Палітыка DSRRM і GDPR
Палітыка Акадэміі EITCA па кіраванні запытамі аб правах суб'ектаў даных і агульным палажэнні аб абароне даных
Гэты дакумент вызначае палітыку Еўрапейскага інстытута сертыфікацыі ІТ па кіраванні запытамі правоў суб'ектаў даных, а таксама рэалізацыю Агульнага рэгламенту ЕС аб абароне даных, які рэгулярна пераглядаецца і абнаўляецца для забеспячэння яго эфектыўнасці і актуальнасці. Апошняе абнаўленне Палітыкі кіравання запытамі правоў суб'ектаў даных і GDPR EITCI было зроблена 10 студзеня 2023 г. Наша палітыка кіравання запытамі правоў суб'ектаў даных і GDPR заснавана на прынцыпах пашырэння сістэмы кіравання канфідэнцыяльнасцю інфармацыі ISO 27701 да ISO 27001 Бяспека інфармацыі Сістэмны стандарт, а таксама па патрабаванням Агульнага рэгламенту па абароне даных (2016/679).
Частка 1. Уводзіны
Кіраванне запытамі правоў суб'ектаў даных з'яўляецца важнай часткай забеспячэння адпаведнасці правілам абароны даных, а менавіта GDPR (Агульны рэгламент аб абароне даных ЕС). Еўрапейскі інстытут сертыфікацыі ІТ вызначыў наступныя фармальныя працэдуры для кіравання запытамі правоў суб'ектаў дадзеных і выканання патрабаванняў GDPR:
1.1. Стварэнне працэсу апрацоўкі запытаў аб захаванні правоў суб'ектаў дадзеных
Гэты працэс апісвае крокі, якія Еўрапейскі інстытут сертыфікацыі ІТ выконвае пры апрацоўцы запытаў аб правах суб'ектаў даных, уключаючы ідэнтыфікацыю і аўтэнтыфікацыю суб'екта даных, праверку запыту суб'екта даных і адказ на запыт.
1.2. Прызначэнне супрацоўніка па абароне даных (DPO)
Еўрапейскі інстытут сертыфікацыі ІТ прызначае DPO, які адказвае за кіраванне запытамі правоў суб'ектаў даных, уключаючы разгляд запытаў, адказы на запыты і забеспячэнне захавання правілаў абароны даных.
1.3. Падтрыманне актуальнага ўліку персанальных даных
Еўрапейскі інстытут сертыфікацыі ІТ падтрымлівае актуальны ўлік персанальных даных, якія ён захоўвае, і мэт, для якіх яны апрацоўваюцца. Гэта дазволіць Еўрапейскаму інстытуту сертыфікацыі ІТ хутка і дакладна адказваць на запыты аб захаванні правоў суб'ектаў даных.
1.4. Прадастаўленне выразнай і кароткай інфармацыі суб'ектам даных
Пры зборы асабістых даных Еўрапейскі інстытут сертыфікацыі ІТ прадастаўляе суб'ектам даных ясную і кароткую інфармацыю аб іх правах, уключаючы права на доступ, выпраўленне, выдаленне і пярэчанне супраць апрацоўкі іх персанальных даных.
1.5. Устанаўленне стандартнага часу адказу
Еўрапейскі інстытут сертыфікацыі ІТ падтрымлівае стандартны час адказу на запыты аб захаванні правоў суб'ектаў даных і гарантуе, што адказы на запыты даюцца ў гэты тэрмін.
1.6. Праверка асобы суб'екта дадзеных
Еўрапейскі інстытут сертыфікацыі ІТ правярае асобу суб'екта даных, які робіць запыт, каб пераканацца, што персанальныя даныя прадастаўляюцца толькі патрэбнай асобе.
1.7. Аператыўны адказ на запыты аб захаванні правоў суб'ектаў даных
Еўрапейскі інстытут сертыфікацыі ІТ аператыўна адказвае на запыты правоў суб'ектаў даных і прадастаўляе суб'екту даных запытаную інфармацыю.
1.8. Дакументаванне запытаў на правы суб'ектаў дадзеных
Еўрапейскі інстытут сертыфікацыі ІТ вядзе ўлік запытаў аб захаванні правоў суб'ектаў даных, уключаючы дату запыту, характар запыту і адказ на запыт.
1.9. Маніторынг і агляд працэсу
Еўрапейскі інстытут сертыфікацыі ІТ рэгулярна кантралюе і пераглядае свой працэс апрацоўкі запытаў аб захаванні правоў суб'ектаў даных, каб пераканацца, што ён застаецца эфектыўным і адпавядае адпаведным правілам абароны даных.
1.10. Стварэнне ўліку дзеянняў па апрацоўцы
Еўрапейскі інстытут сертыфікацыі ІТ вядзе Запіс дзеянняў па апрацоўцы, які ўяўляе сабой дакумент, у якім апісваецца апрацоўка персанальных даных, якая праводзіцца арганізацыяй. Гэта патрабуецца ў адпаведнасці з Агульным рэгламентам ЕС аб абароне даных (GDPR) і прызначана для падтрымкі разумення дзеянняў па апрацоўцы даных і дэманстрацыі адпаведнасці GDPR.
Выконваючы гэтыя фармальныя працэдуры, Еўрапейскі інстытут сертыфікацыі ІТ можа эфектыўна кіраваць запытамі правоў суб'ектаў даных і забяспечваць выкананне правілаў абароны даных, у тым ліку Агульнага рэгламенту аб абароне даных у Еўрапейскім Саюзе.
Частка 2. Стварэнне працэсу апрацоўкі запытаў аб захаванні правоў суб'ектаў даных
У гэтым працэсе апісваюцца крокі, якія выконвае Еўрапейскі інстытут сертыфікацыі ІТ пры апрацоўцы запытаў аб захаванні правоў суб'екта даных, уключаючы ідэнтыфікацыю і аўтэнтыфікацыю суб'екта даных, праверку запыту суб'екта даных і адказ на запыт:
2.1. Ідэнтыфікацыя і аўтэнтыфікацыя суб'екта дадзеных
Еўрапейскі інстытут сертыфікацыі ІТ падтрымлівае працэс праверкі асобы суб'екта дадзеных, які робіць запыт. Гэта можа ўключаць запыт дзяржаўнага пасведчання асобы, праверку існуючых запісаў або выкарыстанне іншых метадаў аўтэнтыфікацыі.
2.2. Праверка запыту суб'екта дадзеных
Пасля ўстанаўлення асобы суб'екта дадзеных Еўрапейскі інстытут сертыфікацыі ІТ павінен пераканацца, што запыт сапраўдны і адносіцца да персанальных даных суб'екта дадзеных. Запыт таксама павінен уключаць канкрэтнае права, якое ажыццяўляецца, напрыклад, права на доступ, выпраўленне або выдаленне асабістых даных.
2.3. Адказ на запыт
Еўрапейскі інстытут сертыфікацыі ІТ павінен даць адказ на запыт суб'екта даных у тэрмін, вызначаны адпаведным заканадаўствам аб абароне даных, але не больш за 30 дзён. Адказ павінен уключаць тлумачэнне таго, задаволены запыт або адмоўлена, і прычыны рашэння.
2.4. Дакументальнае афармленне запыту і адказу
Еўрапейскі інстытут сертыфікацыі ІТ вядзе ўлік усіх запытаў і адказаў на правы суб'ектаў дадзеных. Гэта дапамагае забяспечыць выкананне адпаведных законаў аб абароне даных, а таксама спрыяе будучым праверкам і расследаванням.
2.5. Падрыхтоўка адпаведнага персаналу
Еўрапейскі інстытут сертыфікацыі ІТ правядзе навучанне персаналу, адказнага за апрацоўку запытаў аб захаванні правоў суб'ектаў даных, каб пераканацца, што яны знаёмыя з адпаведнымі законамі аб абароне даных і працэдурамі Еўрапейскага інстытута сертыфікацыі ІТ для апрацоўкі такіх запытаў.
2.6. Маніторынг і агляд працэсу
Еўрапейскі інстытут сертыфікацыі ІТ рэгулярна кантралюе і разглядае працэс апрацоўкі запытаў на правы суб'ектаў даных, каб пераканацца, што ён застаецца эфектыўным і адпавядае адпаведным законам аб абароне даных. Аб любых праблемах або інцыдэнтах паведамляецца і вырашаюцца своечасова.
Частка 3. Прызначэнне супрацоўніка па абароне даных (DPO)
Еўрапейскі інстытут сертыфікацыі ІТ прызначае DPO, які адказвае за кіраванне запытамі правоў суб'ектаў даных, уключаючы разгляд запытаў, адказы на запыты і забеспячэнне захавання правілаў абароны даных.
3.1. Прызначэнне DPO
Еўрапейскі інстытут сертыфікацыі ІТ прызначае супрацоўніка па абароне даных (DPO) для кантролю за кіраваннем запытамі аб захаванні правоў суб'ектаў даных і забеспячэння захавання правілаў абароны даных. DPO будзе адказваць за разгляд запытаў і забеспячэнне таго, каб Еўрапейскі інстытут сертыфікацыі ІТ выконваў свае юрыдычныя абавязацельствы ў дачыненні да абароны даных.
3.2. Патрабаванні да кампетэнцый DPO
DPO павінен валодаць экспертнымі ведамі аб законах і практыцы абароны даных і мець неабходныя рэсурсы для выканання сваіх абавязкаў. Яны павінны мець прамы доступ да вышэйшага кіраўніцтва і падпарадкоўвацца вышэйшаму кіраўніцкаму ўзроўню арганізацыі.
3.3. Абавязкі DPO
Абавязкі DPO ўключаюць, але не абмяжоўваюцца імі, наступнае:
- Прадастаўленне рэкамендацый і кансультацый Еўрапейскаму інстытуту сертыфікацыі ІТ па пытаннях абароны даных, уключаючы кіраванне запытамі правоў суб'ектаў даных.
- Кантроль за адпаведнасцю Еўрапейскага інстытута сертыфікацыі ІТ правілам абароны даных, унутранай палітыцы і працэдурам.
- Адказы на запыты і скаргі суб'ектаў даных адносна іх правоў у адпаведнасці з правіламі абароны даных.
- Каардынацыя з іншымі аддзеламі для забеспячэння выканання патрабаванняў па абароне даных ва ўсёй арганізацыі.
- Правядзенне перыядычных аглядаў і ацэнак практыкі абароны даных Еўрапейскага інстытута сертыфікацыі ІТ і прадастаўленне рэкамендацый па паляпшэнні.
- Служыць у якасці кантактнага пункта для органаў па абароне даных і супрацоўнічаць з імі ў выпадку расследавання або аўдыту.
- DPO таксама ўдзельнічае ў распрацоўцы і ўкараненні палітыкі і працэдур Еўрапейскага інстытута сертыфікацыі ІТ, звязаных з абаронай даных, у тым ліку тых, якія тычацца апрацоўкі запытаў аб захаванні правоў суб'ектаў даных.
3.4. Навучанне і павышэнне кваліфікацыі DPO
Еўрапейскі інстытут сертыфікацыі ІТ павінен пераканацца, што DPO прайшоў адпаведную падрыхтоўку па правілах абароны даных і быў у курсе любых змяненняў або абнаўленняў гэтых правілаў.
3.5. Кантактная інфармацыя DPO
Кантактная інфармацыя DPO павінна быць даступная суб'ектам дадзеных і ўключана ў паведамленне або палітыку прыватнасці Еўрапейскага інстытута сертыфікацыі ІТ.
Частка 4. Вядзенне ўліку персанальных даных у актуальным стане
Еўрапейскі інстытут сертыфікацыі ІТ падтрымлівае актуальны ўлік персанальных даных, якія ён захоўвае, і мэт, для якіх яны апрацоўваюцца. Гэта дазволіць Еўрапейскаму інстытуту сертыфікацыі ІТ хутка і дакладна адказваць на запыты аб захаванні правоў суб'ектаў даных.
4.1. Стварэнне працэсу ідэнтыфікацыі і запісу персанальных даных
Еўрапейскі інстытут сертыфікацыі ІТ устанаўлівае дакладны і стандартызаваны працэс ідэнтыфікацыі і запісу асабістых даных, уключаючы імя суб'екта даных, кантактную інфармацыю і любую іншую адпаведную інфармацыю. Гэты працэс гарантуе, што асабістыя даныя збіраюцца толькі ў пэўных і законных мэтах.
4.2. Катэгарызацыя персанальных даных
Еўрапейскі інстытут сертыфікацыі ІТ класіфікуе персанальныя даныя, каб палегчыць іх адсочванне і кіраванне імі. Гэта ўключае ў сябе класіфікацыю дадзеных па тыпу, такіх як кантактная інфармацыя, плацежная інфармацыя, кампетэнцыі і кваліфікацыя, фінансавая інфармацыя або гісторыя занятасці.
4.3. Укараненне сістэмы кіравання дадзенымі
Еўрапейскі інстытут сертыфікацыі ІТ укараняе сістэму кіравання дадзенымі, каб пераканацца, што асабістыя даныя з'яўляюцца дакладнымі, актуальнымі і даступнымі. Сістэма кіравання дадзенымі ўключае ў сябе базу дадзеных, у якой можна шукаць і запытваць, каб дапамагчы адказаць на запыты правоў суб'ектаў даных.
4.4. Ускладанне адказнасці за вядзенне ўліку персанальных даных
Еўрапейскі інстытут сертыфікацыі ІТ павінен прызначыць адказнасць за захаванне персанальных даных на пэўных асоб або аддзелы. Гэта гарантуе, што запіс будзе актуальным і дакладным.
4.5. Рэгулярны прагляд і абнаўленне запісу персанальных даных
Еўрапейскі інстытут сертыфікацыі ІТ павінен рэгулярна праглядаць і абнаўляць запіс персанальных даных, каб пераканацца, што яны застаюцца дакладнымі і актуальнымі. Гэта можа быць зроблена з дапамогай перыядычных аўдытаў або праз бесперапынны працэс кантролю.
4.6. Ужывайце адпаведныя меры бяспекі
Еўрапейскі інстытут сертыфікацыі ІТ укараняе належныя меры бяспекі для абароны персанальных даных, якія захоўваюцца ў ім, у тым ліку меры па прадухіленні несанкцыянаванага доступу, выпадковай страты або знішчэння персанальных даных, як частка Палітыкі інфармацыйнай бяспекі арганізацыі (ISP). Гэта ўключае ў сябе шыфраванне, брандмаўэры і кантроль доступу. Падрабязная спецыфікацыя працэсаў і мер па абароне дадзеных ахопліваецца спецыяльнай палітыкай інфармацыйнай бяспекі Еўрапейскага інстытута сертыфікацыі ІТ.
Частка 5. Прадастаўленне яснай і кароткай інфармацыі суб'ектам дадзеных
Пры зборы асабістых даных Еўрапейскі інстытут сертыфікацыі ІТ прадастаўляе суб'ектам даных ясную і кароткую інфармацыю аб іх правах, уключаючы права на доступ, выпраўленне, выдаленне і пярэчанне супраць апрацоўкі іх персанальных даных.
5.1. Празрыстасць
Еўрапейскі інстытут сертыфікацыі ІТ з'яўляецца празрыстым пры апрацоўцы персанальных даных і прадастаўляе суб'ектам даных кароткую інфармацыю пра тое, як іх даныя выкарыстоўваюцца, апрацоўваюцца і захоўваюцца.
5.2. Палітыка прыватнасці
Еўрапейскі інстытут сертыфікацыі ІТ мае падрабязную палітыку канфідэнцыяльнасці, якая апісвае дзейнасць па апрацоўцы даных, у тым ліку тое, як суб'екты даных могуць ажыццяўляць свае правы.
5.3. Права на доступ
Суб'екты даных маюць права запытаць доступ да асабістых даных, якія пра іх захоўвае Еўрапейскі інстытут сертыфікацыі ІТ. Еўрапейскі інстытут сертыфікацыі ІТ прадастаўляе суб'ектам даных ясную і кароткую інфармацыю пра тое, як зрабіць запыт на доступ, якая інфармацыя спатрэбіцца для праверкі іх асобы і колькі часу Еўрапейскаму інстытуту сертыфікацыі ІТ спатрэбіцца, каб адказаць на запыт.
5.4. Права на выпраўленне
Суб'екты даных маюць права запатрабаваць ад Еўрапейскага інстытута сертыфікацыі ІТ выправіць любыя недакладныя або няпоўныя асабістыя даныя, якія ён захоўвае пра іх. Еўрапейскі інстытут сертыфікацыі ІТ прадастаўляе суб'ектам дадзеных ясную і кароткую інфармацыю аб тым, як зрабіць запыт на выпраўленне, якая інфармацыя спатрэбіцца для праверкі іх асобы і колькі часу Еўрапейскаму інстытуту сертыфікацыі ІТ спатрэбіцца, каб адказаць на запыт.
5.5. Права на выдаленне
Пры пэўных абставінах суб'екты даных маюць права запатрабаваць ад Еўрапейскага інстытута сертыфікацыі ІТ выдалення іх асабістых даных. Еўрапейскі інстытут сертыфікацыі ІТ прадастаўляе суб'ектам даных ясную і кароткую інфармацыю аб тым, як падаць запыт на выдаленне, якая інфармацыя спатрэбіцца для праверкі іх асобы і колькі часу Еўрапейскаму інстытуту сертыфікацыі ІТ спатрэбіцца, каб адказаць на запыт.
5.6. Права на пярэчанне
Суб'екты даных маюць права пярэчыць супраць апрацоўкі іх асабістых даных пры пэўных абставінах. Еўрапейскі інстытут сертыфікацыі ІТ прадастаўляе суб'ектам даных ясную і кароткую інфармацыю аб тым, як зрабіць запыт на пярэчанне, якая інфармацыя спатрэбіцца для праверкі іх асобы і колькі часу Еўрапейскаму інстытуту сертыфікацыі ІТ спатрэбіцца, каб адказаць на запыт.
5.7. Кантактная інфармацыя
Еўрапейскі інстытут сертыфікацыі ІТ прадастаўляе ясную і лаканічную кантактную інфармацыю для суб'ектаў даных, якую яны могуць выкарыстоўваць, калі ў іх ёсць пытанні ці сумненні адносна таго, як апрацоўваюцца іх асабістыя даныя.
Частка 6. Устанаўленне стандартнага часу водгуку
Еўрапейскі інстытут сертыфікацыі ІТ устанавіў стандартны час адказу на запыты аб захаванні правоў суб'ектаў даных і гарантуе, што адказы на запыты атрымліваюцца ў гэты тэрмін.
6.1. Стандартны час водгуку
Еўрапейскі інстытут сертыфікацыі ІТ устанаўлівае стандартны час адказу ў 30 дзён для запытаў аб захаванні правоў суб'ектаў дадзеных. Стандартны час адказу вызначае верхні ліміт часу для апрацоўкі і адказу, і большасць запытаў апрацоўваюцца і адказваюцца на працягу больш кароткага часу.
6.2. Час пацверджання атрымання запыту
Пасля атрымання запыту аб правах суб'екта даных DPO або іншыя супрацоўнікі пацвярджаюць атрыманне запыту на працягу 5 рабочых дзён і паведамляюць суб'екту даных прыблізны тэрмін для прадастаўлення адказу.
6.3. Выключныя падаўжэнні стандартнага часу адказу
Еўрапейскі інстытут сертыфікацыі ІТ прыме разумныя намаганні, каб адказаць на запыты аб захаванні правоў суб'ектаў дадзеных у межах устаноўленага стандартнага часу адказу. Аднак, калі запыт складаны або калі Еўрапейскі інстытут сертыфікацыі ІТ атрымлівае вялікую колькасць запытаў, час адказу можа быць падоўжаны. У такіх выпадках DPO паведаміць суб'екту даных аб падаўжэнні і прычыне затрымкі.
6.4. Адмова ў выкананні запыту аб захаванні правоў суб'екта дадзеных
Калі Еўрапейскі інстытут сертыфікацыі ІТ не можа задаволіць запыт аб захаванні правоў суб'екта даных, ён прадаставіць суб'екту даных тлумачэнні па прычыне адмовы і праінфармуе іх аб іх праве падаць скаргу ў адпаведны наглядны орган.
6.5. Запісы запытаў і адказаў на правы суб'ектаў даных
Еўрапейскі інстытут сертыфікацыі ІТ будзе весці дакладны ўлік запытаў і адказаў на правы суб'ектаў даных, уключаючы дату атрымання запыту, характар запыту, а таксама дату і спосаб адказу.
6.6. Перыядычныя агляды
DPO будзе перыядычна праглядаць час адказу Еўрапейскага інстытута сертыфікацыі ІТ і пры неабходнасці абнаўляць яго для забеспячэння адпаведнасці дзеючым правілам абароны даных.
Частка 7. Праверка асобы суб'екта дадзеных
7.1. Патрабаванне праверкі асобы
Еўрапейскі інстытут сертыфікацыі ІТ павінен праверыць асобу суб'екта даных, які робіць запыт, каб пераканацца, што персанальныя даныя прадастаўляюцца толькі патрэбнай асобе.
7.2. Сродкі і метады праверкі асобы
Калі суб'ект даных робіць запыт на рэалізацыю сваіх правоў у адпаведнасці з заканадаўствам аб абароне даных, Еўрапейскі інстытут сертыфікацыі ІТ павінен праверыць асобу суб'екта даных, выкарыстоўваючы адпаведныя меры, напрыклад, запытваючы дакументы, якія сведчаць асобу.
7.3. Праверка асобы даверанасці
Калі суб'ект дадзеных робіць запыт ад імя кагосьці іншага, Еўрапейскі інстытут сертыфікацыі ІТ павінен праверыць асобу як суб'екта дадзеных, так і асобы, ад імя якой робіцца запыт.
7.4. Сумневы ў праверцы асобы
Калі ў Еўрапейскага інстытута сертыфікацыі ІТ ёсць сумневы адносна асобы суб'екта даных або сапраўднасці запыту, ён можа запытаць дадатковую інфармацыю або прыняць іншыя адпаведныя меры для праверкі асобы суб'екта даных.
7.5. Запісы праверкі асобы
Еўрапейскі інстытут сертыфікацыі ІТ павінен весці ўлік працэсу праверкі і прынятых мер для праверкі асобы суб'екта даных. Гэты запіс павінен захоўвацца на працягу разумнага перыяду часу і выкарыстоўвацца для дэманстрацыі захавання законаў аб абароне даных.
Частка 8. Аператыўны адказ на запыты аб захаванні правоў суб'ектаў даных
8.1. Аператыўнае рэагаванне
Еўрапейскі інстытут сертыфікацыі ІТ аператыўна адказвае на запыты правоў суб'ектаў даных і прадастаўляе суб'екту даных запытаную інфармацыю.
8.2. Запытаць пацверджанне атрымання
Еўрапейскі інстытут сертыфікацыі ІТ пацвярджае атрыманне запыту суб'екта дадзеных як мага хутчэй, у ідэале на працягу 5 працоўных дзён.
8.3. Запытаць агляд
Прызначаны DPO павінен разгледзець запыт, каб пераканацца, што ён адпавядае неабходным патрабаванням і што ўся неабходная інфармацыя была прадастаўлена.
8.4. Праверка асобы суб'екта дадзеных
Еўрапейскі інстытут сертыфікацыі ІТ правярае асобу суб'екта даных, які робіць запыт, каб пераканацца, што персанальныя даныя прадастаўляюцца толькі патрэбнай асобе.
8.5. Атрыманне дадатковай інфармацыі пры неабходнасці
Калі запыт незразумелы або недастатковы, Еўрапейскі інстытут сертыфікацыі ІТ павінен звязацца з суб'ектам дадзеных, каб атрымаць дадатковую інфармацыю.
8.5. Атрыманне адпаведных даных
Еўрапейскі інстытут сертыфікацыі ІТ здабывае адпаведныя асабістыя даныя і правярае іх, каб пераканацца, што яны дакладныя і актуальныя.
8.6. Прадастаўленне запытанай інфармацыі
Еўрапейскі інстытут сертыфікацыі ІТ прадастаўляе суб'екту даных запытаную інфармацыю, у тым ліку копію яго асабістых даных у звычайна выкарыстоўваным электронным фармаце, калі не патрабуецца іншае.
8.7. Інфармуйце суб'екта дадзеных аб яго правах
Еўрапейскі інстытут сертыфікацыі ІТ інфармуе суб'екта дадзеных аб яго іншых правах, такіх як права на выпраўленне або выдаленне асабістых даных, і дае яму неабходныя інструкцыі.
8.8. Захаванне часу рэагавання
Еўрапейскі інстытут сертыфікацыі ІТ адказвае на запыты аб захаванні правоў суб'ектаў даных на працягу ўстаноўленага часу адказу, забяспечваючы прыняцце неабходных мер для выканання запыту.
8.9. Дакументальнае афармленне адказу
Еўрапейскі інстытут сертыфікацыі ІТ дакументуе адказ на запыт правоў суб'екта даных, у тым ліку любыя прынятыя дзеянні і час адказу, каб пераканацца, што яго можна правяраць і адсочваць у мэтах адпаведнасці.
8.10. Паведамленне суб'екта дадзеных аб любых зменах
Калі ў выніку запыту ў персанальныя даныя суб'екта даных уносяцца змены, Еўрапейскі інстытут сертыфікацыі ІТ паведамляе суб'екту даных аб гэтых зменах.
Частка 9. Дакументаванне запытаў правоў суб'ектаў даных
Еўрапейскі інстытут сертыфікацыі ІТ вядзе ўлік запытаў аб захаванні правоў суб'ектаў даных, уключаючы дату запыту, характар запыту і адказ на запыт. Дакументаванне запытаў на правы суб'ектаў даных уключае наступныя аспекты:
9.1. Вядзенне рэестра
Еўрапейскі інстытут сертыфікацыі ІТ вядзе рэестр, які фіксуе ўсе атрыманыя запыты на правы суб'ектаў дадзеных. Гэты рэестр павінен фіксаваць наступныя дэталі:
- Дата запыту
- Імя і кантактныя дадзеныя суб'екта дадзеных
- Апісанне запыту
- Меры, прынятыя ў адказ на запыт
- Любая дадатковая інфармацыя, неабходная для апрацоўкі запыту
9.2. Стандартызаваны працэс дакументацыі
Еўрапейскі інстытут сертыфікацыі ІТ праводзіць стандартызаваны працэс дакументавання запытаў на правы суб'ектаў даных, каб забяспечыць паслядоўнасць і дакладнасць атрыманай інфармацыі.
9.3. Тэрмін захоўвання
Еўрапейскі інстытут сертыфікацыі ІТ захоўвае гэтыя запісы на працягу разумнага перыяду часу, вызначанага дзеючымі законамі і правіламі, не менш за 2 гады.
9.4. Захаванне канфідэнцыяльнасці
Еўрапейскі інстытут сертыфікацыі ІТ гарантуе, што запісы аб запытах правоў суб'ектаў даных будуць даступныя толькі ўпаўнаважанаму персаналу, якому неабходна атрымаць доступ да такой інфармацыі пры выкананні сваіх абавязкаў. Ён таксама рэалізуе тэхнічныя і арганізацыйныя меры для прадухілення несанкцыянаванага доступу, раскрыцця, змены або знішчэння персанальных даных, якія змяшчаюцца ў запісах запытаў правоў суб'ектаў даных.
9.5. справаздачнасці
Еўрапейскі інстытут сертыфікацыі ІТ перыядычна стварае справаздачы аб атрыманых, апрацаваных і неразгледжаных запытах на правы суб'ектаў даных. Гэтыя справаздачы перадаюцца адпаведным зацікаўленым бакам, уключаючы вышэйшае кіраўніцтва і DPO.
9.6. аналітыка
Еўрапейскі інстытут сертыфікацыі ІТ праводзіць аналіз тэндэнцый па запытах правоў суб'ектаў даных, каб выявіць заканамернасці і асноўныя прычыны запытаў. Гэтая інфармацыя выкарыстоўваецца для паляпшэння працэсаў і працэдур для лепшага кіравання такімі запытамі.
Частка 10. Маніторынг і агляд працэсу
Еўрапейскі інстытут сертыфікацыі ІТ рэгулярна кантралюе і пераглядае свой працэс апрацоўкі запытаў аб захаванні правоў суб'ектаў даных, каб пераканацца, што ён застаецца эфектыўным і адпавядае GDPR.
10.1. Правядзенне перыядычных аглядаў
Еўрапейскі інстытут сертыфікацыі ІТ праводзіць перыядычныя праверкі працэсу апрацоўкі запытаў на правы суб'ектаў даных і палітыкі адпаведнасці GDPR, каб пераканацца, што яны эфектыўныя і адпавядаюць правілам абароны даных. Гэтыя агляды ўключаюць у сябе аналіз колькасці і тыпу атрыманых запытаў, своечасовасці і эфектыўнасці адказаў, а таксама любыя напрамкі паляпшэння.
10.2. Укараненне паляпшэнняў
На падставе вынікаў праверкі Еўрапейскі інстытут сертыфікацыі ІТ укараняе неабходныя паляпшэнні ў свой працэс апрацоўкі запытаў на правы суб'ектаў даных. Гэта можа ўключаць у сябе абнаўленні працэдур, дадатковае навучанне персаналу або змены спосабу праверкі запытаў і адказаў на іх.
10.3. Забеспячэнне пастаяннай адпаведнасці
Еўрапейскі інстытут сертыфікацыі ІТ забяспечвае пастаянную адпаведнасць правілам абароны даных шляхам рэгулярнага перагляду і абнаўлення сваёй палітыкі і працэдур у адпаведнасці з любымі зменамі адпаведных законаў і правілаў.
10.4. Маніторынг працы персаналу
Еўрапейскі інстытут сертыфікацыі ІТ кантралюе працу персаналу ў дачыненні да апрацоўкі запытаў аб захаванні правоў суб'ектаў даных, уключаючы якасць і своечасовасць адказаў. Гэта можа ўключаць у сябе перыядычнае навучанне і праверку эфектыўнасці, каб пераканацца, што персанал дасведчаны і кампетэнтны ў гэтай галіне.
10.5. Зносіны з суб'ектамі дадзеных
Еўрапейскі інстытут сертыфікацыі ІТ падтрымлівае сувязь з суб'ектамі даных на працягу ўсяго працэсу апрацоўкі запытаў, каб гарантаваць, што яны будуць інфармаваны аб прагрэсе і любой адпаведнай інфармацыі. Гэта можа ўключаць прадастаўленне абнаўленняў аб статусе іх запыту або запыт дадатковай інфармацыі па меры неабходнасці.
10.6. Вядзенне дакументацыі
Еўрапейскі інстытут сертыфікацыі ІТ вядзе запісы сваіх праверак, уключаючы любыя змены, унесеныя ў працэс апрацоўкі запытаў на правы суб'ектаў даных, а таксама любыя водгукі, атрыманыя ад суб'ектаў даных. Гэтая інфармацыя можа быць выкарыстана для падтрымкі бягучых намаганняў па адпаведнасці і для вызначэння абласцей для далейшага паляпшэння.
Частка 11. Вядзенне ўліку апрацоўчай дзейнасці
Еўрапейскі інстытут сертыфікацыі ІТ вядзе Запіс дзеянняў па апрацоўцы, які ўяўляе сабой дакумент, у якім апісваецца апрацоўка персанальных даных, якая праводзіцца арганізацыяй. Гэта патрабуецца ў адпаведнасці з Агульным рэгламентам ЕС аб абароне даных (GDPR) і прызначана для падтрымкі разумення дзеянняў па апрацоўцы даных і дэманстрацыі адпаведнасці GDPR.
11.1. Структура ROPA
ROPA ўключае асноўную інфармацыю аб назве і кантактных дадзеных арганізацыі, мэтах апрацоўкі даных, катэгорыях апрацоўваных персанальных даных, атрымальніках персанальных даных і тэрмінах захоўвання персанальных даных. Ён таксама змяшчае інфармацыю аб любых старонніх апрацоўшчыках, якія апрацоўваюць персанальныя даныя ад імя арганізацыі.
11.2. Рэгулярныя абнаўленні ROPA
ROPA рэгулярна абнаўляецца і з'яўляецца жывым дакументам, які адлюстроўвае змены ў дзейнасці Еўрапейскага інстытута сертыфікацыі ІТ па апрацоўцы даных, спрыяючы пабудове даверу з суб'ектамі дадзеных.
Еўрапейскі інстытут сертыфікацыі ІТ імкнецца падтрымліваць самыя высокія стандарты ў дачыненні да сваёй Палітыкі кіравання запытамі аб правах суб'ектаў даных і Агульнай палітыкі рэгулявання абароны даных, сочачы за тым, каб выконваць усе дзеючыя законы і правілы, звязаныя з гэтымі пытаннямі, а таксама вядучыя галіновыя стандарты і лепшыя практыкі, у тым ліку ISO 27701 сістэмы кіравання інфармацыяй аб прыватнасці.