นโยบาย DSRRM และ GDPR

นโยบาย EITCA Academy เกี่ยวกับการจัดการคำขอสิทธิ์เจ้าของข้อมูลและระเบียบคุ้มครองข้อมูลทั่วไป

เอกสารนี้ระบุนโยบายของ European IT Certification Institute เกี่ยวกับการจัดการคำขอสิทธิ์ของเจ้าของข้อมูล ตลอดจนการดำเนินการตามกฎระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (EU General Data Protection Regulation) ซึ่งได้รับการทบทวนและปรับปรุงเป็นประจำเพื่อให้มั่นใจถึงประสิทธิภาพและความเกี่ยวข้อง การอัปเดตครั้งล่าสุดของการจัดการคำขอสิทธิ์เจ้าของข้อมูล EITCI และนโยบาย GDPR มีขึ้นเมื่อวันที่ 10 มกราคม 2023 การจัดการคำขอสิทธิ์เจ้าของข้อมูลและนโยบาย GDPR อิงตามหลักการของการขยายระบบการจัดการข้อมูลความเป็นส่วนตัว ISO 27701 ไปสู่ความปลอดภัยของข้อมูล ISO 27001 มาตรฐานระบบ รวมถึงข้อกำหนดของ General Data Protection Regulation (2016/679)

ตอนที่ 1 บทนำ

การจัดการคำขอสิทธิ์ของเจ้าของข้อมูลเป็นส่วนสำคัญในการรับรองการปฏิบัติตามกฎระเบียบด้านการคุ้มครองข้อมูล ซึ่งก็คือ GDPR (กฎระเบียบด้านการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป) European IT Certification Institute กำหนดขั้นตอนอย่างเป็นทางการต่อไปนี้สำหรับการจัดการคำขอสิทธิ์ของเจ้าของข้อมูลและการดำเนินการตามข้อกำหนดของ GDPR:

1.1. การสร้างกระบวนการจัดการคำขอสิทธิ์ของเจ้าของข้อมูล

กระบวนการนี้สรุปขั้นตอนที่ European IT Certification Institute ปฏิบัติตามเมื่อจัดการคำขอสิทธิ์ของเจ้าของข้อมูล รวมถึงการระบุตัวตนและการรับรองความถูกต้องของเจ้าของข้อมูล การตรวจสอบคำขอของเจ้าของข้อมูล และการตอบสนองต่อคำขอ

1.2. การกำหนดเจ้าหน้าที่คุ้มครองข้อมูล (DPO)

สถาบันรับรองด้านไอทีแห่งยุโรปกำหนดให้ DPO ซึ่งมีหน้าที่รับผิดชอบดูแลการจัดการคำขอสิทธิ์ของเจ้าของข้อมูล รวมถึงการตรวจสอบคำขอ การตอบกลับคำขอ และการรับรองการปฏิบัติตามกฎระเบียบด้านการคุ้มครองข้อมูล

1.3. การรักษาบันทึกข้อมูลส่วนบุคคลที่เป็นปัจจุบัน

European IT Certification Institute เก็บรักษาบันทึกที่เป็นปัจจุบันของข้อมูลส่วนบุคคลที่เก็บไว้และวัตถุประสงค์ในการดำเนินการ สิ่งนี้จะช่วยให้ European IT Certification Institute สามารถตอบสนองคำขอสิทธิ์ของเจ้าของข้อมูลได้อย่างรวดเร็วและแม่นยำ

1.4. ให้ข้อมูลที่ชัดเจนและรัดกุมแก่เจ้าของข้อมูล

เมื่อรวบรวมข้อมูลส่วนบุคคล European IT Certification Institute จะให้ข้อมูลที่ชัดเจนและรัดกุมแก่เจ้าของข้อมูลเกี่ยวกับสิทธิ์ รวมถึงสิทธิ์ในการเข้าถึง แก้ไข ลบ และคัดค้านการประมวลผลข้อมูลส่วนบุคคล

1.5. กำหนดเวลาตอบสนองมาตรฐาน

European IT Certification Institute รักษาเวลาตอบสนองมาตรฐานสำหรับคำขอสิทธิ์ของเจ้าของข้อมูล และตรวจสอบให้แน่ใจว่าคำขอได้รับการตอบกลับภายในกรอบเวลานี้

1.6. การยืนยันตัวตนของเจ้าของข้อมูล

European IT Certification Institute ตรวจสอบตัวตนของเจ้าของข้อมูลที่ส่งคำขอเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลนั้นมอบให้กับบุคคลที่ถูกต้องเท่านั้น

1.7. ตอบสนองต่อคำขอสิทธิ์ของเจ้าของข้อมูลโดยทันที

สถาบันรับรองด้านไอทีแห่งยุโรปตอบสนองต่อคำขอสิทธิ์ของเจ้าของข้อมูลโดยทันที และให้ข้อมูลที่พวกเขาร้องขอแก่เจ้าของข้อมูล

1.8. จัดทำเอกสารคำขอสิทธิ์ของเจ้าของข้อมูล

European IT Certification Institute เก็บรักษาบันทึกคำขอสิทธิ์ของเจ้าของข้อมูล รวมถึงวันที่ของคำขอ ลักษณะของคำขอ และการตอบสนองต่อคำขอ

1.9. การติดตามและทบทวนกระบวนการ

European IT Certification Institute ตรวจสอบและทบทวนกระบวนการในการจัดการคำขอสิทธิ์ของเจ้าของข้อมูลอย่างสม่ำเสมอ เพื่อให้มั่นใจว่ายังคงมีประสิทธิภาพและสอดคล้องกับกฎระเบียบด้านการคุ้มครองข้อมูลที่เกี่ยวข้อง

1.10. การจัดทำบันทึกกิจกรรมการประมวลผล

European IT Certification Institute เก็บรักษาบันทึกกิจกรรมการประมวลผล ซึ่งเป็นเอกสารที่สรุปการประมวลผลข้อมูลส่วนบุคคลที่ดำเนินการโดยองค์กร เป็นข้อกำหนดภายใต้กฎระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (GDPR) และมีวัตถุประสงค์เพื่อสนับสนุนความเข้าใจเกี่ยวกับกิจกรรมการประมวลผลข้อมูลและแสดงให้เห็นถึงการปฏิบัติตาม GDPR

ด้วยการปฏิบัติตามระเบียบและขั้นตอนเหล่านี้ สถาบันรับรองด้านไอทีของยุโรปสามารถจัดการคำขอสิทธิ์ของเจ้าของข้อมูลได้อย่างมีประสิทธิภาพ และรับรองการปฏิบัติตามกฎระเบียบด้านการปกป้องข้อมูล รวมถึงกฎระเบียบด้านการคุ้มครองข้อมูลทั่วไปในสหภาพยุโรป

ส่วนที่ 2 การสร้างกระบวนการจัดการคำขอสิทธิ์ของเจ้าของข้อมูล

2.1. การระบุและรับรองความถูกต้องของเจ้าของข้อมูล

European IT Certification Institute มีกระบวนการในการตรวจสอบตัวตนของเจ้าของข้อมูลที่ส่งคำขอ ซึ่งอาจรวมถึงการขอบัตรประจำตัวที่ออกโดยรัฐบาล การตรวจสอบกับบันทึกที่มีอยู่ หรือการใช้วิธีการรับรองความถูกต้องอื่นๆ

2.2. ตรวจสอบคำขอของเจ้าของข้อมูล

เมื่อระบุตัวตนของเจ้าของข้อมูลได้แล้ว สถาบันรับรองด้านไอทีแห่งยุโรปจะต้องตรวจสอบว่าคำขอนั้นถูกต้องและเกี่ยวข้องกับข้อมูลส่วนบุคคลของเจ้าของข้อมูล คำขอควรรวมถึงสิทธิ์เฉพาะที่ใช้ เช่น สิทธิ์ในการเข้าถึง แก้ไข หรือลบข้อมูลส่วนบุคคล

2.3. ตอบสนองต่อคำขอ

สถาบันรับรองด้านไอทีแห่งยุโรปต้องตอบสนองต่อคำขอของเจ้าของข้อมูลภายในกรอบเวลาที่กำหนดโดยกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง แต่ไม่เกิน 30 วัน คำตอบควรมีคำอธิบายว่าคำขอนั้นได้รับหรือปฏิเสธหรือไม่ และเหตุผลในการตัดสินใจ

2.4. จัดทำเอกสารคำขอและการตอบสนอง

European IT Certification Institute เก็บรักษาบันทึกคำขอและการตอบสนองสิทธิ์ของเจ้าของข้อมูลทั้งหมด ซึ่งช่วยให้มั่นใจว่ามีการปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง ตลอดจนอำนวยความสะดวกในการตรวจสอบหรือสืบสวนในอนาคต

2.5. ฝึกอบรมเจ้าหน้าที่ที่เกี่ยวข้อง

European IT Certification Institute จะให้การฝึกอบรมแก่เจ้าหน้าที่ที่รับผิดชอบในการจัดการคำขอสิทธิ์ของเจ้าของข้อมูลเพื่อให้แน่ใจว่าพวกเขาคุ้นเคยกับกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องและขั้นตอนของ European IT Certification Institute สำหรับการจัดการคำขอดังกล่าว

2.6. การติดตามและทบทวนกระบวนการ

European IT Certification Institute ตรวจสอบและทบทวนกระบวนการจัดการคำขอสิทธิ์ของเจ้าของข้อมูลเป็นประจำเพื่อให้แน่ใจว่ายังคงมีประสิทธิภาพและสอดคล้องกับกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง ปัญหาหรือเหตุการณ์ใด ๆ จะถูกรายงานและแก้ไขอย่างทันท่วงที

ส่วนที่ 3 การกำหนดเจ้าหน้าที่คุ้มครองข้อมูล (DPO)

3.1. กำหนดให้ อ.ส.ค

สถาบันรับรองด้านไอทีแห่งยุโรปกำหนดเจ้าหน้าที่คุ้มครองข้อมูล (DPO) เพื่อดูแลการจัดการคำขอสิทธิ์ของเจ้าของข้อมูลและรับรองการปฏิบัติตามกฎระเบียบด้านการคุ้มครองข้อมูล DPO จะรับผิดชอบในการตรวจสอบคำขอและตรวจสอบให้แน่ใจว่า European IT Certification Institute ปฏิบัติตามข้อผูกพันทางกฎหมายที่เกี่ยวข้องกับการปกป้องข้อมูล

3.2. ข้อกำหนดความสามารถของ DPO

DPO ต้องมีความรู้อย่างเชี่ยวชาญเกี่ยวกับกฎหมายและแนวปฏิบัติด้านการคุ้มครองข้อมูล และได้รับทรัพยากรที่จำเป็นเพื่อปฏิบัติตามความรับผิดชอบของตน พวกเขาควรเข้าถึงผู้บริหารระดับสูงได้โดยตรงและรายงานต่อระดับการจัดการสูงสุดขององค์กร

3.3. ความรับผิดชอบของ อ.ส.ค

ความรับผิดชอบของ DPO รวมถึงแต่ไม่จำกัดเพียงสิ่งต่อไปนี้:

ให้คำแนะนำและคำแนะนำแก่ European IT Certification Institute ในเรื่องการคุ้มครองข้อมูล รวมถึงการจัดการคำขอสิทธิ์ของเจ้าของข้อมูล
ตรวจสอบการปฏิบัติตามกฎระเบียบของ European IT Certification Institute เกี่ยวกับการปกป้องข้อมูลและนโยบายและขั้นตอนภายใน
การตอบข้อซักถามและข้อร้องเรียนจากเจ้าของข้อมูลเกี่ยวกับสิทธิของตนภายใต้ระเบียบการคุ้มครองข้อมูล
การประสานงานกับแผนกอื่น ๆ เพื่อให้มั่นใจว่าเป็นไปตามข้อกำหนดการปกป้องข้อมูลทั่วทั้งองค์กร
ดำเนินการทบทวนและประเมินแนวทางปฏิบัติในการปกป้องข้อมูลของ European IT Certification Institute เป็นระยะและให้คำแนะนำในการปรับปรุง
ทำหน้าที่เป็นจุดติดต่อสำหรับหน่วยงานคุ้มครองข้อมูลและให้ความร่วมมือกับหน่วยงานเหล่านี้ในกรณีที่มีการสอบสวนหรือการตรวจสอบ
DPO ยังมีส่วนร่วมในการพัฒนาและดำเนินการตามนโยบายและขั้นตอนของ European IT Certification Institute ที่เกี่ยวข้องกับการปกป้องข้อมูล รวมถึงนโยบายที่เกี่ยวข้องกับการจัดการคำขอสิทธิ์ของเจ้าของข้อมูล

3.4. การฝึกอบรมและพัฒนาคุณวุฒิของ อ.ส.ค

สถาบันรับรองด้านไอทีแห่งยุโรปควรตรวจสอบให้แน่ใจว่า DPO ได้รับการฝึกอบรมอย่างเพียงพอเกี่ยวกับข้อบังคับด้านการปกป้องข้อมูล และติดตามการเปลี่ยนแปลงหรือการปรับปรุงข้อบังคับเหล่านี้ให้ทันสมัยอยู่เสมอ

3.5. ข้อมูลการติดต่อของ อ.ส.ค

ข้อมูลติดต่อของ DPO ควรมีให้สำหรับเจ้าของข้อมูลและรวมอยู่ในประกาศหรือนโยบายความเป็นส่วนตัวของ European IT Certification Institute

ส่วนที่ 4 การรักษาบันทึกข้อมูลส่วนบุคคลที่เป็นปัจจุบัน

4.1. การจัดทำกระบวนการระบุและบันทึกข้อมูลส่วนบุคคล

สถาบันรับรองมาตรฐานไอทีแห่งยุโรปกำหนดกระบวนการที่ชัดเจนและเป็นมาตรฐานสำหรับการระบุและบันทึกข้อมูลส่วนบุคคล รวมถึงชื่อเจ้าของข้อมูล ข้อมูลติดต่อ และข้อมูลอื่น ๆ ที่เกี่ยวข้อง กระบวนการนี้ทำให้มั่นใจได้ว่าข้อมูลส่วนบุคคลจะถูกรวบรวมเพื่อวัตถุประสงค์เฉพาะและถูกต้องตามกฎหมายเท่านั้น

4.2. การจัดหมวดหมู่ข้อมูลส่วนบุคคล

European IT Certification Institute จัดหมวดหมู่ข้อมูลส่วนบุคคลเพื่อให้ง่ายต่อการติดตามและจัดการ ซึ่งรวมถึงการจัดหมวดหมู่ข้อมูลตามประเภท เช่น ข้อมูลติดต่อ ข้อมูลการเรียกเก็บเงิน ความสามารถและคุณสมบัติ ข้อมูลทางการเงิน หรือประวัติการจ้างงาน

4.3. การนำระบบการจัดการข้อมูลมาใช้

European IT Certification Institute ใช้ระบบการจัดการข้อมูลเพื่อช่วยให้มั่นใจว่าข้อมูลส่วนบุคคลมีความถูกต้อง เป็นปัจจุบัน และสามารถเข้าถึงได้ ระบบการจัดการข้อมูลประกอบด้วยฐานข้อมูลที่สามารถค้นหาและสอบถามเพื่อช่วยตอบสนองต่อคำขอสิทธิ์ของเจ้าของข้อมูล

4.4. การกำหนดความรับผิดชอบในการเก็บรักษาบันทึกข้อมูลส่วนบุคคล

European IT Certification Institute ควรมอบหมายความรับผิดชอบในการเก็บรักษาบันทึกข้อมูลส่วนบุคคลให้กับบุคคลหรือแผนกเฉพาะ สิ่งนี้จะทำให้มั่นใจได้ว่าบันทึกจะได้รับการอัปเดตและถูกต้อง

4.5. ตรวจสอบและปรับปรุงบันทึกข้อมูลส่วนบุคคลอย่างสม่ำเสมอ

European IT Certification Institute ควรตรวจทานและอัปเดตบันทึกข้อมูลส่วนบุคคลเป็นประจำเพื่อให้แน่ใจว่าข้อมูลนั้นถูกต้องและเป็นปัจจุบัน สามารถทำได้ผ่านการตรวจสอบเป็นระยะหรือผ่านกระบวนการติดตามอย่างต่อเนื่อง

4.6. ใช้มาตรการรักษาความปลอดภัยที่เหมาะสม

European IT Certification Institute ใช้มาตรการรักษาความปลอดภัยที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลที่เก็บไว้ รวมถึงมาตรการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การสูญหายโดยไม่ได้ตั้งใจ หรือการทำลายข้อมูลส่วนบุคคล ซึ่งเป็นส่วนหนึ่งของนโยบายการรักษาความปลอดภัยของข้อมูล (ISP) ขององค์กร ซึ่งรวมถึงการเข้ารหัส ia ไฟร์วอลล์ และการควบคุมการเข้าถึง ข้อกำหนดโดยละเอียดของกระบวนการและมาตรการสำหรับการปกป้องข้อมูลครอบคลุมโดยนโยบายความปลอดภัยข้อมูลของสถาบันรับรองมาตรฐานไอทีแห่งยุโรปโดยเฉพาะ

ส่วนที่ 5 การให้ข้อมูลที่ชัดเจนและรัดกุมแก่เจ้าของข้อมูล

5.1. ความโปร่งใส

European IT Certification Institute มีความโปร่งใสในการประมวลผลข้อมูลส่วนบุคคลและให้ข้อมูลที่กระชับแก่เจ้าของข้อมูลเกี่ยวกับวิธีการใช้ ประมวลผล และจัดเก็บข้อมูลของพวกเขา

5.2 นโยบายความเป็นส่วนตัว

European IT Certification Institute มีนโยบายความเป็นส่วนตัวโดยละเอียดซึ่งสรุปกิจกรรมการประมวลผลข้อมูล รวมถึงวิธีที่เจ้าของข้อมูลสามารถใช้สิทธิ์ของเจ้าของข้อมูลได้

5.3. สิทธิ์ในการเข้าถึง

เจ้าของข้อมูลมีสิทธิ์ขอเข้าถึงข้อมูลส่วนบุคคลที่ European IT Certification Institute เก็บไว้เกี่ยวกับพวกเขา European IT Certification Institute ให้ข้อมูลที่ชัดเจนและรัดกุมแก่เจ้าของข้อมูลเกี่ยวกับวิธีการขอสิทธิ์เข้าถึง ข้อมูลที่จำเป็นในการยืนยันตัวตน และระยะเวลาที่ European IT Certification Institute จะใช้ในการตอบสนองต่อคำขอ

5.4. สิทธิในการแก้ไข

เจ้าของข้อมูลมีสิทธิ์ร้องขอให้สถาบันรับรองมาตรฐานไอทีแห่งยุโรปแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้องหรือไม่สมบูรณ์ที่ตนมีอยู่ European IT Certification Institute ให้ข้อมูลที่ชัดเจนและรัดกุมแก่เจ้าของข้อมูลเกี่ยวกับวิธีการขอแก้ไข ข้อมูลใดบ้างที่ต้องใช้ในการตรวจสอบตัวตน และระยะเวลาที่ European IT Certification Institute จะใช้ในการตอบกลับคำขอ

5.5. สิทธิ์ในการลบ

เจ้าของข้อมูลมีสิทธิ์ร้องขอให้ European IT Certification Institute ลบข้อมูลส่วนบุคคลของตนในบางสถานการณ์ European IT Certification Institute ให้ข้อมูลที่ชัดเจนและรัดกุมแก่เจ้าของข้อมูลเกี่ยวกับวิธีการส่งคำขอให้ลบข้อมูล ข้อมูลที่จำเป็นในการยืนยันตัวตน และระยะเวลาที่ European IT Certification Institute จะใช้ในการตอบสนองต่อคำขอ

5.6. สิทธิในการคัดค้าน

เจ้าของข้อมูลมีสิทธิ์คัดค้านการประมวลผลข้อมูลส่วนบุคคลในบางสถานการณ์ European IT Certification Institute ให้ข้อมูลที่ชัดเจนและรัดกุมแก่เจ้าของข้อมูลเกี่ยวกับวิธีส่งคำขอเพื่อคัดค้าน ข้อมูลใดที่ต้องใช้ในการตรวจสอบตัวตน และระยะเวลาที่ European IT Certification Institute จะใช้ในการตอบสนองต่อคำขอ

5.7 ข้อมูลติดต่อ

European IT Certification Institute ให้ข้อมูลติดต่อที่ชัดเจนและรัดกุมสำหรับเจ้าของข้อมูลเพื่อใช้หากมีคำถามหรือข้อกังวลเกี่ยวกับวิธีการประมวลผลข้อมูลส่วนบุคคล

ส่วนที่ 6 กำหนดเวลาตอบสนองมาตรฐาน

สถาบันรับรองด้านไอทีแห่งยุโรปได้กำหนดเวลาตอบกลับมาตรฐานสำหรับคำขอสิทธิ์ของเจ้าของข้อมูล และตรวจสอบให้แน่ใจว่าคำขอได้รับการตอบกลับภายในกรอบเวลานี้

6.1. เวลาตอบสนองมาตรฐาน

European IT Certification Institute กำหนดเวลาตอบสนองมาตรฐานไว้ที่ 30 วันสำหรับคำขอสิทธิ์ของเจ้าของข้อมูล เวลาตอบกลับมาตรฐานจะกำหนดเวลาสูงสุดสำหรับการประมวลผลและตอบกลับ และคำขอส่วนใหญ่จะได้รับการประมวลผลและตอบกลับภายในเวลาที่สั้นกว่า

6.2. ขอเวลาตอบรับการตอบรับ

เมื่อได้รับคำขอสิทธิ์ของเจ้าของข้อมูล อพ. หรือเจ้าหน้าที่คนอื่นๆ จะรับทราบคำขอภายใน 5 วันทำการและแจ้งกรอบเวลาโดยประมาณแก่เจ้าของข้อมูลเพื่อให้ตอบกลับ

6.3. การขยายเวลาตอบสนองมาตรฐานที่ยอดเยี่ยม

European IT Certification Institute จะใช้ความพยายามตามสมควรเพื่อตอบสนองคำขอสิทธิ์ของเจ้าของข้อมูลภายในเวลาตอบสนองมาตรฐานที่กำหนดไว้ อย่างไรก็ตาม หากคำขอมีความซับซ้อนหรือหากสถาบันรับรองมาตรฐานไอทีแห่งยุโรปได้รับคำขอจำนวนมาก เวลาตอบสนองอาจขยายออกไป ในกรณีดังกล่าว DPO จะแจ้งให้เจ้าของข้อมูลทราบถึงการขยายเวลาและเหตุผลของความล่าช้า

6.4. ปฏิเสธที่จะปฏิบัติตามคำขอสิทธิ์ของเจ้าของข้อมูล

หาก European IT Certification Institute ไม่สามารถดำเนินการตามคำขอสิทธิ์ของเจ้าของข้อมูลได้ สถาบันจะให้คำอธิบายสำหรับการปฏิเสธแก่เจ้าของข้อมูลและแจ้งให้พวกเขาทราบถึงสิทธิ์ในการร้องเรียนต่อหน่วยงานกำกับดูแลที่เกี่ยวข้อง

6.5. บันทึกคำขอและการตอบสนองสิทธิ์ของเจ้าของข้อมูล

European IT Certification Institute จะเก็บรักษาบันทึกที่ถูกต้องของคำขอสิทธิ์ของเจ้าของข้อมูลและการตอบสนอง รวมถึงวันที่ได้รับคำขอ ลักษณะของคำขอ และวันที่และลักษณะการตอบสนอง

6.6. บทวิจารณ์เป็นระยะ

DPO จะตรวจสอบเวลาตอบสนองของ European IT Certification Institute เป็นระยะๆ และอัปเดตตามความจำเป็นเพื่อให้แน่ใจว่าเป็นไปตามข้อบังคับด้านการปกป้องข้อมูลที่บังคับใช้

ส่วนที่ 7 การตรวจสอบตัวตนของเจ้าของข้อมูล

7.1. ข้อกำหนดในการยืนยันตัวตน

สถาบันรับรองด้านไอทีแห่งยุโรปต้องตรวจสอบตัวตนของเจ้าของข้อมูลที่ส่งคำขอเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลนั้นมอบให้กับบุคคลที่ถูกต้องเท่านั้น

7.2. วิธีและวิธีการยืนยันตัวตน

เมื่อเจ้าของข้อมูลขอใช้สิทธิ์ตามกฎหมายคุ้มครองข้อมูล European IT Certification Institute จะต้องตรวจสอบตัวตนของเจ้าของข้อมูลโดยใช้มาตรการที่เหมาะสม เช่น การขอเอกสารระบุตัวตน

7.3. การยืนยันตัวตนของผู้รับมอบฉันทะ

หากเจ้าของข้อมูลกำลังส่งคำขอในนามของบุคคลอื่น European IT Certification Institute จะต้องตรวจสอบตัวตนของทั้งเจ้าของข้อมูลและบุคคลที่ดำเนินการตามคำขอในนามของบุคคลอื่น

7.4. สงสัยในการยืนยันตัวตน

หาก European IT Certification Institute มีข้อสงสัยเกี่ยวกับตัวตนของเจ้าของข้อมูลหรือความถูกต้องของคำขอ สถาบันอาจขอข้อมูลเพิ่มเติมหรือใช้มาตรการอื่นที่เหมาะสมเพื่อตรวจสอบตัวตนของเจ้าของข้อมูล

7.5. บันทึกการยืนยันตัวตน

European IT Certification Institute ควรเก็บบันทึกกระบวนการตรวจสอบและมาตรการที่ใช้เพื่อตรวจสอบตัวตนของเจ้าของข้อมูล บันทึกนี้ควรเก็บไว้เป็นระยะเวลาที่เหมาะสมและใช้เพื่อแสดงให้เห็นถึงการปฏิบัติตามกฎหมายคุ้มครองข้อมูล

ส่วนที่ 8 การตอบสนองต่อคำขอสิทธิ์ของเจ้าของข้อมูลโดยทันที

8.1. การตอบสนองรวดเร็ว

European IT Certification Institute ตอบสนองคำขอสิทธิ์ของเจ้าของข้อมูลโดยทันที และให้ข้อมูลที่พวกเขาร้องขอแก่เจ้าของข้อมูล

8.2. ขอใบเสร็จรับเงิน

European IT Certification Institute ตอบรับคำขอของเจ้าของข้อมูลโดยเร็วที่สุดเท่าที่จะเป็นไปได้ ภายใน 5 วันทำการ

8.3. ร้องขอการตรวจสอบ

DPO ที่กำหนดควรตรวจสอบคำขอเพื่อให้แน่ใจว่าเป็นไปตามข้อกำหนดที่จำเป็นและได้ให้ข้อมูลที่จำเป็นทั้งหมดแล้ว

8.4. การตรวจสอบตัวตนเจ้าของข้อมูล

8.5 การรับข้อมูลเพิ่มเติมหากจำเป็น

หากคำขอไม่ชัดเจนหรือไม่เพียงพอ European IT Certification Institute ควรติดต่อเจ้าของข้อมูลเพื่อรับข้อมูลเพิ่มเติม

8.5 การดึงข้อมูลที่เกี่ยวข้อง

European IT Certification Institute เรียกค้นข้อมูลส่วนบุคคลที่เกี่ยวข้องและตรวจสอบเพื่อให้แน่ใจว่าถูกต้องและเป็นปัจจุบัน

8.6. ให้ข้อมูลตามที่ร้องขอ

European IT Certification Institute จัดเตรียมข้อมูลที่พวกเขาร้องขอให้กับเจ้าของข้อมูล รวมถึงสำเนาข้อมูลส่วนบุคคลในรูปแบบอิเล็กทรอนิกส์ที่ใช้กันทั่วไป เว้นแต่จะมีการร้องขอเป็นอย่างอื่น

8.7. แจ้งเจ้าของข้อมูลให้ทราบถึงสิทธิของตน

European IT Certification Institute แจ้งให้เจ้าของข้อมูลทราบถึงสิทธิ์อื่นๆ เช่น สิทธิ์ในการแก้ไขหรือลบข้อมูลส่วนบุคคล และให้คำแนะนำที่จำเป็นแก่เจ้าของข้อมูล

8.8. สอดคล้องกับเวลาตอบสนอง

European IT Certification Institute ตอบกลับคำขอสิทธิ์ของเจ้าของข้อมูลภายในเวลาตอบสนองที่กำหนด เพื่อให้มั่นใจว่ามีการดำเนินการที่จำเป็นเพื่อให้สอดคล้องกับคำขอ

8.9 จัดทำเอกสารตอบกลับ

สถาบันรับรองด้านไอทีแห่งยุโรปจัดทำเอกสารการตอบสนองต่อคำขอสิทธิ์ของเจ้าของข้อมูล รวมถึงการดำเนินการใดๆ ที่ดำเนินการและเวลาตอบสนอง เพื่อให้แน่ใจว่าสามารถตรวจสอบและติดตามได้ตามวัตถุประสงค์

8.10 น. แจ้งเจ้าของข้อมูลเมื่อมีการเปลี่ยนแปลงใดๆ

หากมีการเปลี่ยนแปลงใด ๆ กับข้อมูลส่วนบุคคลของเจ้าของข้อมูลอันเป็นผลมาจากคำขอของพวกเขา สถาบันรับรองมาตรฐานไอทีแห่งยุโรปจะแจ้งให้เจ้าของข้อมูลทราบถึงการเปลี่ยนแปลงเหล่านี้

ส่วนที่ 9 การจัดทำเอกสารคำขอสิทธิ์ของเจ้าของข้อมูล

European IT Certification Institute เก็บรักษาบันทึกคำขอสิทธิ์ของเจ้าของข้อมูล รวมถึงวันที่ของคำขอ ลักษณะของคำขอ และการตอบสนองต่อคำขอ การจัดทำเอกสารคำขอสิทธิ์ของเจ้าของข้อมูลรวมถึงประเด็นต่างๆ ต่อไปนี้:

9.1. รักษาทะเบียน

European IT Certification Institute เก็บรักษาทะเบียนที่รวบรวมคำขอสิทธิ์ของเจ้าของข้อมูลทั้งหมดที่ได้รับ การลงทะเบียนนี้ควรรวบรวมรายละเอียดต่อไปนี้:

วันที่ของคำขอ
ชื่อและรายละเอียดการติดต่อของเจ้าของข้อมูล
คำอธิบายของคำขอ
ดำเนินการเพื่อตอบสนองคำขอ
ข้อมูลเพิ่มเติมใด ๆ ที่จำเป็นในการดำเนินการตามคำขอ

9.2. กระบวนการมาตรฐานสำหรับเอกสาร

European IT Certification Institute ดำเนินกระบวนการที่เป็นมาตรฐานสำหรับการจัดทำเอกสารคำขอสิทธิ์ของเจ้าของข้อมูล เพื่อให้มั่นใจว่าข้อมูลที่รวบรวมมีความสอดคล้องและถูกต้อง

9.3. ระยะเวลาการเก็บรักษา

European IT Certification Institute เก็บรักษาบันทึกเหล่านี้ไว้ตามระยะเวลาที่เหมาะสม ซึ่งกำหนดโดยกฎหมายและข้อบังคับที่บังคับใช้ ซึ่งมีอายุไม่เกิน 2 ปี

9.4. การรักษาความลับ

สถาบันรับรองด้านไอทีแห่งยุโรปรับรองว่าบันทึกคำขอสิทธิ์ของเจ้าของข้อมูลจะเข้าถึงได้เฉพาะบุคลากรที่ได้รับอนุญาตซึ่งจำเป็นต้องเข้าถึงข้อมูลดังกล่าวในการปฏิบัติหน้าที่ของตนเท่านั้น นอกจากนี้ยังใช้มาตรการทางเทคนิคและองค์กรเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การเปิดเผย การเปลี่ยนแปลงหรือการทำลายข้อมูลส่วนบุคคลที่อยู่ในบันทึกคำขอสิทธิ์ของเจ้าของข้อมูล

9.5 การรายงาน

European IT Certification Institute จัดทำรายงานเกี่ยวกับคำขอสิทธิ์ของเจ้าของข้อมูลที่ได้รับ ประมวลผล และค้างชำระเป็นระยะๆ รายงานเหล่านี้แบ่งปันกับผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องรวมถึงผู้บริหารระดับสูงและ DPO

9.6 Analytics

European IT Certification Institute ดำเนินการวิเคราะห์แนวโน้มเกี่ยวกับคำขอสิทธิ์ของเจ้าของข้อมูลเพื่อระบุรูปแบบและสาเหตุของคำขอ ข้อมูลนี้ใช้เพื่อปรับปรุงกระบวนการและขั้นตอนในการจัดการคำขอดังกล่าวให้ดียิ่งขึ้น

ส่วนที่ 10 การติดตามและทบทวนกระบวนการ

European IT Certification Institute ตรวจสอบและทบทวนกระบวนการในการจัดการคำขอสิทธิ์ของเจ้าของข้อมูลเป็นประจำ เพื่อให้มั่นใจว่ายังคงมีประสิทธิภาพและสอดคล้องกับ GDPR

10.1. ดำเนินการตรวจสอบเป็นระยะ

European IT Certification Institute ดำเนินการตรวจสอบกระบวนการจัดการคำขอสิทธิ์ของเจ้าของข้อมูลเป็นระยะๆ และนโยบายการปฏิบัติตาม GDPR เพื่อให้แน่ใจว่ามีประสิทธิภาพและเป็นไปตามข้อบังคับด้านการคุ้มครองข้อมูล การตรวจสอบเหล่านี้รวมถึงการวิเคราะห์จำนวนและประเภทของคำขอที่ได้รับ ความทันเวลาและประสิทธิผลของการตอบสนอง และด้านใด ๆ สำหรับการปรับปรุง

10.2. การดำเนินการปรับปรุง

จากผลการทบทวนพบว่า European IT Certification Institute ดำเนินการปรับปรุงที่จำเป็นใดๆ กับกระบวนการจัดการคำขอสิทธิ์ของเจ้าของข้อมูล ซึ่งอาจรวมถึงการอัปเดตขั้นตอน การฝึกอบรมเพิ่มเติมสำหรับพนักงาน หรือการเปลี่ยนแปลงวิธีการตรวจสอบและตอบกลับคำขอ

10.3. ตรวจสอบให้แน่ใจว่ามีการปฏิบัติตามอย่างต่อเนื่อง

European IT Certification Institute รับรองการปฏิบัติตามกฎระเบียบด้านการปกป้องข้อมูลอย่างต่อเนื่องโดยการตรวจสอบและอัปเดตนโยบายและขั้นตอนอย่างสม่ำเสมอเพื่อให้สอดคล้องกับการเปลี่ยนแปลงใด ๆ ต่อกฎหมายและข้อบังคับที่เกี่ยวข้อง

10.4. ติดตามการปฏิบัติงานของพนักงาน

European IT Certification Institute ตรวจสอบประสิทธิภาพของเจ้าหน้าที่ที่เกี่ยวข้องกับการจัดการคำขอสิทธิ์ของเจ้าของข้อมูล รวมถึงคุณภาพและความทันเวลาของการตอบสนอง ซึ่งอาจรวมถึงการฝึกอบรมเป็นระยะและการทบทวนประสิทธิภาพเพื่อให้แน่ใจว่าพนักงานมีความรู้ความสามารถในด้านนี้

10.5 การสื่อสารกับเจ้าของข้อมูล

European IT Certification Institute สื่อสารกับเจ้าของข้อมูลตลอดกระบวนการจัดการคำขอเพื่อให้แน่ใจว่าพวกเขาจะได้รับแจ้งความคืบหน้าและข้อมูลที่เกี่ยวข้อง ซึ่งอาจรวมถึงการอัปเดตสถานะคำขอหรือขอข้อมูลเพิ่มเติมตามความจำเป็น

10.6. การรักษาบันทึก

European IT Certification Institute เก็บรักษาบันทึกการตรวจสอบ รวมถึงการเปลี่ยนแปลงใด ๆ ที่เกิดขึ้นกับกระบวนการจัดการคำขอสิทธิ์ของเจ้าของข้อมูล ตลอดจนคำติชมใด ๆ ที่ได้รับจากเจ้าของข้อมูล ข้อมูลนี้สามารถใช้เพื่อสนับสนุนความพยายามในการปฏิบัติตามอย่างต่อเนื่องและเพื่อระบุพื้นที่สำหรับการปรับปรุงเพิ่มเติม

ส่วนที่ 11 การจัดทำบันทึกกิจกรรมการประมวลผล

11.1. โครงสร้าง ROPA

ROPA ประกอบด้วยข้อมูลพื้นฐานเกี่ยวกับชื่อและรายละเอียดการติดต่อขององค์กร วัตถุประสงค์ของการประมวลผลข้อมูล ประเภทของข้อมูลส่วนบุคคลที่ประมวลผล ผู้รับข้อมูลส่วนบุคคล และระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล นอกจากนี้ยังรวมถึงข้อมูลเกี่ยวกับผู้ประมวลผลบุคคลที่สามที่ประมวลผลข้อมูลส่วนบุคคลในนามขององค์กร

11.2. ROPA อัปเดตเป็นประจำ

ROPA ได้รับการอัปเดตเป็นประจำและเป็นเอกสารที่มีชีวิตซึ่งสะท้อนถึงการเปลี่ยนแปลงในกิจกรรมการประมวลผลข้อมูลของ European IT Certification Institute ที่สนับสนุนการสร้างความไว้วางใจกับเจ้าของข้อมูล

European IT Certification Institute มุ่งมั่นที่จะรักษามาตรฐานสูงสุดในด้านการจัดการคำขอสิทธิ์ของเจ้าของข้อมูลและนโยบายข้อบังคับทั่วไปในการคุ้มครองข้อมูล ตรวจสอบให้แน่ใจว่าได้ปฏิบัติตามกฎหมายและข้อบังคับที่เกี่ยวข้องทั้งหมดที่เกี่ยวข้องกับประเด็นเหล่านี้ ตลอดจนมาตรฐานอุตสาหกรรมชั้นนำ และแนวทางปฏิบัติที่ดีที่สุด รวมถึงระบบการจัดการข้อมูลความเป็นส่วนตัว ISO 27701

สถาบัน EITCA

เข้าสู่ระบบบัญชีของคุณ

ลืมรหัสผ่าน?

สร้างบัญชี