سیاست DSRRM و GDPR
خطمشی آکادمی EITCA در مورد مدیریت درخواستهای حقوق موضوع داده و مقررات عمومی حفاظت از دادهها
این سند خط مشی مؤسسه صدور گواهینامه فناوری اطلاعات اروپا در مورد مدیریت درخواست های حقوق موضوع داده و همچنین اجرای مقررات حفاظت از داده های عمومی اتحادیه اروپا را مشخص می کند که به طور منظم برای اطمینان از اثربخشی و مرتبط بودن آن بررسی و به روز می شود. آخرین بهروزرسانی برای مدیریت درخواستهای حقوق موضوع دادههای EITCI و خطمشی GDPR در 10 ژانویه 2023 انجام شده است. استاندارد سیستم، و همچنین در مورد الزامات مقررات حفاظت از داده های عمومی (27701/27001).
بخش 1. مقدمه
مدیریت درخواستهای حقوق موضوع دادهها بخش اساسی تضمین انطباق با مقررات حفاظت از داده، یعنی GDPR (مقررات عمومی حفاظت از داده اتحادیه اروپا) است. مؤسسه صدور گواهینامه فناوری اطلاعات اروپا، رویههای رسمی زیر را برای مدیریت درخواستهای حقوق موضوع داده و اجرای الزامات GDPR تعریف کرده است:
1.1. ایجاد فرآیندی برای رسیدگی به درخواست های حقوق موضوع داده ها
این فرآیند مراحلی را که مؤسسه صدور گواهینامه فناوری اطلاعات اروپا هنگام رسیدگی به درخواستهای حقوق موضوع داده دنبال میکند، از جمله شناسایی و احراز هویت موضوع داده، تأیید درخواست سوژه دادهها و پاسخ به درخواست، تشریح میکند.
1.2. تعیین یک افسر حفاظت از داده ها (DPO)
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا یک DPO را تعیین می کند که مسئول نظارت بر مدیریت درخواست های حقوق موضوع داده، از جمله بررسی درخواست ها، پاسخ به درخواست ها و اطمینان از رعایت مقررات حفاظت از داده ها است.
1.3. نگهداری یک رکورد به روز از داده های شخصی
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا یک رکورد به روز از داده های شخصی که در اختیار دارد و اهدافی که برای آنها پردازش می شود نگهداری می کند. این امر مؤسسه صدور گواهینامه فناوری اطلاعات اروپا را قادر می سازد تا به درخواست های حقوق موضوع داده ها به سرعت و با دقت پاسخ دهد.
1.4. ارائه اطلاعات واضح و مختصر به موضوع داده ها
هنگام جمعآوری دادههای شخصی، مؤسسه صدور گواهینامه فناوری اطلاعات اروپا اطلاعات واضح و مختصری را در مورد حقوق آنها، از جمله حق دسترسی، تصحیح، پاک کردن و اعتراض به پردازش دادههای شخصیشان، در اختیار افراد قرار میدهد.
1.5. تعیین زمان پاسخگویی استاندارد
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا زمان پاسخگویی استانداردی را برای درخواستهای حقوق موضوع داده حفظ میکند و اطمینان میدهد که درخواستها در این بازه زمانی پاسخ داده میشوند.
1.6. تایید هویت موضوع داده ها
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا هویت موضوع دادهای را که درخواست میکند تأیید میکند تا اطمینان حاصل کند که دادههای شخصی فقط به فرد صحیح ارائه میشود.
1.7. پاسخگویی سریع به درخواستهای حقوق موضوع داده
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا به درخواستهای حقوق موضوع دادهها به سرعت پاسخ میدهد و اطلاعات درخواستی موضوع داده را در اختیار آنها قرار میدهد.
1.8. مستندسازی درخواستهای حقوق موضوع داده
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا، سوابقی از درخواستهای حقوق موضوع داده، از جمله تاریخ درخواست، ماهیت درخواست، و پاسخ به درخواست، نگهداری میکند.
1.9. نظارت و بررسی روند
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا به طور منظم روند خود را برای رسیدگی به درخواستهای حقوق موضوع دادهها نظارت و بررسی میکند تا مطمئن شود که کارآمد و مطابق با مقررات مربوط به حفاظت از دادهها است.
1.10. ایجاد پرونده فعالیتهای پردازشی
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا، سوابق فعالیت های پردازشی را نگهداری می کند که سندی است که پردازش داده های شخصی انجام شده توسط سازمان را تشریح می کند. تحت مقررات حفاظت از داده های عمومی اتحادیه اروپا (GDPR) لازم است و برای حمایت از درک فعالیت های پردازش داده ها و نشان دادن انطباق با GDPR در نظر گرفته شده است.
با پیروی از این رسمی و رویهها، مؤسسه صدور گواهینامه فناوری اطلاعات اروپا میتواند به طور مؤثر درخواستهای حقوق موضوع دادهها را مدیریت کند و از انطباق با مقررات حفاظت از دادهها، از جمله مقررات عمومی حفاظت از دادهها در اتحادیه اروپا اطمینان حاصل کند.
بخش 2. ایجاد فرآیندی برای رسیدگی به درخواست های حقوق موضوع داده ها
این فرآیند مراحلی را که مؤسسه صدور گواهینامه فناوری اطلاعات اروپا در رسیدگی به درخواستهای حقوق موضوع داده دنبال میکند، از جمله شناسایی و احراز هویت موضوع داده، تأیید درخواست سوژه داده و پاسخ به درخواست، تشریح میکند:
2.1. شناسایی و احراز هویت موضوع داده
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا فرآیندی را برای تأیید هویت موضوع دادهای که درخواست میکند، حفظ میکند. این ممکن است شامل درخواست یک شناسه صادر شده توسط دولت، بررسی سوابق موجود، یا استفاده از روشهای دیگر احراز هویت باشد.
2.2. تأیید درخواست موضوع داده
هنگامی که هویت موضوع داده مشخص شد، مؤسسه صدور گواهینامه فناوری اطلاعات اروپا باید تأیید کند که درخواست معتبر است و به داده های شخصی موضوع داده مربوط می شود. این درخواست همچنین باید شامل حق خاصی باشد که اعمال میشود، مانند حق دسترسی، اصلاح یا حذف دادههای شخصی.
2.3. پاسخ به درخواست
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا باید در بازه زمانی مشخص شده توسط قوانین مربوط به حفاظت از داده، اما حداکثر 30 روز، به درخواست سوژه داده پاسخ دهد. پاسخ باید شامل توضیحی در مورد اعطای یا رد درخواست و دلایل تصمیم باشد.
2.4. مستندسازی درخواست و پاسخ
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا سابقه ای از تمام درخواست ها و پاسخ های مربوط به حقوق موضوع داده را حفظ می کند. این به اطمینان از انطباق با قوانین مربوط به حفاظت از داده ها و همچنین تسهیل ممیزی ها یا تحقیقات آینده کمک می کند.
2.5. آموزش کارکنان مربوطه
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا به کارکنان مسئول رسیدگی به درخواست های حقوق موضوع داده ها آموزش می دهد تا اطمینان حاصل کند که آنها با قوانین مربوط به حفاظت از داده ها و رویه های مؤسسه صدور گواهینامه فناوری اطلاعات اروپا برای رسیدگی به چنین درخواست هایی آشنا هستند.
2.6. نظارت و بررسی روند
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا روند رسیدگی به درخواست های حقوق موضوع داده را به طور منظم نظارت و بررسی می کند تا اطمینان حاصل کند که این درخواست ها مؤثر و مطابق با قوانین مربوط به حفاظت از داده ها است. هر گونه مشکل یا حادثه به موقع گزارش و رسیدگی می شود.
بخش 3. تعیین یک افسر حفاظت از داده ها (DPO)
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا یک DPO را تعیین می کند که مسئول نظارت بر مدیریت درخواست های حقوق موضوع داده، از جمله بررسی درخواست ها، پاسخ به درخواست ها و اطمینان از رعایت مقررات حفاظت از داده ها است.
3.1. تعیین DPO
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا یک افسر حفاظت از داده ها (DPO) را برای نظارت بر مدیریت درخواست های حقوق موضوع داده و اطمینان از انطباق با مقررات حفاظت از داده ها تعیین می کند. DPO مسئول بررسی درخواستها و اطمینان از اینکه مؤسسه صدور گواهینامه فناوری اطلاعات اروپا به تعهدات قانونی خود در رابطه با حفاظت از دادهها عمل میکند، خواهد بود.
3.2. الزامات شایستگی DPO
DPO باید دانش تخصصی از قوانین و شیوه های حفاظت از داده ها داشته باشد و منابع لازم برای انجام مسئولیت های خود را در اختیار داشته باشد. آنها باید دسترسی مستقیم به مدیریت ارشد داشته باشند و به بالاترین سطح مدیریت سازمان گزارش دهند.
3.3. مسئولیت های DPO
مسئولیت های DPO شامل موارد زیر است، اما به آنها محدود نمی شود:
- ارائه راهنمایی و مشاوره به موسسه صدور گواهینامه فناوری اطلاعات اروپا در مورد مسائل حفاظت از داده ها، از جمله مدیریت درخواست های حقوق موضوع داده ها.
- نظارت بر انطباق مؤسسه صدور گواهینامه فناوری اطلاعات اروپا با مقررات حفاظت از داده ها و سیاست ها و رویه های داخلی.
- پاسخ به سؤالات و شکایات از سوژه های داده در مورد حقوق آنها تحت مقررات حفاظت از داده ها.
- هماهنگی با سایر بخش ها برای اطمینان از رعایت الزامات حفاظت از داده ها در سراسر سازمان.
- انجام بررسیها و ارزیابیهای دورهای از رویههای حفاظت از دادههای موسسه گواهینامه فناوری اطلاعات اروپا و ارائه توصیههایی برای بهبود.
- خدمت به عنوان نقطه تماس مقامات حفاظت از داده ها و همکاری با آنها در صورت انجام تحقیقات یا ممیزی.
- DPO همچنین در توسعه و اجرای خطمشیها و رویههای مؤسسه صدور گواهینامه فناوری اطلاعات اروپا در ارتباط با حفاظت از دادهها، از جمله موارد مربوط به رسیدگی به درخواستهای حقوق موضوع داده، مشارکت دارد.
3.4. آموزش DPO و توسعه صلاحیت
موسسه صدور گواهینامه فناوری اطلاعات اروپا باید اطمینان حاصل کند که DPO به اندازه کافی در مورد مقررات حفاظت از داده ها آموزش دیده است و در مورد هر گونه تغییر یا به روز رسانی در این مقررات به روز نگه داشته می شود.
3.5. اطلاعات تماس DPO
اطلاعات تماس DPO باید در اختیار اشخاص داده قرار گیرد و در اعلامیه یا خط مشی رازداری مؤسسه صدور گواهینامه فناوری اطلاعات اروپا گنجانده شود.
بخش 4. نگهداری یک رکورد به روز از داده های شخصی
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا یک رکورد به روز از داده های شخصی که در اختیار دارد و اهدافی که برای آنها پردازش می شود نگهداری می کند. این امر مؤسسه صدور گواهینامه فناوری اطلاعات اروپا را قادر می سازد تا به درخواست های حقوق موضوع داده ها به سرعت و با دقت پاسخ دهد.
4.1. ایجاد فرآیندی برای شناسایی و ثبت اطلاعات شخصی
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا یک فرآیند شفاف و استاندارد را برای شناسایی و ثبت داده های شخصی، از جمله نام موضوع داده، اطلاعات تماس، و هر گونه اطلاعات مرتبط دیگر ایجاد می کند. این فرآیند تضمین می کند که داده های شخصی فقط برای مقاصد خاص و قانونی جمع آوری می شوند.
4.2. دسته بندی داده های شخصی
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا، داده های شخصی را دسته بندی می کند تا ردیابی و مدیریت آن آسان تر شود. این شامل دسته بندی داده ها بر اساس نوع، مانند اطلاعات تماس، اطلاعات صورتحساب، شایستگی ها و صلاحیت ها، اطلاعات مالی، یا سابقه اشتغال است.
4.3. پیاده سازی سیستم مدیریت داده
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا یک سیستم مدیریت داده را پیاده سازی می کند تا اطمینان حاصل شود که داده های شخصی دقیق، به روز و در دسترس هستند. سیستم مدیریت داده شامل یک پایگاه داده است که می تواند برای کمک به پاسخگویی به درخواست های حقوق موضوع داده ها جستجو و پرس و جو شود.
4.4. واگذاری مسئولیت نگهداری پرونده داده های شخصی
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا باید مسئولیت نگهداری پرونده داده های شخصی را به افراد یا بخش های خاصی واگذار کند. این امر باعث می شود که رکورد به روز و دقیق نگه داشته شود.
4.5. بررسی و به روز رسانی منظم رکورد داده های شخصی
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا باید به طور مرتب سابقه داده های شخصی را بررسی و به روز کند تا مطمئن شود که دقیق و به روز باقی می ماند. این امر می تواند از طریق ممیزی های دوره ای یا از طریق فرآیند نظارت مستمر انجام شود.
4.6. اقدامات امنیتی مناسب را اجرا کنید
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا، اقدامات امنیتی مناسبی را برای محافظت از داده های شخصی خود، از جمله اقداماتی برای جلوگیری از دسترسی غیرمجاز، از دست دادن تصادفی، یا از بین رفتن داده های شخصی، به عنوان بخشی از خط مشی امنیت اطلاعات سازمان (ISP) اجرا می کند. این شامل رمزگذاری، فایروال ها و کنترل های دسترسی است. مشخصات دقیق فرآیندها و اقدامات برای حفاظت از داده ها توسط خط مشی امنیت اطلاعات مؤسسه صدور گواهینامه فناوری اطلاعات اروپا اختصاص داده شده است.
بخش 5. ارائه اطلاعات واضح و مختصر به موضوع داده ها
هنگام جمعآوری دادههای شخصی، مؤسسه صدور گواهینامه فناوری اطلاعات اروپا اطلاعات واضح و مختصری را در مورد حقوق آنها، از جمله حق دسترسی، تصحیح، پاک کردن و اعتراض به پردازش دادههای شخصیشان، در اختیار افراد قرار میدهد.
5.1- شفافیت
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا در پردازش داده های شخصی خود شفاف است و اطلاعات مختصری را در مورد نحوه استفاده، پردازش و ذخیره داده ها در اختیار افراد سوژه داده قرار می دهد.
5.2. سیاست حفظ حریم خصوصی
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا یک سیاست حفظ حریم خصوصی دقیق دارد که فعالیت های پردازش داده خود را مشخص می کند، از جمله اینکه چگونه افراد داده می توانند از حقوق موضوع داده خود استفاده کنند.
5.3. حق دسترسی
سوژههای داده حق درخواست دسترسی به دادههای شخصی را دارند که مؤسسه صدور گواهینامه فناوری اطلاعات اروپا در مورد آنها نگهداری میکند. مؤسسه صدور گواهینامه فناوری اطلاعات اروپا اطلاعات واضح و مختصری را در مورد نحوه درخواست دسترسی، چه اطلاعاتی برای تأیید هویت آنها و مدت زمانی که مؤسسه صدور گواهینامه فناوری اطلاعات اروپا برای پاسخ به این درخواست طول می کشد، در اختیار افراد قرار می دهد.
5.4. حق اصلاح
سوژه های داده حق دارند از مؤسسه صدور گواهینامه فناوری اطلاعات اروپا درخواست کنند تا هرگونه داده شخصی نادرست یا ناقصی را که در مورد آنها در اختیار دارد اصلاح کند. مؤسسه صدور گواهینامه فناوری اطلاعات اروپا اطلاعات واضح و مختصری را در مورد نحوه درخواست اصلاح، اطلاعات مورد نیاز برای تأیید هویت آنها و مدت زمانی که مؤسسه صدور گواهینامه فناوری اطلاعات اروپا برای پاسخ به این درخواست طول خواهد کشید، در اختیار افراد سوژه داده قرار می دهد.
5.5. حق پاک کردن
سوژههای داده این حق را دارند که در شرایط خاص از مؤسسه صدور گواهینامه فناوری اطلاعات اروپا درخواست کنند که دادههای شخصی آنها را پاک کند. مؤسسه صدور گواهینامه فناوری اطلاعات اروپا اطلاعات واضح و مختصری را در مورد نحوه درخواست پاک کردن، چه اطلاعاتی برای تأیید هویت آنها و مدت زمانی که مؤسسه صدور گواهینامه فناوری اطلاعات اروپا برای پاسخ به این درخواست طول می کشد، در اختیار افراد قرار می دهد.
5.6. حق اعتراض
موضوع داده ها حق دارند در شرایط خاص به پردازش داده های شخصی خود اعتراض کنند. مؤسسه صدور گواهینامه فناوری اطلاعات اروپا اطلاعات روشن و مختصری را در مورد نحوه درخواست اعتراض، چه اطلاعاتی برای تأیید هویت آنها و مدت زمانی که مؤسسه صدور گواهینامه فناوری اطلاعات اروپا برای پاسخ به این درخواست طول می کشد، در اختیار افراد قرار می دهد.
5.7 اطلاعات تماس
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا اطلاعات تماس واضح و مختصری را برای افراد سوژه داده ارائه می دهد تا در صورت داشتن سؤال یا نگرانی در مورد نحوه پردازش داده های شخصی خود، از آنها استفاده کنند.
قسمت 6. تعیین زمان پاسخگویی استاندارد
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا زمان پاسخگویی استانداردی را برای درخواستهای حقوق موضوع داده تعیین کرد و اطمینان حاصل کرد که درخواستها در این بازه زمانی پاسخ داده میشوند.
6.1. زمان پاسخگویی استاندارد
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا یک زمان استاندارد پاسخگویی 30 روزه را برای درخواست های حقوق موضوع داده تعیین می کند. زمان پاسخ استاندارد یک محدودیت زمانی بالایی برای پردازش و پاسخ تعریف میکند و اکثر درخواستها در مدت زمان کوتاهتری پردازش و پاسخ داده میشوند.
6.2. درخواست زمان تایید رسید
پس از دریافت درخواست حقوق موضوع داده، DPO یا سایر کارکنان دریافت درخواست را ظرف 5 روز کاری تایید میکنند و یک بازه زمانی تخمینی برای ارائه پاسخ به موضوع داده ارائه میدهند.
6.3. تمدید استثنایی زمان پاسخگویی استاندارد
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا از تلاش های منطقی برای پاسخگویی به درخواست های حقوق موضوع داده در زمان پاسخ استاندارد تعیین شده استفاده خواهد کرد. با این حال، اگر درخواست پیچیده باشد یا اگر موسسه صدور گواهینامه فناوری اطلاعات اروپا حجم بالایی از درخواست ها را دریافت کند، زمان پاسخ ممکن است تمدید شود. در چنین مواردی، DPO تمدید و دلیل تاخیر را به موضوع داده اطلاع می دهد.
6.4. امتناع از انجام درخواست حقوق موضوع داده
اگر مؤسسه صدور گواهینامه فناوری اطلاعات اروپا نتواند درخواست حقوق موضوع داده را برآورده کند، توضیحی در مورد امتناع موضوع داده ارائه می دهد و حق شکایت آنها را به مرجع نظارتی مربوطه به آنها اطلاع می دهد.
6.5. سوابق درخواست ها و پاسخ های حقوق موضوع داده ها
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا، سوابق دقیق درخواستها و پاسخهای مربوط به حقوق موضوع داده، از جمله تاریخ دریافت درخواست، ماهیت درخواست، و تاریخ و نحوه پاسخ را حفظ خواهد کرد.
6.6. بررسی های دوره ای
DPO به صورت دورهای زمانهای پاسخ مؤسسه صدور گواهینامه فناوری اطلاعات اروپا را بررسی میکند و آنها را در صورت لزوم بهروزرسانی میکند تا از انطباق با مقررات مربوط به حفاظت از دادهها اطمینان حاصل کند.
قسمت 7. تأیید هویت موضوع داده
7.1. الزامات تایید هویت
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا باید هویت موضوع دادهای را که درخواست میکند تأیید کند تا اطمینان حاصل شود که دادههای شخصی فقط به فرد صحیح ارائه میشود.
7.2. ابزارها و روش های تأیید هویت
هنگامی که یک موضوع داده درخواستی برای اعمال حقوق خود تحت قوانین حفاظت از داده ارائه می دهد، مؤسسه صدور گواهینامه فناوری اطلاعات اروپا باید با استفاده از اقدامات مناسب، مانند درخواست اسناد شناسایی، هویت موضوع داده را تأیید کند.
7.3. تأیید هویت دارنده پروکسی
اگر موضوع داده از طرف شخص دیگری درخواست می کند، مؤسسه صدور گواهینامه فناوری اطلاعات اروپا باید هویت موضوع داده و فردی را که درخواست از طرف او انجام می شود تأیید کند.
7.4. تردید در تأیید هویت
اگر مؤسسه صدور گواهینامه فناوری اطلاعات اروپا در مورد هویت موضوع داده یا اعتبار درخواست تردید داشته باشد، ممکن است اطلاعات اضافی را درخواست کند یا اقدامات مناسب دیگری را برای تأیید هویت موضوع داده انجام دهد.
7.5. سوابق تایید هویت
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا باید روند تأیید و اقدامات انجام شده برای تأیید هویت موضوع داده را ثبت کند. این سابقه باید برای مدت معقولی نگهداری شود و برای نشان دادن انطباق با قوانین حفاظت از داده ها استفاده شود.
بخش 8. پاسخ به درخواست های حقوق موضوع داده ها به سرعت
8.1. پاسخ سریع
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا به درخواستهای حقوق موضوع دادهها به سرعت پاسخ میدهد و اطلاعات درخواستی موضوع داده را در اختیار آنها قرار میدهد.
8.2. درخواست تایید رسید
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا دریافت درخواست سوژه داده را در اسرع وقت، به طور ایده آل ظرف 5 روز کاری تأیید می کند.
8.3. درخواست بررسی
DPO تعیین شده باید درخواست را بررسی کند تا مطمئن شود که الزامات لازم را برآورده می کند و تمام اطلاعات لازم ارائه شده است.
8.4. تأیید هویت موضوع داده
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا هویت موضوع دادهای را که درخواست میکند تأیید میکند تا اطمینان حاصل کند که دادههای شخصی فقط به فرد صحیح ارائه میشود.
8.5. دریافت اطلاعات تکمیلی در صورت نیاز
اگر درخواست نامشخص یا ناکافی است، مؤسسه صدور گواهینامه فناوری اطلاعات اروپا باید با موضوع داده تماس بگیرد تا اطلاعات بیشتری به دست آورد.
8.5. بازیابی داده های مربوطه
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا اطلاعات شخصی مربوطه را بازیابی می کند و آنها را بررسی می کند تا مطمئن شود که دقیق و به روز هستند.
8.6. ارائه اطلاعات درخواستی
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا اطلاعاتی را که آنها درخواست کرده اند، از جمله یک کپی از داده های شخصی آنها در قالب الکترونیکی متداول، در اختیار آنها قرار می دهد، مگر اینکه در غیر این صورت درخواست شود.
8.7. موضوع داده ها را از حقوق خود آگاه کنید
مؤسسه صدور گواهینامه IT اروپا به موضوع داده ها از سایر حقوق آنها مانند حق اصلاح یا پاک کردن داده های شخصی آنها اطلاع می دهد و دستورالعمل های لازم را به آنها ارائه می دهد.
8.8. رعایت زمان پاسخگویی
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا به درخواست های حقوق موضوع داده در زمان پاسخ تعیین شده پاسخ می دهد و اطمینان حاصل می کند که اقدامات لازم برای مطابقت با درخواست انجام شده است.
8.9. مستندسازی پاسخ
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا، پاسخ به درخواست حقوق موضوع داده، از جمله اقدامات انجام شده و زمان پاسخ، را مستند می کند تا اطمینان حاصل شود که می توان آن را برای اهداف انطباق ممیزی و پیگیری کرد.
8.10. اطلاع دادن به موضوع داده از هرگونه تغییر
اگر در نتیجه درخواست آنها تغییراتی در داده های شخصی موضوع داده ایجاد شود، مؤسسه صدور گواهینامه فناوری اطلاعات اروپا این تغییرات را به موضوع داده ها اطلاع می دهد.
بخش 9. مستندسازی درخواست های حقوق موضوع داده ها
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا، سوابقی از درخواستهای حقوق موضوع داده، از جمله تاریخ درخواست، ماهیت درخواست، و پاسخ به درخواست، نگهداری میکند. مستندسازی درخواستهای حقوق موضوع داده شامل جنبههای زیر است:
9.1. نگهداری ثبت نام
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا، ثبتی را نگهداری می کند که تمام درخواست های دریافتی حقوق موضوع داده را ثبت می کند. این ثبت باید جزئیات زیر را داشته باشد:
- تاریخ درخواست
- نام و اطلاعات تماس موضوع داده
- شرح درخواست
- اقدامات انجام شده در پاسخ به درخواست
- هر گونه اطلاعات اضافی مورد نیاز برای پردازش درخواست
9.2. فرآیند استاندارد برای مستندسازی
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا یک فرآیند استاندارد را برای مستندسازی درخواستهای حقوق موضوع داده اجرا میکند تا از ثبات و دقت در اطلاعات جمعآوریشده اطمینان حاصل کند.
9.3. دوره نگهداری
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا این سوابق را برای مدت معقولی که توسط قوانین و مقررات قابل اجرا تعیین می شود، حداقل 2 سال نگهداری می کند.
9.4. حفظ محرمانه بودن
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا تضمین می کند که سوابق درخواست های حقوق موضوع داده فقط برای پرسنل مجاز قابل دسترسی است که در اجرای وظایف خود نیاز به دسترسی به چنین اطلاعاتی دارند. همچنین اقدامات فنی و سازمانی را برای جلوگیری از دسترسی غیرمجاز، افشا، تغییر یا تخریب داده های شخصی موجود در سوابق درخواست های حقوق موضوع داده ها اجرا می کند.
9.5. گزارش دادن
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا به طور دوره ای گزارش هایی را در مورد درخواست های حقوق موضوع داده دریافتی، پردازش شده و معوق تولید می کند. این گزارش ها با ذینفعان مربوطه از جمله مدیریت ارشد و DPO به اشتراک گذاشته می شود.
9.6 تحلیلی
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا، تجزیه و تحلیل روند درخواست های حقوق موضوع داده را برای شناسایی الگوها و علل اصلی درخواست ها انجام می دهد. این اطلاعات برای بهبود فرآیندها و رویهها برای مدیریت بهتر چنین درخواستهایی استفاده میشود.
بخش 10. نظارت و بررسی روند
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا به طور منظم روند خود را برای رسیدگی به درخواست های حقوق موضوع داده ها نظارت و بازبینی می کند تا مطمئن شود که کارآمد و مطابق با GDPR است.
10.1. انجام بررسی های دوره ای
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا، فرآیند رسیدگی به درخواست حقوق موضوع داده و خط مشی مطابقت با GDPR را بررسی های دوره ای انجام می دهد تا مطمئن شود که این مؤسسه مؤثر و مطابق با مقررات حفاظت از داده است. این بررسی ها شامل تجزیه و تحلیل تعداد و نوع درخواست های دریافت شده، به موقع بودن و اثربخشی پاسخ ها و هر زمینه ای برای بهبود است.
10.2. اجرای بهبودها
بر اساس یافتههای بررسیها، مؤسسه صدور گواهینامه فناوری اطلاعات اروپا هرگونه پیشرفت لازم را در فرآیند رسیدگی به درخواست حقوق موضوع دادههای خود اعمال میکند. این ممکن است شامل بهروزرسانی رویهها، آموزش اضافی برای کارکنان، یا تغییر در روش تأیید و پاسخ به درخواستها باشد.
10.3. اطمینان از انطباق مداوم
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا با بازنگری و به روز رسانی منظم خط مشی ها و رویه های خود مطابق با هرگونه تغییر در قوانین و مقررات مربوطه، انطباق مداوم با مقررات حفاظت از داده ها را تضمین می کند.
10.4. نظارت بر عملکرد کارکنان
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا عملکرد کارکنان را در رابطه با رسیدگی به درخواست های حقوق موضوع داده، از جمله کیفیت و به موقع بودن پاسخ ها، نظارت می کند. این ممکن است شامل آموزش دوره ای و بررسی عملکرد باشد تا اطمینان حاصل شود که کارکنان در این زمینه آگاه و شایسته هستند.
10.5. ارتباط با سوژه های داده
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا در طول فرآیند رسیدگی به درخواست با افراد داده ارتباط برقرار می کند تا اطمینان حاصل کند که آنها از پیشرفت و هرگونه اطلاعات مربوطه مطلع می شوند. این ممکن است شامل ارائه به روز رسانی در مورد وضعیت درخواست آنها یا درخواست اطلاعات اضافی در صورت نیاز باشد.
10.6. نگهداری سوابق
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا، سوابق بررسی های خود، از جمله هرگونه تغییر ایجاد شده در فرآیند رسیدگی به درخواست حقوق موضوع داده، و همچنین هرگونه بازخورد دریافتی از سوژه های داده را حفظ می کند. این اطلاعات میتواند برای حمایت از تلاشهای انطباق مداوم و شناسایی مناطق برای بهبود بیشتر استفاده شود.
قسمت 11. ایجاد پرونده فعالیتهای پردازش
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا، سوابق فعالیت های پردازشی را نگهداری می کند که سندی است که پردازش داده های شخصی انجام شده توسط سازمان را تشریح می کند. تحت مقررات حفاظت از داده های عمومی اتحادیه اروپا (GDPR) لازم است و برای حمایت از درک فعالیت های پردازش داده ها و نشان دادن انطباق با GDPR در نظر گرفته شده است.
11.1. ساختار ROPA
ROPA شامل اطلاعات اولیه در مورد نام و جزئیات تماس سازمان، اهداف پردازش داده ها، دسته های داده های شخصی پردازش شده، گیرندگان داده های شخصی و دوره های نگهداری برای داده های شخصی است. همچنین شامل اطلاعات مربوط به هر پردازشگر شخص ثالثی است که داده های شخصی را از طرف سازمان پردازش می کند.
11.2. ROPA به روز رسانی منظم
ROPA به طور منظم به روز می شود و یک سند زنده است که منعکس کننده تغییرات در فعالیت های پردازش داده مؤسسه صدور گواهینامه فناوری اطلاعات اروپا است که از ایجاد اعتماد با سوژه های داده حمایت می کند.
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا متعهد به حفظ بالاترین استانداردها در رابطه با مدیریت درخواست های حقوق موضوع داده و خط مشی مقررات عمومی حفاظت از داده های خود است و اطمینان حاصل می کند که از تمام قوانین و مقررات مربوط به این موضوعات و همچنین استانداردهای صنعت پیشرو پیروی می کند. و بهترین شیوه ها، از جمله سیستم مدیریت اطلاعات حریم خصوصی ISO 27701.