นโยบาย DSRRM และ GDPR
นโยบาย EITCA Academy เกี่ยวกับการจัดการคำขอสิทธิ์เจ้าของข้อมูลและระเบียบคุ้มครองข้อมูลทั่วไป
เอกสารนี้ระบุนโยบายของ European IT Certification Institute เกี่ยวกับการจัดการคำขอสิทธิ์ของเจ้าของข้อมูล ตลอดจนการดำเนินการตามกฎระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (EU General Data Protection Regulation) ซึ่งได้รับการทบทวนและปรับปรุงเป็นประจำเพื่อให้มั่นใจถึงประสิทธิภาพและความเกี่ยวข้อง การอัปเดตครั้งล่าสุดของการจัดการคำขอสิทธิ์เจ้าของข้อมูล EITCI และนโยบาย GDPR มีขึ้นเมื่อวันที่ 10 มกราคม 2023 การจัดการคำขอสิทธิ์เจ้าของข้อมูลและนโยบาย GDPR อิงตามหลักการของการขยายระบบการจัดการข้อมูลความเป็นส่วนตัว ISO 27701 ไปสู่ความปลอดภัยของข้อมูล ISO 27001 มาตรฐานระบบ รวมถึงข้อกำหนดของ General Data Protection Regulation (2016/679)
ตอนที่ 1 บทนำ
การจัดการคำขอสิทธิ์ของเจ้าของข้อมูลเป็นส่วนสำคัญในการรับรองการปฏิบัติตามกฎระเบียบด้านการคุ้มครองข้อมูล ซึ่งก็คือ GDPR (กฎระเบียบด้านการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป) European IT Certification Institute กำหนดขั้นตอนอย่างเป็นทางการต่อไปนี้สำหรับการจัดการคำขอสิทธิ์ของเจ้าของข้อมูลและการดำเนินการตามข้อกำหนดของ GDPR:
1.1. การสร้างกระบวนการจัดการคำขอสิทธิ์ของเจ้าของข้อมูล
กระบวนการนี้สรุปขั้นตอนที่ European IT Certification Institute ปฏิบัติตามเมื่อจัดการคำขอสิทธิ์ของเจ้าของข้อมูล รวมถึงการระบุตัวตนและการรับรองความถูกต้องของเจ้าของข้อมูล การตรวจสอบคำขอของเจ้าของข้อมูล และการตอบสนองต่อคำขอ
1.2. การกำหนดเจ้าหน้าที่คุ้มครองข้อมูล (DPO)
สถาบันรับรองด้านไอทีแห่งยุโรปกำหนดให้ DPO ซึ่งมีหน้าที่รับผิดชอบดูแลการจัดการคำขอสิทธิ์ของเจ้าของข้อมูล รวมถึงการตรวจสอบคำขอ การตอบกลับคำขอ และการรับรองการปฏิบัติตามกฎระเบียบด้านการคุ้มครองข้อมูล
1.3. การรักษาบันทึกข้อมูลส่วนบุคคลที่เป็นปัจจุบัน
European IT Certification Institute เก็บรักษาบันทึกที่เป็นปัจจุบันของข้อมูลส่วนบุคคลที่เก็บไว้และวัตถุประสงค์ในการดำเนินการ สิ่งนี้จะช่วยให้ European IT Certification Institute สามารถตอบสนองคำขอสิทธิ์ของเจ้าของข้อมูลได้อย่างรวดเร็วและแม่นยำ
1.4. ให้ข้อมูลที่ชัดเจนและรัดกุมแก่เจ้าของข้อมูล
เมื่อรวบรวมข้อมูลส่วนบุคคล European IT Certification Institute จะให้ข้อมูลที่ชัดเจนและรัดกุมแก่เจ้าของข้อมูลเกี่ยวกับสิทธิ์ รวมถึงสิทธิ์ในการเข้าถึง แก้ไข ลบ และคัดค้านการประมวลผลข้อมูลส่วนบุคคล
1.5. กำหนดเวลาตอบสนองมาตรฐาน
European IT Certification Institute รักษาเวลาตอบสนองมาตรฐานสำหรับคำขอสิทธิ์ของเจ้าของข้อมูล และตรวจสอบให้แน่ใจว่าคำขอได้รับการตอบกลับภายในกรอบเวลานี้
1.6. การยืนยันตัวตนของเจ้าของข้อมูล
European IT Certification Institute ตรวจสอบตัวตนของเจ้าของข้อมูลที่ส่งคำขอเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลนั้นมอบให้กับบุคคลที่ถูกต้องเท่านั้น
1.7. ตอบสนองต่อคำขอสิทธิ์ของเจ้าของข้อมูลโดยทันที
สถาบันรับรองด้านไอทีแห่งยุโรปตอบสนองต่อคำขอสิทธิ์ของเจ้าของข้อมูลโดยทันที และให้ข้อมูลที่พวกเขาร้องขอแก่เจ้าของข้อมูล
1.8. จัดทำเอกสารคำขอสิทธิ์ของเจ้าของข้อมูล
European IT Certification Institute เก็บรักษาบันทึกคำขอสิทธิ์ของเจ้าของข้อมูล รวมถึงวันที่ของคำขอ ลักษณะของคำขอ และการตอบสนองต่อคำขอ
1.9. การติดตามและทบทวนกระบวนการ
European IT Certification Institute ตรวจสอบและทบทวนกระบวนการในการจัดการคำขอสิทธิ์ของเจ้าของข้อมูลอย่างสม่ำเสมอ เพื่อให้มั่นใจว่ายังคงมีประสิทธิภาพและสอดคล้องกับกฎระเบียบด้านการคุ้มครองข้อมูลที่เกี่ยวข้อง
1.10. การจัดทำบันทึกกิจกรรมการประมวลผล
European IT Certification Institute เก็บรักษาบันทึกกิจกรรมการประมวลผล ซึ่งเป็นเอกสารที่สรุปการประมวลผลข้อมูลส่วนบุคคลที่ดำเนินการโดยองค์กร เป็นข้อกำหนดภายใต้กฎระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (GDPR) และมีวัตถุประสงค์เพื่อสนับสนุนความเข้าใจเกี่ยวกับกิจกรรมการประมวลผลข้อมูลและแสดงให้เห็นถึงการปฏิบัติตาม GDPR
ด้วยการปฏิบัติตามระเบียบและขั้นตอนเหล่านี้ สถาบันรับรองด้านไอทีของยุโรปสามารถจัดการคำขอสิทธิ์ของเจ้าของข้อมูลได้อย่างมีประสิทธิภาพ และรับรองการปฏิบัติตามกฎระเบียบด้านการปกป้องข้อมูล รวมถึงกฎระเบียบด้านการคุ้มครองข้อมูลทั่วไปในสหภาพยุโรป
ส่วนที่ 2 การสร้างกระบวนการจัดการคำขอสิทธิ์ของเจ้าของข้อมูล
กระบวนการนี้สรุปขั้นตอนที่ European IT Certification Institute ปฏิบัติตามเมื่อจัดการคำขอสิทธิ์ของเจ้าของข้อมูล รวมถึงการระบุตัวตนและการรับรองความถูกต้องของเจ้าของข้อมูล การตรวจสอบคำขอของเจ้าของข้อมูล และการตอบสนองต่อคำขอ:
2.1. การระบุและรับรองความถูกต้องของเจ้าของข้อมูล
European IT Certification Institute มีกระบวนการในการตรวจสอบตัวตนของเจ้าของข้อมูลที่ส่งคำขอ ซึ่งอาจรวมถึงการขอบัตรประจำตัวที่ออกโดยรัฐบาล การตรวจสอบกับบันทึกที่มีอยู่ หรือการใช้วิธีการรับรองความถูกต้องอื่นๆ
2.2. ตรวจสอบคำขอของเจ้าของข้อมูล
เมื่อระบุตัวตนของเจ้าของข้อมูลได้แล้ว สถาบันรับรองด้านไอทีแห่งยุโรปจะต้องตรวจสอบว่าคำขอนั้นถูกต้องและเกี่ยวข้องกับข้อมูลส่วนบุคคลของเจ้าของข้อมูล คำขอควรรวมถึงสิทธิ์เฉพาะที่ใช้ เช่น สิทธิ์ในการเข้าถึง แก้ไข หรือลบข้อมูลส่วนบุคคล
2.3. ตอบสนองต่อคำขอ
สถาบันรับรองด้านไอทีแห่งยุโรปต้องตอบสนองต่อคำขอของเจ้าของข้อมูลภายในกรอบเวลาที่กำหนดโดยกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง แต่ไม่เกิน 30 วัน คำตอบควรมีคำอธิบายว่าคำขอนั้นได้รับหรือปฏิเสธหรือไม่ และเหตุผลในการตัดสินใจ
2.4. จัดทำเอกสารคำขอและการตอบสนอง
European IT Certification Institute เก็บรักษาบันทึกคำขอและการตอบสนองสิทธิ์ของเจ้าของข้อมูลทั้งหมด ซึ่งช่วยให้มั่นใจว่ามีการปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง ตลอดจนอำนวยความสะดวกในการตรวจสอบหรือสืบสวนในอนาคต
2.5. ฝึกอบรมเจ้าหน้าที่ที่เกี่ยวข้อง
European IT Certification Institute จะให้การฝึกอบรมแก่เจ้าหน้าที่ที่รับผิดชอบในการจัดการคำขอสิทธิ์ของเจ้าของข้อมูลเพื่อให้แน่ใจว่าพวกเขาคุ้นเคยกับกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องและขั้นตอนของ European IT Certification Institute สำหรับการจัดการคำขอดังกล่าว
2.6. การติดตามและทบทวนกระบวนการ
European IT Certification Institute ตรวจสอบและทบทวนกระบวนการจัดการคำขอสิทธิ์ของเจ้าของข้อมูลเป็นประจำเพื่อให้แน่ใจว่ายังคงมีประสิทธิภาพและสอดคล้องกับกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง ปัญหาหรือเหตุการณ์ใด ๆ จะถูกรายงานและแก้ไขอย่างทันท่วงที
ส่วนที่ 3 การกำหนดเจ้าหน้าที่คุ้มครองข้อมูล (DPO)
สถาบันรับรองด้านไอทีแห่งยุโรปกำหนดให้ DPO ซึ่งมีหน้าที่รับผิดชอบดูแลการจัดการคำขอสิทธิ์ของเจ้าของข้อมูล รวมถึงการตรวจสอบคำขอ การตอบกลับคำขอ และการรับรองการปฏิบัติตามกฎระเบียบด้านการคุ้มครองข้อมูล
3.1. กำหนดให้ อ.ส.ค
สถาบันรับรองด้านไอทีแห่งยุโรปกำหนดเจ้าหน้าที่คุ้มครองข้อมูล (DPO) เพื่อดูแลการจัดการคำขอสิทธิ์ของเจ้าของข้อมูลและรับรองการปฏิบัติตามกฎระเบียบด้านการคุ้มครองข้อมูล DPO จะรับผิดชอบในการตรวจสอบคำขอและตรวจสอบให้แน่ใจว่า European IT Certification Institute ปฏิบัติตามข้อผูกพันทางกฎหมายที่เกี่ยวข้องกับการปกป้องข้อมูล
3.2. ข้อกำหนดความสามารถของ DPO
DPO ต้องมีความรู้อย่างเชี่ยวชาญเกี่ยวกับกฎหมายและแนวปฏิบัติด้านการคุ้มครองข้อมูล และได้รับทรัพยากรที่จำเป็นเพื่อปฏิบัติตามความรับผิดชอบของตน พวกเขาควรเข้าถึงผู้บริหารระดับสูงได้โดยตรงและรายงานต่อระดับการจัดการสูงสุดขององค์กร
3.3. ความรับผิดชอบของ อ.ส.ค
ความรับผิดชอบของ DPO รวมถึงแต่ไม่จำกัดเพียงสิ่งต่อไปนี้:
- ให้คำแนะนำและคำแนะนำแก่ European IT Certification Institute ในเรื่องการคุ้มครองข้อมูล รวมถึงการจัดการคำขอสิทธิ์ของเจ้าของข้อมูล
- ตรวจสอบการปฏิบัติตามกฎระเบียบของ European IT Certification Institute เกี่ยวกับการปกป้องข้อมูลและนโยบายและขั้นตอนภายใน
- การตอบข้อซักถามและข้อร้องเรียนจากเจ้าของข้อมูลเกี่ยวกับสิทธิของตนภายใต้ระเบียบการคุ้มครองข้อมูล
- การประสานงานกับแผนกอื่น ๆ เพื่อให้มั่นใจว่าเป็นไปตามข้อกำหนดการปกป้องข้อมูลทั่วทั้งองค์กร
- ดำเนินการทบทวนและประเมินแนวทางปฏิบัติในการปกป้องข้อมูลของ European IT Certification Institute เป็นระยะและให้คำแนะนำในการปรับปรุง
- ทำหน้าที่เป็นจุดติดต่อสำหรับหน่วยงานคุ้มครองข้อมูลและให้ความร่วมมือกับหน่วยงานเหล่านี้ในกรณีที่มีการสอบสวนหรือการตรวจสอบ
- DPO ยังมีส่วนร่วมในการพัฒนาและดำเนินการตามนโยบายและขั้นตอนของ European IT Certification Institute ที่เกี่ยวข้องกับการปกป้องข้อมูล รวมถึงนโยบายที่เกี่ยวข้องกับการจัดการคำขอสิทธิ์ของเจ้าของข้อมูล
3.4. การฝึกอบรมและพัฒนาคุณวุฒิของ อ.ส.ค
สถาบันรับรองด้านไอทีแห่งยุโรปควรตรวจสอบให้แน่ใจว่า DPO ได้รับการฝึกอบรมอย่างเพียงพอเกี่ยวกับข้อบังคับด้านการปกป้องข้อมูล และติดตามการเปลี่ยนแปลงหรือการปรับปรุงข้อบังคับเหล่านี้ให้ทันสมัยอยู่เสมอ
3.5. ข้อมูลการติดต่อของ อ.ส.ค
ข้อมูลติดต่อของ DPO ควรมีให้สำหรับเจ้าของข้อมูลและรวมอยู่ในประกาศหรือนโยบายความเป็นส่วนตัวของ European IT Certification Institute
ส่วนที่ 4 การรักษาบันทึกข้อมูลส่วนบุคคลที่เป็นปัจจุบัน
European IT Certification Institute เก็บรักษาบันทึกที่เป็นปัจจุบันของข้อมูลส่วนบุคคลที่เก็บไว้และวัตถุประสงค์ในการดำเนินการ สิ่งนี้จะช่วยให้ European IT Certification Institute สามารถตอบสนองคำขอสิทธิ์ของเจ้าของข้อมูลได้อย่างรวดเร็วและแม่นยำ
4.1. การจัดทำกระบวนการระบุและบันทึกข้อมูลส่วนบุคคล
สถาบันรับรองมาตรฐานไอทีแห่งยุโรปกำหนดกระบวนการที่ชัดเจนและเป็นมาตรฐานสำหรับการระบุและบันทึกข้อมูลส่วนบุคคล รวมถึงชื่อเจ้าของข้อมูล ข้อมูลติดต่อ และข้อมูลอื่น ๆ ที่เกี่ยวข้อง กระบวนการนี้ทำให้มั่นใจได้ว่าข้อมูลส่วนบุคคลจะถูกรวบรวมเพื่อวัตถุประสงค์เฉพาะและถูกต้องตามกฎหมายเท่านั้น
4.2. การจัดหมวดหมู่ข้อมูลส่วนบุคคล
European IT Certification Institute จัดหมวดหมู่ข้อมูลส่วนบุคคลเพื่อให้ง่ายต่อการติดตามและจัดการ ซึ่งรวมถึงการจัดหมวดหมู่ข้อมูลตามประเภท เช่น ข้อมูลติดต่อ ข้อมูลการเรียกเก็บเงิน ความสามารถและคุณสมบัติ ข้อมูลทางการเงิน หรือประวัติการจ้างงาน
4.3. การนำระบบการจัดการข้อมูลมาใช้
European IT Certification Institute ใช้ระบบการจัดการข้อมูลเพื่อช่วยให้มั่นใจว่าข้อมูลส่วนบุคคลมีความถูกต้อง เป็นปัจจุบัน และสามารถเข้าถึงได้ ระบบการจัดการข้อมูลประกอบด้วยฐานข้อมูลที่สามารถค้นหาและสอบถามเพื่อช่วยตอบสนองต่อคำขอสิทธิ์ของเจ้าของข้อมูล
4.4. การกำหนดความรับผิดชอบในการเก็บรักษาบันทึกข้อมูลส่วนบุคคล
European IT Certification Institute ควรมอบหมายความรับผิดชอบในการเก็บรักษาบันทึกข้อมูลส่วนบุคคลให้กับบุคคลหรือแผนกเฉพาะ สิ่งนี้จะทำให้มั่นใจได้ว่าบันทึกจะได้รับการอัปเดตและถูกต้อง
4.5. ตรวจสอบและปรับปรุงบันทึกข้อมูลส่วนบุคคลอย่างสม่ำเสมอ
European IT Certification Institute ควรตรวจทานและอัปเดตบันทึกข้อมูลส่วนบุคคลเป็นประจำเพื่อให้แน่ใจว่าข้อมูลนั้นถูกต้องและเป็นปัจจุบัน สามารถทำได้ผ่านการตรวจสอบเป็นระยะหรือผ่านกระบวนการติดตามอย่างต่อเนื่อง
4.6. ใช้มาตรการรักษาความปลอดภัยที่เหมาะสม
European IT Certification Institute ใช้มาตรการรักษาความปลอดภัยที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลที่เก็บไว้ รวมถึงมาตรการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การสูญหายโดยไม่ได้ตั้งใจ หรือการทำลายข้อมูลส่วนบุคคล ซึ่งเป็นส่วนหนึ่งของนโยบายการรักษาความปลอดภัยของข้อมูล (ISP) ขององค์กร ซึ่งรวมถึงการเข้ารหัส ia ไฟร์วอลล์ และการควบคุมการเข้าถึง ข้อกำหนดโดยละเอียดของกระบวนการและมาตรการสำหรับการปกป้องข้อมูลครอบคลุมโดยนโยบายความปลอดภัยข้อมูลของสถาบันรับรองมาตรฐานไอทีแห่งยุโรปโดยเฉพาะ
ส่วนที่ 5 การให้ข้อมูลที่ชัดเจนและรัดกุมแก่เจ้าของข้อมูล
เมื่อรวบรวมข้อมูลส่วนบุคคล European IT Certification Institute จะให้ข้อมูลที่ชัดเจนและรัดกุมแก่เจ้าของข้อมูลเกี่ยวกับสิทธิ์ รวมถึงสิทธิ์ในการเข้าถึง แก้ไข ลบ และคัดค้านการประมวลผลข้อมูลส่วนบุคคล
5.1. ความโปร่งใส
European IT Certification Institute มีความโปร่งใสในการประมวลผลข้อมูลส่วนบุคคลและให้ข้อมูลที่กระชับแก่เจ้าของข้อมูลเกี่ยวกับวิธีการใช้ ประมวลผล และจัดเก็บข้อมูลของพวกเขา
5.2 นโยบายความเป็นส่วนตัว
European IT Certification Institute มีนโยบายความเป็นส่วนตัวโดยละเอียดซึ่งสรุปกิจกรรมการประมวลผลข้อมูล รวมถึงวิธีที่เจ้าของข้อมูลสามารถใช้สิทธิ์ของเจ้าของข้อมูลได้
5.3. สิทธิ์ในการเข้าถึง
เจ้าของข้อมูลมีสิทธิ์ขอเข้าถึงข้อมูลส่วนบุคคลที่ European IT Certification Institute เก็บไว้เกี่ยวกับพวกเขา European IT Certification Institute ให้ข้อมูลที่ชัดเจนและรัดกุมแก่เจ้าของข้อมูลเกี่ยวกับวิธีการขอสิทธิ์เข้าถึง ข้อมูลที่จำเป็นในการยืนยันตัวตน และระยะเวลาที่ European IT Certification Institute จะใช้ในการตอบสนองต่อคำขอ
5.4. สิทธิในการแก้ไข
เจ้าของข้อมูลมีสิทธิ์ร้องขอให้สถาบันรับรองมาตรฐานไอทีแห่งยุโรปแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้องหรือไม่สมบูรณ์ที่ตนมีอยู่ European IT Certification Institute ให้ข้อมูลที่ชัดเจนและรัดกุมแก่เจ้าของข้อมูลเกี่ยวกับวิธีการขอแก้ไข ข้อมูลใดบ้างที่ต้องใช้ในการตรวจสอบตัวตน และระยะเวลาที่ European IT Certification Institute จะใช้ในการตอบกลับคำขอ
5.5. สิทธิ์ในการลบ
เจ้าของข้อมูลมีสิทธิ์ร้องขอให้ European IT Certification Institute ลบข้อมูลส่วนบุคคลของตนในบางสถานการณ์ European IT Certification Institute ให้ข้อมูลที่ชัดเจนและรัดกุมแก่เจ้าของข้อมูลเกี่ยวกับวิธีการส่งคำขอให้ลบข้อมูล ข้อมูลที่จำเป็นในการยืนยันตัวตน และระยะเวลาที่ European IT Certification Institute จะใช้ในการตอบสนองต่อคำขอ
5.6. สิทธิในการคัดค้าน
เจ้าของข้อมูลมีสิทธิ์คัดค้านการประมวลผลข้อมูลส่วนบุคคลในบางสถานการณ์ European IT Certification Institute ให้ข้อมูลที่ชัดเจนและรัดกุมแก่เจ้าของข้อมูลเกี่ยวกับวิธีส่งคำขอเพื่อคัดค้าน ข้อมูลใดที่ต้องใช้ในการตรวจสอบตัวตน และระยะเวลาที่ European IT Certification Institute จะใช้ในการตอบสนองต่อคำขอ
5.7 ข้อมูลติดต่อ
European IT Certification Institute ให้ข้อมูลติดต่อที่ชัดเจนและรัดกุมสำหรับเจ้าของข้อมูลเพื่อใช้หากมีคำถามหรือข้อกังวลเกี่ยวกับวิธีการประมวลผลข้อมูลส่วนบุคคล
ส่วนที่ 6 กำหนดเวลาตอบสนองมาตรฐาน
สถาบันรับรองด้านไอทีแห่งยุโรปได้กำหนดเวลาตอบกลับมาตรฐานสำหรับคำขอสิทธิ์ของเจ้าของข้อมูล และตรวจสอบให้แน่ใจว่าคำขอได้รับการตอบกลับภายในกรอบเวลานี้
6.1. เวลาตอบสนองมาตรฐาน
European IT Certification Institute กำหนดเวลาตอบสนองมาตรฐานไว้ที่ 30 วันสำหรับคำขอสิทธิ์ของเจ้าของข้อมูล เวลาตอบกลับมาตรฐานจะกำหนดเวลาสูงสุดสำหรับการประมวลผลและตอบกลับ และคำขอส่วนใหญ่จะได้รับการประมวลผลและตอบกลับภายในเวลาที่สั้นกว่า
6.2. ขอเวลาตอบรับการตอบรับ
เมื่อได้รับคำขอสิทธิ์ของเจ้าของข้อมูล อพ. หรือเจ้าหน้าที่คนอื่นๆ จะรับทราบคำขอภายใน 5 วันทำการและแจ้งกรอบเวลาโดยประมาณแก่เจ้าของข้อมูลเพื่อให้ตอบกลับ
6.3. การขยายเวลาตอบสนองมาตรฐานที่ยอดเยี่ยม
European IT Certification Institute จะใช้ความพยายามตามสมควรเพื่อตอบสนองคำขอสิทธิ์ของเจ้าของข้อมูลภายในเวลาตอบสนองมาตรฐานที่กำหนดไว้ อย่างไรก็ตาม หากคำขอมีความซับซ้อนหรือหากสถาบันรับรองมาตรฐานไอทีแห่งยุโรปได้รับคำขอจำนวนมาก เวลาตอบสนองอาจขยายออกไป ในกรณีดังกล่าว DPO จะแจ้งให้เจ้าของข้อมูลทราบถึงการขยายเวลาและเหตุผลของความล่าช้า
6.4. ปฏิเสธที่จะปฏิบัติตามคำขอสิทธิ์ของเจ้าของข้อมูล
หาก European IT Certification Institute ไม่สามารถดำเนินการตามคำขอสิทธิ์ของเจ้าของข้อมูลได้ สถาบันจะให้คำอธิบายสำหรับการปฏิเสธแก่เจ้าของข้อมูลและแจ้งให้พวกเขาทราบถึงสิทธิ์ในการร้องเรียนต่อหน่วยงานกำกับดูแลที่เกี่ยวข้อง
6.5. บันทึกคำขอและการตอบสนองสิทธิ์ของเจ้าของข้อมูล
European IT Certification Institute จะเก็บรักษาบันทึกที่ถูกต้องของคำขอสิทธิ์ของเจ้าของข้อมูลและการตอบสนอง รวมถึงวันที่ได้รับคำขอ ลักษณะของคำขอ และวันที่และลักษณะการตอบสนอง
6.6. บทวิจารณ์เป็นระยะ
DPO จะตรวจสอบเวลาตอบสนองของ European IT Certification Institute เป็นระยะๆ และอัปเดตตามความจำเป็นเพื่อให้แน่ใจว่าเป็นไปตามข้อบังคับด้านการปกป้องข้อมูลที่บังคับใช้
ส่วนที่ 7 การตรวจสอบตัวตนของเจ้าของข้อมูล
7.1. ข้อกำหนดในการยืนยันตัวตน
สถาบันรับรองด้านไอทีแห่งยุโรปต้องตรวจสอบตัวตนของเจ้าของข้อมูลที่ส่งคำขอเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลนั้นมอบให้กับบุคคลที่ถูกต้องเท่านั้น
7.2. วิธีและวิธีการยืนยันตัวตน
เมื่อเจ้าของข้อมูลขอใช้สิทธิ์ตามกฎหมายคุ้มครองข้อมูล European IT Certification Institute จะต้องตรวจสอบตัวตนของเจ้าของข้อมูลโดยใช้มาตรการที่เหมาะสม เช่น การขอเอกสารระบุตัวตน
7.3. การยืนยันตัวตนของผู้รับมอบฉันทะ
หากเจ้าของข้อมูลกำลังส่งคำขอในนามของบุคคลอื่น European IT Certification Institute จะต้องตรวจสอบตัวตนของทั้งเจ้าของข้อมูลและบุคคลที่ดำเนินการตามคำขอในนามของบุคคลอื่น
7.4. สงสัยในการยืนยันตัวตน
หาก European IT Certification Institute มีข้อสงสัยเกี่ยวกับตัวตนของเจ้าของข้อมูลหรือความถูกต้องของคำขอ สถาบันอาจขอข้อมูลเพิ่มเติมหรือใช้มาตรการอื่นที่เหมาะสมเพื่อตรวจสอบตัวตนของเจ้าของข้อมูล
7.5. บันทึกการยืนยันตัวตน
European IT Certification Institute ควรเก็บบันทึกกระบวนการตรวจสอบและมาตรการที่ใช้เพื่อตรวจสอบตัวตนของเจ้าของข้อมูล บันทึกนี้ควรเก็บไว้เป็นระยะเวลาที่เหมาะสมและใช้เพื่อแสดงให้เห็นถึงการปฏิบัติตามกฎหมายคุ้มครองข้อมูล
ส่วนที่ 8 การตอบสนองต่อคำขอสิทธิ์ของเจ้าของข้อมูลโดยทันที
8.1. การตอบสนองรวดเร็ว
European IT Certification Institute ตอบสนองคำขอสิทธิ์ของเจ้าของข้อมูลโดยทันที และให้ข้อมูลที่พวกเขาร้องขอแก่เจ้าของข้อมูล
8.2. ขอใบเสร็จรับเงิน
European IT Certification Institute ตอบรับคำขอของเจ้าของข้อมูลโดยเร็วที่สุดเท่าที่จะเป็นไปได้ ภายใน 5 วันทำการ
8.3. ร้องขอการตรวจสอบ
DPO ที่กำหนดควรตรวจสอบคำขอเพื่อให้แน่ใจว่าเป็นไปตามข้อกำหนดที่จำเป็นและได้ให้ข้อมูลที่จำเป็นทั้งหมดแล้ว
8.4. การตรวจสอบตัวตนเจ้าของข้อมูล
European IT Certification Institute ตรวจสอบตัวตนของเจ้าของข้อมูลที่ส่งคำขอเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลนั้นมอบให้กับบุคคลที่ถูกต้องเท่านั้น
8.5 การรับข้อมูลเพิ่มเติมหากจำเป็น
หากคำขอไม่ชัดเจนหรือไม่เพียงพอ European IT Certification Institute ควรติดต่อเจ้าของข้อมูลเพื่อรับข้อมูลเพิ่มเติม
8.5 การดึงข้อมูลที่เกี่ยวข้อง
European IT Certification Institute เรียกค้นข้อมูลส่วนบุคคลที่เกี่ยวข้องและตรวจสอบเพื่อให้แน่ใจว่าถูกต้องและเป็นปัจจุบัน
8.6. ให้ข้อมูลตามที่ร้องขอ
European IT Certification Institute จัดเตรียมข้อมูลที่พวกเขาร้องขอให้กับเจ้าของข้อมูล รวมถึงสำเนาข้อมูลส่วนบุคคลในรูปแบบอิเล็กทรอนิกส์ที่ใช้กันทั่วไป เว้นแต่จะมีการร้องขอเป็นอย่างอื่น
8.7. แจ้งเจ้าของข้อมูลให้ทราบถึงสิทธิของตน
European IT Certification Institute แจ้งให้เจ้าของข้อมูลทราบถึงสิทธิ์อื่นๆ เช่น สิทธิ์ในการแก้ไขหรือลบข้อมูลส่วนบุคคล และให้คำแนะนำที่จำเป็นแก่เจ้าของข้อมูล
8.8. สอดคล้องกับเวลาตอบสนอง
European IT Certification Institute ตอบกลับคำขอสิทธิ์ของเจ้าของข้อมูลภายในเวลาตอบสนองที่กำหนด เพื่อให้มั่นใจว่ามีการดำเนินการที่จำเป็นเพื่อให้สอดคล้องกับคำขอ
8.9 จัดทำเอกสารตอบกลับ
สถาบันรับรองด้านไอทีแห่งยุโรปจัดทำเอกสารการตอบสนองต่อคำขอสิทธิ์ของเจ้าของข้อมูล รวมถึงการดำเนินการใดๆ ที่ดำเนินการและเวลาตอบสนอง เพื่อให้แน่ใจว่าสามารถตรวจสอบและติดตามได้ตามวัตถุประสงค์
8.10 น. แจ้งเจ้าของข้อมูลเมื่อมีการเปลี่ยนแปลงใดๆ
หากมีการเปลี่ยนแปลงใด ๆ กับข้อมูลส่วนบุคคลของเจ้าของข้อมูลอันเป็นผลมาจากคำขอของพวกเขา สถาบันรับรองมาตรฐานไอทีแห่งยุโรปจะแจ้งให้เจ้าของข้อมูลทราบถึงการเปลี่ยนแปลงเหล่านี้
ส่วนที่ 9 การจัดทำเอกสารคำขอสิทธิ์ของเจ้าของข้อมูล
European IT Certification Institute เก็บรักษาบันทึกคำขอสิทธิ์ของเจ้าของข้อมูล รวมถึงวันที่ของคำขอ ลักษณะของคำขอ และการตอบสนองต่อคำขอ การจัดทำเอกสารคำขอสิทธิ์ของเจ้าของข้อมูลรวมถึงประเด็นต่างๆ ต่อไปนี้:
9.1. รักษาทะเบียน
European IT Certification Institute เก็บรักษาทะเบียนที่รวบรวมคำขอสิทธิ์ของเจ้าของข้อมูลทั้งหมดที่ได้รับ การลงทะเบียนนี้ควรรวบรวมรายละเอียดต่อไปนี้:
- วันที่ของคำขอ
- ชื่อและรายละเอียดการติดต่อของเจ้าของข้อมูล
- คำอธิบายของคำขอ
- ดำเนินการเพื่อตอบสนองคำขอ
- ข้อมูลเพิ่มเติมใด ๆ ที่จำเป็นในการดำเนินการตามคำขอ
9.2. กระบวนการมาตรฐานสำหรับเอกสาร
European IT Certification Institute ดำเนินกระบวนการที่เป็นมาตรฐานสำหรับการจัดทำเอกสารคำขอสิทธิ์ของเจ้าของข้อมูล เพื่อให้มั่นใจว่าข้อมูลที่รวบรวมมีความสอดคล้องและถูกต้อง
9.3. ระยะเวลาการเก็บรักษา
European IT Certification Institute เก็บรักษาบันทึกเหล่านี้ไว้ตามระยะเวลาที่เหมาะสม ซึ่งกำหนดโดยกฎหมายและข้อบังคับที่บังคับใช้ ซึ่งมีอายุไม่เกิน 2 ปี
9.4. การรักษาความลับ
สถาบันรับรองด้านไอทีแห่งยุโรปรับรองว่าบันทึกคำขอสิทธิ์ของเจ้าของข้อมูลจะเข้าถึงได้เฉพาะบุคลากรที่ได้รับอนุญาตซึ่งจำเป็นต้องเข้าถึงข้อมูลดังกล่าวในการปฏิบัติหน้าที่ของตนเท่านั้น นอกจากนี้ยังใช้มาตรการทางเทคนิคและองค์กรเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การเปิดเผย การเปลี่ยนแปลงหรือการทำลายข้อมูลส่วนบุคคลที่อยู่ในบันทึกคำขอสิทธิ์ของเจ้าของข้อมูล
9.5 การรายงาน
European IT Certification Institute จัดทำรายงานเกี่ยวกับคำขอสิทธิ์ของเจ้าของข้อมูลที่ได้รับ ประมวลผล และค้างชำระเป็นระยะๆ รายงานเหล่านี้แบ่งปันกับผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องรวมถึงผู้บริหารระดับสูงและ DPO
9.6 Analytics
European IT Certification Institute ดำเนินการวิเคราะห์แนวโน้มเกี่ยวกับคำขอสิทธิ์ของเจ้าของข้อมูลเพื่อระบุรูปแบบและสาเหตุของคำขอ ข้อมูลนี้ใช้เพื่อปรับปรุงกระบวนการและขั้นตอนในการจัดการคำขอดังกล่าวให้ดียิ่งขึ้น
ส่วนที่ 10 การติดตามและทบทวนกระบวนการ
European IT Certification Institute ตรวจสอบและทบทวนกระบวนการในการจัดการคำขอสิทธิ์ของเจ้าของข้อมูลเป็นประจำ เพื่อให้มั่นใจว่ายังคงมีประสิทธิภาพและสอดคล้องกับ GDPR
10.1. ดำเนินการตรวจสอบเป็นระยะ
European IT Certification Institute ดำเนินการตรวจสอบกระบวนการจัดการคำขอสิทธิ์ของเจ้าของข้อมูลเป็นระยะๆ และนโยบายการปฏิบัติตาม GDPR เพื่อให้แน่ใจว่ามีประสิทธิภาพและเป็นไปตามข้อบังคับด้านการคุ้มครองข้อมูล การตรวจสอบเหล่านี้รวมถึงการวิเคราะห์จำนวนและประเภทของคำขอที่ได้รับ ความทันเวลาและประสิทธิผลของการตอบสนอง และด้านใด ๆ สำหรับการปรับปรุง
10.2. การดำเนินการปรับปรุง
จากผลการทบทวนพบว่า European IT Certification Institute ดำเนินการปรับปรุงที่จำเป็นใดๆ กับกระบวนการจัดการคำขอสิทธิ์ของเจ้าของข้อมูล ซึ่งอาจรวมถึงการอัปเดตขั้นตอน การฝึกอบรมเพิ่มเติมสำหรับพนักงาน หรือการเปลี่ยนแปลงวิธีการตรวจสอบและตอบกลับคำขอ
10.3. ตรวจสอบให้แน่ใจว่ามีการปฏิบัติตามอย่างต่อเนื่อง
European IT Certification Institute รับรองการปฏิบัติตามกฎระเบียบด้านการปกป้องข้อมูลอย่างต่อเนื่องโดยการตรวจสอบและอัปเดตนโยบายและขั้นตอนอย่างสม่ำเสมอเพื่อให้สอดคล้องกับการเปลี่ยนแปลงใด ๆ ต่อกฎหมายและข้อบังคับที่เกี่ยวข้อง
10.4. ติดตามการปฏิบัติงานของพนักงาน
European IT Certification Institute ตรวจสอบประสิทธิภาพของเจ้าหน้าที่ที่เกี่ยวข้องกับการจัดการคำขอสิทธิ์ของเจ้าของข้อมูล รวมถึงคุณภาพและความทันเวลาของการตอบสนอง ซึ่งอาจรวมถึงการฝึกอบรมเป็นระยะและการทบทวนประสิทธิภาพเพื่อให้แน่ใจว่าพนักงานมีความรู้ความสามารถในด้านนี้
10.5 การสื่อสารกับเจ้าของข้อมูล
European IT Certification Institute สื่อสารกับเจ้าของข้อมูลตลอดกระบวนการจัดการคำขอเพื่อให้แน่ใจว่าพวกเขาจะได้รับแจ้งความคืบหน้าและข้อมูลที่เกี่ยวข้อง ซึ่งอาจรวมถึงการอัปเดตสถานะคำขอหรือขอข้อมูลเพิ่มเติมตามความจำเป็น
10.6. การรักษาบันทึก
European IT Certification Institute เก็บรักษาบันทึกการตรวจสอบ รวมถึงการเปลี่ยนแปลงใด ๆ ที่เกิดขึ้นกับกระบวนการจัดการคำขอสิทธิ์ของเจ้าของข้อมูล ตลอดจนคำติชมใด ๆ ที่ได้รับจากเจ้าของข้อมูล ข้อมูลนี้สามารถใช้เพื่อสนับสนุนความพยายามในการปฏิบัติตามอย่างต่อเนื่องและเพื่อระบุพื้นที่สำหรับการปรับปรุงเพิ่มเติม
ส่วนที่ 11 การจัดทำบันทึกกิจกรรมการประมวลผล
European IT Certification Institute เก็บรักษาบันทึกกิจกรรมการประมวลผล ซึ่งเป็นเอกสารที่สรุปการประมวลผลข้อมูลส่วนบุคคลที่ดำเนินการโดยองค์กร เป็นข้อกำหนดภายใต้กฎระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (GDPR) และมีวัตถุประสงค์เพื่อสนับสนุนความเข้าใจเกี่ยวกับกิจกรรมการประมวลผลข้อมูลและแสดงให้เห็นถึงการปฏิบัติตาม GDPR
11.1. โครงสร้าง ROPA
ROPA ประกอบด้วยข้อมูลพื้นฐานเกี่ยวกับชื่อและรายละเอียดการติดต่อขององค์กร วัตถุประสงค์ของการประมวลผลข้อมูล ประเภทของข้อมูลส่วนบุคคลที่ประมวลผล ผู้รับข้อมูลส่วนบุคคล และระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล นอกจากนี้ยังรวมถึงข้อมูลเกี่ยวกับผู้ประมวลผลบุคคลที่สามที่ประมวลผลข้อมูลส่วนบุคคลในนามขององค์กร
11.2. ROPA อัปเดตเป็นประจำ
ROPA ได้รับการอัปเดตเป็นประจำและเป็นเอกสารที่มีชีวิตซึ่งสะท้อนถึงการเปลี่ยนแปลงในกิจกรรมการประมวลผลข้อมูลของ European IT Certification Institute ที่สนับสนุนการสร้างความไว้วางใจกับเจ้าของข้อมูล
European IT Certification Institute มุ่งมั่นที่จะรักษามาตรฐานสูงสุดในด้านการจัดการคำขอสิทธิ์ของเจ้าของข้อมูลและนโยบายข้อบังคับทั่วไปในการคุ้มครองข้อมูล ตรวจสอบให้แน่ใจว่าได้ปฏิบัติตามกฎหมายและข้อบังคับที่เกี่ยวข้องทั้งหมดที่เกี่ยวข้องกับประเด็นเหล่านี้ ตลอดจนมาตรฐานอุตสาหกรรมชั้นนำ และแนวทางปฏิบัติที่ดีที่สุด รวมถึงระบบการจัดการข้อมูลความเป็นส่วนตัว ISO 27701