DSRRM 和 GDPR 政策
EITCA 學院關於數據主體權利請求管理和一般數據保護條例的政策
本文件規定了歐洲 IT 認證協會關於數據主體權利請求管理的政策,以及歐盟通用數據保護條例的實施,該條例會定期審查和更新以確保其有效性和相關性。 EITCI 數據主體權利請求管理和 GDPR 政策的最後一次更新是在 10 年 2023 月 27701 日。我們的數據主體權利請求管理和 GDPR 政策基於 ISO 27001 隱私信息管理系統擴展到 ISO 2016 信息安全的原則系統標準,以及通用數據保護條例 (679/XNUMX) 的要求。
第 1 部分。簡介
管理數據主體權利請求是確保遵守數據保護法規(即 GDPR(歐盟通用數據保護法規))的重要組成部分。 歐洲 IT 認證協會定義了以下正式程序來管理數據主體權利請求和實施 GDPR 的要求:
1.1. 建立處理數據主體權利請求的流程
此過程概述了歐洲 IT 認證機構在處理數據主體權利請求時遵循的步驟,包括數據主體的身份和身份驗證、數據主體請求的驗證以及對請求的響應。
1.2. 指定數據保護官 (DPO)
歐洲 IT 認證機構指定一名 DPO,負責監督數據主體權利請求的管理,包括請求的審查、請求的響應以及確保遵守數據保護法規。
1.3. 保持個人數據的最新記錄
歐洲 IT 認證協會維護其持有的個人數據及其處理目的的最新記錄。 這將使歐洲 IT 認證機構能夠快速準確地響應數據主體權利請求。
1.4. 向數據主體提供清晰簡潔的信息
在收集個人數據時,歐洲 IT 認證協會向數據主體提供有關其權利的清晰簡明信息,包括訪問、更正、刪除和反對處理其個人數據的權利。
1.5. 建立標準響應時間
歐洲 IT 認證協會維護數據主體權利請求的標準響應時間,並確保請求在此時間範圍內得到響應。
1.6. 驗證數據主體的身份
歐洲 IT 認證機構驗證提出請求的數據主體的身份,以確保僅將個人數據提供給正確的個人。
1.7. 及時響應數據主體權利請求
歐洲 IT 認證協會會及時響應數據主體的權利請求,並向數據主體提供他們所請求的信息。
1.8. 記錄數據主體權利請求
歐洲 IT 認證協會維護數據主體權利請求的記錄,包括請求日期、請求的性質以及對請求的響應。
1.9. 監控和審查過程
歐洲 IT 認證機構定期監控和審查其處理數據主體權利請求的流程,以確保其保持有效並符合相關數據保護法規。
1.10. 建立加工活動記錄
歐洲 IT 認證協會維護處理活動記錄,該文件概述了組織對個人數據的處理。 它是歐盟通用數據保護條例 (GDPR) 的要求,旨在幫助理解數據處理活動並證明符合 GDPR。
通過遵循這些正式和程序,歐洲 IT 認證機構可以有效地管理數據主體的權利請求,並確保遵守數據保護法規,包括歐盟的通用數據保護法規。
第 2 部分:建立處理數據主體權利請求的流程
此過程概述了歐洲 IT 認證機構在處理數據主體權利請求時遵循的步驟,包括數據主體的身份和身份驗證、數據主體請求的驗證以及對請求的響應:
2.1. 識別和驗證數據主體
歐洲 IT 認證協會維護一個流程來驗證提出請求的數據主體的身份。 這可能包括要求提供政府頒發的 ID、檢查現有記錄或使用其他身份驗證方法。
2.2. 驗證數據主體的請求
一旦確定了數據主體的身份,歐洲 IT 認證機構必須驗證請求是否有效並與數據主體的個人數據相關。 該請求還應包括正在行使的具體權利,例如訪問、更正或刪除個人數據的權利。
2.3. 響應請求
歐洲 IT 認證機構必須在相關數據保護法規定的時限內對數據主體的請求作出回應,但不得超過 30 天。 回复應包括對請求是否已被批准或拒絕的解釋,以及做出決定的原因。
2.4. 記錄請求和響應
歐洲 IT 認證協會保留所有數據主體權利請求和響應的記錄。 這有助於確保遵守相關的數據保護法,並促進未來的審計或調查。
2.5. 培訓相關人員
歐洲 IT 認證機構將對負責處理數據主體權利請求的工作人員進行培訓,以確保他們熟悉相關的數據保護法律和歐洲 IT 認證機構處理此類請求的程序。
2.6. 監控和審查過程
歐洲 IT 認證機構定期監控和審查處理數據主體權利請求的流程,以確保其保持有效並符合相關數據保護法律。 及時報告和解決任何問題或事件。
第 3 部分。指定數據保護官 (DPO)
歐洲 IT 認證機構指定一名 DPO,負責監督數據主體權利請求的管理,包括請求的審查、請求的響應以及確保遵守數據保護法規。
3.1. 指定 DPO
歐洲 IT 認證協會指定一名數據保護官 (DPO) 來監督數據主體權利請求的管理,並確保遵守數據保護法規。 DPO 將負責審查請求並確保歐洲 IT 認證機構履行其與數據保護相關的法律義務。
3.2. DPO 的能力要求
DPO 必須具備數據保護法律和實踐方面的專業知識,並獲得履行職責所需的資源。 他們應該可以直接接觸高級管理層並向組織的最高管理層報告。
3.3. DPO 的職責
DPO 的職責包括但不限於以下內容:
- 就數據保護事宜(包括數據主體權利請求的管理)向歐洲 IT 認證機構提供指導和建議。
- 監控歐洲 IT 認證機構對數據保護法規和內部政策和程序的遵守情況。
- 回應數據主體關於其在數據保護條例下的權利的詢問和投訴。
- 與其他部門協調,以確保整個組織都滿足數據保護要求。
- 對歐洲 IT 認證協會的數據保護實踐進行定期審查和評估,並提供改進建議。
- 作為數據保護當局的聯絡點,並在調查或審計時與他們合作。
- DPO 還參與製定和實施歐洲 IT 認證協會與數據保護相關的政策和程序,包括與處理數據主體權利請求相關的政策和程序。
3.4. DPO的培訓和資格發展
歐洲 IT 認證機構應確保 DPO 接受過有關數據保護法規的充分培訓,並及時了解這些法規的任何更改或更新。
3.5. DPO 的聯繫信息
DPO 的聯繫信息應提供給數據主體,並包含在歐洲 IT 認證協會的隱私聲明或政策中。
第 4 部分。維護個人數據的最新記錄
歐洲 IT 認證協會維護其持有的個人數據及其處理目的的最新記錄。 這將使歐洲 IT 認證機構能夠快速準確地響應數據主體權利請求。
4.1. 建立識別和記錄個人數據的流程
歐洲 IT 認證協會建立了一個清晰和標準化的流程來識別和記錄個人數據,包括數據主體的姓名、聯繫信息和任何其他相關信息。 此過程確保僅出於特定和合法目的收集個人數據。
4.2. 個人資料分類
歐洲 IT 認證協會對個人數據進行分類,以便於跟踪和管理。 這包括按類型對數據進行分類,例如聯繫信息、賬單信息、能力和資格、財務信息或工作經歷。
4.3. 實施數據管理系統
歐洲 IT 認證協會實施數據管理系統,以幫助確保個人數據準確、最新且可訪問。 數據管理系統包括一個可以搜索和查詢的數據庫,以幫助響應數據主體的權利請求。
4.4. 分配維護個人數據記錄的責任
歐洲 IT 認證機構應將維護個人數據記錄的責任分配給特定的個人或部門。 這將確保記錄保持最新和準確。
4.5. 定期檢討及更新個人資料記錄
歐洲 IT 認證機構應定期審查和更新個人數據記錄,以確保其保持準確和最新。 這可以通過定期審計或通過持續監控過程來完成。
4.6. 實施適當的安全措施
歐洲 IT 認證協會實施適當的安全措施來保護其持有的個人數據,包括防止未經授權訪問、意外丟失或破壞個人數據的措施,作為該組織信息安全政策 (ISP) 的一部分。 這包括 ia 加密、防火牆和訪問控制。 專門的歐洲 IT 認證協會的信息安全政策涵蓋了數據保護流程和措施的詳細規範。
第 5 部分:向數據主體提供清晰簡潔的信息
在收集個人數據時,歐洲 IT 認證協會向數據主體提供有關其權利的清晰簡明信息,包括訪問、更正、刪除和反對處理其個人數據的權利。
5.1。 透明度
歐洲 IT 認證協會在處理個人數據方面是透明的,並向數據主體提供有關如何使用、處理和存儲其數據的簡明信息。
5.2。 隱私政策
歐洲 IT 認證協會制定了詳細的隱私政策,概述了其數據處理活動,包括數據主體如何行使其數據主體權利。
5.3. 訪問權
數據主體有權請求訪問歐洲 IT 認證協會持有的關於他們的個人數據。 歐洲 IT 認證協會向數據主體提供清晰簡潔的信息,包括如何提出訪問請求、需要哪些信息來驗證其身份,以及歐洲 IT 認證協會需要多長時間來響應請求。
5.4. 糾正權
數據主體有權要求歐洲 IT 認證機構更正其持有的關於他們的任何不准確或不完整的個人數據。 歐洲 IT 認證機構向數據主體提供清晰簡明的信息,包括如何提出更正請求、需要哪些信息來驗證其身份以及歐洲 IT 認證機構需要多長時間來響應請求。
5.5. 擦除權
數據主體有權要求歐洲 IT 認證機構在某些情況下刪除其個人數據。 歐洲 IT 認證協會向數據主體提供清晰簡明的信息,包括如何提出刪除請求、需要哪些信息來驗證其身份以及歐洲 IT 認證協會需要多長時間來響應請求。
5.6. 反對權
在某些情況下,數據主體有權反對處理其個人數據。 歐洲 IT 認證協會向數據主體提供清晰簡明的信息,包括如何提出反對請求、需要哪些信息來驗證其身份以及歐洲 IT 認證協會需要多長時間來響應請求。
十七. 聯繫方式
如果數據主體對其個人數據的處理方式有疑問或疑慮,歐洲 IT 認證協會會為數據主體提供清晰簡潔的聯繫信息。
第 6 部分。建立標準響應時間
歐洲 IT 認證協會為數據主體權利請求建立了標準響應時間,並確保請求在該時間範圍內得到響應。
6.1. 標準響應時間
歐洲 IT 認證協會為數據主體權利請求建立了 30 天的標準響應時間。 標準響應時間定義了處理和響應的時間上限,大多數請求在更短的時間內得到處理和響應。
6.2. 請求回執確認時間
收到數據主體權利請求後,DPO 或其他工作人員將在 5 個工作日內確認收到請求,並向數據主體提供預計的回复時間。
6.3. 標準響應時間的異常延長
歐洲 IT 認證機構將盡合理努力在既定的標準響應時間內響應數據主體權利請求。 但是,如果請求很複雜或者歐洲 IT 認證機構收到大量請求,響應時間可能會延長。 在這種情況下,DPO 將通知數據主體延期和延遲的原因。
6.4. 拒絕履行數據主體權利請求
如果歐洲 IT 認證機構無法滿足數據主體的權利請求,它將向數據主體提供拒絕的解釋,並告知他們有權向相關監管機構投訴。
6.5. 數據主體權利請求和響應的記錄
歐洲 IT 認證機構將保留數據主體權利請求和響應的準確記錄,包括收到請求的日期、請求的性質以及響應的日期和方式。
6.6. 定期審查
DPO 將定期審查歐洲 IT 認證協會的響應時間,並根據需要進行更新,以確保符合適用的數據保護法規。
第 7 部分:驗證數據主體的身份
7.1. 身份驗證要求
歐洲 IT 認證機構必須核實提出請求的數據主體的身份,以確保僅將個人數據提供給正確的個人。
7.2. 身份驗證手段和方法
當數據主體根據數據保護法要求行使他們的權利時,歐洲 IT 認證機構必須使用適當的措施驗證數據主體的身份,例如請求身份證明文件。
7.3. 代理人身份驗證
如果數據主體代表其他人提出請求,歐洲 IT 認證協會必須核實數據主體和代表其提出請求的個人的身份。
7.4. 身份驗證存疑
如果歐洲 IT 認證機構對數據主體的身份或請求的有效性有疑問,它可能會要求提供額外信息或採取其他適當措施來驗證數據主體的身份。
7.5. 身份驗證記錄
歐洲 IT 認證機構應記錄驗證過程和驗證數據主體身份所採取的措施。 該記錄應保留一段合理的時間,並用於證明遵守數據保護法。
第 8 部分:及時響應數據主體權利請求
8.1. 迅速回應
歐洲 IT 認證協會會及時響應數據主體的權利請求,並向數據主體提供他們所請求的信息。
8.2. 請求收據確認
歐洲 IT 認證協會會盡快確認收到數據主體的請求,最好是在 5 個工作日內。
8.3. 請求審查
指定的 DPO 應審查請求,以確保它滿足必要的要求並且已提供所有必要的信息。
8.4. 驗證數據主體身份
歐洲 IT 認證機構驗證提出請求的數據主體的身份,以確保僅將個人數據提供給正確的個人。
8.5. 如果需要,獲取額外信息
如果請求不明確或不充分,歐洲 IT 認證機構應聯繫數據主體以獲取更多信息。
8.5. 檢索相關數據
歐洲 IT 認證機構檢索相關個人數據並對其進行審查,以確保其準確且最新。
8.6. 提供所要求的信息
除非另有要求,否則歐洲 IT 認證協會向數據主體提供他們所要求的信息,包括他們的個人數據的常用電子格式副本。
8.7. 告知數據主體他們的權利
歐洲 IT 認證機構告知數據主體他們的其他權利,例如更正或刪除其個人數據的權利,並向他們提供必要的說明。
8.8. 遵守響應時間
歐洲 IT 認證協會在規定的響應時間內響應數據主體權利請求,確保採取必要的行動來滿足請求。
8.9. 記錄響應
歐洲 IT 認證協會記錄了對數據主體權利請求的響應,包括採取的任何行動和響應時間,以確保可以出於合規目的對其進行審核和跟踪。
8.10. 將任何更改通知數據主體
如果應數據主體的請求對數據主體的個人數據進行任何更改,歐洲 IT 認證協會會將這些更改通知數據主體。
第 9 部分。記錄數據主體權利請求
歐洲 IT 認證協會維護數據主體權利請求的記錄,包括請求日期、請求的性質以及對請求的響應。 記錄數據主體權利請求包括以下幾個方面:
9.1. 維護一個寄存器
歐洲 IT 認證協會維護著一個登記冊,記錄了所有收到的數據主體權利請求。 該寄存器應記錄以下詳細信息:
- 申請日期
- 數據主體的姓名和聯繫方式
- 請求說明
- 響應請求採取的行動
- 處理請求所需的任何其他信息
9.2. 文檔標準化流程
歐洲 IT 認證協會運行標準化流程來記錄數據主體權利請求,以確保所捕獲信息的一致性和準確性。
9.3. 保留期限
歐洲 IT 認證協會將這些記錄保存一段合理的時間,由適用的法律和法規確定,不少於 2 年。
9.4. 保密
歐洲 IT 認證協會確保只有在履行職責時需要訪問此類信息的授權人員才能訪問數據主體權利請求的記錄。 它還實施技術和組織措施,以防止未經授權訪問、披露、更改或銷毀數據主體權利請求記錄中包含的個人數據。
9.5。 報告
歐洲 IT 認證協會定期生成有關收到、處理和未完成的數據主體權利請求的報告。 這些報告與包括高級管理層和 DPO 在內的相關利益相關者共享。
9.6。 Analytics(分析)
歐洲 IT 認證協會對數據主體權利請求進行趨勢分析,以確定請求的模式和根本原因。 此信息用於增強流程和程序,以更好地管理此類請求。
第 10 部分。監控和審查流程
歐洲 IT 認證協會定期監控和審查其處理數據主體權利請求的流程,以確保其保持有效並符合 GDPR。
10.1. 進行定期審查
歐洲 IT 認證機構對其數據主體權利請求處理流程和 GDPR 合規政策進行定期審查,以確保其有效並符合數據保護法規。 這些審查包括對收到的請求的數量和類型、響應的及時性和有效性以及任何需要改進的領域的分析。
10.2. 實施改進
根據審查結果,歐洲 IT 認證協會對其數據主體權利請求處理流程實施了任何必要的改進。 這可能包括更新程序、對員工進行額外培訓或更改驗證和響應請求的方式。
10.3. 確保持續合規
歐洲 IT 認證協會通過根據相關法律法規的任何變更定期審查和更新其政策和程序,確保持續遵守數據保護法規。
10.4. 監控員工績效
歐洲 IT 認證協會監控員工在處理數據主體權利請求方面的表現,包括響應的質量和及時性。 這可能包括定期培訓和績效評估,以確保員工在該領域具備知識和能力。
10.5。 與數據主體溝通
歐洲 IT 認證協會在整個請求處理過程中與數據主體進行溝通,以確保他們隨時了解進度和任何相關信息。 這可能包括提供有關他們請求狀態的更新或根據需要請求其他信息。
10.6. 維護記錄
歐洲 IT 認證協會保留其審查記錄,包括對其數據主體權利請求處理流程所做的任何更改,以及從數據主體收到的任何反饋。 此信息可用於支持正在進行的合規工作並確定需要進一步改進的領域。
第 11 部分。建立加工活動記錄
歐洲 IT 認證協會維護處理活動記錄,該文件概述了組織對個人數據的處理。 它是歐盟通用數據保護條例 (GDPR) 的要求,旨在幫助理解數據處理活動並證明符合 GDPR。
11.1. 羅霸結構
ROPA 包括以下基本信息:組織的名稱和聯繫方式、數據處理的目的、處理的個人數據的類別、個人數據的接收者以及個人數據的保留期限。 它還包括有關代表組織處理個人數據的任何第三方處理者的信息。
11.2. 羅霸定期更新
ROPA 定期更新,是反映歐洲 IT 認證協會支持與數據主體建立信任的數據處理活動變化的動態文件。
歐洲 IT 認證協會致力於在其數據主體權利請求管理和通用數據保護法規政策方面保持最高標準,確保遵守與這些問題相關的所有適用法律法規以及領先的行業標準和最佳實踐,包括 ISO 27701 隱私信息管理系統。