Chính sách DSRRM và GDPR
Chính sách của Học viện EITCA về Quản lý yêu cầu quyền đối tượng dữ liệu và Quy định chung về bảo vệ dữ liệu
Tài liệu này quy định Chính sách của Viện Chứng nhận CNTT Châu Âu về Quản lý Yêu cầu Quyền của Đối tượng Dữ liệu, cũng như việc triển khai Quy định Bảo vệ Dữ liệu Chung của Châu Âu, quy định này thường xuyên được xem xét và cập nhật để đảm bảo tính hiệu quả và phù hợp. Bản cập nhật mới nhất cho Chính sách GDPR và Quản lý yêu cầu quyền của chủ thể dữ liệu EITCI được thực hiện vào ngày 10 tháng 2023 năm 27701. Chính sách GDPR và Quản lý yêu cầu quyền của chủ thể dữ liệu của chúng tôi dựa trên các nguyên tắc của phần mở rộng Hệ thống quản lý thông tin bảo mật ISO 27001 cho Bảo mật thông tin ISO 2016 Tiêu chuẩn hệ thống, cũng như các yêu cầu của Quy định chung về bảo vệ dữ liệu (679/XNUMX).
Phần 1. Giới thiệu
Quản lý các yêu cầu về quyền của chủ thể dữ liệu là một phần thiết yếu để đảm bảo tuân thủ các quy định bảo vệ dữ liệu, cụ thể là GDPR (Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu). Viện Chứng nhận CNTT Châu Âu đã xác định các quy trình chính thức sau đây để quản lý các yêu cầu về quyền của chủ thể dữ liệu và thực hiện các yêu cầu của GDPR:
1.1. Thiết lập quy trình xử lý các yêu cầu về quyền của chủ thể dữ liệu
Quy trình này phác thảo các bước mà Viện Chứng nhận CNTT Châu Âu tuân theo khi xử lý các yêu cầu về quyền của chủ thể dữ liệu, bao gồm việc xác định và xác thực chủ thể dữ liệu, xác minh yêu cầu của chủ thể dữ liệu và phản hồi yêu cầu.
1.2. Chỉ định Cán bộ Bảo vệ Dữ liệu (DPO)
Viện Chứng nhận CNTT Châu Âu chỉ định một DPO chịu trách nhiệm giám sát việc quản lý các yêu cầu về quyền của chủ thể dữ liệu, bao gồm việc xem xét các yêu cầu, phản hồi các yêu cầu và đảm bảo tuân thủ các quy định bảo vệ dữ liệu.
1.3. Duy trì hồ sơ cập nhật dữ liệu cá nhân
Viện Chứng nhận CNTT Châu Âu duy trì hồ sơ cập nhật về dữ liệu cá nhân mà Viện nắm giữ và mục đích xử lý dữ liệu đó. Điều này sẽ cho phép Viện Chứng nhận CNTT Châu Âu phản hồi nhanh chóng và chính xác các yêu cầu về quyền của chủ thể dữ liệu.
1.4. Cung cấp thông tin rõ ràng và súc tích cho các đối tượng dữ liệu
Khi thu thập dữ liệu cá nhân, Viện Chứng nhận CNTT Châu Âu cung cấp thông tin rõ ràng và ngắn gọn cho chủ thể dữ liệu về các quyền của họ, bao gồm quyền truy cập, chỉnh sửa, xóa và phản đối việc xử lý dữ liệu cá nhân của họ.
1.5. Thiết lập thời gian phản hồi tiêu chuẩn
Viện Chứng nhận CNTT Châu Âu duy trì thời gian phản hồi tiêu chuẩn cho các yêu cầu về quyền của chủ thể dữ liệu và đảm bảo rằng các yêu cầu được phản hồi trong khung thời gian này.
1.6. Xác minh danh tính của chủ thể dữ liệu
Viện Chứng nhận CNTT Châu Âu xác minh danh tính của chủ thể dữ liệu đưa ra yêu cầu để đảm bảo rằng dữ liệu cá nhân chỉ được cung cấp cho đúng cá nhân.
1.7. Đáp ứng kịp thời các yêu cầu về quyền của chủ thể dữ liệu
Viện Chứng nhận CNTT Châu Âu phản hồi nhanh chóng các yêu cầu về quyền của chủ thể dữ liệu và cung cấp cho chủ thể dữ liệu thông tin họ yêu cầu.
1.8. Lập tài liệu yêu cầu quyền chủ thể dữ liệu
Viện Chứng nhận CNTT Châu Âu lưu giữ hồ sơ về các yêu cầu quyền của chủ thể dữ liệu, bao gồm ngày yêu cầu, bản chất của yêu cầu và phản hồi đối với yêu cầu.
1.9. Giám sát và xem xét quá trình
Viện Chứng nhận CNTT Châu Âu thường xuyên theo dõi và đánh giá quy trình xử lý các yêu cầu về quyền của chủ thể dữ liệu để đảm bảo rằng quy trình vẫn hiệu quả và tuân thủ các quy định bảo vệ dữ liệu có liên quan.
1.10. Lập Hồ sơ Hoạt động Xử lý
Viện Chứng nhận CNTT Châu Âu duy trì Hồ sơ Hoạt động Xử lý, đây là tài liệu phác thảo quá trình xử lý dữ liệu cá nhân do tổ chức thực hiện. Nó được yêu cầu theo Quy định bảo vệ dữ liệu chung của EU (GDPR) và nhằm mục đích hỗ trợ hiểu biết về các hoạt động xử lý dữ liệu và thể hiện sự tuân thủ GDPR.
Bằng cách tuân theo các quy trình và thủ tục này, Viện Chứng nhận CNTT Châu Âu có thể quản lý hiệu quả các yêu cầu về quyền của chủ thể dữ liệu và đảm bảo tuân thủ các quy định bảo vệ dữ liệu, bao gồm Quy định chung về Bảo vệ Dữ liệu tại Liên minh Châu Âu.
Phần 2. Thiết lập quy trình xử lý yêu cầu quyền chủ thể dữ liệu
Quy trình này phác thảo các bước mà Viện Chứng nhận CNTT Châu Âu tuân theo khi xử lý các yêu cầu về quyền của chủ thể dữ liệu, bao gồm nhận dạng và xác thực chủ thể dữ liệu, xác minh yêu cầu của chủ thể dữ liệu và phản hồi yêu cầu:
2.1. Xác định và xác thực chủ thể dữ liệu
Viện Chứng nhận CNTT Châu Âu duy trì một quy trình tại chỗ để xác minh danh tính của chủ thể dữ liệu đưa ra yêu cầu. Điều này có thể bao gồm yêu cầu ID do chính phủ cấp, kiểm tra các bản ghi hiện có hoặc sử dụng các phương pháp xác thực khác.
2.2. Xác minh yêu cầu của chủ thể dữ liệu
Sau khi danh tính của chủ thể dữ liệu đã được thiết lập, Viện chứng nhận CNTT châu Âu phải xác minh rằng yêu cầu là hợp lệ và liên quan đến dữ liệu cá nhân của chủ thể dữ liệu. Yêu cầu cũng phải bao gồm quyền cụ thể đang được thực thi, chẳng hạn như quyền truy cập, chỉnh sửa hoặc xóa dữ liệu cá nhân.
2.3. Đáp ứng yêu cầu
Viện Chứng nhận CNTT Châu Âu phải đưa ra phản hồi cho yêu cầu của chủ thể dữ liệu trong khung thời gian được quy định bởi luật bảo vệ dữ liệu có liên quan, nhưng không quá 30 ngày. Phản hồi phải bao gồm giải thích về việc yêu cầu đã được chấp nhận hay bị từ chối và lý do đưa ra quyết định.
2.4. Ghi lại yêu cầu và phản hồi
Viện Chứng nhận CNTT Châu Âu lưu giữ hồ sơ về tất cả các yêu cầu và phản hồi về quyền của chủ thể dữ liệu. Điều này giúp đảm bảo tuân thủ các luật bảo vệ dữ liệu có liên quan, cũng như tạo điều kiện cho các cuộc kiểm tra hoặc điều tra trong tương lai.
2.5. Đào tạo nhân viên có liên quan
Viện Chứng nhận CNTT Châu Âu sẽ cung cấp đào tạo cho nhân viên chịu trách nhiệm xử lý các yêu cầu về quyền của chủ thể dữ liệu để đảm bảo rằng họ quen thuộc với các luật bảo vệ dữ liệu có liên quan và các thủ tục của Viện Chứng nhận CNTT Châu Âu để xử lý các yêu cầu đó.
2.6. Giám sát và xem xét quá trình
Viện Chứng nhận CNTT Châu Âu giám sát và xem xét quy trình xử lý các yêu cầu về quyền của chủ thể dữ liệu một cách thường xuyên để đảm bảo rằng quy trình vẫn hiệu quả và tuân thủ các luật bảo vệ dữ liệu có liên quan. Mọi vấn đề hoặc sự cố đều được báo cáo và giải quyết kịp thời.
Phần 3. Chỉ định Cán bộ Bảo vệ Dữ liệu (DPO)
Viện Chứng nhận CNTT Châu Âu chỉ định một DPO chịu trách nhiệm giám sát việc quản lý các yêu cầu về quyền của chủ thể dữ liệu, bao gồm việc xem xét các yêu cầu, phản hồi các yêu cầu và đảm bảo tuân thủ các quy định bảo vệ dữ liệu.
3.1. Chỉ định DPO
Viện Chứng nhận CNTT Châu Âu chỉ định một Nhân viên Bảo vệ Dữ liệu (DPO) để giám sát việc quản lý các yêu cầu về quyền của chủ thể dữ liệu và đảm bảo tuân thủ các quy định bảo vệ dữ liệu. DPO sẽ chịu trách nhiệm xem xét các yêu cầu và đảm bảo rằng Viện Chứng nhận CNTT Châu Âu đang đáp ứng các nghĩa vụ pháp lý của mình liên quan đến bảo vệ dữ liệu.
3.2. Yêu cầu về năng lực của DPO
DPO phải có kiến thức chuyên môn về luật và thông lệ bảo vệ dữ liệu, đồng thời được cung cấp các nguồn lực cần thiết để hoàn thành trách nhiệm của họ. Họ nên có quyền tiếp cận trực tiếp với quản lý cấp cao và báo cáo với cấp quản lý cao nhất của tổ chức.
3.3. trách nhiệm của DPO
Trách nhiệm của DPO bao gồm nhưng không giới hạn ở những điều sau:
- Cung cấp hướng dẫn và tư vấn cho Viện Chứng nhận CNTT Châu Âu về các vấn đề bảo vệ dữ liệu, bao gồm cả việc quản lý các yêu cầu về quyền của chủ thể dữ liệu.
- Giám sát việc tuân thủ các quy định bảo vệ dữ liệu cũng như các chính sách và thủ tục nội bộ của Viện Chứng nhận CNTT Châu Âu.
- Trả lời các câu hỏi và khiếu nại từ các chủ thể dữ liệu về quyền của họ theo quy định bảo vệ dữ liệu.
- Phối hợp với các bộ phận khác để đảm bảo rằng các yêu cầu bảo vệ dữ liệu được đáp ứng trong toàn tổ chức.
- Tiến hành xem xét và đánh giá định kỳ các hoạt động bảo vệ dữ liệu của Viện Chứng nhận CNTT Châu Âu và đưa ra các khuyến nghị để cải thiện.
- Phục vụ như một điểm liên lạc cho các cơ quan bảo vệ dữ liệu và hợp tác với họ trong trường hợp điều tra hoặc kiểm toán.
- DPO cũng tham gia vào việc phát triển và triển khai các chính sách và thủ tục của Viện Chứng nhận CNTT Châu Âu liên quan đến bảo vệ dữ liệu, bao gồm cả những chính sách liên quan đến xử lý các yêu cầu về quyền của chủ thể dữ liệu.
3.4. Đào tạo và nâng cao trình độ của DPO
Viện Chứng nhận CNTT Châu Âu phải đảm bảo rằng DPO được đào tạo đầy đủ về các quy định bảo vệ dữ liệu và được cập nhật bất kỳ thay đổi hoặc cập nhật nào đối với các quy định này.
3.5. Thông tin liên hệ của DPO
Thông tin liên hệ của DPO phải được cung cấp cho các chủ thể dữ liệu và được bao gồm trong chính sách hoặc thông báo về quyền riêng tư của Viện Chứng nhận CNTT Châu Âu.
Phần 4. Duy trì hồ sơ cập nhật dữ liệu cá nhân
Viện Chứng nhận CNTT Châu Âu duy trì hồ sơ cập nhật về dữ liệu cá nhân mà Viện nắm giữ và mục đích xử lý dữ liệu đó. Điều này sẽ cho phép Viện Chứng nhận CNTT Châu Âu phản hồi nhanh chóng và chính xác các yêu cầu về quyền của chủ thể dữ liệu.
4.1. Thiết lập quy trình xác định và ghi lại dữ liệu cá nhân
Viện Chứng nhận CNTT Châu Âu thiết lập một quy trình rõ ràng và chuẩn hóa để xác định và ghi lại dữ liệu cá nhân, bao gồm tên, thông tin liên hệ của chủ thể dữ liệu và bất kỳ thông tin liên quan nào khác. Quá trình này đảm bảo rằng dữ liệu cá nhân chỉ được thu thập cho các mục đích cụ thể và hợp pháp.
4.2. Phân loại dữ liệu cá nhân
Viện Chứng nhận CNTT Châu Âu phân loại dữ liệu cá nhân để giúp theo dõi và quản lý dễ dàng hơn. Điều này bao gồm phân loại dữ liệu theo loại, chẳng hạn như thông tin liên hệ, thông tin thanh toán, năng lực và trình độ, thông tin tài chính hoặc lịch sử việc làm.
4.3. Triển khai hệ thống quản lý dữ liệu
Viện Chứng nhận CNTT Châu Âu triển khai một hệ thống quản lý dữ liệu để giúp đảm bảo rằng dữ liệu cá nhân là chính xác, cập nhật và có thể truy cập được. Hệ thống quản lý dữ liệu bao gồm một cơ sở dữ liệu có thể được tìm kiếm và truy vấn để giúp đáp ứng các yêu cầu về quyền của chủ thể dữ liệu.
4.4. Phân công trách nhiệm duy trì hồ sơ dữ liệu cá nhân
Viện Chứng nhận CNTT Châu Âu nên giao trách nhiệm duy trì hồ sơ dữ liệu cá nhân cho các cá nhân hoặc bộ phận cụ thể. Điều này sẽ đảm bảo rằng hồ sơ được cập nhật và chính xác.
4.5. Thường xuyên xem xét và cập nhật hồ sơ dữ liệu cá nhân
Viện Chứng nhận CNTT Châu Âu nên thường xuyên xem xét và cập nhật hồ sơ dữ liệu cá nhân để đảm bảo rằng nó vẫn chính xác và cập nhật. Điều này có thể được thực hiện thông qua kiểm toán định kỳ hoặc thông qua quá trình giám sát liên tục.
4.6. Thực hiện các biện pháp an ninh thích hợp
Viện Chứng nhận CNTT Châu Âu triển khai các biện pháp bảo mật thích hợp để bảo vệ dữ liệu cá nhân mà Viện nắm giữ, bao gồm các biện pháp ngăn chặn truy cập trái phép, mất mát hoặc phá hủy dữ liệu cá nhân, như một phần của Chính sách Bảo mật Thông tin (ISP) của tổ chức. Điều này bao gồm mã hóa ia, tường lửa và kiểm soát truy cập. Thông số kỹ thuật chi tiết của các quy trình và biện pháp bảo vệ dữ liệu được đề cập trong Chính sách bảo mật thông tin của Viện chứng nhận CNTT chuyên dụng Châu Âu.
Phần 5. Cung cấp thông tin rõ ràng, ngắn gọn cho chủ thể dữ liệu
Khi thu thập dữ liệu cá nhân, Viện Chứng nhận CNTT Châu Âu cung cấp thông tin rõ ràng và ngắn gọn cho chủ thể dữ liệu về các quyền của họ, bao gồm quyền truy cập, chỉnh sửa, xóa và phản đối việc xử lý dữ liệu cá nhân của họ.
5.1. Minh bạch
Viện Chứng nhận CNTT Châu Âu minh bạch trong quá trình xử lý dữ liệu cá nhân và cung cấp thông tin ngắn gọn cho các chủ thể dữ liệu về cách dữ liệu của họ được sử dụng, xử lý và lưu trữ.
KHAI THÁC. Chính sách bảo mật
Viện Chứng nhận CNTT Châu Âu có chính sách bảo mật chi tiết phác thảo các hoạt động xử lý dữ liệu của mình, bao gồm cả cách chủ thể dữ liệu có thể thực hiện quyền chủ thể dữ liệu của họ.
5.3. Quyền truy cập
Chủ thể dữ liệu có quyền yêu cầu quyền truy cập vào dữ liệu cá nhân mà Viện Chứng nhận CNTT Châu Âu nắm giữ về họ. Viện Chứng nhận CNTT Châu Âu cung cấp thông tin ngắn gọn và rõ ràng cho các chủ thể dữ liệu về cách đưa ra yêu cầu truy cập, thông tin nào sẽ được yêu cầu để xác minh danh tính của họ và Viện Chứng nhận CNTT Châu Âu sẽ mất bao lâu để phản hồi yêu cầu.
5.4. Quyền cải chính
Chủ thể dữ liệu có quyền yêu cầu Viện chứng nhận CNTT châu Âu chỉnh sửa mọi dữ liệu cá nhân không chính xác hoặc không đầy đủ mà họ nắm giữ. Viện chứng nhận CNTT châu Âu cung cấp thông tin rõ ràng và ngắn gọn cho các chủ thể dữ liệu về cách đưa ra yêu cầu cải chính, thông tin nào sẽ được yêu cầu để xác minh danh tính của họ và Viện chứng nhận CNTT châu Âu sẽ mất bao lâu để phản hồi yêu cầu.
5.5. Quyền xóa
Chủ thể dữ liệu có quyền yêu cầu Viện Chứng nhận CNTT Châu Âu xóa dữ liệu cá nhân của họ trong một số trường hợp nhất định. Viện chứng nhận CNTT châu Âu cung cấp thông tin rõ ràng và ngắn gọn cho các chủ thể dữ liệu về cách đưa ra yêu cầu xóa, thông tin nào sẽ được yêu cầu để xác minh danh tính của họ và Viện chứng nhận CNTT châu Âu sẽ mất bao lâu để phản hồi yêu cầu.
5.6. Quyền phản đối
Chủ thể dữ liệu có quyền phản đối việc xử lý dữ liệu cá nhân của họ trong một số trường hợp nhất định. Viện chứng nhận CNTT châu Âu cung cấp thông tin rõ ràng và ngắn gọn cho các chủ thể dữ liệu về cách đưa ra yêu cầu phản đối, thông tin nào sẽ được yêu cầu để xác minh danh tính của họ và Viện chứng nhận CNTT châu Âu sẽ mất bao lâu để phản hồi yêu cầu.
5.7. Thông tin liên hệ
Viện Chứng nhận CNTT Châu Âu cung cấp thông tin liên hệ rõ ràng và ngắn gọn để các chủ thể dữ liệu sử dụng nếu họ có thắc mắc hoặc lo ngại về cách xử lý dữ liệu cá nhân của họ.
Phần 6. Thiết lập thời gian phản hồi tiêu chuẩn
Viện Chứng nhận CNTT Châu Âu đã thiết lập thời gian phản hồi tiêu chuẩn cho các yêu cầu về quyền của chủ thể dữ liệu và đảm bảo rằng các yêu cầu được phản hồi trong khung thời gian này.
6.1. Thời gian đáp ứng tiêu chuẩn
Viện Chứng nhận CNTT Châu Âu thiết lập thời gian phản hồi tiêu chuẩn là 30 ngày đối với các yêu cầu về quyền của chủ thể dữ liệu. Thời gian phản hồi tiêu chuẩn xác định giới hạn thời gian cao hơn để xử lý và phản hồi và phần lớn các yêu cầu được xử lý và phản hồi trong thời gian ngắn hơn.
6.2. Thời gian xác nhận yêu cầu
Khi nhận được yêu cầu về quyền của chủ thể dữ liệu, DPO hoặc các nhân viên khác sẽ xác nhận đã nhận được yêu cầu trong vòng 5 ngày làm việc và cung cấp cho chủ thể dữ liệu khung thời gian ước tính để đưa ra phản hồi.
6.3. Phần mở rộng đặc biệt của thời gian phản hồi tiêu chuẩn
Viện Chứng nhận CNTT Châu Âu sẽ nỗ lực hợp lý để đáp ứng các yêu cầu về quyền của chủ thể dữ liệu trong thời gian phản hồi tiêu chuẩn đã thiết lập. Tuy nhiên, nếu yêu cầu phức tạp hoặc nếu Viện Chứng nhận CNTT Châu Âu nhận được một lượng lớn yêu cầu, thì thời gian phản hồi có thể kéo dài. Trong những trường hợp như vậy, DPO sẽ thông báo cho chủ thể dữ liệu về việc gia hạn và lý do trì hoãn.
6.4. Từ chối thực hiện yêu cầu về quyền của chủ thể dữ liệu
Nếu Viện Chứng nhận CNTT Châu Âu không thể đáp ứng yêu cầu về quyền của chủ thể dữ liệu, họ sẽ cung cấp cho chủ thể dữ liệu lời giải thích về việc từ chối và thông báo cho họ về quyền khiếu nại của họ với cơ quan giám sát có liên quan.
6.5. Bản ghi các yêu cầu và phản hồi về quyền của chủ thể dữ liệu
Viện Chứng nhận CNTT Châu Âu sẽ duy trì hồ sơ chính xác về các yêu cầu và phản hồi về quyền của chủ thể dữ liệu, bao gồm ngày nhận yêu cầu, bản chất của yêu cầu cũng như ngày và cách thức phản hồi.
6.6. Đánh giá định kỳ
DPO sẽ định kỳ xem xét thời gian phản hồi của Viện Chứng nhận CNTT Châu Âu và cập nhật chúng khi cần thiết để đảm bảo tuân thủ các quy định bảo vệ dữ liệu hiện hành.
Phần 7. Xác minh danh tính của chủ thể dữ liệu
7.1. Yêu cầu xác minh danh tính
Viện Chứng nhận CNTT Châu Âu phải xác minh danh tính của chủ thể dữ liệu đưa ra yêu cầu để đảm bảo rằng dữ liệu cá nhân chỉ được cung cấp cho đúng cá nhân.
7.2. Phương tiện và phương pháp xác minh danh tính
Khi chủ thể dữ liệu đưa ra yêu cầu thực hiện các quyền của họ theo luật bảo vệ dữ liệu, Viện Chứng nhận CNTT Châu Âu phải xác minh danh tính của chủ thể dữ liệu bằng các biện pháp thích hợp, chẳng hạn như yêu cầu tài liệu nhận dạng.
7.3. Xác minh danh tính của chủ sở hữu proxy
Nếu chủ thể dữ liệu đang đưa ra yêu cầu thay mặt cho người khác, thì Viện chứng nhận CNTT châu Âu phải xác minh danh tính của cả chủ thể dữ liệu và cá nhân mà yêu cầu được thực hiện thay mặt.
7.4. Nghi ngờ xác minh danh tính
Nếu Viện Chứng nhận CNTT Châu Âu nghi ngờ về danh tính của chủ thể dữ liệu hoặc tính hợp lệ của yêu cầu, họ có thể yêu cầu thông tin bổ sung hoặc thực hiện các biện pháp thích hợp khác để xác minh danh tính của chủ thể dữ liệu.
7.5. Hồ sơ xác minh danh tính
Viện Chứng nhận CNTT Châu Âu phải lưu giữ hồ sơ về quy trình xác minh và các biện pháp được thực hiện để xác minh danh tính của chủ thể dữ liệu. Hồ sơ này phải được lưu giữ trong một khoảng thời gian hợp lý và được sử dụng để chứng minh việc tuân thủ luật bảo vệ dữ liệu.
Phần 8. Đáp ứng kịp thời các yêu cầu về quyền của chủ thể dữ liệu
8.1. Lời hồi đáp nhanh chóng
Viện Chứng nhận CNTT Châu Âu phản hồi nhanh chóng các yêu cầu về quyền của chủ thể dữ liệu và cung cấp cho chủ thể dữ liệu thông tin họ yêu cầu.
8.2. Yêu cầu xác nhận biên nhận
Viện Chứng nhận CNTT Châu Âu xác nhận đã nhận được yêu cầu của chủ thể dữ liệu trong thời gian sớm nhất có thể, lý tưởng nhất là trong vòng 5 ngày làm việc.
8.3. Yêu cầu xem xét
DPO được chỉ định nên xem xét yêu cầu để đảm bảo rằng nó đáp ứng các yêu cầu cần thiết và tất cả các thông tin cần thiết đã được cung cấp.
8.4. Xác minh danh tính chủ thể dữ liệu
Viện Chứng nhận CNTT Châu Âu xác minh danh tính của chủ thể dữ liệu đưa ra yêu cầu để đảm bảo rằng dữ liệu cá nhân chỉ được cung cấp cho đúng cá nhân.
8.5. Thu thập thông tin bổ sung nếu được yêu cầu
Nếu yêu cầu không rõ ràng hoặc không đầy đủ, Viện Chứng nhận CNTT Châu Âu nên liên hệ với chủ thể dữ liệu để có thêm thông tin.
8.5. Truy xuất dữ liệu liên quan
Viện Chứng nhận CNTT Châu Âu truy xuất dữ liệu cá nhân có liên quan và xem xét dữ liệu đó để đảm bảo rằng dữ liệu đó chính xác và cập nhật.
8.6. Cung cấp thông tin được yêu cầu
Viện Chứng nhận CNTT Châu Âu cung cấp cho chủ thể dữ liệu thông tin họ đã yêu cầu, bao gồm bản sao dữ liệu cá nhân của họ ở định dạng điện tử thường được sử dụng, trừ khi có yêu cầu khác.
8.7. Thông báo cho chủ thể dữ liệu về quyền của họ
Viện Chứng nhận CNTT Châu Âu thông báo cho chủ thể dữ liệu về các quyền khác của họ, chẳng hạn như quyền chỉnh sửa hoặc xóa dữ liệu cá nhân của họ và cung cấp cho họ các hướng dẫn cần thiết.
8.8. Tuân thủ thời gian đáp ứng
Viện Chứng nhận CNTT Châu Âu phản hồi các yêu cầu về quyền của chủ thể dữ liệu trong thời gian phản hồi đã thiết lập, đảm bảo rằng hành động cần thiết được thực hiện để tuân thủ yêu cầu.
8.9. Tài liệu phản hồi
Viện chứng nhận CNTT châu Âu ghi lại phản hồi đối với yêu cầu quyền của chủ thể dữ liệu, bao gồm mọi hành động được thực hiện và thời gian phản hồi, để đảm bảo rằng nó có thể được kiểm tra và theo dõi cho các mục đích tuân thủ.
8.10. Thông báo cho chủ thể dữ liệu về bất kỳ thay đổi nào
Nếu có bất kỳ thay đổi nào đối với dữ liệu cá nhân của chủ thể dữ liệu do yêu cầu của họ, thì Viện Chứng nhận CNTT Châu Âu sẽ thông báo cho chủ thể dữ liệu về những thay đổi này.
Phần 9. Lập tài liệu yêu cầu quyền chủ thể dữ liệu
Viện Chứng nhận CNTT Châu Âu lưu giữ hồ sơ về các yêu cầu quyền của chủ thể dữ liệu, bao gồm ngày yêu cầu, bản chất của yêu cầu và phản hồi đối với yêu cầu. Yêu cầu quyền chủ đề dữ liệu tài liệu bao gồm các khía cạnh sau:
9.1. Duy trì sổ đăng ký
Viện Chứng nhận CNTT Châu Âu duy trì một sổ đăng ký ghi lại tất cả các yêu cầu về quyền của chủ thể dữ liệu nhận được. Sổ đăng ký này sẽ ghi lại các chi tiết sau:
- Ngày yêu cầu
- Tên và chi tiết liên lạc của chủ thể dữ liệu
- Mô tả yêu cầu
- Hành động được thực hiện để đáp ứng yêu cầu
- Mọi thông tin bổ sung cần thiết để xử lý yêu cầu
9.2. Quy trình chuẩn hóa tài liệu
Viện Chứng nhận CNTT Châu Âu thực hiện một quy trình chuẩn hóa để ghi lại các yêu cầu về quyền của chủ thể dữ liệu nhằm đảm bảo tính nhất quán và chính xác trong thông tin được thu thập.
9.3. thời gian lưu giữ
Viện Chứng nhận CNTT Châu Âu lưu giữ các hồ sơ này trong một khoảng thời gian hợp lý, như được xác định bởi các luật và quy định hiện hành, không ngắn hơn 2 năm.
9.4. Giữ bí mật
Viện Chứng nhận CNTT Châu Âu đảm bảo rằng hồ sơ yêu cầu quyền của chủ thể dữ liệu chỉ có thể được truy cập bởi những nhân viên được ủy quyền có nhu cầu truy cập thông tin đó trong quá trình thực hiện nhiệm vụ của họ. Nó cũng thực hiện các biện pháp kỹ thuật và tổ chức để ngăn chặn truy cập trái phép, tiết lộ, thay đổi hoặc phá hủy dữ liệu cá nhân có trong hồ sơ yêu cầu quyền của chủ thể dữ liệu.
9.5. Báo cáo
Viện Chứng nhận CNTT Châu Âu định kỳ tạo các báo cáo về các yêu cầu về quyền của đối tượng dữ liệu đã nhận, đã xử lý và chưa xử lý. Các báo cáo này được chia sẻ với các bên liên quan bao gồm quản lý cấp cao và DPO.
XUẤT KHẨU Phân tích
Viện Chứng nhận CNTT Châu Âu tiến hành phân tích xu hướng đối với các yêu cầu về quyền của chủ thể dữ liệu để xác định các mẫu và nguyên nhân gốc rễ của các yêu cầu. Thông tin này được sử dụng để tăng cường các quy trình và thủ tục nhằm quản lý tốt hơn các yêu cầu đó.
Phần 10. Giám sát và rà soát quy trình
Viện Chứng nhận CNTT Châu Âu thường xuyên theo dõi và đánh giá quy trình xử lý các yêu cầu về quyền của chủ thể dữ liệu để đảm bảo rằng quy trình vẫn hiệu quả và tuân thủ GDPR.
10.1. Tiến hành đánh giá định kỳ
Viện Chứng nhận CNTT Châu Âu tiến hành đánh giá định kỳ quy trình xử lý yêu cầu quyền của chủ thể dữ liệu và chính sách tuân thủ GDPR để đảm bảo rằng chính sách này hiệu quả và tuân thủ các quy định bảo vệ dữ liệu. Những đánh giá này bao gồm phân tích về số lượng và loại yêu cầu nhận được, tính kịp thời và hiệu quả của phản hồi cũng như bất kỳ lĩnh vực nào cần cải thiện.
10.2. Thực hiện các cải tiến
Dựa trên kết quả đánh giá, Viện Chứng nhận CNTT Châu Âu thực hiện bất kỳ cải tiến cần thiết nào đối với quy trình xử lý yêu cầu quyền đối tượng dữ liệu của mình. Điều này có thể bao gồm các cập nhật về quy trình, đào tạo bổ sung cho nhân viên hoặc thay đổi cách xác minh và phản hồi các yêu cầu.
10.3. Đảm bảo tuân thủ liên tục
Viện Chứng nhận CNTT Châu Âu đảm bảo tuân thủ liên tục các quy định bảo vệ dữ liệu bằng cách thường xuyên xem xét và cập nhật các chính sách và thủ tục của mình phù hợp với bất kỳ thay đổi nào đối với các luật và quy định có liên quan.
10.4. Giám sát hiệu quả làm việc của nhân viên
Viện Chứng nhận CNTT Châu Âu giám sát hiệu suất của nhân viên liên quan đến việc xử lý các yêu cầu về quyền của chủ thể dữ liệu, bao gồm cả chất lượng và tính kịp thời của phản hồi. Điều này có thể bao gồm đào tạo định kỳ và đánh giá hiệu suất để đảm bảo rằng nhân viên có kiến thức và năng lực trong lĩnh vực này.
10.5. Giao tiếp với chủ thể dữ liệu
Viện Chứng nhận CNTT Châu Âu liên lạc với các chủ thể dữ liệu trong suốt quá trình xử lý yêu cầu để đảm bảo rằng họ được thông báo về tiến độ và mọi thông tin liên quan. Điều này có thể bao gồm việc cung cấp thông tin cập nhật về trạng thái yêu cầu của họ hoặc yêu cầu thêm thông tin khi cần.
10.6. Duy trì hồ sơ
Viện Chứng nhận CNTT Châu Âu lưu giữ hồ sơ đánh giá của mình, bao gồm mọi thay đổi được thực hiện đối với quy trình xử lý yêu cầu quyền của chủ thể dữ liệu, cũng như mọi phản hồi nhận được từ chủ thể dữ liệu. Thông tin này có thể được sử dụng để hỗ trợ các nỗ lực tuân thủ đang diễn ra và để xác định các lĩnh vực cần cải thiện hơn nữa.
Phần 11. Lập Hồ sơ Hoạt động Gia công
Viện Chứng nhận CNTT Châu Âu duy trì Hồ sơ Hoạt động Xử lý, đây là tài liệu phác thảo quá trình xử lý dữ liệu cá nhân do tổ chức thực hiện. Nó được yêu cầu theo Quy định bảo vệ dữ liệu chung của EU (GDPR) và nhằm mục đích hỗ trợ hiểu biết về các hoạt động xử lý dữ liệu và thể hiện sự tuân thủ GDPR.
11.1. cấu trúc ROPA
ROPA bao gồm thông tin cơ bản về tên và chi tiết liên hệ của tổ chức, mục đích xử lý dữ liệu, loại dữ liệu cá nhân được xử lý, người nhận dữ liệu cá nhân và thời gian lưu giữ dữ liệu cá nhân. Nó cũng bao gồm thông tin về bất kỳ bộ xử lý bên thứ ba nào xử lý dữ liệu cá nhân thay mặt cho tổ chức.
11.2. ROPA cập nhật thường xuyên
ROPA được cập nhật thường xuyên và là một tài liệu sống phản ánh những thay đổi trong các hoạt động xử lý dữ liệu của Viện Chứng nhận CNTT Châu Âu, hỗ trợ xây dựng lòng tin với các chủ thể dữ liệu.
Viện chứng nhận CNTT châu Âu cam kết duy trì các tiêu chuẩn cao nhất liên quan đến Quản lý yêu cầu quyền của chủ thể dữ liệu và Chính sách quy định bảo vệ dữ liệu chung, đảm bảo tuân thủ tất cả các luật và quy định hiện hành liên quan đến những vấn đề này, cũng như các tiêu chuẩn hàng đầu của ngành và các phương pháp hay nhất, bao gồm Hệ thống quản lý thông tin quyền riêng tư ISO 27701.