⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Zahteve za razkritje osebno določljivih podatkov po GDPR in ISO 27701

Igor Petreski
14 min read
Revizijsko pripravljen delovni tok za zahteve za razkritje osebno določljivih podatkov po GDPR in ISO 27701

Zahteva prispe v petek ob 16:47

Vodja oddelka za uspeh strank pravni službi posreduje e-poštno sporočilo z zadevo: »NUJNA POLICIJSKA ZAHTEVA«. Priložen je skeniran dopis, ki za imenovanega posameznika zahteva podatke o računu, zgodovino prijav, naslove IP, plačilne evidence in »katere koli druge relevantne informacije«. Pošiljatelj trdi, da prihaja iz enote za kibernetsko kriminaliteto. V e-poštnem sporočilu zahteva razkritje v 24 urah in prosi organizacijo, naj »ne obvesti posameznika, na katerega se nanašajo podatki«.

Hkrati ekipa za varnostne operacije preiskuje neobičajno dejavnost v istem računu stranke. Pooblaščena oseba za varstvo podatkov (DPO) je v drugem časovnem pasu. CISO sprašuje, ali gre za incident, pravno zahtevo, razkritje po GDPR ali vse troje. Prodaja želi »v celoti sodelovati«. Podpora želi vedeti, ali lahko izvozi profil stranke. Nekdo predlaga pošiljanje celotnega zapisa CRM, ker so »organi zahtevali vse«.

To je vrzel v upravljanju.

Večina organizacij ima politiko zasebnosti, načrt odzivanja na incidente in postopek za zahteve posameznikov za dostop do osebnih podatkov. Številne obvladujejo skrbni pregled dobaviteljev, dopisovanje z regulatorji in obvestila o kršitvah. Bistveno manj organizacij ima ponovljiv delovni tok za prisilne ali uradne zahteve za razkritje osebno določljivih podatkov, ki prihajajo od organov pregona, regulatorjev, sodišč, davčnih organov, finančnih nadzornikov, telekomunikacijskih regulatorjev, enot za kibernetsko kriminaliteto ali tujih javnih organov.

Ta vrzel je nevarna. Izpolnitev goljufive zahteve lahko povzroči kršitev varnosti osebnih podatkov. Zavrnitev legitimne zahteve lahko ustvari pravno izpostavljenost. Odgovor brez nadzorovanega procesa lahko vodi v prekomerno razkritje, prekinjeno verigo skrbništva, zamujene roke, nezakonite mednarodne prenose in neuspešno presojo.

Po GDPR, ISO 27701:2025 in ISO/IEC 27001:2022 uradna zahteva za razkritje osebno določljivih podatkov ni zgolj zadeva poštnega predala pravne službe. Zajema pravno podlago, odgovornost, omejitev namena, najmanjši obseg podatkov, zaupnost, odobritev na podlagi vlog, upravljanje mednarodnih prenosov, navodila obdelovalcu, ohranitev dokazil, varen prenos in revizijske sledi.

Praktični preizkus je preprost: ko zahteva prispe, ali lahko vaša organizacija dokaže, da je preverila vlagatelja zahteve, ocenila pravno pooblastilo, minimizirala razkritje, pridobila ustrezne odobritve, zaščitila dokazila, evidentirala odločitev in ohranila revizijsko pripravljeno sled?

Stališče Clarysec je jasno. Zahteve organov pregona in regulatorjev za razkritje osebno določljivih podatkov obravnavajte kot nadzorovan delovni tok zasebnosti in informacijske varnosti, ne kot improviziran odgovor po e-pošti.

Zakaj so uradne zahteve za razkritje osebno določljivih podatkov drugačne

Običajen dogovor o zunanjem deljenju podatkov se navadno začne s poslovnim namenom. Dobavitelj potrebuje podatke zaposlenih za obračun plač. Ponudnik SaaS obdeluje identifikatorje strank. Partner prejme transakcijske podatke na podlagi pogodbe. Vzorec upravljanja je znan: skrbni pregled, pogodba o obdelavi osebnih podatkov, varnostne zahteve, presoja prenosa, določila o hrambi in stalno spremljanje.

Zahteve organov pregona in regulatorjev za razkritje osebno določljivih podatkov so drugačne. Sprožijo jih dogodki, so časovno občutljive, pogosto zaupne in včasih pravno zavezujoče. Prispejo lahko zunaj nabavnih kanalov. Zahtevajo lahko široke kategorije osebno določljivih podatkov. Prepovedujejo lahko obveščanje. Vključujejo lahko tuje organe. Prispejo lahko med incidentom, preiskavo goljufije, pravnim zadržanjem, regulativnim pregledom ali preiskavo kibernetske kriminalitete.

To ustvari tri takojšnje zahteve upravljanja.

Prvič, organizacija mora vedeti, kdo sme odgovoriti. Zaposleni na prvi liniji ne sme odločati, ali je policijska zahteva veljavna, ali je besedilo regulatorja zavezujoče ali ali je obveščanje stranke prepovedano.

Drugič, sodelovanje mora biti ločeno od prekomernega razkritja. GDPR ne preprečuje zakonitega sodelovanja z organi, vendar še vedno zahteva veljavno pravno podlago, poštenost, preglednost, kjer je to primerno, omejitev namena, najmanjši obseg podatkov, celovitost, zaupnost in odgovornost.

Tretjič, dokazila je treba ohraniti. Če se zahteva nanaša na incident, goljufiv dogodek, pravdni postopek ali nadzorno poizvedbo, lahko brisanje dnevnikov, spreminjanje zapisov ali izvoz podatkov brez sledljivosti škoduje tako skladnosti kot pravni zagovorljivosti.

Najmočnejši operativni model poveže upravljanje zasebnosti, pravno odobritev, ravnanje z dokazili, odziv na incidente, varen prenos in stik z organi v enoten delovni tok.

Kontrolni sklop Clarysec: organi, zasebnost in dokazila

V Zenith Controls: The Cross-Compliance Guide Clarysec obravnava upravljanje razkritij organom pregona in regulatorjem kot povezan sklop kontrol, ne kot samostojno nalogo zasebnosti. Osrednje kontrole ISO/IEC 27002:2022 so 5.5 Stik z organi, 5.28 Zbiranje dokazil in 5.34 Zasebnost in varstvo PII. Podporna razmerja med kontrolami vključujejo razvrščanje in označevanje informacij, nadzor dostopa, odnose z dobavitelji, upravljanje incidentov, beleženje, sinhronizacijo sistemske ure, kriptografijo, maskiranje, brisanje in prenos informacij.

To je pomembno, ker lahko uradne zahteve za razkritje odpovejo na več točkah. Ekipa za zasebnost lahko preveri pravno podlago, vendar ne ohrani dokazil. SOC lahko ohrani dnevnike, vendar razkrije preveč osebno določljivih podatkov. Pravna služba lahko odobri odgovor, vendar pozabi posodobiti register razkritij. Obdelovalec lahko neposredno odgovori organu, čeprav bi moral zahtevo usmeriti k upravljavcu.

Zenith Blueprint: An Auditor’s 30-Step Roadmap to operativno povezavo dodatno utrjuje v fazi Controls in Action, korak 22, v okviru Stika z organi:

Kontrola 5.5 zagotavlja, da je organizacija pripravljena sodelovati z zunanjimi organi, kadar je to potrebno, ne reaktivno ali v paniki, temveč prek vnaprej opredeljenih, strukturiranih in dobro razumljenih kanalov.

Isti razdelek oblikuje vprašanja, na katera je treba odgovoriti, preden prispe dejanska zahteva:

Načelo je preprosto: če bi bila vaša organizacija tarča kibernetskega napada, udeležena v kršitvi varnosti osebnih podatkov ali predmet preiskave, kdo bi stopil v stik z organi? Kako bi vedel, kaj povedati? Pod katerimi pogoji bi bil tak stik sprožen? Na ta vprašanja je treba odgovoriti vnaprej, ne naknadno.

Za varstvo osebno določljivih podatkov Zenith Blueprint v fazi Controls in Action, korak 23, zasebnost opredeli kot obveznost skozi celoten življenjski cikel:

Kontrola 5.34 od organizacij zahteva, da varujejo zasebnost posameznikov z izvajanjem ustreznih ukrepov za ravnanje z osebno določljivimi podatki skozi njihov celoten življenjski cikel.

Za dokazila ista faza in korak pojasnita, zakaj je neformalno ravnanje tvegano:

Kontrola 5.28 priznava, da je po incidentu to, kar lahko dokažete, enako pomembno kot to, kar se je dejansko zgodilo.

Skupaj ta tri načela določajo model upravljanja: vedeti, kdo komunicira z organi, varovati osebno določljive podatke skozi celoten življenjski cikel razkritja in ohraniti dokazila na pravno zagovorljiv način.

Pogled GDPR in ISO 27701:2025 na prisilno razkritje

ISO 27701:2025 krepi potrebo po disciplini sistema upravljanja informacij o zasebnosti. PIMS mora določiti, kako upravljavci osebno določljivih podatkov in obdelovalci osebno določljivih podatkov obravnavajo uradne zahteve za razkritje, vključno s sprejemom, preverjanjem, pravnim pregledom, odobritvijo, evidentiranjem, minimizacijo, varnim prenosom, hrambo in pregledom po odgovoru.

Pri upravljavcu je ključno vprašanje, ali organizacija določa namene in sredstva obdelave ter mora zato odločiti, ali in kako je razkritje zakonito. Pri obdelovalcu je vprašanje, ali sploh sme razkriti podatke brez navodila upravljavca, razen če je to zakonsko zahtevano. Pri podobdelovalcu postanejo usmerjanje zahtev in prenesene obveznosti še občutljivejši.

GDPR utrjuje iste operativne zahteve. Razkritje javnemu organu je še vedno obdelava. Organizacija potrebuje pravno podlago po Article 6, dokumentiran namen, ustrezno varnost, najmanjši obseg podatkov po Article 5(1)(c) in dokazila o odgovornosti po Article 5(2). V številnih primerih bo pravna podlaga Article 6(1)(c), obdelava, potrebna za izpolnitev zakonske obveznosti, vendar šele potem, ko pravna služba preveri zahtevo in jurisdikcijo.

Kadar zahteva prihaja od tujega javnega organa, sta upravljanje prenosov in pregled DPO nujna. Kadar zahteva vključuje obdelovalca, je treba preveriti pogodbena pravila o obveščanju in navodilih. Kadar se zahteva nanaša na kibernetski incident, mora biti odgovor usklajen z zahtevami glede obravnavanja incidentov in zbiranja dokazil.

Nabor politik Clarysec te zahteve pretvori v operativna pravila.

Podjetniška P17 Data Protection and Privacy Policy, klavzula 6.1.1, določa:

Vsaka obdelava mora temeljiti na veljavni pravni podlagi (npr. privolitev, pogodba, zakonska obveznost).

Ista politika v klavzuli 6.2.1 dodaja sidro minimizacije:

Zbirajo in obdelujejo se lahko samo podatki, potrebni za določen, legitimen poslovni namen.

Za mala in srednja podjetja P17S Data Protection and Privacy Policy - SME, klavzula 6.2.1, določa:

Zbrati in hraniti se sme samo najmanjši potreben obseg osebnih podatkov.

Te klavzule so pomembne, kadar zahteva vsebuje izraze »vse informacije«, »celotna zgodovina« ali »kateri koli povezani zapisi«. Pravilen odgovor ni izvoz vseh polj. Pravilen odgovor je preveriti zahtevo, določiti pravno zahtevani obseg, razkriti samo potrebne osebno določljive podatke, dokumentirati odločitev in hraniti dokazila.

Od e-poštne panike do nadzorovanega razkritja

Zrel delovni tok mora biti dovolj preprost, da ga lahko upoštevajo zaposleni na prvi liniji, in dovolj strog za presojevalce, regulatorje in sodišča. Clarysec priporoča sedemstopenjski model.

FazaCilj kontrolePrimarni lastnikUstvarjena dokazila
1. Sprejem in karantenaPreprečiti neformalni odgovor ali nenamerno razkritjepodpora uporabnikom, pravni sprejem zahtev, vodja varstva podatkovzahtevek, izvirno sporočilo, priloge, časovni žig
2. Preverjanje avtentičnostiPotrditi identiteto vlagatelja, pooblastilo, jurisdikcijo in pravni instrumentpravna služba, DPO, skladnostzapiski preverjanja, preveritev stika z organom, presoja pravne podlage
3. Določitev vlogeOdločiti, ali organizacija deluje kot upravljavec, obdelovalec, skupni upravljavec ali podobdelovalecvodja varstva podatkov, skrbnik pogodbepresoja vloge PIMS, zapis navodila naročnika, če gre za obdelovalca
4. Minimizacija obsegaZahtevo pretvoriti v specifične kategorije osebno določljivih podatkov in časovna obdobjalastnik procesa, varnost, pravna službaizpis mapiranja podatkov, odločitev o minimizaciji, zapiski o prekrivanju
5. OdobritevZagotoviti pooblaščeno odločitev pred razkritjemDPO, pravna služba, CISO, poslovni lastnikzapis odobritve, zapis izjeme, če je nujno
6. Varno razkritjePrenesti samo odobrene podatke prek nadzorovanih kanalovvarnost, pravne operacijednevnik prenosa, dokazila o šifriranju, potrditev prejemnika
7. Vpis v register in pregledHraniti dokazila o odgovornosti in pridobljene izkušnjevodja PIMS, skladnostvnos REG08, REG09 ali REG12, revizijska sled, zaključni pregled

Prvo pravilo je usmerjanje. Vsak zaposleni mora vedeti, da se uradne zahteve za osebno določljive podatke usmerijo na opredeljeno pot sprejema. Nihče ne sme odgovoriti iz osebnega poštnega predala. Nihče ne sme poklicati vlagatelja zahteve na telefonsko številko, navedeno v nepreverjenem dopisu. Nihče ne sme izvoziti podatkov stranke, preden pravna služba in funkcija zasebnosti pregledata zahtevo.

Podjetniška P30 Incident Response Policy, klavzula 6.5.5, podpira to disciplino usmerjanja:

Vsako sodelovanje z organi pregona ali ponudniki forenzičnih storitev mora biti usklajeno prek pravne službe in CISO.

Ta klavzula je posebej pomembna, kadar je zahteva za razkritje povezana z goljufijo, kibernetsko kriminaliteto, kompromitacijo računa, izsiljevalsko programsko opremo, notranjo grožnjo ali preiskavo kršitve. Pravna služba in varnost morata delovati usklajeno, ne vzporedno.

Podjetniška P37 Legal and Regulatory Compliance Policy, klavzula 7.3.1.2, nadzoruje zunanje izjave:

Vse ustne ali pisne izjave regulatorjem morajo biti predhodno odobrene.

Klavzula 7.3.1.3 dodaja disciplino rokov in dokazil:

Roke za odgovore je treba spremljati, dnevnike dokazil pa vzdrževati.

Ta pravila niso birokratsko trenje. Preprečujejo nenamerna priznanja, nenadzorovano razkritje, zamujene roke in šibka dokazila.

Disciplina odobritev in registrov: revizijska dokazila, ki jih ekipe najpogosteje spregledajo

Številne organizacije lahko pokažejo izvirno e-poštno zahtevo. Manj jih lahko pokaže, kdo je odobril razkritje, katera pravna podlaga je bila uporabljena, zakaj so bila določena polja vključena ali izključena, kako je bil vlagatelj zahteve preverjen, ali je bil posameznik, na katerega se nanašajo podatki, obveščen ali zakonito ni bil obveščen ter kje je bil odgovor evidentiran.

Tu postanejo registri PIMS Clarysec osrednji.

Za upravljavce podjetniška PII09 PII Collection, Use, Disclosure and Sharing Policy, klavzula 4.4.1, zahteva:

[Upravljavec] Lastnik procesa / poslovni lastnik MORA v REG08 evidentirati izid pregleda vodje varstva podatkov / vodje PIMS, preden se začne katero koli novo zunanje razkritje ali dogovor o deljenju podatkov.

Klavzula 4.4.2 določa, kaj je treba zajeti pri ponavljajočem se deljenju:

[Upravljavec] Lastnik dobavitelja / nabave MORA v REG08 evidentirati identiteto prejemnika, vlogo prejemnika, namen razkritja, kategorije osebno določljivih podatkov, pogostost deljenja, lokacijo obdelave in vir pooblastila, preden se začne ponavljajoče se zunanje deljenje.

Za obdelovalce podjetniška PII12 Processor, Subprocessor and Third-Party Privacy Management Policy, klavzula 4.5.3, določa posebno pravilo za pravno zavezujoče zahteve in zahteve, ki jih odobri naročnik:

[Obdelovalec] Lastnik dobavitelja / nabave MORA v REG08 evidentirati zahteve tretjih oseb za razkritje, pravno zavezujoče zahteve za razkritje ali zahteve za razkritje, ki jih odobri naročnik, pred razkritjem ali v dveh delovnih dneh, kadar predhodno evidentiranje ni dovoljeno ali operativno izvedljivo.

Za zahteve tujih javnih organov je podjetniška PII13 International PII Transfer Policy, klavzula 4.4.3, bolj specifična:

[Oba] Vodja varstva podatkov / vodja PIMS MORA evidentirati zahteve tujih javnih organov za razkritje v REG09 ali REG12 pred razkritjem, kjer je to izvedljivo, oziroma v enem delovnem dnevu, kadar predhodno evidentiranje ni izvedljivo.

Klavzula 4.4.4 dodaja disciplino pregleda:

[Oba] Pooblaščena oseba za varstvo podatkov / svetovalec za varstvo podatkov MORA pregledati zahteve tujih javnih organov za razkritje, pomembne z vidika zasebnosti, v REG09 ali REG12 pred odgovorom, kjer je to izvedljivo.

Register razkritij je enotni vir resnice organizacije. Ne smejo ga nadomestiti razpršena e-poštna sporočila, zasebne pogovorne niti ali ad hoc preglednice.

Polje registraKaj dokazuje
ID zahteveZahteva je bila enolično spremljana
Vir zahteveOrgan ali vlagatelj zahteve je bil identificiran
Vir pravnega pooblastilaPravni instrument ali pooblastilo je bilo ocenjeno
Vloga PIMSUpoštevane so bile obveznosti upravljavca, obdelovalca, skupnega upravljavca ali podobdelovalca
Zahtevane kategorije osebno določljivih podatkovZajet je bil prvotni obseg zahteve
Odobrene kategorije osebno določljivih podatkovKončno razkritje je bilo nadzorovano
Izključeni osebno določljivi podatkiNačelo najmanjšega obsega podatkov je bilo aktivno uporabljeno
Veriga odobritevEvidentirane so bile odobritve pravne službe, DPO, CISO in poslovnih funkcij
Način prenosaUporabljene so bile kontrole varnega prenosa
Odločitev o obveščanjuUpoštevane so bile omejitve ali odlogi preglednosti
Hramba in zaključekDokazila so bila hranjena, zadeva pa zaključena

Praktičen primer: zahteva regulatorja v REG08

Predstavljajte si, da regulirano fintech podjetje prejme pisno zahtevo nacionalnega finančnega regulatorja za osebno določljive podatke, povezane s sumljivimi transakcijami ene stranke v 90-dnevnem obdobju. Zahteva vključuje evidence preverjanja identitete, dnevnike transakcij, identifikatorje naprav, zahtevke za podporo in interne zapiske o tveganju.

Z uporabo nabora orodij Clarysec vodja varstva podatkov odpre zapis razkritja v REG08.

Polje REG08Primer vnosa
ID zahteveREG08-2026-041
Vir zahteveNacionalni finančni regulator, preverjen prek uradnega imenika stikov nadzornega organa
Vrsta zahteveZahteva regulatorja za razkritje osebno določljivih podatkov
Vloga PIMSUpravljavec
Vir pravnega pooblastilaZakonska nadzorna zahteva za informacije, referenca FIN-REQ-7781
NamenPreiskava sumljivih transakcij za imenovano stranko
Zahtevane kategorije osebno določljivih podatkovPodatki o preverjanju identitete, dnevniki transakcij, identifikatorji naprav, komunikacija s podporo, zapiski o tveganju
Odobrene kategorije osebno določljivih podatkovDnevniki transakcij, identifikatorji naprav, relevantna polja preverjanja identitete, dva zahtevka za podporo znotraj časovnega obdobja
Izključeni osebno določljivi podatkiNepovezana zgodovina podpore, interna mnenja analitikov zunaj časovnega obdobja, sklici na tretje stranke
Utemeljitev minimizacijeObseg je omejen na imenovano stranko, 90-dnevno obdobje in zapise, relevantne za transakcije, navedene v zahtevi
Pregled DPOOdobreno z navodili za prekrivanje
Pravna odobritevOdobreno, besedilo odgovora pregledano
Pregled CISOOdobren varen izvoz in način prenosa
Način prenosaŠifriran arhiv prek varnega portala regulatorja
Obvestilo posamezniku, na katerega se nanašajo podatkiOdloženo zaradi pravne omejitve v zahtevi, določen datum pregleda
HrambaZapis zahteve in paket razkritja hranjena po načrtu pravnega zadržanja
Dokazila o zaključkuPotrdilo o oddaji prek portala, zgoščena vrednost paketa razkritja, veriga odobritev

To je razlika med »zahtevo smo izpolnili« in »lahko dokažemo, da smo jo izpolnili zakonito in sorazmerno«. Če se stranka pozneje pritoži, če organ postavi dodatna vprašanja ali če presojevalec vzorči razkritje, zapis pokaže logiko upravljanja.

Ohranitev dokazil: ne poškodujte dejstev, medtem ko poskušate pomagati

Kadar je zahteva organa pregona ali regulatorja povezana s preiskavo, se upravljanje zasebnosti prepleta s forenzično preiskavo in pravnim zadržanjem. Razkriti podatki so pogosto dokazila, dejanje njihovega zbiranja pa mora ohraniti celovitost.

Legal and Regulatory Compliance Policy - SME, klavzula 6.4.1, določa kontekst:

V primeru spora, preiskave ali pravne zahteve:

Klavzula 6.4.1.2 daje jasno navodilo:

Zaposleni ne smejo izbrisati ali spreminjati gradiv, ki bi lahko bila del preiskave.

P31S Evidence Collection and Forensics Policy - SME, klavzula 2.2.5, izrecno vključuje:

Poizvedbe regulatorjev ali organov pregona

Klavzula 5.2.1 vzpostavlja disciplino beleženja:

Vsak element digitalnega dokaza mora biti evidentiran z:

Operativno mora dnevnik dokazov zajeti enolični identifikator, datum in čas zbiranja, ime zbiralca, izvorno lokacijo ter kriptografsko zgoščeno vrednost, kjer je to primerno. Bistvo je sledljivost. Če se dnevniki izvozijo ročno, se imena datotek spremenijo, časovni žigi niso jasni ali se zgoščena vrednost ne hrani, bo organizacija pozneje težko dokazala celovitost.

Močan delovni tok za dokazila omejuje tudi dostop. Paketi razkritja morajo biti shranjeni na omejenih lokacijah, šifrirani med prenosom, spremljani prek dnevnikov prenosa in hranjeni skladno z zahtevami pravnega zadržanja in hrambe. Če se zahteva za razkritje prekriva z odzivom na incident, mora ekipa vedeti, kdaj preiti iz načina odprave v preiskovalno držo.

Preslikava skladnosti: en delovni tok, številne obveznosti

Dobro zasnovan delovni tok za zahteve za razkritje osebno določljivih podatkov lahko izpolni zahteve več okvirov brez podvajanja dela. Zenith Controls organizacijam pomaga preslikati ista operativna dokazila na pričakovanja glede zasebnosti, kibernetske varnosti, operativne odpornosti in upravljanja.

OkvirKaj pričakuje presojevalec ali regulatorKako to podpira delovni tok Clarysec
ISO 27701:2025Vloge PIMS, upravljanje zakonitega razkritja, navodila obdelovalcu, evidence razkritij osebno določljivih podatkov, obravnava tveganj za zasebnostDoločitev vloge, REG08, REG09, REG12, pregled DPO, utemeljitev minimizacije
GDPRPravna podlaga, odgovornost, najmanjši obseg podatkov, varnost, odločitve o preglednosti, upravljanje obdelovalcev in prenosovPresoja pravnega pooblastila, veriga odobritev, omejen paket razkritja, dokazila o varnem prenosu
ISO/IEC 27001:2022 in ISO/IEC 27002:2022Stik z organi, zbiranje dokazil, varstvo osebno določljivih podatkov, nadzor dostopa, beleženje, kriptografija, brisanjeMatrika kontaktov z organi, dnevnik dokazov, varen izvoz, zapis zgoščene vrednosti, odločitev o hrambi
NIS2Disciplina poročanja o incidentih, sodelovanje s pristojnimi organi, odgovornost vodstva, zavedanje o dobavni verigiUsklajevanje pravne službe in CISO, roki za odgovor, register stikov z organi, povezava z incidentom
DORAUpravljanje incidentov IKT pri finančnih subjektih, interakcija z regulatorji, pripravljenost dokazil, tveganje tretjih ponudnikov storitev IKTUsmerjanje zahtev regulatorja, varni zapisi razkritij, ohranitev dokazil o incidentu, vmesnik z dobaviteljem
NIST Cybersecurity FrameworkIzidi upravljanja, identifikacije, zaščite, zaznavanja, odziva in obnovitve za kibernetske dogodkeLastništvo politike, popis podatkov, nadzor dostopa, beleženje, delovni tok odziva, pregled po odgovoru
COBIT 2019Cilji upravljanja za skladnost, tveganje, varnost, upravljanje informacij in zagotoviloPravice odločanja, lastništvo procesov, revizijski zapisi, nadzor vodstva, nenehno izboljševanje

Relevantni so tudi podporni standardi ISO. ISO/IEC 27035 pomaga strukturirati upravljanje incidentov, kadar je zahteva povezana z incidentom. ISO/IEC 27037 podpira identifikacijo, zbiranje, pridobivanje in ohranitev digitalnih dokazov. ISO/IEC 27018 je uporaben, kadar obdelovalci v javnem oblaku obravnavajo osebno določljive podatke. ISO/IEC 27017 podpira odgovornosti glede varnosti v oblaku. ISO 22301 postane relevanten, če se morajo obveznosti stika z organi in razkritja nadaljevati tudi v kriznih razmerah. ISO/IEC 27006-1:2024 je posredno pomemben, ker certifikacijski presojevalci pričakujejo dosledno in preverljivo izvajanje kontrol sistema upravljanja znotraj obsega.

Namen ni zgraditi ločenega procesa skladnosti za vsak okvir. Namen je zasnovati en pravno zagovorljiv delovni tok, ki proizvaja ponovno uporabna dokazila.

Kako bodo različni presojevalci testirali delovni tok

Presojevalec ISO/IEC 27001:2022 bo običajno začel z integracijo sistema upravljanja. Vprašal bo, ali je organizacija določila zainteresirane strani, pravne in regulativne zahteve, tveganja, cilje kontrol, dokumentirane postopke, dodeljene odgovornosti in hranjena dokazila. Pri zahtevah za razkritje lahko vzorči incidente, korespondenco z regulatorji, sezname stikov z organi, dnevnike dokazov in evidence zasebnosti. Verjetno bo testiral kontrole iz Priloge A A.5.5 Stik z organi, A.5.28 Zbiranje dokazil in A.5.34 Zasebnost in varstvo PII.

Ocenjevalec ISO 27701:2025 se bo osredotočil na jasnost vlog PIMS. Ste bili upravljavec, obdelovalec, skupni upravljavec ali podobdelovalec? Če ste bili upravljavec, kje sta pravna podlaga in zapis razkritja? Če ste bili obdelovalec, ali ste ravnali po navodilih upravljavca, razen če vas je pravo zavezovalo drugače? Ali je bil naročnik obveščen, kjer je bilo to zahtevano ali pogodbeno pričakovano? Ali so bile zahteve tujih javnih organov evidentirane in pregledane?

Regulator GDPR se bo osredotočil na odgovornost. Vprašanje ne bo zgolj »ali ste imeli zakonsko obveznost?«, temveč »zakaj je bil razkrit ta obseg podatkov, kdo ga je odobril, kako je bil vlagatelj zahteve preverjen, katera varnost je varovala prenos, kako ste ocenili preglednost in kje je zapis?«

Ocenjevalec, usmerjen v NIST, bo preučil upravljanje in izide odziva. Vprašal bo, ali so bile vloge opredeljene, ali so bili dnevniki ohranjeni, ali je bil dostop do paketov razkritja omejen, ali so bile odzivne dejavnosti dokumentirane in ali so pridobljene izkušnje izboljšale program.

Presojevalec COBIT 2019 ali ISACA bo testiral upravljanje pravic odločanja. Vprašal bo lahko, ali je vodstvo določilo lastnika procesa, ali so odgovornosti pravne službe, zasebnosti, varnosti in poslovnih funkcij ločene, ali so izjeme odobrene, ali se poročajo metrike in ali se zagotovilo lahko opre na dokazila.

Regulator, presojevalec, CISO in DPO lahko isti zapis vidijo različno. Strokovnjak za zasebnost vidi zapis zakonitega razkritja. Varnostni presojevalec vidi ohranitev dokazil in varen prenos. Presojevalec upravljanja vidi odgovornost in pravice odločanja. Organizacija mora biti sposobna vsem odgovoriti iz istih dokazil o kontrolah.

Pogosti vzorci odpovedi

Clarysec vedno znova opaža iste preprečljive odpovedi.

Prva je neformalen stik z organom. Policist pokliče podporo, podpora želi pomagati, zaposleni pa ustno potrdi podatke o računu. Brez preverjanja, brez odobritve, brez zapisa.

Druga je prekomerno razkritje. Organizacija pošlje celotno datoteko stranke namesto specifičnih zapisov in zahtevanega časovnega obdobja. To ustvarja izogibljivo tveganje po GDPR in slabi zaupanje.

Tretja je prekoračitev vloge obdelovalca. Ponudnik SaaS prejme zahtevo organa pregona za osebno določljive podatke, ki jih nadzoruje naročnik, in odgovori brez obvestila ali vključitve naročnika, čeprav pogodba in vloga PIMS zahtevata usmerjanje, razen če je to pravno prepovedano.

Četrta je manjkajoč pregled tujih organov. Zahteva nedomačega javnega organa se obravnava kot običajno razkritje, brez presoje prenosa, pregleda DPO ali vnosa v REG09 oziroma REG12.

Peta je šibko ravnanje z dokazili. Dnevniki se izvozijo ročno, časovni žigi niso jasni, imena datotek se spremenijo, zgoščena vrednost ali zapis verige skrbništva pa ne obstaja.

Šesta je neupravljana zaupnost. V zahtevo je v kopiji vključenih preveč zaposlenih, tudi osebe brez potrebe po seznanitvi. Občutljive podrobnosti preiskave se širijo po klepetalnih kanalih.

Sedma je zmeda glede rokov. Organizacija zamudi pravno pomemben rok za odgovor, ker zahteva ostane v poštnem nabiralniku namesto v spremljanem delovnem toku.

Vsako odpoved je mogoče preprečiti z vnaprej določenimi kanali, registri, odobritvami in standardi dokazil.

Vloge in pravice odločanja

Praktičen model upravljanja določi pravice odločanja, preden prispe prva zahteva.

VlogaOdgovornost v delovnem toku razkritja
Zaposleni na prvi linijiPosreduje zahtevo na odobren sprejemni kanal, vsebinsko ne odgovarja in ne razkriva osebno določljivih podatkov
Pravna službaPreveri pravni instrument, jurisdikcijo, organ, omejitev zaupnosti in besedilo odgovora
DPO ali svetovalec za varstvo podatkovPresodi posledice po GDPR in ISO 27701:2025, minimizacijo, preglednost, vlogo PIMS in vprašanja prenosa
CISOOdobri varno zbiranje dokazil, varen izvoz, način prenosa in povezavo z incidentom
Lastnik procesaIdentificira relevantne sisteme in kategorije podatkov ter potrdi poslovni kontekst
Vodja PIMSVzdržuje REG08, REG09 ali REG12, spremlja izid pregleda in hrani revizijska dokazila
Izvršni odobriteljOdobri visoko tvegana, tuja, strateška ali za ugled občutljiva razkritja
Lastnik dobavitelja ali nabaveUsklajuje zapise zahtev, povezanih s tretjimi osebami ali obdelovalci, in pogodbene obveznosti

Ta model mora biti vključen v usposabljanje za ozaveščanje. Zaposlenim ni treba poznati vsake pravne podrobnosti, vendar morajo poznati pravilo: uradne zahteve se usmerijo na opredeljeni kanal, osebno določljivi podatki pa se ne razkrijejo brez odobritve.

Kontrolni seznam pripravljenosti za naslednjo namizno vajo

Ta kontrolni seznam uporabite v delavnici upravljanja zasebnosti, notranji reviziji ali namizni vaji.

  • Ali imamo enoten sprejemni kanal za zahteve organov pregona in regulatorjev za razkritje osebno določljivih podatkov?
  • Ali zaposleni vedo, da ne smejo odgovarjati neformalno?
  • Ali identiteto vlagatelja zahteve preverjamo z uporabo neodvisnih virov stikov?
  • Ali razlikujemo med zahtevami regulatorjev, sodnimi odredbami, zahtevami organov pregona, zahtevami, ki jih odobri naročnik, in zahtevami tujih javnih organov?
  • Ali pred odgovorom določimo, ali smo upravljavec, obdelovalec, skupni upravljavec ali podobdelovalec?
  • Ali dokumentiramo pravno podlago, pravno pooblastilo, jurisdikcijo in omejitve zaupnosti?
  • Ali uporabljamo najmanjši obseg podatkov in prekrijemo nepovezane osebno določljive podatke?
  • Ali za zahteve, pomembne z vidika zasebnosti, zahtevamo pregled DPO ali svetovalca za varstvo podatkov?
  • Ali zahtevamo usklajevanje pravne službe in CISO, kadar so vključena vprašanja organov pregona ali forenzične preiskave?
  • Ali razkritja upravljavca evidentiramo v REG08?
  • Ali zahteve tujih javnih organov evidentiramo v REG09 ali REG12?
  • Ali spremljamo roke za odgovor in vzdržujemo dnevnike dokazil?
  • Ali ohranjamo morebitno relevantno gradivo ter preprečujemo brisanje ali spreminjanje?
  • Ali pakete razkritja varujemo s šifriranjem, nadzorom dostopa in beleženjem prenosa?
  • Ali za visoko tvegane zahteve izvedemo pregled po odgovoru?
  • Ali vodstvu poročamo metrike in pridobljene izkušnje?

Če je odgovor na katero koli od teh vprašanj »to običajno uredimo po e-pošti«, proces še ni pripravljen na revizijo.

Vključite delovni tok v ISMS in PIMS

Najboljši model upravljanja ne živi samo v pravni službi. Je del ISMS in PIMS.

V Zenith Blueprint faza ISMS Foundation & Leadership, korak 5, priporoča načrtovanje zunanjega komuniciranja in določitev, kdo komunicira z regulatorji, strankami, partnerji in javnostjo. Opozarja, da je lahko pravni svetovalec vključen v oblikovanje komunikacije z regulatorji. To načelo se neposredno uporablja za uradne zahteve za razkritje osebno določljivih podatkov.

Faza Controls in Action nato operativno vzpostavi delovni tok prek stika z organi, varstva osebno določljivih podatkov in zbiranja dokazil. Zato Clarysecov 30-koračni vodnik zasebnosti, varnosti in skladnosti ne obravnava kot nepovezane delovne tokove. Resnična zahteva prečka vse tri.

Za poslovne lastnike je korist manj kaosa. Za CISO pojasni, kdaj je varnostna dokazila mogoče zbrati, razkriti ali ohraniti. Za DPO ustvari dokazljivo odgovornost po GDPR in ISO 27701:2025. Za vodje skladnosti ustvari registre in revizijske sledi. Za presojevalce ustvari jasno pot od zahteve politike do operativnih dokazil.

Naslednji koraki s Clarysec

Zahteva regulatorja ali organa pregona ni trenutek za izumljanje procesa upravljanja zasebnosti. Je trenutek, ko je vaš proces preizkušen.

Začnite z namizno vajo. Uporabite realistično zahtevo enote za kibernetsko kriminaliteto, regulatorja ali tujega javnega organa. Prosite pravno službo, DPO, CISO, podporo in relevantnega lastnika procesa, naj izvedejo sprejem, preverjanje, določitev vloge, minimizacijo, odobritev, varen prenos, vpis v register, ohranitev dokazil in zaključni pregled.

Nato svoje odgovore primerjajte z operativnim modelom Clarysec:

  • Uporabite Zenith Blueprint: An Auditor’s 30-Step Roadmap, da stik z organi, zunanje komuniciranje, varstvo osebno določljivih podatkov in zbiranje dokazil umestite v izvedbeni načrt ISMS in PIMS.
  • Uporabite Zenith Controls: The Cross-Compliance Guide, da pričakovanja ISO 27701:2025, GDPR, ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, NIST in COBIT 2019 preslikate v eno revizijsko pripravljeno kontrolno utemeljitev.
  • Uporabite politike Clarysec za varstvo podatkov in zasebnost, odziv na incidente, pravno in regulativno skladnost, zbiranje dokazil in forenziko, razkritje osebno določljivih podatkov, upravljanje obdelovalcev in mednarodne prenose, da določite pravila delovnega toka, registre, odobritve in zahteve glede dokazil.

Clarysec ekipam pomaga preiti iz reaktivne panike v nadzorovano izvedbo. Prenesite ustrezne nabore orodij Clarysec, izvedite namizno vajo in naročite presojo upravljanja razkritij, da bo vaš naslednji odgovor zakonit, minimalen, odobren, evidentiran, varen in preverljiv.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

ENISA EUVD 2026: ISO 27001 za NIS2 in CRA

ENISA EUVD 2026: ISO 27001 za NIS2 in CRA

ENISA EUVD bo spremenila način, kako organizacije v EU uporabljajo obveščevalne podatke o ranljivostih, upravljajo CVD, usklajujejo dobavitelje ter dokazujejo odločitve o poročanju po NIS2, DORA, GDPR in CRA. Ta vodnik prikazuje, kako ISO/IEC 27001:2022, politike Clarysec, Zenith Blueprint in Zenith Controls pretvorijo opozorila o ranljivostih v preverljiv operativni model.

Upravljanje varnega oddaljenega dostopa in VPN za NIS2 in DORA

Upravljanje varnega oddaljenega dostopa in VPN za NIS2 in DORA

Oddaljeni dostop ni več ozka tema IT. V letu 2026 morajo VPN, MFA, dostop dobaviteljev, stanje končnih točk, beleženje in dokazila o nameščanju popravkov izpolnjevati pričakovanja presojevalcev ISO 27001, odgovornost vodstva po NIS2, pravila DORA za upravljanje tveganj IKT ter varnostne obveznosti po GDPR Article 32.