere se nanašajo osebni podatki, vključno z dostopom, popravkom, izbrisom, omejitvijo, prenosljivostjo, ugovorom in zaščito pred avtomatiziranim sprejemanjem odločitev.

Ta cilj postane preverljiv šele, ko je povezan z lastniki, registri, delovnimi tokovi, kontrolami in dokazili.

Začnite tam, kjer začnejo presojevalci: obseg, zainteresirane strani in lastništvo

V Zenith Blueprint: 30-koračni načrt presojevalca [ZB] se faza ISMS Foundation & Leadership, korak 2, osredotoča na potrebe zainteresiranih strani in obseg ISMS. Za GDPR Blueprint pričakovanja regulatorjev opredeljuje kot:

Regulatorji EU
(GDPR)

zakonita obdelava osebnih
podatkov, prijava kršitve v 72 urah,
pravice posameznikov, na katere se nanašajo osebni podatki

imenovanje pooblaščene osebe za varstvo podatkov, vzpostavitev
postopka odzivanja na kršitve, postopki za
obravnavo zahtev v zvezi s podatki.

To je pravo izhodišče. Pred avtomatizacijo zahtevkov ali konfiguriranjem portalov določite obseg obdelave pravic posameznikov:

1. Katere pravne osebe nastopajo kot upravljavec, skupni upravljavec ali obdelovalec?
2. Kateri produkti, storitve in ozemlja spadajo v obseg?
3. Katere kategorije posameznikov obstajajo, na primer stranke, zaposleni, poskusni uporabniki, potencialne stranke, dobavitelji, obiskovalci spletnega mesta ali uporabniki aplikacije?
4. Kateri sistemi, repozitoriji in dobavitelji hranijo osebne podatke?
5. Katere vloge odobrijo razkritje, zavrnitev, izbris, omejitev ali eskalacijo?
6. Kateri kazalniki se poročajo vodstvu?

Klavzule 5.1 do 5.3 ISO/IEC 27001:2022 zahtevajo voditeljstvo, uskladitev politike, vire in dodeljene odgovornosti. To je neposredno skladno z odgovornostjo po GDPR.

Politika varstva podatkov in zasebnosti [P17], klavzula 6.4.1 poglavja Zahteve za izvajanje politike, določa:

Pooblaščena oseba za varstvo podatkov (DPO) mora vzdrževati dokumentirane procese za sprejem, preverjanje, sledenje in odgovor na Data Subject Request (DSR).

Za MSP Clarysecova Politika varstva podatkov in zasebnosti - SME [P17S] uporablja sorazmerno lastništvo. Klavzula 5.2.1 poglavja Zahteve upravljanja določa:

Koordinator za zasebnost mora voditi register vseh dejavnosti obdelave osebnih podatkov, vključno s kategorijami podatkov, namenom, pravno podlago in roki hrambe.

Ta register obdelav je operativno jedro pripravljenosti na DSAR. Če je nepopoln, ekipa DSAR išče po spominu, sporočilih Slack in neformalnem znanju. Če je točen, ekipa išče po dejavnosti obdelave, kategoriji podatkov, lastniku sistema, dobavitelju in pravilu hrambe.

Delovni tok Clarysec za DSAR: od prejema do zaključka

Delovni tok DSAR, pripravljen za presojo, mora biti dovolj preprost za izvedbo pod pritiskom, hkrati pa dovolj nadzorovan, da vzdrži regulatorni pregled, pregled zagotovil pri stranki ali presojo ISO/IEC 27001:2022.

1. Sprejem in potrditev prejema

Zahteve morajo vstopati prek nadzorovanega kanala, kot so nabiralnik za zasebnost, portal, obrazec za podporo ali pravna čakalna vrsta za sprejem zadev. Osebje mora prepoznati zahteve, izražene v običajnem jeziku. Osebi ni treba napisati »DSAR«, da bi uveljavljala pravico. »Katere podatke imate o meni?« ali »izbrišite moj profil« lahko zadostuje za sprožitev delovnega toka.

Politika varstva podatkov in zasebnosti - SME [P17S], klavzula 6.5.2 poglavja Zahteve za izvajanje politike, določa jasno raven storitve:

Koordinator za zasebnost mora potrditi prejem zahtev v 3 delovnih dneh in odgovoriti v 30 dneh.

Potrditev prejema mora vključevati referenco zahteve, po potrebi pojasnitev obsega, navodila za preverjanje identitete in pričakovani čas odgovora.

2. Preverjanje identitete in pooblastila

DSAR lahko postane kršitev varstva osebnih podatkov, če se informacije pošljejo napačni osebi. Preverjanje mora biti sorazmerno in ne sme zbirati prekomernih novih osebnih podatkov. Kjer je mogoče, uporabite avtenticirane portale. Pri nekdanjih uporabnikih preverite podatke glede na znane podatke računa. Pri zaposlenih se uskladite s kadrovsko službo. Pri pooblaščencih zahtevajte dokazilo o pooblastilu.

Ohranite dokazila o metodi preverjanja, datumu zaključka, odobritelju, vseh zahtevanih dodatnih informacijah in odločitvi, če preverjanje ni uspešno.

3. Razvrstitev zahteve

Eno sporočilo lahko vsebuje več pravic. Vsako razvrstite ločeno, ker dostop, izbris, omejitev, ugovor in prenosljivost zahtevajo različno logiko odločanja in dokazila. Označite tudi morebitne pritožbe, zadeve zaposlenih, podatke otrok, posebne vrste podatkov in morebitne kršitve varstva osebnih podatkov.

4. Preiščite evidenco sredstev, ne le očitnih sistemov

Tu ISO/IEC 27001:2022 postane praktičen. Zenith Blueprint [ZB], faza Controls in Action, korak 22, opozarja, da je obseg evidence sredstev širši, kot pričakuje veliko organizacij:

Obseg te evidence je širši, kot se večina zaveda. Vključevati mora:

✓ fizična sredstva: prenosnike, strežnike, telefone, varnostne trakove, izmenljive medije, tiskane
zapise.
✓ digitalna sredstva: dokumente, podatkovne nize, repozitorije, e-pošto, izvorno kodo, datoteke,
shranjene v oblaku.
✓ logična sredstva: uporabniške račune, poverilnice, ključe, licence programske opreme, vmesnike za aplikacijsko programiranje.
✓ sredstva, povezana s storitvami: platforme SaaS, upravljane varnostne storitve, zunanjo
hrambo.
✓ ljudi kot sredstva: ne v smislu komodifikacije, temveč v smislu dodeljenih odgovornosti,
dostopa in izpostavljenosti informacijam, ki izhaja iz vlog.

Korak 22 pojasnjuje tudi lastništvo:

Vsako sredstvo mora imeti določenega lastnika, ne osebe, ki ga uporablja, temveč osebo, ki je odgovorna za
njegovo uporabo, zaščito in življenjski cikel. Lastništvo je ključno za uskladitev kontrol: kdo razvršča
sredstvo (5.10), kdo odloča o njegovi ravni dostopa (8.3), kdo obravnava njegov izbris (8.10), kdo zagotavlja
njegovo vračilo (5.9 se subtilno prekriva s postopki vračila sredstev).

V Zenith Controls: Vodnik za navzkrižno skladnost [ZC] je kontrola ISO/IEC 27002:2022 5.9, Evidenca informacij in drugih povezanih sredstev, obravnavana kot preventivna kontrola, ki podpira zaupnost, celovitost in razpoložljivost. Njen koncept kibernetske varnosti je Identify, njena operativna zmogljivost je upravljanje sredstev, njena varnostna področja pa vključujejo upravljanje, ekosistem in zaščito.

Za DSAR to pomeni, da evidenca sredstev ni preglednica IT. Je zemljevid, ki zasebnosti, pravni službi in varnosti pove, kje bi lahko obstajali osebni podatki.

5. Pregled, prekritje in odobritev razkritja

Odgovor na DSAR ne sme biti surov izvoz. Pregled mora zaščititi osebne podatke drugih posameznikov, zaupne poslovne informacije, pravno privilegirane informacije, varnostno občutljive podatke, signale goljufij in podatke zunaj obsega zahteve.

Odobritev mora temeljiti na tveganju. Rutinske odgovore na zahteve za dostop lahko odobri koordinator za zasebnost ali DPO. Zahteve, ki vključujejo zaposlene, sodne postopke, posebne vrste podatkov, otroke, goljufije, varnostne dnevnike ali velike izvoze, morajo vključevati pravno službo, kadrovsko službo ali vodstvo informacijske varnosti.

6. Varna dostava

Velikih nešifriranih datotek ne pošiljajte kot e-poštne priponke. Uporabite avtenticirane portale, šifrirane datoteke z ločeno dostavo gesla ali varne povezave za prenos s potekom veljavnosti in beleženjem dostopa. Zabeležite način dostave, datum, račun prejemnika, datum poteka veljavnosti in potrditev, kjer je na voljo.

7. Zaključek z dokazili

Politika varstva podatkov in zasebnosti [P17], klavzula 6.4.3, je izrecna:

Vsa izvedena dejanja morajo biti zabeležena za namene presoje, vključno z odločitvami o zavrnitvi zahtev.

Politika varstva podatkov in zasebnosti - SME [P17S], klavzula 6.5.4, določa:

Vsi odgovori na zahteve posameznikov, na katere se nanašajo osebni podatki, morajo biti zabeleženi v varnem registru, dostop pa mora biti omejen na koordinatorja za zasebnost in generalnega direktorja (GM).

DSAR ni zaključen, ko je e-poštno sporočilo poslano. Zaključen je, ko register prikazuje zahtevo, preverjanje identitete, odločitve, pregledane sisteme, odgovor, izjeme, odobritve, dostavo in zaključek.

Izbris je nadzorovano uničenje, ne gumb za brisanje

Zahteve za izbris razkrijejo, ali je bila zasebnost vgrajena v sisteme ali dodana po uvedbi.

Clarysecova podjetniška Politika hrambe podatkov in odstranjevanja [P14], klavzula 4.3.3 poglavja Vloge in odgovornosti, dodeljuje odgovornost vlogi, ki:

odgovarja na zahteve za izbris in zagotavlja pravočasen, preverljiv izbris osebnih podatkov, kadar je to zahtevano.

Besedna zveza »kadar je to zahtevano« je ključna. Izbris po GDPR ni absoluten. Organizacije bodo morda morale hraniti podatke zaradi zakonskih obveznosti, presoje, davčnih obveznosti, regulativnih dolžnosti, preprečevanja goljufij, varnosti, sodnih postopkov ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov. Delovni tok mora vključevati odločitev o zakoniti hrambi in izjemi.

Zenith Blueprint [ZB], faza Controls in Action, korak 19, pojasnjuje kontrolo ISO/IEC 27002:2022 8.10, Izbris informacij, z operativnega vidika:

Ta kontrola zagotavlja, da se podatki ne hranijo dlje, kot je potrebno, in ko niso več
potrebni, morajo biti varno in zanesljivo izbrisani. Številne organizacije sčasoma nakopičijo velike
količine podatkov, vendar brez jasnega postopka izbrisa ti podatki lahko obležijo nedejavni in
nezaščiteni ter neopazno povečujejo tveganje izpostavljenosti, kršitve ali regulativne neskladnosti.

Opozarja tudi:

Ne pozabite na varnostne kopije in arhivirane sisteme; ti pogosto hranijo zgodovinske podatke še dolgo po tem, ko izgubijo
operativno vrednost. Politike izbrisa morajo zajemati:

✓ nastavitve hrambe varnostnih kopij,
✓ življenjske cikle posnetkov,
✓ arhivirane repozitorije e-pošte ali dokumentov.

In zaključi z dokazili:

Sam postopek izbrisa mora biti zabeležen, pri visoko tveganih ali reguliranih podatkih pa
pregledan ali odobren. To zagotavlja sledljivost in ščiti pred nenamernim ali
nepooblaščenim uničenjem dragocenih zapisov.

V Zenith Controls [ZC] je kontrola ISO/IEC 27002:2022 8.10, Izbris informacij, mapirana kot preventivna kontrola, osredotočena na zaupnost, usklajena s konceptom kibernetske varnosti Protect in povezana z operativnimi zmogljivostmi varstva informacij ter prava in skladnosti.

Pri kompleksnih arhitekturah v oblaku je lahko kriptografski izbris ustrezen, če je pravilno zasnovan. Če so osebni podatki šifrirani s ključem, specifičnim za posameznika ali najemnika, lahko uničenje ključa povzroči trajno nedostopnost podatkov, tudi kadar šifrirani ostanki ostanejo v varnostnih kopijah do načrtovane rotacije. To mora biti skrbno zasnovano, dokumentirano, testirano in odobreno. Ni nadomestni ukrep za slabo arhitekturo izbrisa.

Pripravljenost aplikacij je zato nujna. Clarysecova Politika zahtev za varnost aplikacij - SME [P09S], klavzula 6.5.1.3, zahteva, da aplikacije:

omogočajo varen izvoz in izbris osebnih podatkov, kadar je to zakonsko zahtevano (npr. GDPR Article 17 – pravica do izbrisa).

Če produktne ekipe ne vgradijo zmožnosti izvoza in izbrisa, so ekipe za zasebnost prisiljene v skripte za zbirke podatkov, zahtevke dobaviteljem in nedosledno ročno delo.

Pravno zadržanje hrambe in začasna ustavitev izbrisa

Zrel delovni tok izbrisa mora vključevati pot »ne izbriši«. To ni izgovor za ignoriranje izbrisa. Je nadzorovana izjema.

Clarysecova SME Politika hrambe podatkov in varnega odstranjevanja - SME [P14S], klavzula 5.4 poglavja Zahteve upravljanja, določa:

Podatki, za katere velja pravno zadržanje hrambe in začasna ustavitev izbrisa (npr. v primeru sodnega postopka, presoje ali preiskave), morajo biti v sistemu jasno opredeljeni in zaščiteni pred izbrisom, tudi če je načrtovani rok hrambe potekel.

Politika hrambe podatkov in odstranjevanja [P14], klavzula 6.4.1, odraža isto načelo:

Če je izdano pravno zadržanje hrambe in začasna ustavitev izbrisa (npr. zaradi tekočega sodnega postopka, preiskave ali presoje), je treba podatke, ki bi sicer bili predmet uničenja, ohraniti po njihovem običajnem roku hrambe.

Presojevalci želijo obe strani zgodbe: dokazila o pravočasnem izbrisu in dokazila o utemeljeni hrambi.

Omejitev obdelave: podcenjena pravica

Zahteve za omejitev obdelave ne zahtevajo vedno izbrisa. Zahtevajo, da organizacija omeji aktivno obdelavo in hkrati hrani podatke pod nadzorovanimi pogoji.

Pogosti primeri vključujejo:

• Stranka izpodbija točnost in zahteva, da prenehate uporabljati podatke, dokler se ne preverijo.
• Nekdanji zaposleni ugovarja obdelavi, vendar je zapis potreben za pravne zahtevke.
• Uporabnik zahteva izbris, vendar je treba minimalne podatke hraniti za vzdrževanje seznama za izključitev.
• Preiskava goljufije zahteva hrambo, ne pa običajne operativne uporabe.

Praktičen delovni tok omejitve obdelave mora vključevati pravno odločitev, sistemsko oznako, prilagoditev nadzora dostopa, izključitev iz marketinga, izključitev iz analitike, navodilo dobavitelju, periodični pregled in dokazila o izjemi.

V Zenith Controls [ZC] je kontrola ISO/IEC 27002:2022 5.34, Zasebnost in varstvo osebno določljivih informacij, obravnavana kot preventivna kontrola, ki podpira zaupnost, celovitost in razpoložljivost. Mapirana je na Identify in Protect ter na operativni zmogljivosti varstva informacij ter prava in skladnosti.

Zenith Blueprint [ZB], faza Controls in Action, korak 23, povzema preizkus presoje:

Potrdite, da je vaša organizacija uvedla ukrepe zasebnosti (5.34), usklajene z
veljavnimi pravnimi zahtevami. Preverite razvrstitev osebno določljivih informacij, ustrezne kontrole dostopa, varne
prakse ravnanja in usposabljanje za ozaveščanje. Preverite, ali so zahteve posameznikov za dostop,
izbris podatkov ali dnevniki obdelave podprti operativno, ne le s politiko.

Ključna besedna zveza je »podprti operativno, ne le s politiko«.

Mapiranje delovnih tokov DSAR na dokazila ISO/IEC 27001:2022

ISO/IEC 27001:2022 ne nadomešča GDPR. Organizira dokazila.

Klavzule 6.1.1 do 6.1.3 zahtevajo oceno tveganj, obravnavo tveganj, merila za sprejem tveganja, lastnike tveganj, izbiro kontrol, izjavo o uporabnosti in načrt obravnave tveganj. Tveganja DSAR vključujejo nepooblaščeno razkritje, zamujene roke, nepopoln izbris, nezakonito hrambo, prekomerno preverjanje identitete, nesodelovanje dobaviteljev in nezmožnost omejitve obdelave.

Klavzula 8.1 zahteva, da organizacije načrtujejo, izvajajo in nadzorujejo procese ISMS, hranijo dokumentirana dokazila, nadzorujejo spremembe ter zagotavljajo, da so nadzorovani zunanji procesi, produkti in storitve, pomembni za ISMS. To ustreza operacijam DSAR, ker zahteve prečkajo notranje funkcije in zunanje obdelovalce.

Močan paket dokazil vključuje postopek DSR, register DSR, register dejavnosti obdelave, evidenco sredstev, načrt hrambe podatkov, register pravnega zadržanja hrambe, postopek preverjanja identitete, navodila za prekrivanje, varen način razkritja, postopek izbrisa, postopek omejitve, odzivni priročnik za dobavitelje, register izjem, zapise o usposabljanju, rezultate notranje presoje in poročanje v okviru vodstvenega pregleda.

Praktičen delovni tok za dostop, izbris in omejitev

Ta delovni tok Sarino krizo spremeni v preverljiv proces. Vsaka faza ima lastnika, podlago v kontroli in dokazila.

Vrednost navzkrižne skladnosti onkraj GDPR

Delovni tok DSAR temelji na GDPR, vendar iste kontrole podpirajo širše okvire.

NIS2 Article 20 določa, da je kibernetska varnost odgovornost vodstva za bistvene in pomembne subjekte. Article 21 zahteva ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe, vključno z analizo tveganj, obravnavanjem incidentov, neprekinjenim poslovanjem, varnostjo dobavne verige, presojo učinkovitosti, kibernetsko higieno, usposabljanjem, nadzorom dostopa, upravljanjem sredstev, avtentikacijo in varnimi komunikacijami. DSAR se opirajo na številne iste zmogljivosti.

DORA se od 17. januarja 2025 uporablja za številne finančne subjekte in določa enotne zahteve za upravljanje IKT-tveganj, poročanje o incidentih, testiranje odpornosti in tveganja tretjih oseb na področju IKT. Articles 5 in 6 zahtevata upravljanje in dokumentirano upravljanje IKT-tveganj. Articles 17 do 20 obravnavajo odkrivanje incidentov, razvrščanje, eskalacijo, komunikacijo in zaključek. Articles 24 do 30 obravnavajo testiranje odpornosti, tveganje tretjih oseb na področju IKT, registre storitev, pravice do presoje, lokacijo podatkov, pomoč pri incidentih in izstopne strategije. Fintech, ki DSAR obravnava prek oblačnih platform, mora obravnavo zahtev v zvezi z zasebnostjo uskladiti s svojim registrom storitev IKT.

NIST CSF 2.0 pomaga isto delo prevesti v rezultate kibernetske varnosti. GOVERN obravnava pravne, regulativne in pogodbene zahteve, strategijo tveganj, vloge, politiko in nadzor. IDENTIFY in PROTECT sta močno usklajena z vidnostjo sredstev, razvrščanjem podatkov, nadzorom dostopa, izbrisom, upravljanjem dobaviteljev in varstvom zasebnosti.

COBIT 2019 postavlja vprašanja upravljanja. Kdo je lastnik procesa? Kateri cilji so opredeljeni? Kako se meri uspešnost? Kako se odobrijo izjeme? Kako se pridobi zagotovilo? Dokazila DSAR lahko podpirajo cilje, kot so APO13 Managed Security, APO14 Managed Data in DSS06 Managed Business Process Controls.

Pogled presojevalca

Ne ustvarjajte ločenih dokazil za vsak okvir. Vzpostavite en zanesljiv delovni tok DSAR in ga dobro mapirajte.

Kazalniki DSAR, ki jih mora videti vodstvo

Vodstvo ne more nadzorovati tistega, česar ne vidi. Koristni kazalniki vključujejo obseg zahtev po vrsti pravice, povprečni čas potrditve prejema, povprečni čas zaključka, uspešnost glede rokov, stopnje pojasnjevanja identitete, izjeme pri izbrisu, primere pravnega zadržanja hrambe, odzivne čase dobaviteljev, delne zavrnitve, incidente, ugotovljene med obravnavo, in odprte sanacijske ukrepe.

Ti kazalniki pokažejo, ali so pravice posameznikov operativno zdrave ali odvisne od izrednih naporov posameznikov.

Pogoste vrzeli pri pripravljenosti na DSAR

Clarysec pogosto vidi iste slabosti pri SaaS, fintech, strokovnih storitvah in MSP, ki temeljijo na oblaku:

• Ni lastnika za vsak sistem, ki vsebuje osebne podatke
• Register obdelav ni usklajen z dejansko uporabo SaaS
• Platforme za marketing, analitiko in podatkovna skladišča so izključene iz iskanj
• Ni dokumentiranega standarda za preverjanje identitete
• Pred razkritjem ni pregleda za prekritje podatkov
• Izbris v produkciji se izvede brez obravnave varnostnih kopij
• Pred izbrisom ni preverjanja pravnega zadržanja hrambe
• Omejitev obdelave se obravnava ročno, brez sistemske oznake
• Pogodbe z dobavitelji nimajo določil o pomoči pri DSAR
• Zavrnitve in delne zavrnitve niso dokumentirane
• Ni vzorčenja zaključenih DSAR v notranji presoji
• Osebje prve linije ni usposobljeno za prepoznavanje zahtev

Vaš kontrolni seznam pripravljenosti na DSAR za leto 2026

Uporabite ga kot preizkus zrelosti:

• Ali imamo dokumentiran proces sprejema, preverjanja, sledenja in odgovarjanja na DSR?
• Ali potrdimo prejem zahtev v opredeljenem internem SLA?
• Ali vodimo varen register DSR z omejenim dostopom?
• Ali imamo aktualen register dejavnosti obdelave s kategorijami, nameni, pravnimi podlagami in roki hrambe?
• Ali poznamo vsak sistem, platformo SaaS, repozitorij in dobavitelja, ki lahko hrani osebne podatke?
• Ali ima vsako relevantno sredstvo odgovornega lastnika?
• Ali lahko osebne podatke varno izvozimo?
• Ali lahko osebne podatke varno izbrišemo, kadar je to zakonsko zahtevano?
• Ali lahko obdelavo omejimo tehnično ali postopkovno?
• Ali pred izbrisom preverimo pravno zadržanje hrambe?
• Ali dokumentiramo odločitve o zavrnitvi, delni zavrnitvi in izjemah?
• Ali pogodbe z dobavitelji podpirajo pomoč pri DSAR?
• Ali delovni tok testiramo z notranjo presojo ali namiznimi vajami?
• Ali vodstvu poročamo o uspešnosti DSAR?
• Ali kontrole DSAR mapiramo v obravnavo tveganj ISO/IEC 27001:2022 in izjavo o uporabnosti?

Če je več odgovorov »ne dosledno«, lahko naslednja zahteva razkrije vrzel.

Pravice posameznikov pretvorite v dokazila, pripravljena za presojo

Pravice posameznikov v letu 2026 zahtevajo več kot dobre namene in nabiralnik za zasebnost. Zahtevajo delovni tok, ki lahko najde podatke, preveri identiteto, sprejema zakonite odločitve, usklajuje dobavitelje, zaščiti razkritje, izvede izbris, uveljavi omejitev in ohrani dokazila.

Clarysec pomaga organizacijam zgraditi tak delovni tok brez vzpostavljanja vzporedne birokracije za skladnost. Začnite z Zenith Blueprint, da pravice posameznikov umestite v ustrezno fazo in korake ISMS. Uporabite Clarysecove Politika varstva podatkov in zasebnosti, Politika varstva podatkov in zasebnosti - SME, Politika hrambe podatkov in odstranjevanja, Politika hrambe podatkov in varnega odstranjevanja - SME in Politika zahtev za varnost aplikacij - SME za opredelitev lastništva in operativnih pravil.

Nato uporabite Zenith Controls za mapiranje kontrol ISO/IEC 27002:2022 5.9, 5.34 in 8.10 v dokazila navzkrižne skladnosti za zagotovila po GDPR, ISO/IEC 27001:2022, NIS2, DORA, NIST CSF 2.0 in COBIT 2019.

Če želite vedeti, ali bi vaši delovni tokovi za DSAR, izbris in omejitev obdelave že jutri prestali presojo, vam Clarysec lahko pomaga preizkusiti proces, zapreti vrzeli in zgraditi paket dokazil, preden prispe naslednja zahteva. Prenesite ustrezne predloge politik Clarysec ali rezervirajte presojo pripravljenosti na DSAR, da preidete z odzivanja na zahteve na nadzorovane operacije zasebnosti, pripravljene za presojo.