Политика DSRRM и GDPR
Политика Академии EITCA в отношении управления запросами прав субъектов данных и общего регламента защиты данных
Этот документ определяет политику Европейского института сертификации ИТ в отношении управления запросами прав субъектов данных, а также реализацию Общего регламента ЕС по защите данных, который регулярно пересматривается и обновляется для обеспечения его эффективности и актуальности. Последнее обновление политики EITCI по управлению запросами прав субъектов данных и GDPR было сделано 10 января 2023 года. Наша политика управления запросами прав субъектов данных и GDPR основана на принципах расширения системы управления конфиденциальной информацией ISO 27701 к информационной безопасности ISO 27001. Стандарт системы, а также требования Общего регламента по защите данных (2016/679).
Часть 1. Введение
Управление запросами о правах субъекта данных является важной частью обеспечения соблюдения правил защиты данных, а именно GDPR (Общий регламент ЕС по защите данных). Европейский институт сертификации ИТ определил следующие формальные процедуры для управления запросами прав субъектов данных и выполнения требований GDPR:
1.1. Создание процесса обработки запросов о правах субъектов данных
В этом процессе описываются шаги, которые Европейский институт сертификации ИТ выполняет при обработке запросов о правах субъекта данных, включая идентификацию и аутентификацию субъекта данных, проверку запроса субъекта данных и ответ на запрос.
1.2. Назначение сотрудника по защите данных (DPO)
Европейский институт сертификации ИТ назначает DPO, который отвечает за надзор за управлением запросами о правах субъектов данных, включая рассмотрение запросов, ответы на запросы и обеспечение соблюдения правил защиты данных.
1.3. Поддержание в актуальном состоянии записи личных данных
Европейский институт сертификации ИТ ведет актуальный учет персональных данных, которые он хранит, и целей, для которых они обрабатываются. Это позволит Европейскому институту сертификации ИТ быстро и точно реагировать на запросы о правах субъектов данных.
1.4. Предоставление четкой и краткой информации субъектам данных
При сборе персональных данных Европейский институт сертификации ИТ предоставляет субъектам данных четкую и краткую информацию об их правах, включая право на доступ, исправление, удаление и возражение против обработки их персональных данных.
1.5. Установление стандартного времени ответа
Европейский институт сертификации ИТ поддерживает стандартное время ответа на запросы о правах субъектов данных и гарантирует, что ответы на запросы будут даны в течение этого периода времени.
1.6. Проверка личности субъекта данных
Европейский институт сертификации ИТ проверяет личность субъекта данных, делающего запрос, чтобы гарантировать, что персональные данные предоставляются только правильному лицу.
1.7. Оперативное реагирование на запросы о правах субъекта данных
Европейский институт сертификации ИТ оперативно отвечает на запросы о правах субъекта данных и предоставляет субъекту данных запрошенную информацию.
1.8. Документирование запросов о правах субъекта данных
Европейский институт сертификации ИТ ведет учет запросов о правах субъектов данных, включая дату запроса, характер запроса и ответ на запрос.
1.9. Мониторинг и проверка процесса
Европейский институт сертификации ИТ регулярно отслеживает и пересматривает свой процесс обработки запросов о правах субъектов данных, чтобы убедиться, что он остается эффективным и соответствует применимым правилам защиты данных.
1.10. Создание записи о деятельности по обработке
Европейский институт сертификации ИТ ведет Журнал операций по обработке, который представляет собой документ, описывающий обработку персональных данных, осуществляемую организацией. Это требуется в соответствии с Общим регламентом ЕС по защите данных (GDPR) и предназначено для поддержки понимания действий по обработке данных и демонстрации соответствия GDPR.
Следуя этим формальным процедурам, Европейский институт сертификации ИТ может эффективно управлять запросами о правах субъектов данных и обеспечивать соблюдение правил защиты данных, в том числе Общего регламента защиты данных в Европейском Союзе.
Часть 2. Создание процесса обработки запросов о правах субъектов данных
В этом процессе описываются шаги, которые Европейский институт сертификации ИТ выполняет при обработке запросов о правах субъекта данных, включая идентификацию и аутентификацию субъекта данных, проверку запроса субъекта данных и ответ на запрос:
2.1. Идентификация и аутентификация субъекта данных
Европейский институт сертификации ИТ поддерживает процесс проверки личности субъекта данных, направляющего запрос. Это может включать запрос удостоверения личности государственного образца, проверку существующих записей или использование других методов аутентификации.
2.2. Проверка запроса субъекта данных
После установления личности субъекта данных Европейский институт сертификации ИТ должен подтвердить, что запрос является действительным и относится к личным данным субъекта данных. Запрос также должен включать конкретное реализуемое право, такое как право на доступ, исправление или удаление персональных данных.
2.3. Ответ на запрос
Европейский институт сертификации ИТ должен предоставить ответ на запрос субъекта данных в сроки, установленные соответствующими законами о защите данных, но не более 30 дней. Ответ должен включать объяснение того, был ли запрос удовлетворен или отклонен, и причины решения.
2.4. Документирование запроса и ответа
Европейский институт сертификации ИТ ведет учет всех запросов и ответов о правах субъектов данных. Это помогает обеспечить соблюдение соответствующих законов о защите данных, а также облегчить будущие проверки или расследования.
2.5. Обучение соответствующего персонала
Европейский институт сертификации ИТ проведет обучение сотрудников, ответственных за обработку запросов о правах субъектов данных, чтобы убедиться, что они знакомы с соответствующими законами о защите данных и процедурами Европейского института сертификации ИТ для обработки таких запросов.
2.6. Мониторинг и проверка процесса
Европейский институт сертификации ИТ регулярно отслеживает и пересматривает процесс обработки запросов о правах субъектов данных, чтобы убедиться, что он остается эффективным и соответствует применимым законам о защите данных. О любых проблемах или инцидентах сообщается и своевременно устраняются.
Часть 3. Назначение сотрудника по защите данных (DPO)
Европейский институт сертификации ИТ назначает DPO, который отвечает за надзор за управлением запросами о правах субъектов данных, включая рассмотрение запросов, ответы на запросы и обеспечение соблюдения правил защиты данных.
3.1. Назначение DPO
Европейский институт сертификации ИТ назначает сотрудника по защите данных (DPO), который контролирует управление запросами о правах субъектов данных и обеспечивает соблюдение правил защиты данных. DPO будет нести ответственность за рассмотрение запросов и обеспечение выполнения Европейским институтом сертификации ИТ своих юридических обязательств в отношении защиты данных.
3.2. Требования к компетентности DPO
DPO должен иметь экспертные знания о законах и методах защиты данных и быть обеспечен необходимыми ресурсами для выполнения своих обязанностей. Они должны иметь прямой доступ к высшему руководству и отчитываться перед высшим руководством организации.
3.3. Обязанности DPO
Обязанности DPO включают, но не ограничиваются следующим:
- Предоставление рекомендаций и рекомендаций Европейскому институту сертификации ИТ по вопросам защиты данных, включая управление запросами о правах субъектов данных.
- Мониторинг соблюдения Европейским институтом сертификации ИТ правил защиты данных, а также внутренних политик и процедур.
- Отвечая на запросы и жалобы субъектов данных относительно их прав в соответствии с положениями о защите данных.
- Координация с другими отделами для обеспечения соблюдения требований защиты данных во всей организации.
- Проведение периодических обзоров и оценок практики защиты данных Европейского института сертификации ИТ и предоставление рекомендаций по улучшению.
- Служить контактным лицом для органов по защите данных и сотрудничать с ними в случае расследования или аудита.
- DPO также участвует в разработке и реализации политик и процедур Европейского института сертификации ИТ, касающихся защиты данных, в том числе связанных с обработкой запросов о правах субъектов данных.
3.4. Обучение и повышение квалификации DPO
Европейский институт сертификации ИТ должен обеспечить, чтобы DPO был надлежащим образом обучен правилам защиты данных и был в курсе любых изменений или обновлений этих правил.
3.5. Контактная информация DPO
Контактная информация DPO должна быть доступна субъектам данных и включена в уведомление или политику конфиденциальности Европейского института сертификации ИТ.
Часть 4. Поддержание в актуальном состоянии учета персональных данных
Европейский институт сертификации ИТ ведет актуальный учет персональных данных, которые он хранит, и целей, для которых они обрабатываются. Это позволит Европейскому институту сертификации ИТ быстро и точно реагировать на запросы о правах субъектов данных.
4.1. Установление процесса идентификации и регистрации персональных данных
Европейский институт сертификации ИТ устанавливает четкий и стандартизированный процесс идентификации и записи персональных данных, включая имя субъекта данных, контактную информацию и любую другую соответствующую информацию. Этот процесс гарантирует, что персональные данные собираются только для конкретных и законных целей.
4.2. Классификация личных данных
Европейский институт сертификации ИТ классифицирует персональные данные, чтобы упростить их отслеживание и управление. Это включает в себя категоризацию данных по типу, например контактную информацию, платежную информацию, компетенции и квалификацию, финансовую информацию или историю занятости.
4.3. Внедрение системы управления данными
Европейский институт сертификации ИТ внедряет систему управления данными, чтобы обеспечить точность, актуальность и доступность персональных данных. Система управления данными включает в себя базу данных, в которой можно осуществлять поиск и запрашивать ответы на запросы о правах субъекта данных.
4.4. Возложение ответственности за ведение учета персональных данных
Европейский институт сертификации ИТ должен возложить ответственность за ведение учета персональных данных на конкретных лиц или отделы. Это обеспечит актуальность и точность записи.
4.5. Регулярный просмотр и обновление записи личных данных
Европейский институт сертификации ИТ должен регулярно проверять и обновлять записи персональных данных, чтобы гарантировать их точность и актуальность. Это можно сделать с помощью периодических проверок или посредством непрерывного процесса мониторинга.
4.6. Примите соответствующие меры безопасности
Европейский институт сертификации ИТ применяет соответствующие меры безопасности для защиты персональных данных, которые он хранит, в том числе меры по предотвращению несанкционированного доступа, случайной потери или уничтожения персональных данных в рамках Политики информационной безопасности организации (ISP). Это включает в себя шифрование IA, брандмауэры и контроль доступа. Подробная спецификация процессов и мер по защите данных содержится в специальной Политике информационной безопасности Европейского института сертификации ИТ.
Часть 5. Предоставление четкой и краткой информации субъектам данных
При сборе персональных данных Европейский институт сертификации ИТ предоставляет субъектам данных четкую и краткую информацию об их правах, включая право на доступ, исправление, удаление и возражение против обработки их персональных данных.
5.1. прозрачность
Европейский институт сертификации ИТ прозрачно обрабатывает персональные данные и предоставляет субъектам данных краткую информацию о том, как их данные используются, обрабатываются и хранятся.
5.2. Политика конфиденциальности
Европейский институт сертификации ИТ имеет подробную политику конфиденциальности, в которой описываются его действия по обработке данных, в том числе то, как субъекты данных могут осуществлять свои права субъекта данных.
5.3. Право на доступ
Субъекты данных имеют право запросить доступ к персональным данным, которые хранятся о них в Европейском институте сертификации ИТ. Европейский институт сертификации ИТ предоставляет субъектам данных четкую и краткую информацию о том, как сделать запрос на доступ, какая информация потребуется для проверки их личности и сколько времени потребуется Европейскому институту сертификации ИТ, чтобы ответить на запрос.
5.4. Право на исправление
Субъекты данных имеют право потребовать от Европейского института сертификации ИТ исправить любые неточные или неполные личные данные, которые он хранит о них. Европейский институт сертификации ИТ предоставляет субъектам данных четкую и краткую информацию о том, как подать запрос на исправление, какая информация потребуется для проверки их личности и сколько времени потребуется Европейскому институту сертификации ИТ, чтобы ответить на запрос.
5.5. Право на удаление
Субъекты данных имеют право потребовать, чтобы Европейский институт сертификации ИТ удалил их личные данные при определенных обстоятельствах. Европейский институт сертификации ИТ предоставляет субъектам данных четкую и краткую информацию о том, как подать запрос на удаление, какая информация потребуется для проверки их личности и сколько времени потребуется Европейскому институту сертификации ИТ, чтобы ответить на запрос.
5.6. Право на возражение
Субъекты данных имеют право возражать против обработки своих персональных данных при определенных обстоятельствах. Европейский институт сертификации ИТ предоставляет субъектам данных четкую и краткую информацию о том, как подать запрос на возражение, какая информация потребуется для проверки их личности и сколько времени потребуется Европейскому институту сертификации ИТ, чтобы ответить на запрос.
5.7. Контактная информация
Европейский институт сертификации ИТ предоставляет субъектам данных четкую и краткую контактную информацию, которую они могут использовать, если у них есть вопросы или опасения по поводу того, как обрабатываются их личные данные.
Часть 6. Установление стандартного времени ответа
Европейский институт сертификации ИТ установил стандартное время ответа на запросы о правах субъектов данных и гарантирует, что ответы на запросы будут даны в течение этого периода времени.
6.1. Стандартное время отклика
Европейский институт сертификации ИТ устанавливает стандартное время ответа в 30 дней для запросов о правах субъекта данных. Стандартное время ответа определяет верхний предел времени для обработки и ответа, и большинство запросов обрабатываются и отвечают в течение более короткого времени.
6.2. Время подтверждения получения запроса
После получения запроса о правах субъекта данных DPO или другие сотрудники подтвердят получение запроса в течение 5 рабочих дней и сообщат субъекту данных предполагаемые сроки для предоставления ответа.
6.3. Исключительное увеличение стандартного времени отклика
Европейский институт сертификации ИТ приложит разумные усилия для ответа на запросы о правах субъекта данных в течение установленного стандартного времени ответа. Однако, если запрос сложный или если Европейский институт сертификации ИТ получает большое количество запросов, время ответа может быть увеличено. В таких случаях DPO информирует субъекта данных о продлении и причине задержки.
6.4. Отказ выполнить запрос прав субъекта данных
Если Европейский институт сертификации ИТ не может выполнить запрос прав субъекта данных, он предоставит субъекту данных объяснение отказа и сообщит ему о его праве подать жалобу в соответствующий надзорный орган.
6.5. Записи запросов и ответов о правах субъекта данных
Европейский институт сертификации ИТ будет вести точный учет запросов и ответов субъектов данных, включая дату получения запроса, характер запроса, а также дату и способ ответа.
6.6. Периодические обзоры
DPO будет периодически проверять время ответа Европейского института сертификации ИТ и обновлять его по мере необходимости, чтобы обеспечить соблюдение применимых правил защиты данных.
Часть 7. Проверка личности субъекта данных
7.1. Требование подтверждения личности
Европейский институт сертификации ИТ должен проверить личность субъекта данных, делающего запрос, чтобы гарантировать, что персональные данные предоставляются только правильному лицу.
7.2. Средства и методы проверки личности
Когда субъект данных делает запрос на осуществление своих прав в соответствии с законами о защите данных, Европейский институт сертификации ИТ должен проверить личность субъекта данных, используя соответствующие меры, такие как запрос документов, удостоверяющих личность.
7.3. Проверка личности доверенного лица
Если субъект данных делает запрос от имени другого лица, Европейский институт сертификации ИТ должен проверить личность как субъекта данных, так и лица, от имени которого делается запрос.
7.4. Сомнения в проверке личности
Если Европейский институт сертификации ИТ сомневается в личности субъекта данных или обоснованности запроса, он может запросить дополнительную информацию или принять другие соответствующие меры для проверки личности субъекта данных.
7.5. Записи проверки личности
Европейский институт сертификации ИТ должен вести учет процесса проверки и мер, принятых для проверки личности субъекта данных. Эта запись должна храниться в течение разумного периода времени и использоваться для демонстрации соблюдения законов о защите данных.
Часть 8. Оперативное реагирование на запросы о правах субъекта данных
8.1. Незамедлительный ответ
Европейский институт сертификации ИТ оперативно отвечает на запросы о правах субъекта данных и предоставляет субъекту данных запрошенную информацию.
8.2. Запрос подтверждения получения
Европейский институт сертификации ИТ подтверждает получение запроса субъекта данных как можно скорее, в идеале в течение 5 рабочих дней.
8.3. Запросить проверку
Назначенный DPO должен рассмотреть запрос, чтобы убедиться, что он соответствует необходимым требованиям и что вся необходимая информация была предоставлена.
8.4. Проверка личности субъекта данных
Европейский институт сертификации ИТ проверяет личность субъекта данных, делающего запрос, чтобы гарантировать, что персональные данные предоставляются только правильному лицу.
8.5. Получение дополнительной информации при необходимости
Если запрос неясен или недостаточен, Европейский институт сертификации ИТ должен связаться с субъектом данных для получения дополнительной информации.
8.5. Получение соответствующих данных
Европейский институт сертификации ИТ извлекает соответствующие персональные данные и проверяет их, чтобы убедиться, что они точны и актуальны.
8.6. Предоставление запрашиваемой информации
Европейский институт сертификации ИТ предоставляет субъекту данных запрошенную им информацию, включая копию его личных данных в широко используемом электронном формате, если не запрошено иное.
8.7. Информировать субъекта данных об их правах
Европейский институт сертификации ИТ информирует субъекта данных об их других правах, таких как право на исправление или удаление своих личных данных, и предоставляет ему необходимые инструкции.
8.8. Соблюдение времени отклика
Европейский институт сертификации ИТ отвечает на запросы о правах субъектов данных в течение установленного времени ответа, гарантируя, что будут предприняты необходимые действия для выполнения запроса.
8.9. Документирование ответа
Европейский институт сертификации ИТ документирует ответ на запрос прав субъекта данных, включая любые предпринятые действия и время ответа, чтобы гарантировать, что его можно проверить и отследить в целях соблюдения.
8.10. Уведомление субъекта данных о любых изменениях
Если в персональные данные субъекта данных в результате его запроса вносятся какие-либо изменения, Европейский институт сертификации ИТ уведомляет субъекта данных об этих изменениях.
Часть 9. Документирование запросов о правах субъекта данных
Европейский институт сертификации ИТ ведет учет запросов о правах субъектов данных, включая дату запроса, характер запроса и ответ на запрос. Документирование запросов о правах субъекта данных включает следующие аспекты:
9.1. Ведение реестра
Европейский институт сертификации ИТ ведет реестр, в котором фиксируются все полученные запросы о правах субъектов данных. Этот реестр должен фиксировать следующие данные:
- Дата запроса
- Имя и контактные данные субъекта данных
- Описание запроса
- Действия, предпринятые в ответ на запрос
- Любая дополнительная информация, необходимая для обработки запроса
9.2. Стандартизированный процесс документации
Европейский институт сертификации ИТ использует стандартизированный процесс документирования запросов о правах субъектов данных, чтобы обеспечить согласованность и точность собранной информации.
9.3. Срок хранения
Европейский институт сертификации ИТ хранит эти записи в течение разумного периода времени, установленного применимыми законами и правилами, но не менее 2 лет.
9.4. Сохранение конфиденциальности
Европейский институт сертификации ИТ гарантирует, что записи запросов о правах субъектов данных доступны только уполномоченному персоналу, которому необходим доступ к такой информации при выполнении своих обязанностей. Он также принимает технические и организационные меры для предотвращения несанкционированного доступа, раскрытия, изменения или уничтожения персональных данных, содержащихся в записях запросов о правах субъектов данных.
9.5. Составление отчетов
Европейский институт сертификации ИТ периодически формирует отчеты о полученных, обработанных и невыполненных запросах о правах субъектов данных. Эти отчеты передаются соответствующим заинтересованным сторонам, включая высшее руководство и DPO.
9.6. аналитика
Европейский институт сертификации ИТ проводит анализ тенденций в отношении запросов о правах субъектов данных, чтобы выявить закономерности и основные причины запросов. Эта информация используется для усовершенствования процессов и процедур для более эффективного управления такими запросами.
Часть 10. Мониторинг и анализ процесса
Европейский институт сертификации ИТ регулярно отслеживает и пересматривает свой процесс обработки запросов о правах субъектов данных, чтобы убедиться, что он остается эффективным и соответствует GDPR.
10.1. Проведение периодических обзоров
Европейский институт сертификации ИТ проводит периодические проверки своего процесса обработки запросов о правах субъектов данных и политики соответствия GDPR, чтобы убедиться, что они эффективны и соответствуют положениям о защите данных. Эти обзоры включают анализ количества и типа полученных запросов, своевременности и эффективности ответов, а также любых областей, требующих улучшения.
10.2. Внедрение улучшений
Основываясь на выводах проверок, Европейский институт сертификации ИТ внедряет все необходимые улучшения в свой процесс обработки запросов о правах субъектов данных. Это может включать обновления процедур, дополнительное обучение персонала или изменения в способах проверки запросов и ответов на них.
10.3. Обеспечение постоянного соответствия
Европейский институт сертификации ИТ обеспечивает постоянное соблюдение правил защиты данных, регулярно пересматривая и обновляя свои политики и процедуры в соответствии с любыми изменениями в соответствующих законах и правилах.
10.4. Мониторинг эффективности персонала
Европейский институт сертификации ИТ отслеживает эффективность работы персонала в отношении обработки запросов о правах субъектов данных, включая качество и своевременность ответов. Это может включать в себя периодическое обучение и проверку эффективности, чтобы убедиться, что персонал хорошо осведомлен и компетентен в этой области.
10.5. Общение с субъектами данных
Европейский институт сертификации ИТ связывается с субъектами данных на протяжении всего процесса обработки запроса, чтобы гарантировать, что они будут в курсе хода выполнения и любой соответствующей информации. Это может включать предоставление обновлений о статусе их запроса или запрос дополнительной информации по мере необходимости.
10.6. Ведение записей
Европейский институт сертификации ИТ ведет учет своих проверок, включая любые изменения, внесенные в процесс обработки запросов о правах субъектов данных, а также любые отзывы, полученные от субъектов данных. Эта информация может быть использована для поддержки текущих усилий по соблюдению требований и определения областей для дальнейшего улучшения.
Часть 11. Установление учета деятельности по обработке
Европейский институт сертификации ИТ ведет Журнал операций по обработке, который представляет собой документ, описывающий обработку персональных данных, осуществляемую организацией. Это требуется в соответствии с Общим регламентом ЕС по защите данных (GDPR) и предназначено для поддержки понимания действий по обработке данных и демонстрации соответствия GDPR.
11.1. ROPA-структура
ROPA включает основную информацию о названии и контактных данных организации, целях обработки данных, категориях обрабатываемых персональных данных, получателях персональных данных и сроках хранения персональных данных. Он также включает информацию о любых сторонних процессорах, которые обрабатывают персональные данные от имени организации.
11.2. Регулярные обновления РОПА
ROPA регулярно обновляется и представляет собой «живой» документ, отражающий изменения в деятельности Европейского института сертификации ИТ по обработке данных, способствующей установлению доверительных отношений с субъектами данных.
Европейский институт сертификации ИТ стремится поддерживать самые высокие стандарты в отношении своей Политики управления запросами прав субъектов данных и Общей политики регулирования защиты данных, обеспечивая соблюдение всех применимых законов и правил, касающихся этих вопросов, а также ведущих отраслевых стандартов. передовой опыт, включая систему управления конфиденциальной информацией ISO 27701.