ДСРРМ и ГДПР политика
Политика ЕИТЦА Академије о управљању захтевима за права субјеката података и Општа уредба о заштити података
Овај документ прецизира Политику Европског института за ИТ сертификацију о управљању захтевима за права субјеката података, као и имплементацију Опште уредбе ЕУ о заштити података, која се редовно прегледа и ажурира како би се обезбедила ефикасност и релевантност. Последње ажурирање ЕИТЦИ управљања захтевима за права субјеката података и ГДПР политике је направљено 10. јануара 2023. Наше управљање захтевима за права субјеката података и ГДПР политика заснована је на принципима проширења система за управљање информацијама о приватности ИСО 27701 на ИСО 27001 безбедност информација Стандард система, као и о захтевима Опште уредбе о заштити података (2016/679).
Део 1. Увод
Управљање захтевима за права субјеката података је суштински део обезбеђивања усклађености са прописима о заштити података, односно ГДПР (Општа уредба о заштити података ЕУ). Европски институт за ИТ сертификацију дефинисао је следеће формалне процедуре за управљање захтевима за права носилаца података и спровођење захтева ГДПР-а:
1.1. Успостављање процеса за руковање захтевима за права носилаца података
Овај процес описује кораке које Европски институт за ИТ сертификацију прати када обрађује захтеве за правима носилаца података, укључујући идентификацију и аутентификацију субјекта података, верификацију захтева субјекта података и одговор на захтев.
1.2. Одређивање службеника за заштиту података (ДПО)
Европски институт за ИТ сертификацију именује ДПО који је одговоран за надгледање управљања захтевима за права субјеката података, укључујући преглед захтева, одговоре на захтеве и обезбеђивање усклађености са прописима о заштити података.
1.3. Одржавање ажурне евиденције личних података
Европски институт за ИТ сертификацију одржава ажурну евиденцију личних података које поседује и сврхе за које се обрађују. Ово ће омогућити Европском институту за ИТ сертификацију да брзо и тачно одговори на захтеве за правима носилаца података.
1.4. Пружање јасних и концизних информација субјектима података
Приликом прикупљања личних података, Европски институт за ИТ сертификацију пружа јасне и концизне информације субјектима података о њиховим правима, укључујући право на приступ, исправку, брисање и приговор на обраду њихових личних података.
1.5. Успостављање стандардног времена одговора
Европски институт за ИТ сертификацију одржава стандардно време одговора на захтеве за правима носилаца података и обезбеђује да се на захтеве одговори у том временском оквиру.
1.6. Провера идентитета субјекта података
Европски институт за ИТ сертификацију проверава идентитет субјекта података који подноси захтев како би осигурао да се лични подаци дају само исправном појединцу.
1.7. Реаговање на захтеве за права носиоца података благовремено
Европски институт за ИТ сертификацију одмах одговара на захтеве за правима носилаца података и пружа субјекту података информације које су затражили.
1.8. Документовање захтева за правима носилаца података
Европски институт за ИТ сертификацију води евиденцију захтева о правима носилаца података, укључујући датум захтева, природу захтева и одговор на захтев.
1.9. Праћење и ревизија процеса
Европски институт за ИТ сертификацију редовно прати и ревидира свој процес за поступање са захтевима за права носилаца података како би осигурао да остане ефикасан и у складу са релевантним прописима о заштити података.
1.10. Успостављање Евиденције активности обраде
Европски институт за ИТ сертификацију води Евиденцију активности обраде која је документ који описује обраду личних података коју спроводи организација. Захтева се према Општој уредби ЕУ о заштити података (ГДПР) и има за циљ да подржи разумевање активности обраде података и демонстрирање усклађености са ГДПР-ом.
Пратећи ове формалне и процедуре, Европски институт за ИТ сертификацију може ефикасно да управља захтевима за права носилаца података и да обезбеди усклађеност са прописима о заштити података, укључујући Општу уредбу о заштити података у Европској унији.
Део 2. Успостављање процеса за поступање са захтевима за права носилаца података
Овај процес описује кораке које Европски институт за ИТ сертификацију прати када обрађује захтеве за права носилаца података, укључујући идентификацију и аутентификацију субјекта података, верификацију захтева субјекта података и одговор на захтев:
2.1. Идентификација и провера аутентичности субјекта података
Европски институт за ИТ сертификацију одржава процес за проверу идентитета субјекта података који подноси захтев. Ово може укључивати тражење личне карте коју је издао државни орган, проверу постојећих записа или коришћење других метода аутентификације.
2.2. Провера захтева субјекта података
Када се утврди идентитет носиоца података, Европски институт за ИТ сертификацију мора да потврди да је захтев валидан и да се односи на личне податке носиоца података. Захтев такође треба да садржи конкретно право које се користи, као што је право на приступ, исправку или брисање личних података.
2.3. Одговарајући на захтев
Европски институт за ИТ сертификацију мора дати одговор на захтев субјекта података у року одређеном релевантним законима о заштити података, али не дуже од 30 дана. Одговор треба да садржи објашњење да ли је захтев одобрен или одбијен, као и разлоге за одлуку.
2.4. Документовање захтева и одговора
Европски институт за ИТ сертификацију води евиденцију о свим захтевима и одговорима на права носилаца података. Ово помаже да се обезбеди усклађеност са релевантним законима о заштити података, као и да се олакшају будуће ревизије или истраге.
2.5. Обука релевантног особља
Европски институт за ИТ сертификацију ће обезбедити обуку особљу одговорном за руковање захтевима за права субјеката података како би се уверио да су упознати са релевантним законима о заштити података и процедурама Европског института за ИТ сертификацију за руковање таквим захтевима.
2.6. Праћење и ревизија процеса
Европски институт за ИТ сертификацију редовно прати и ревидира процес поступања са захтевима за права носилаца података како би осигурао да остане ефикасан и у складу са релевантним законима о заштити података. Сви проблеми или инциденти се пријављују и решавају на време.
Део 3. Одређивање службеника за заштиту података (ДПО)
Европски институт за ИТ сертификацију именује ДПО који је одговоран за надгледање управљања захтевима за права субјеката података, укључујући преглед захтева, одговоре на захтеве и обезбеђивање усклађености са прописима о заштити података.
3.1. Одређивање ДПО
Европски институт за ИТ сертификацију именује службеника за заштиту података (ДПО) који ће надгледати управљање захтевима за права носилаца података и обезбедити усклађеност са прописима о заштити података. ДПО ће бити одговоран за разматрање захтева и осигуравање да Европски институт за ИТ сертификацију испуњава своје законске обавезе у вези са заштитом података.
3.2. Захтеви надлежности ДПО
ДПО мора имати стручно знање о законима и пракси о заштити података и имати потребне ресурсе за испуњавање својих одговорности. Они треба да имају директан приступ вишем руководству и да извештавају највишем нивоу менаџмента организације.
3.3. Одговорности ДПО
Одговорности ДПО-а укључују, али нису ограничене на, следеће:
- Пружање смерница и савета Европском институту за ИТ сертификацију о питањима заштите података, укључујући управљање захтевима за права носилаца података.
- Праћење усклађености Европског института за ИТ сертификацију са прописима о заштити података и интерним политикама и процедурама.
- Одговарање на упите и жалбе субјеката података у вези са њиховим правима према прописима о заштити података.
- Координација са другим одељењима како би се осигурало да су захтеви за заштиту података испуњени у целој организацији.
- Спровођење периодичних прегледа и процена праксе заштите података Европског института за ИТ сертификацију и давање препорука за побољшање.
- Служи као тачка контакта за органе за заштиту података и сарађује са њима у случају истраге или ревизије.
- ДПО је такође укључен у развој и имплементацију политика и процедура Европског института за ИТ сертификацију у вези са заштитом података, укључујући и оне које се односе на поступање са захтевима за права носилаца података.
3.4. Обука ДПО-а и развој квалификација
Европски институт за ИТ сертификацију треба да обезбеди да ДПО буде адекватно обучен о прописима о заштити података и да буде у току са свим променама или ажурирањима ових прописа.
3.5. Контакт информације ДПО
Контакт информације ДПО треба да буду доступне субјектима података и укључене у обавештење о приватности или политику Европског института за ИТ сертификацију.
Део 4. Одржавање ажурне евиденције личних података
Европски институт за ИТ сертификацију одржава ажурну евиденцију личних података које поседује и сврхе за које се обрађују. Ово ће омогућити Европском институту за ИТ сертификацију да брзо и тачно одговори на захтеве за правима носилаца података.
4.1. Успостављање процеса за идентификацију и евидентирање личних података
Европски институт за ИТ сертификацију успоставља јасан и стандардизован процес за идентификацију и евидентирање личних података, укључујући име субјекта података, контакт информације и све друге релевантне информације. Овај процес осигурава да се лични подаци прикупљају само у посебне и легитимне сврхе.
4.2. Категоризација личних података
Европски институт за ИТ сертификацију категорише личне податке како би олакшао праћење и управљање. Ово укључује категоризацију података по типу, као што су контакт информације, информације о обрачуну, компетенције и квалификације, финансијске информације или историја запослења.
4.3. Имплементација система за управљање подацима
Европски институт за ИТ сертификацију примењује систем управљања подацима како би осигурао да су лични подаци тачни, ажурни и доступни. Систем за управљање подацима укључује базу података која се може претраживати и испитивати како би се одговорило на захтеве за правима носиоца података.
4.4. Додељивање одговорности за вођење евиденције личних података
Европски институт за ИТ сертификацију треба да додели одговорност за одржавање евиденције личних података одређеним појединцима или одељењима. Ово ће осигурати да се евиденција одржава ажурном и тачном.
4.5. Редовно прегледавање и ажурирање евиденције личних података
Европски институт за ИТ сертификацију треба да редовно прегледа и ажурира евиденцију личних података како би осигурала да она остане тачна и ажурирана. Ово се може урадити кроз периодичне ревизије или кроз процес континуираног праћења.
4.6. Спровести одговарајуће мере безбедности
Европски институт за ИТ сертификацију спроводи одговарајуће мере безбедности за заштиту личних података које поседује, укључујући мере за спречавање неовлашћеног приступа, случајног губитка или уништавања личних података, као део политике безбедности информација (ИСП) организације. Ово укључује иа енкрипцију, заштитне зидове и контроле приступа. Детаљна спецификација процеса и мера за заштиту података покривена је Политиком безбедности информација Европског института за ИТ сертификацију.
Део 5. Пружање јасних и концизних информација субјектима података
Приликом прикупљања личних података, Европски институт за ИТ сертификацију пружа јасне и концизне информације субјектима података о њиховим правима, укључујући право на приступ, исправку, брисање и приговор на обраду њихових личних података.
5.1. Транспарентност
Европски институт за ИТ сертификацију је транспарентан у својој обради личних података и пружа концизне информације субјектима података о томе како се њихови подаци користе, обрађују и чувају.
КСНУМКС. Правила о приватности
Европски институт за ИТ сертификацију има детаљну политику приватности која описује његове активности обраде података, укључујући и начин на који субјекти података могу да остваре своја права на које се подаци односе.
5.3. Право на приступ
Субјекти података имају право да затраже приступ личним подацима које о њима има Европски институт за ИТ сертификацију. Европски институт за ИТ сертификацију пружа јасне и концизне информације субјектима података о томе како да поднесу захтев за приступ, које информације ће бити потребне за верификацију њиховог идентитета и колико времена ће Европском институту за ИТ сертификацију требати да одговори на захтев.
5.4. Право на исправку
Субјекти података имају право да захтевају да Европски институт за ИТ сертификацију исправи све нетачне или непотпуне личне податке које о њима поседује. Европски институт за ИТ сертификацију пружа јасне и концизне информације субјектима података о томе како да поднесу захтев за исправку, које информације ће бити потребне за верификацију њиховог идентитета и колико времена ће Европском институту за ИТ сертификацију требати да одговори на захтев.
5.5. Право на брисање
Субјекти података имају право да захтевају да Европски институт за ИТ сертификацију избрише њихове личне податке у одређеним околностима. Европски институт за ИТ сертификацију пружа јасне и концизне информације субјектима података о томе како да поднесу захтев за брисање, које информације ће бити потребне да би се потврдио њихов идентитет и колико дуго ће Европском институту за ИТ сертификацију требати да одговори на захтев.
5.6. Право на приговор
Субјекти података имају право приговора на обраду њихових личних података у одређеним околностима. Европски институт за ИТ сертификацију пружа јасне и концизне информације субјектима података о томе како да поднесу захтев за подношење приговора, које информације ће бити потребне за верификацију њиховог идентитета и колико дуго ће Европском институту за ИТ сертификацију требати да одговори на захтев.
КСНУМКС. Контакт информације
Европски институт за ИТ сертификацију пружа јасне и концизне контакт информације за субјекте података које могу да користе ако имају питања или недоумице о томе како се њихови лични подаци обрађују.
Део 6. Успостављање стандардног времена одговора
Европски институт за ИТ сертификацију успоставио је стандардно време одговора на захтеве за правима носилаца података и обезбедио да се на захтеве одговори у том временском оквиру.
6.1. Стандардно време одговора
Европски институт за ИТ сертификацију успоставља стандардно време одговора од 30 дана за захтеве за права носилаца података. Стандардно време одговора дефинише горње временско ограничење за обраду и одговор, а већина захтева се обрађује и одговара у краћем времену.
6.2. Захтевај време потврде пријема
По пријему захтева за права носиоца података, ДПО или други чланови особља ће потврдити пријем захтева у року од 5 радних дана и дати субјекту података процењени временски оквир за давање одговора.
6.3. Изузетна продужења стандардног времена одговора
Европски институт за ИТ сертификацију ће уложити разумне напоре да одговори на захтеве за правима носилаца података у оквиру утврђеног стандардног времена за одговор. Међутим, ако је захтев сложен или ако Европски институт за ИТ сертификацију прими велики број захтева, време одговора се може продужити. У таквим случајевима, ДПО ће обавестити субјекта података о продужењу и разлогу кашњења.
6.4. Одбијање да се испуни захтев за права носиоца података
Ако Европски институт за ИТ сертификацију није у могућности да испуни захтев за права носиоца података, он ће субјекту података дати објашњење за одбијање и обавестити га о свом праву на жалбу релевантном надзорном органу.
6.5. Евиденција захтева и одговора о правима носилаца података
Европски институт за ИТ сертификацију ће водити тачну евиденцију захтева и одговора на права субјеката података, укључујући датум пријема захтева, природу захтева и датум и начин одговора.
6.6. Периодични прегледи
ДПО ће периодично прегледати времена одговора Европског института за ИТ сертификацију и ажурирати их по потреби како би се осигурала усклађеност са важећим прописима о заштити података.
Део 7. Провера идентитета субјекта података
7.1. Захтев за проверу идентитета
Европски институт за ИТ сертификацију мора да потврди идентитет субјекта података који подноси захтев како би осигурао да се лични подаци дају само исправном појединцу.
7.2. Средства и методе провере идентитета
Када субјекат података поднесе захтев да оствари своја права према законима о заштити података, Европски институт за ИТ сертификацију мора да провери идентитет носиоца података користећи одговарајуће мере, као што је тражење идентификационих докумената.
7.3. Верификација идентитета носиоца пуномоћја
Ако субјект података подноси захтев у име неког другог, Европски институт за ИТ сертификацију мора да провери идентитет и субјекта података и појединца у чије име се захтев подноси.
7.4. Сумње у верификацији идентитета
Ако Европски институт за ИТ сертификацију сумња у идентитет субјекта података или валидност захтева, може затражити додатне информације или предузети друге одговарајуће мере за верификацију идентитета субјекта података.
7.5. Евиденција о верификацији идентитета
Европски институт за ИТ сертификацију треба да води евиденцију о процесу верификације и предузетим мерама за проверу идентитета субјекта података. Ову евиденцију треба чувати разуман временски период и користити за доказивање усклађености са законима о заштити података.
Део 8. Промптно одговарање на захтеве за правима носилаца података
8.1. Брз одговор
Европски институт за ИТ сертификацију одмах одговара на захтеве за правима носилаца података и пружа субјекту података информације које су затражили.
8.2. Захтевајте потврду пријема
Европски институт за ИТ сертификацију потврђује пријем захтева субјекта података што је пре могуће, идеално у року од 5 радних дана.
8.3. Захтевај преглед
Именовани ДПО треба да прегледа захтев како би се уверио да испуњава неопходне захтеве и да су достављене све потребне информације.
8.4. Провера идентитета субјекта података
Европски институт за ИТ сертификацију проверава идентитет субјекта података који подноси захтев како би осигурао да се лични подаци дају само исправном појединцу.
8.5. Добијање додатних информација ако је потребно
Ако је захтев нејасан или недовољан, Европски институт за ИТ сертификацију треба да контактира субјекта података како би добио додатне информације.
8.5. Преузимање релевантних података
Европски институт за ИТ сертификацију преузима релевантне личне податке и прегледава их како би се уверио да су тачни и ажурни.
8.6. Пружање тражених информација
Европски институт за ИТ сертификацију пружа субјекту података информације које су затражили, укључујући копију њихових личних података у уобичајеном електронском формату, осим ако се другачије не захтева.
8.7. Обавестите субјекта података о њиховим правима
Европски институт за ИТ сертификацију обавештава субјекте података о њиховим другим правима, као што је право на исправку или брисање својих личних података, и даје им неопходна упутства.
8.8. Усклађеност са временом одговора
Европски институт за ИТ сертификацију одговара на захтеве за правима носилаца података у оквиру утврђеног времена за одговор, обезбеђујући да су предузете неопходне радње како би се испунио захтев.
8.9. Документовање одговора
Европски институт за ИТ сертификацију документује одговор на захтев за права субјекта података, укључујући све предузете радње и време одговора, како би се осигурало да се може ревидирати и пратити у циљу усаглашености.
8.10. Обавештавање субјекта података о свим променама
Ако се учине било какве промене у личним подацима носиоца података као резултат њиховог захтева, Европски институт за ИТ сертификацију обавештава субјекта података о овим променама.
Део 9. Документовање захтева за правима носилаца података
Европски институт за ИТ сертификацију води евиденцију захтева о правима носилаца података, укључујући датум захтева, природу захтева и одговор на захтев. Документовање захтева за права субјеката података укључује следеће аспекте:
9.1. Одржавање регистра
Европски институт за ИТ сертификацију води регистар који обухвата све примљене захтеве за правима носилаца података. Овај регистар треба да обухвати следеће детаље:
- Датум захтева
- Име и контакт подаци субјекта података
- Опис захтева
- Радња предузета као одговор на захтев
- Све додатне информације потребне за обраду захтева
9.2. Стандардизовани процес за документацију
Европски институт за ИТ сертификацију води стандардизовани процес за документовање захтева за правима носилаца података како би се обезбедила доследност и тачност у прикупљеним информацијама.
9.3. Период задржавања
Европски институт за ИТ сертификацију чува ове евиденције у разумном временском периоду, у складу са важећим законима и прописима, не краћим од 2 године.
9.4. Одржавање поверљивости
Европски институт за ИТ сертификацију обезбеђује да евиденција захтева о правима носилаца података буде доступна само овлашћеном особљу које има потребу да приступи таквим информацијама у обављању својих дужности. Такође спроводи техничке и организационе мере за спречавање неовлашћеног приступа, откривања, измене или уништавања личних података садржаних у евиденцији захтева о правима носилаца података.
9.5. Извештавање
Европски институт за ИТ сертификацију периодично генерише извештаје о примљеним, обрађеним и нерешеним захтевима за права носилаца података. Ови извештаји се деле са релевантним заинтересованим странама, укључујући више руководство и ДПО.
КСНУМКС Аналитика
Европски институт за ИТ сертификацију спроводи анализу трендова у вези са захтевима за права носилаца података да би идентификовао обрасце и основне узроке захтева. Ове информације се користе за побољшање процеса и процедура за боље управљање таквим захтевима.
Део 10. Праћење и ревизија процеса
Европски институт за ИТ сертификацију редовно прати и ревидира свој процес за поступање са захтевима за права носилаца података како би осигурао да остане ефикасан и у складу са ГДПР-ом.
10.1. Спровођење периодичних прегледа
Европски институт за ИТ сертификацију спроводи периодичне прегледе процеса обраде захтева за права субјеката података и политике усклађености са ГДПР-ом како би осигурао да је ефикасан и у складу са прописима о заштити података. Ови прегледи укључују анализу броја и врсте примљених захтева, благовременост и ефективност одговора, као и све области за побољшање.
10.2. Имплементација побољшања
На основу налаза прегледа, Европски институт за ИТ сертификацију спроводи сва неопходна побољшања у процесу обраде захтева за права носилаца података. Ово може укључивати ажурирања процедура, додатну обуку за особље или промене у начину верификације захтева и на које се одговара.
10.3. Обезбеђивање сталне усклађености
Европски институт за ИТ сертификацију обезбеђује сталну усклађеност са прописима о заштити података редовним прегледом и ажурирањем својих политика и процедура у складу са свим изменама релевантних закона и прописа.
10.4. Праћење учинка особља
Европски институт за ИТ сертификацију прати учинак особља у вези са руковањем захтевима за права носилаца података, укључујући квалитет и благовременост одговора. Ово може укључивати периодичну обуку и прегледе учинка како би се осигурало да је особље образовано и компетентно у овој области.
10.5. Комуникација са субјектима података
Европски институт за ИТ сертификацију комуницира са субјектима података током процеса обраде захтева како би осигурао да буду информисани о напретку и свим релевантним информацијама. Ово може укључивати пружање ажурирања статуса њиховог захтева или тражење додатних информација по потреби.
10.6. Одржавање евиденције
Европски институт за ИТ сертификацију води евиденцију о својим прегледима, укључујући све промене направљене у процесу обраде захтева за права носилаца података, као и све повратне информације добијене од субјеката података. Ове информације се могу користити за подршку текућим напорима у погледу усклађености и за идентификацију области за даља побољшања.
Део 11. Успостављање Евиденције о пословима обраде
Европски институт за ИТ сертификацију води Евиденцију активности обраде која је документ који описује обраду личних података коју спроводи организација. Захтева се према Општој уредби ЕУ о заштити података (ГДПР) и има за циљ да подржи разумевање активности обраде података и демонстрирање усклађености са ГДПР-ом.
11.1. РОПА структура
РОПА укључује основне информације о називу и контакт подацима организације, сврси обраде података, категоријама личних података који се обрађују, примаоцима личних података и роковима чувања личних података. Такође укључује информације о свим обрађивачима треће стране који обрађују личне податке у име организације.
11.2. РОПА редовна ажурирања
РОПА се редовно ажурира и представља живи документ који одражава промене у активностима обраде података Европског института за ИТ сертификацију који подржава изградњу поверења са субјектима података.
Европски институт за ИТ сертификацију је посвећен одржавању највиших стандарда у вези са својим захтевима за управљање правима субјеката података и општом политиком регулативе о заштити података, водећи рачуна да буде у складу са свим важећим законима и прописима који се односе на ова питања, као и са водећим индустријским стандардима и најбоље праксе, укључујући ИСО 27701 Систем управљања информацијама о приватности.