Политика на DSRRM и GDPR
Политика на EITCA Academy относно управлението на заявките за правата на субектите на данни и Общия регламент за защита на данните
Този документ уточнява политиката на Европейския институт за ИТ сертифициране относно управлението на заявките за права на субекти на данни, както и прилагането на Общия регламент за защита на данните на ЕС, който редовно се преразглежда и актуализира, за да се гарантира неговата ефективност и уместност. Последната актуализация на EITCI за управление на заявките за права на субекти на данни и политиката на GDPR беше направена на 10 януари 2023 г. Нашата политика за управление на заявките за права на субекти на данни и GDPR се основава на принципите на разширението на ISO 27701 Система за управление на поверителността на информацията към ISO 27001 за информационна сигурност Системен стандарт, както и на изискванията на Общия регламент за защита на данните (2016/679).
Част 1. Въведение
Управлението на заявките за права на субекти на данни е съществена част от осигуряването на съответствие с разпоредбите за защита на данните, а именно GDPR (Общ регламент за защита на данните на ЕС). Европейският институт за ИТ сертифициране определи следните официални процедури за управление на заявки за права на субекти на данни и прилагане на изискванията на GDPR:
1.1. Създаване на процес за обработка на заявки за права на субекти на данни
Този процес очертава стъпките, които Европейският институт за ИТ сертифициране следва, когато обработва заявки за права на субекти на данни, включително идентифициране и удостоверяване на субекта на данните, проверка на заявката на субекта на данни и отговор на заявката.
1.2. Определяне на длъжностно лице по защита на данните (DPO)
Европейският институт за ИТ сертифициране назначава DPO, който отговаря за надзора на управлението на заявки за права на субекти на данни, включително преглед на заявки, отговор на заявки и осигуряване на съответствие с разпоредбите за защита на данните.
1.3. Поддържане на актуален регистър на личните данни
Европейският институт за ИТ сертифициране поддържа актуален регистър на личните данни, които притежава, и целите, за които се обработват. Това ще позволи на Европейския институт за ИТ сертифициране да отговаря бързо и точно на искания за права на субекти на данни.
1.4. Предоставяне на ясна и кратка информация на субектите на данни
Когато събира лични данни, Европейският институт за ИТ сертифициране предоставя ясна и кратка информация на субектите на данни относно техните права, включително правото на достъп, коригиране, изтриване и възражение срещу обработването на техните лични данни.
1.5. Установяване на стандартно време за реакция
Европейският институт за ИТ сертифициране поддържа стандартно време за отговор за заявки за права на субекти на данни и гарантира, че на исканията се отговаря в рамките на този срок.
1.6. Проверка на самоличността на субекта на данните
Европейският институт за ИТ сертифициране проверява самоличността на субекта на данните, който прави искането, за да гарантира, че личните данни се предоставят само на правилното лице.
1.7. Бърз отговор на заявки за права на субекти на данни
Европейският институт за ИТ сертифициране отговаря незабавно на искания за права на субекти на данни и предоставя на субекта на данните информацията, която е поискал.
1.8. Документиране на заявки за права на субекти на данни
Европейският институт за ИТ сертифициране поддържа регистър на заявките за права на субекти на данни, включително датата на заявката, естеството на заявката и отговора на заявката.
1.9. Мониторинг и преглед на процеса
Европейският институт за ИТ сертифициране редовно наблюдава и преразглежда своя процес за обработка на заявки за права на субекти на данни, за да гарантира, че той остава ефективен и в съответствие със съответните разпоредби за защита на данните.
1.10. Създаване на запис на дейностите по обработка
Европейският институт за ИТ сертифициране поддържа Регистър на дейностите по обработка, който е документ, който очертава обработването на лични данни, извършвано от организацията. Изисква се съгласно Общия регламент за защита на данните на ЕС (GDPR) и има за цел да подпомогне разбирането на дейностите по обработка на данни и да демонстрира съответствие с GDPR.
Следвайки тези официални процедури, Европейският институт за ИТ сертифициране може ефективно да управлява заявките за права на субекти на данни и да гарантира спазването на разпоредбите за защита на данните, включително Общия регламент за защита на данните в Европейския съюз.
Част 2. Създаване на процес за обработка на заявки за права на субекти на данни
Този процес очертава стъпките, които Европейският институт за ИТ сертифициране следва, когато обработва заявки за права на субект на данни, включително идентифициране и удостоверяване на субекта на данните, проверка на заявката на субекта на данни и отговор на заявката:
2.1. Идентифициране и удостоверяване на субекта на данните
Европейският институт за ИТ сертифициране поддържа въведен процес за проверка на самоличността на субекта на данните, който прави искането. Това може да включва искане за издаден от правителството документ за самоличност, проверка със съществуващи записи или използване на други методи за удостоверяване.
2.2. Проверка на искането на субекта на данните
След като бъде установена самоличността на субекта на данните, Европейският институт за ИТ сертифициране трябва да провери дали искането е валидно и се отнася до личните данни на субекта на данните. Искането трябва да включва и конкретното право, което се упражнява, като правото на достъп, коригиране или изтриване на лични данни.
2.3. Отговор на искането
Европейският институт за ИТ сертифициране трябва да предостави отговор на искането на субекта на данните в рамките на срока, определен от съответните закони за защита на данните, но не повече от 30 дни. Отговорът трябва да включва обяснение дали молбата е била удовлетворена или отхвърлена и причините за решението.
2.4. Документиране на искането и отговора
Европейският институт за ИТ сертифициране поддържа регистър на всички заявки и отговори на правата на субекти на данни. Това помага да се гарантира спазването на съответните закони за защита на данните, както и да се улеснят бъдещи одити или разследвания.
2.5. Обучение на съответния персонал
Европейският институт за ИТ сертифициране ще осигури обучение на персонала, отговорен за обработката на заявки за права на субекти на данни, за да се гарантира, че са запознати със съответните закони за защита на данните и процедурите на Европейския институт за ИТ сертифициране за обработка на такива искания.
2.6. Мониторинг и преглед на процеса
Европейският институт за ИТ сертифициране редовно наблюдава и преглежда процеса за обработка на заявки за права на субекти на данни, за да гарантира, че той остава ефективен и в съответствие със съответните закони за защита на данните. Всички проблеми или инциденти се докладват и се адресират своевременно.
Част 3. Определяне на длъжностно лице по защита на данните (DPO)
Европейският институт за ИТ сертифициране назначава DPO, който отговаря за надзора на управлението на заявки за права на субекти на данни, включително преглед на заявки, отговор на заявки и осигуряване на съответствие с разпоредбите за защита на данните.
3.1. Определяне на DPO
Европейският институт за ИТ сертифициране определя длъжностно лице по защита на данните (DPO), което да наблюдава управлението на заявките за права на субекти на данни и да гарантира спазването на разпоредбите за защита на данните. DPO ще отговаря за преглеждането на исканията и гарантирането, че Европейският институт за ИТ сертифициране изпълнява законовите си задължения във връзка със защитата на данните.
3.2. Изисквания за компетентност на DPO
DPO трябва да има експертни познания относно законите и практиките за защита на данните и да разполага с необходимите ресурси, за да изпълнява своите отговорности. Те трябва да имат пряк достъп до висшето ръководство и да докладват на най-високото ниво на управление на организацията.
3.3. Отговорности на DPO
Отговорностите на DPO включват, но не се ограничават до следното:
- Предоставяне на насоки и съвети на Европейския институт за ИТ сертифициране по въпроси, свързани със защитата на данните, включително управлението на заявки за права на субекти на данни.
- Наблюдение на съответствието на Европейския институт за ИТ сертифициране с разпоредбите за защита на данните и вътрешните политики и процедури.
- Отговаряне на запитвания и жалби от субекти на данни относно техните права съгласно разпоредбите за защита на данните.
- Координиране с други отдели, за да се гарантира, че изискванията за защита на данните са изпълнени в цялата организация.
- Провеждане на периодични прегледи и оценки на практиките за защита на данните на Европейския институт за ИТ сертифициране и предоставяне на препоръки за подобрение.
- Служи като точка за контакт на органите за защита на данните и сътрудничи с тях в случай на разследване или одит.
- DPO също участва в разработването и прилагането на политиките и процедурите на Европейския институт за ИТ сертифициране, свързани със защитата на данните, включително тези, свързани с обработката на заявки за права на субекти на данни.
3.4. Обучение и повишаване на квалификацията на DPO
Европейският институт за ИТ сертифициране трябва да гарантира, че ДЛЗД е подходящо обучен относно разпоредбите за защита на данните и е информиран за всички промени или актуализации на тези разпоредби.
3.5. Информация за контакт на DPO
Информацията за контакт на DPO трябва да бъде предоставена на субектите на данни и да бъде включена в известието или политиката за поверителност на Европейския институт за ИТ сертифициране.
Част 4. Поддържане на актуален запис на лични данни
Европейският институт за ИТ сертифициране поддържа актуален регистър на личните данни, които притежава, и целите, за които се обработват. Това ще позволи на Европейския институт за ИТ сертифициране да отговаря бързо и точно на искания за права на субекти на данни.
4.1. Създаване на процес за идентифициране и записване на лични данни
Европейският институт за ИТ сертифициране установява ясен и стандартизиран процес за идентифициране и записване на лични данни, включително име на субекта на данните, информация за контакт и всяка друга подходяща информация. Този процес гарантира, че личните данни се събират само за конкретни и легитимни цели.
4.2. Категоризиране на лични данни
Европейският институт за ИТ сертифициране категоризира личните данни, за да улесни проследяването и управлението им. Това включва категоризиране на данни по тип, като информация за контакт, информация за плащане, компетенции и квалификация, финансова информация или трудова история.
4.3. Внедряване на система за управление на данни
Европейският институт за ИТ сертифициране прилага система за управление на данни, за да гарантира, че личните данни са точни, актуални и достъпни. Системата за управление на данни включва база данни, в която може да се извършва търсене и заявки, за да се отговори на заявки за права на субекти на данни.
4.4. Възлагане на отговорност за поддържане на регистъра на личните данни
Европейският институт за ИТ сертифициране следва да възложи отговорността за поддържането на запис на лични данни на конкретни лица или отдели. Това ще гарантира, че записът се поддържа актуален и точен.
4.5. Редовен преглед и актуализиране на регистъра на личните данни
Европейският институт за ИТ сертифициране следва редовно да преглежда и актуализира записа на личните данни, за да гарантира, че остава точен и актуален. Това може да стане чрез периодични одити или чрез непрекъснат процес на наблюдение.
4.6. Приложете подходящи мерки за сигурност
Европейският институт за ИТ сертифициране прилага подходящи мерки за сигурност за защита на личните данни, които притежава, включително мерки за предотвратяване на неоторизиран достъп, случайна загуба или унищожаване на лични данни, като част от политиката за информационна сигурност (ISP) на организацията. Това включва например криптиране, защитни стени и контроли за достъп. Подробна спецификация на процесите и мерките за защита на данните са обхванати от специалната Политика за информационна сигурност на Европейския институт за ИТ сертифициране.
Част 5. Предоставяне на ясна и кратка информация на субектите на данни
Когато събира лични данни, Европейският институт за ИТ сертифициране предоставя ясна и кратка информация на субектите на данни относно техните права, включително правото на достъп, коригиране, изтриване и възражение срещу обработването на техните лични данни.
5.1. Прозрачност
Европейският институт за ИТ сертифициране е прозрачен при обработването на лични данни и предоставя кратка информация на субектите на данни за това как техните данни се използват, обработват и съхраняват.
5.2. Декларация за поверителност
Европейският институт за ИТ сертифициране има подробна политика за поверителност, която очертава неговите дейности по обработка на данни, включително как субектите на данни могат да упражняват правата си на субекти на данни.
5.3. Право на достъп
Субектите на данни имат право да поискат достъп до личните данни, които Европейският институт за ИТ сертифициране съхранява за тях. Европейският институт за ИТ сертифициране предоставя ясна и кратка информация на субектите на данни за това как да направят заявка за достъп, каква информация ще бъде необходима за потвърждаване на самоличността им и колко време ще отнеме на Европейския институт за ИТ сертифициране, за да отговори на искането.
5.4. Право на коригиране
Субектите на данни имат право да поискат от Европейския институт за ИТ сертифициране да коригира всички неточни или непълни лични данни, които съхранява за тях. Европейският институт за ИТ сертифициране предоставя ясна и кратка информация на субектите на данни за това как да направят искане за коригиране, каква информация ще бъде необходима за потвърждаване на самоличността им и колко време ще отнеме на Европейския институт за ИТ сертифициране, за да отговори на искането.
5.5. Право на изтриване
Субектите на данни имат право да поискат от Европейския институт за ИТ сертифициране да изтрие техните лични данни при определени обстоятелства. Европейският институт за ИТ сертифициране предоставя ясна и кратка информация на субектите на данни за това как да подадат искане за изтриване, каква информация ще бъде необходима за потвърждаване на тяхната самоличност и колко време ще отнеме на Европейския институт за ИТ сертифициране, за да отговори на искането.
5.6. Право на възражение
Субектите на данни имат право да възразят срещу обработването на техните лични данни при определени обстоятелства. Европейският институт за ИТ сертифициране предоставя ясна и кратка информация на субектите на данни за това как да направят искане за възражение, каква информация ще бъде необходима за потвърждаване на самоличността им и колко време ще отнеме на Европейския институт за ИТ сертифициране, за да отговори на искането.
5.7. Информация за контакти
Европейският институт за ИТ сертифициране предоставя ясна и кратка информация за контакт, която субектите на данни могат да използват, ако имат въпроси или притеснения относно това как се обработват техните лични данни.
Част 6. Установяване на стандартно време за реакция
Европейският институт за ИТ сертифициране установи стандартно време за отговор за заявки за права на субекти на данни и гарантира, че на исканията се отговаря в рамките на този срок.
6.1. Стандартно време за реакция
Европейският институт за ИТ сертифициране установява стандартно време за отговор от 30 дни за заявки за права на субекти на данни. Стандартното време за отговор определя горна времева граница за обработка и отговор и по-голямата част от заявките се обработват и отговарят в рамките на по-кратко време.
6.2. Време за потвърждение на получаването на заявка
При получаване на искане за права на субект на данни, DPO или други членове на персонала ще потвърдят получаването на искането в рамките на 5 работни дни и ще предоставят на субекта на данни приблизителна времева рамка за предоставяне на отговор.
6.3. Изключителни удължения на стандартното време за реакция
Европейският институт за ИТ сертифициране ще положи разумни усилия, за да отговори на искания за права на субекти на данни в рамките на установеното стандартно време за отговор. Въпреки това, ако заявката е сложна или ако Европейският институт за ИТ сертифициране получи голям брой заявки, времето за отговор може да бъде удължено. В такива случаи DPO ще информира субекта на данните за удължаването и причината за забавянето.
6.4. Отказ за изпълнение на искане за права на субект на данни
Ако Европейският институт за ИТ сертифициране не е в състояние да изпълни искане за права на субект на данни, той ще предостави на субекта на данните обяснение за отказа и ще го информира за правото му да подаде жалба до съответния надзорен орган.
6.5. Записи на заявки за права на субекти на данни и отговори
Европейският институт за ИТ сертифициране ще поддържа точни записи на заявките за права на субекти на данни и отговорите, включително датата на получаване на заявката, естеството на заявката и датата и начина на отговора.
6.6. Периодични прегледи
DPO периодично ще преглежда времето за реакция на Европейския институт за ИТ сертифициране и ще го актуализира, ако е необходимо, за да гарантира съответствие с приложимите разпоредби за защита на данните.
Част 7. Проверка на самоличността на субекта на данните
7.1. Изискване за проверка на самоличността
Европейският институт за ИТ сертифициране трябва да провери самоличността на субекта на данните, който прави искането, за да гарантира, че личните данни се предоставят само на правилното лице.
7.2. Средства и методи за проверка на самоличността
Когато субект на данни отправи искане да упражни правата си съгласно законите за защита на данните, Европейският институт за ИТ сертифициране трябва да провери самоличността на субекта на данните, като използва подходящи мерки, като например изискване на документи за самоличност.
7.3. Проверка на самоличността на пълномощник
Ако субектът на данните прави искането от името на някой друг, Европейският институт за ИТ сертифициране трябва да провери самоличността както на субекта на данните, така и на лицето, от чието име се прави искането.
7.4. Съмнения при проверка на самоличността
Ако Европейският институт за ИТ сертифициране има съмнения относно самоличността на субекта на данните или валидността на искането, той може да поиска допълнителна информация или да предприеме други подходящи мерки за проверка на самоличността на субекта на данните.
7.5. Записи за проверка на самоличността
Европейският институт за ИТ сертифициране следва да съхранява протокол за процеса на проверка и предприетите мерки за проверка на самоличността на субекта на данните. Този запис трябва да се съхранява за разумен период от време и да се използва за демонстриране на съответствие със законите за защита на данните.
Част 8. Бърз отговор на заявки за права на субекти на данни
8.1. Бърз отговор
Европейският институт за ИТ сертифициране отговаря незабавно на искания за права на субекти на данни и предоставя на субекта на данните информацията, която е поискал.
8.2. Поискайте потвърждение за получаване
Европейският институт за ИТ сертифициране потвърждава получаването на искането на субекта на данните възможно най-скоро, в идеалния случай в рамките на 5 работни дни.
8.3. Поискайте преглед
Определеният DPO трябва да прегледа искането, за да се увери, че отговаря на необходимите изисквания и че е предоставена цялата необходима информация.
8.4. Проверка на самоличността на субекта на данните
Европейският институт за ИТ сертифициране проверява самоличността на субекта на данните, който прави искането, за да гарантира, че личните данни се предоставят само на правилното лице.
8.5. Получаване на допълнителна информация при необходимост
Ако заявката е неясна или недостатъчна, Европейският институт за ИТ сертифициране трябва да се свърже със субекта на данните, за да получи допълнителна информация.
8.5. Извличане на съответните данни
Европейският институт за ИТ сертифициране извлича съответните лични данни и ги преглежда, за да гарантира, че са точни и актуални.
8.6. Предоставяне на исканата информация
Европейският институт за ИТ сертифициране предоставя на субекта на данни информацията, която е поискал, включително копие от личните му данни в често използван електронен формат, освен ако не е поискано друго.
8.7. Информирайте субекта на данните за неговите права
Европейският институт за ИТ сертифициране информира субекта на данните за другите му права, като например правото да коригира или изтрие личните си данни, и му предоставя необходимите инструкции.
8.8. Спазване на времето за реакция
Европейският институт за ИТ сертифициране отговаря на искания за права на субекти на данни в рамките на установеното време за отговор, като гарантира, че са предприети необходимите действия за изпълнение на искането.
8.9. Документиране на отговора
Европейският институт за ИТ сертифициране документира отговора на искането за правата на субекта на данни, включително всички предприети действия и времето за отговор, за да гарантира, че може да бъде одитиран и проследен за целите на съответствието.
8.10. Уведомяване на субекта на данните за всякакви промени
Ако бъдат направени промени в личните данни на субекта на данните в резултат на тяхното искане, Европейският институт за ИТ сертифициране уведомява субекта на данните за тези промени.
Част 9. Документиране на заявки за права на субекти на данни
Европейският институт за ИТ сертифициране поддържа регистър на заявките за права на субекти на данни, включително датата на заявката, естеството на заявката и отговора на заявката. Документирането на искания за права на субекти на данни включва следните аспекти:
9.1. Поддържане на регистър
Европейският институт за ИТ сертифициране поддържа регистър, който обхваща всички получени заявки за права на субекти на данни. Този регистър трябва да включва следните подробности:
- Дата на заявката
- Име и данни за контакт на субекта на данните
- Описание на заявката
- Предприети действия в отговор на искането
- Всяка допълнителна информация, необходима за обработка на заявката
9.2. Стандартизиран процес за документация
Европейският институт за ИТ сертифициране изпълнява стандартизиран процес за документиране на заявки за права на субекти на данни, за да гарантира последователност и точност на събраната информация.
9.3. Период на задържане
Европейският институт за ИТ сертифициране поддържа тези записи за разумен период от време, определен от приложимите закони и разпоредби, не по-кратък от 2 години.
9.4. Поддържане на конфиденциалност
Европейският институт за ИТ сертифициране гарантира, че записите на заявките за права на субекти на данни са достъпни само за упълномощен персонал, който има нужда от достъп до такава информация при изпълнение на своите задължения. Той също така прилага технически и организационни мерки за предотвратяване на неоторизиран достъп, разкриване, промяна или унищожаване на лични данни, съдържащи се в записите на заявки за права на субекти на данни.
9.5. Докладване
Европейският институт за ИТ сертифициране периодично генерира отчети за получени, обработени и неуредени искания за права на субекти на данни. Тези отчети се споделят със съответните заинтересовани страни, включително висшето ръководство и DPO.
9.6. анализ
Европейският институт за ИТ сертифициране извършва анализ на тенденциите относно заявките за права на субекти на данни, за да идентифицира моделите и основните причини за исканията. Тази информация се използва за подобряване на процесите и процедурите за по-добро управление на такива заявки.
Част 10. Мониторинг и преглед на процеса
Европейският институт за ИТ сертифициране редовно наблюдава и преразглежда своя процес за обработка на заявки за права на субекти на данни, за да гарантира, че той остава ефективен и в съответствие с GDPR.
10.1. Провеждане на периодични прегледи
Европейският институт за ИТ сертифициране извършва периодични прегледи на своя процес на обработка на заявки за права на субекти на данни и политика за съответствие с GDPR, за да гарантира, че е ефективен и в съответствие с разпоредбите за защита на данните. Тези прегледи включват анализ на броя и вида на получените искания, навременността и ефективността на отговорите и всички области за подобрение.
10.2. Внедряване на подобрения
Въз основа на констатациите от прегледите, Европейският институт за ИТ сертифициране внедрява всички необходими подобрения в своя процес на обработка на заявки за права на субекти на данни. Това може да включва актуализации на процедурите, допълнително обучение за персонала или промени в начина, по който се проверяват заявките и се отговаря на тях.
10.3. Осигуряване на непрекъснато съответствие
Европейският институт за ИТ сертифициране гарантира непрекъснато спазване на разпоредбите за защита на данните, като редовно преглежда и актуализира своите политики и процедури в съответствие с всички промени в съответните закони и разпоредби.
10.4. Мониторинг на работата на персонала
Европейският институт за ИТ сертифициране наблюдава работата на персонала във връзка с обработката на заявки за права на субекти на данни, включително качеството и навременността на отговорите. Това може да включва периодично обучение и прегледи на изпълнението, за да се гарантира, че персоналът е запознат и компетентен в тази област.
10.5. Комуникация със субекти на данни
Европейският институт за ИТ сертифициране комуникира със субектите на данни по време на процеса на обработка на заявките, за да гарантира, че те ще бъдат информирани за напредъка и всяка подходяща информация. Това може да включва предоставяне на актуализации за състоянието на тяхната заявка или изискване на допълнителна информация, ако е необходимо.
10.6. Поддържане на записи
Европейският институт за ИТ сертифициране поддържа записи на своите прегледи, включително всички промени, направени в неговия процес на обработка на заявки за права на субекти на данни, както и всяка обратна връзка, получена от субекти на данни. Тази информация може да се използва за подпомагане на текущите усилия за съответствие и за идентифициране на области за по-нататъшно подобрение.
Част 11. Създаване на запис на дейностите по обработка
Европейският институт за ИТ сертифициране поддържа Регистър на дейностите по обработка, който е документ, който очертава обработването на лични данни, извършвано от организацията. Изисква се съгласно Общия регламент за защита на данните на ЕС (GDPR) и има за цел да подпомогне разбирането на дейностите по обработка на данни и да демонстрира съответствие с GDPR.
11.1. ROPA структура
ROPA включва основна информация за името и данните за контакт на организацията, целите на обработката на данните, категориите обработвани лични данни, получателите на личните данни и периодите на съхранение на личните данни. Той също така включва информация за всички обработващи трети страни, които обработват лични данни от името на организацията.
11.2. ROPA редовни актуализации
ROPA се актуализира редовно и е жив документ, който отразява промените в дейностите по обработка на данни на Европейския институт за ИТ сертифициране, подпомагайки изграждането на доверие със субектите на данни.
Европейският институт за ИТ сертифициране се ангажира да поддържа най-високи стандарти по отношение на своята политика за управление на заявките за права на субекти на данни и обща политика за регулиране на защитата на данните, като се уверява, че спазва всички приложими закони и разпоредби, свързани с тези въпроси, както и водещи индустриални стандарти и най-добри практики, включително системата за управление на информация за поверителност ISO 27701.