מדיניות DSRRM ו-GDPR
מדיניות האקדמיה של EITCA בנושא ניהול בקשות לזכויות נושאי מידע ורגולציה כללית להגנת מידע
מסמך זה מפרט את המדיניות של מכון הסמכת ה-IT האירופי בנושא ניהול בקשות לזכויות נושאי מידע, כמו גם את יישום תקנת הגנת המידע הכללית של האיחוד האירופי, אשר נבדקת ומתעדכנת באופן קבוע כדי להבטיח את יעילותה ורלוונטיות שלה. העדכון האחרון לניהול בקשות זכויות נושאי מידע ומדיניות GDPR של EITCI נעשה ב-10 בינואר 2023. ניהול בקשות זכויות נושאי מידע ומדיניות GDPR מבוססת על העקרונות של ההרחבה ISO 27701 Privacy Information Management System ל-ISO 27001 אבטחת מידע תקן המערכת, וכן על דרישות תקנת הגנת המידע הכללית (2016/679).
חלק 1. מבוא
ניהול בקשות לזכויות נושא מידע הוא חלק חיוני מהבטחת עמידה בתקנות הגנת מידע, כלומר GDPR (תקנת הגנת המידע הכללית של האיחוד האירופי). המכון האירופי לאישורי IT הגדיר את הנהלים הפורמליים הבאים לניהול בקשות לזכויות נושאי מידע ויישום הדרישות של ה-GDPR:
1.1. הקמת תהליך לטיפול בבקשות לזכויות נושא הנתונים
תהליך זה מתאר את הצעדים שמכון הסמכות ה-IT האירופאי מבצע בעת טיפול בבקשות לזכויות נושא הנתונים, לרבות זיהוי ואימות של נושא הנתונים, אימות בקשתו של נושא הנתונים והתגובה לבקשה.
1.2. קביעת קצין הגנת מידע (DPO)
המכון האירופי לאישורי IT מייעד DPO שאחראי לפקח על ניהול הבקשות לזכויות נושא הנתונים, לרבות סקירת בקשות, מענה לבקשות והבטחת עמידה בתקנות הגנת מידע.
1.3. שמירה על רישום עדכני של נתונים אישיים
המכון האירופי לאישורי IT שומר רישום עדכני של הנתונים האישיים שברשותו והמטרות שלשמן הם מעובדים. זה יאפשר למכון הסמכת ה-IT האירופאי להגיב במהירות ובדייקנות לבקשות לזכויות נושאי מידע.
1.4. מתן מידע ברור ותמציתי לנושאי המידע
בעת איסוף נתונים אישיים, המכון האירופי להסמכת IT מספק מידע ברור ותמציתי לנושאי המידע על זכויותיהם, לרבות הזכות לגשת, לתקן, למחוק ולהתנגד לעיבוד הנתונים האישיים שלהם.
1.5. קביעת זמן תגובה סטנדרטי
המכון האירופי לאישורי IT שומר על זמן תגובה סטנדרטי עבור בקשות לזכויות נושאי מידע ומבטיח שהבקשות ייענו במסגרת זמן זו.
1.6. אימות זהות נושא הנתונים
המכון האירופי לאישורי IT מאמת את זהותו של נושא הנתונים המגיש את הבקשה כדי להבטיח שהנתונים האישיים מסופקים רק לאדם הנכון.
1.7. תשובה מיידית לבקשות זכויות נושא המידע
המכון האירופי לאישורי IT מגיב לבקשות זכויות נושא המידע באופן מיידי ומספק לנושא המידע את המידע שביקש.
1.8. תיעוד בקשות לזכויות נושא הנתונים
המכון האירופי לאישורי IT שומר רישום של בקשות לזכויות נושא הנתונים, לרבות תאריך הבקשה, אופי הבקשה והתגובה לבקשה.
1.9. מעקב וסקירת התהליך
מכון הסמכת ה-IT האירופי עוקב ובוחן באופן קבוע את התהליך שלו לטיפול בבקשות לזכויות נושאי מידע כדי להבטיח שהוא יישאר אפקטיבי ותואם לתקנות הגנת המידע הרלוונטיות.
1.10. קביעת רישום פעולות העיבוד
המכון האירופי להסמכת IT מחזיק את רישום פעילויות העיבוד שהוא מסמך המתאר את עיבוד הנתונים האישיים שבוצע על ידי הארגון. זה נדרש תחת תקנת הגנת המידע הכללית של האיחוד האירופי (GDPR) ונועד לתמוך בהבנה של פעילויות עיבוד נתונים והדגמת ציות ל-GDPR.
על ידי ביצוע הפורמליות והנהלים הללו, המכון האירופי להסמכת מידע יכול לנהל ביעילות בקשות לזכויות נושאי מידע ולהבטיח ציות לתקנות הגנת מידע, לרבות תקנת הגנת המידע הכללית באיחוד האירופי.
חלק 2. הקמת תהליך לטיפול בבקשות לזכויות נושא המידע
תהליך זה מתאר את הצעדים שמכון הסמכות ה-IT האירופאי מבצע בעת טיפול בבקשות לזכויות נושא הנתונים, לרבות זיהוי ואימות של נושא הנתונים, אימות בקשתו של נושא המידע והתגובה לבקשה:
2.1. זיהוי ואימות של נושא הנתונים
המכון האירופי לאישורי IT מקיים תהליך לאימות זהות נושא הנתונים המגיש את הבקשה. זה עשוי לכלול בקשת תעודה מזהה שהונפקה על ידי הממשלה, בדיקה מול רשומות קיימות או שימוש בשיטות אימות אחרות.
2.2. אימות בקשת נושא הנתונים
לאחר קביעת זהותו של נושא המידע, על המכון האירופי לאישורי IT לוודא שהבקשה תקפה ומתייחסת לנתונים האישיים של נושא הנתונים. הבקשה צריכה לכלול גם את הזכות הספציפית המופעלת, כגון הזכות לגשת, לתקן או למחוק נתונים אישיים.
2.3. מענה לבקשה
המכון האירופי לאישורי IT חייב לספק מענה לבקשת נושא הנתונים בתוך מסגרת הזמן המצוינת בחוקי הגנת המידע הרלוונטיים, אך לא יותר מ-30 יום. על התגובה לכלול הסבר האם הבקשה התקבלה או נדחתה, ונימוקי ההחלטה.
2.4. תיעוד הבקשה והתגובה
המכון האירופי לאישורי IT שומר תיעוד של כל הבקשות והתגובות לזכויות נושא הנתונים. זה עוזר להבטיח עמידה בחוקי הגנת המידע הרלוונטיים, כמו גם להקל על ביקורת או חקירות עתידיות.
2.5. הכשרת צוות רלוונטי
מכון הסמכת ה-IT האירופי יספק הדרכה לצוות האחראי לטיפול בבקשות לזכויות נושאי מידע כדי להבטיח שהם מכירים את חוקי הגנת הנתונים הרלוונטיים ואת הנהלים של מכון הסמכת ה-IT האירופי לטיפול בבקשות כאלה.
2.6. מעקב וסקירת התהליך
המכון האירופי לאישורי IT עוקב וסוקר את התהליך לטיפול בבקשות לזכויות נושאי מידע על בסיס קבוע כדי להבטיח שהוא יישאר יעיל ותואם לחוקי הגנת המידע הרלוונטיים. כל בעיה או תקרית מדווחת ומטופלת בזמן.
חלק 3. קביעת קצין הגנת מידע (DPO)
המכון האירופי לאישורי IT מייעד DPO שאחראי לפקח על ניהול הבקשות לזכויות נושא הנתונים, לרבות סקירת בקשות, מענה לבקשות והבטחת עמידה בתקנות הגנת מידע.
3.1. ייעוד ה-DPO
מכון הסמכת ה-IT האירופאי מייעד קצין הגנת מידע (DPO) שיפקח על ניהול הבקשות לזכויות נושא הנתונים ולהבטיח עמידה בתקנות הגנת מידע. ה-DPO יהיה אחראי לבדיקת בקשות ולוודא שמכון הסמכת ה-IT האירופאי עומד בהתחייבויותיו המשפטיות ביחס להגנת מידע.
3.2. דרישות הכשירות של DPO
על ה-DPO להיות בעל ידע מומחה בחוקים ובנוהלי הגנת מידע ולספק לו את המשאבים הדרושים למילוי אחריותו. הם צריכים לקבל גישה ישירה להנהלה הבכירה ולדווח לרמת הניהול הגבוהה ביותר של הארגון.
3.3. אחריות DPO
תחומי האחריות של ה-DPO כוללים, בין היתר, את הדברים הבאים:
- מתן הדרכה וייעוץ למכון הסמכת ה-IT האירופאי בנושאי הגנת מידע, לרבות ניהול בקשות לזכויות נושאי מידע.
- מעקב אחר תאימות של מכון הסמכת ה-IT האירופי לתקנות הגנת מידע ולמדיניות ונהלים פנימיים.
- מענה לפניות ותלונות של נושאי מידע בנוגע לזכויותיהם על פי תקנות הגנת מידע.
- תיאום עם מחלקות אחרות כדי להבטיח שדרישות הגנת המידע יעמדו בכל הארגון.
- ביצוע סקירות והערכות תקופתיות של נוהלי הגנת המידע של מכון ה-IT האירופאי ומתן המלצות לשיפור.
- משמש כנקודת קשר לרשויות הגנת מידע ומשתף פעולה איתן במקרה של חקירה או ביקורת.
- ה-DPO מעורב גם בפיתוח והטמעה של המדיניות והנהלים של מכון הסמכת ה-IT האירופי הקשורים להגנת נתונים, לרבות אלה הקשורים לטיפול בבקשות לזכויות נושא נתונים.
3.4. הכשרה ופיתוח כישורים של DPO
מכון הסמכת ה-IT האירופי צריך להבטיח שה-DPO מקבל הכשרה נאותה לגבי תקנות הגנת מידע ומתעדכן בכל שינוי או עדכונים לתקנות אלה.
3.5. פרטי הקשר של DPO
פרטי הקשר של ה-DPO צריכים להיות זמינים לנושאי המידע ולהיכלל בהודעת הפרטיות או במדיניות הפרטיות של מכון ה-IT האירופי.
חלק 4. שמירה על רישום עדכני של נתונים אישיים
המכון האירופי לאישורי IT שומר רישום עדכני של הנתונים האישיים שברשותו והמטרות שלשמן הם מעובדים. זה יאפשר למכון הסמכת ה-IT האירופאי להגיב במהירות ובדייקנות לבקשות לזכויות נושאי מידע.
4.1. קביעת תהליך לזיהוי ורישום נתונים אישיים
המכון האירופי להסמכת IT קובע תהליך ברור וסטנדרטי לזיהוי ורישום של נתונים אישיים, לרבות שמו של נושא הנתונים, פרטי הקשר וכל מידע רלוונטי אחר. תהליך זה מבטיח שמידע אישי נאסף רק למטרות ספציפיות ולגיטימיות.
4.2. סיווג נתונים אישיים
המכון האירופי לאישורי IT מסווג נתונים אישיים כדי להקל על המעקב והניהול שלהם. זה כולל סיווג נתונים לפי סוג, כגון פרטי קשר, פרטי חיוב, כישורים והסמכות, מידע פיננסי או היסטוריית תעסוקה.
4.3. הטמעת מערכת ניהול נתונים
המכון האירופי להסמכת IT מיישם מערכת לניהול נתונים כדי להבטיח שהנתונים האישיים מדויקים, מעודכנים ונגישים. מערכת ניהול הנתונים כוללת מסד נתונים שניתן לחפש ולשאול אותו כדי לעזור להגיב לבקשות זכויות נושא הנתונים.
4.4. הטלת אחריות על שמירת רישום הנתונים האישיים
המכון האירופי לאישורי IT צריך להקצות את האחריות לשמירה על רישום הנתונים האישיים ליחידים או למחלקות ספציפיות. זה יבטיח שהרישום יישמר מעודכן ומדויק.
4.5. בדיקה ועדכון שוטף של רישום הנתונים האישיים
המכון האירופי להסמכת IT צריך לסקור ולעדכן באופן קבוע את רישום הנתונים האישיים כדי להבטיח שהוא יישאר מדויק ועדכני. ניתן לעשות זאת באמצעות ביקורות תקופתיות או באמצעות תהליך ניטור מתמשך.
4.6. ליישם אמצעי אבטחה מתאימים
המכון האירופי לאישורי IT מיישם אמצעי אבטחה מתאימים להגנה על הנתונים האישיים שברשותו, לרבות אמצעים למניעת גישה בלתי מורשית, אובדן בשוגג או הרס של נתונים אישיים, כחלק ממדיניות אבטחת המידע (ISP) של הארגון. זה כולל בין היתר הצפנה, חומות אש ובקרות גישה. מפרט מפורט של התהליכים והאמצעים להגנה על נתונים מכוסים במדיניות אבטחת המידע האירופי הייעודי לאישורי IT.
חלק 5. מתן מידע ברור ותמציתי לנושאי המידע
בעת איסוף נתונים אישיים, המכון האירופי להסמכת IT מספק מידע ברור ותמציתי לנושאי המידע על זכויותיהם, לרבות הזכות לגשת, לתקן, למחוק ולהתנגד לעיבוד הנתונים האישיים שלהם.
5.1. שקיפות
המכון האירופי להסמכת IT הוא שקוף בעיבודו של נתונים אישיים ומספק מידע תמציתי לנושאי מידע על אופן השימוש, העיבוד והאחסון של הנתונים שלהם.
5.2. מדיניות פרטיות
למכון האירופאי להסמכת IT יש מדיניות פרטיות מפורטת המתארת את פעילויות עיבוד הנתונים שלו, כולל האופן שבו נושאי מידע יכולים לממש את זכויות נושא הנתונים שלהם.
5.3. זכות גישה
לנושאים הנתונים יש את הזכות לבקש גישה לנתונים האישיים שמחזיק עליהם המכון האירופי לאישורי IT. המכון האירופי לאישורי IT מספק מידע ברור ותמציתי לנושאי מידע לגבי אופן הגשת בקשת גישה, איזה מידע יידרש כדי לאמת את זהותם וכמה זמן ייקח למכון הסמכת ה-IT האירופי להגיב לבקשה.
5.4. הזכות לתקן
לנושאים הנתונים יש את הזכות לבקש ממכון הסמכת IT האירופי לתקן כל מידע אישי שגוי או חלקי שהוא מחזיק לגביהם. המכון האירופי לאישורי IT מספק מידע ברור ותמציתי לנושאי מידע לגבי אופן הגשת בקשה לתיקון, איזה מידע יידרש כדי לאמת את זהותם וכמה זמן ייקח למכון הסמכת ה-IT האירופי להגיב לבקשה.
5.5. זכות למחוק
לנושאים הנתונים יש את הזכות לבקש שהמכון האירופי לאישורי IT ימחק את הנתונים האישיים שלהם בנסיבות מסוימות. המכון האירופי לאישורי IT מספק מידע ברור ותמציתי לנושאי מידע לגבי אופן הגשת בקשה למחיקה, איזה מידע יידרש לאימות זהותם וכמה זמן ייקח למכון הסמכת ה-IT האירופי להגיב לבקשה.
5.6. זכות התנגדות
לנושאים הנתונים יש את הזכות להתנגד לעיבוד הנתונים האישיים שלהם בנסיבות מסוימות. המכון האירופי לאישורי IT מספק מידע ברור ותמציתי לנושאי מידע לגבי אופן הגשת בקשה להתנגד, איזה מידע יידרש לאימות זהותם וכמה זמן ייקח למכון הסמכת ה-IT האירופי להגיב לבקשה.
5.7. פרטים ליצירת קשר
המכון האירופי לאישורי IT מספק מידע ברור ותמציתי ליצירת קשר עבור נושאי מידע לשימוש אם יש להם שאלות או חששות לגבי אופן עיבוד הנתונים האישיים שלהם.
חלק 6. קביעת זמן תגובה סטנדרטי
המכון האירופי לאישורי IT קבע זמן תגובה סטנדרטי עבור בקשות לזכויות נושאי מידע והבטיח שהבקשות ייענו במסגרת זמן זו.
6.1. זמן תגובה סטנדרטי
המכון האירופי לאישורי IT קובע זמן תגובה סטנדרטי של 30 יום לבקשות לזכויות נושא הנתונים. זמן התגובה הסטנדרטי מגדיר מגבלת זמן עליונה לעיבוד ולתגובה, ורוב הבקשות מעובדות ונענות תוך זמן קצר יותר.
6.2. בקש זמן אישור קבלה
עם קבלת בקשת זכויות נושא הנתונים, ה-DPO או אנשי צוות אחרים יאשרו את קבלת הבקשה תוך 5 ימי עבודה ויספקו לנושא המידע מסגרת זמן משוערת למתן תגובה.
6.3. הארכות חריגות של זמן התגובה הסטנדרטי
מכון הסמכת ה-IT האירופי יעשה מאמצים סבירים כדי להגיב לבקשות זכויות נושא הנתונים תוך זמן התגובה הסטנדרטי שנקבע. עם זאת, אם הבקשה מורכבת או אם המכון האירופי לאישורי IT יקבל נפח גבוה של בקשות, זמן התגובה עשוי להתארך. במקרים כאלה, ה-DPO יודיע לנושא הנתונים על הארכה ועל סיבת העיכוב.
6.4. סירוב למלא בקשה לזכויות נושא המידע
אם המכון האירופי לאישורי IT אינו מסוגל למלא בקשה לזכויות נושא הנתונים, הוא יספק לנושא הנתונים הסבר לסירוב ויודיע לו על זכותו להתלונן בפני רשות הפיקוח הרלוונטית.
6.5. רישומים של בקשות ותגובות לזכויות נושא הנתונים
המכון האירופי לאישורי IT ינהל רישומים מדויקים של בקשות ותגובות לזכויות נושא המידע, לרבות תאריך קבלת הבקשה, אופי הבקשה ותאריך ואופן התגובה.
6.6. סקירות תקופתיות
ה-DPO יבדוק מעת לעת את זמני התגובה של מכון ה-IT האירופי ויעדכן אותם לפי הצורך כדי להבטיח עמידה בתקנות הגנת הנתונים החלות.
חלק 7. אימות זהות נושא הנתונים
7.1. דרישה לאימות זהות
המכון האירופי לאישורי IT חייב לאמת את זהותו של נושא הנתונים המגיש את הבקשה כדי להבטיח שהנתונים האישיים מסופקים רק לאדם הנכון.
7.2. אמצעים ושיטות לאימות זהות
כאשר נושא מידע מגיש בקשה לממש את זכויותיו על פי חוקי הגנת המידע, המכון האירופי לאישורי IT חייב לאמת את זהותו של נושא הנתונים באמצעות אמצעים מתאימים, כגון בקשת מסמכי זיהוי.
7.3. אימות זהות של בעל מיופה כוח
אם נושא הנתונים מגיש את הבקשה בשמו של מישהו אחר, המכון האירופי לאישורי IT חייב לאמת את זהות הן של נושא הנתונים והן של האדם שבשמו מוגשת הבקשה.
7.4. ספקות באימות זהות
אם למכון האירופאי לאישורי IT יש ספקות לגבי זהות נושא הנתונים או תקפות הבקשה, הוא רשאי לבקש מידע נוסף או לנקוט באמצעים מתאימים אחרים כדי לאמת את זהותו של נושא הנתונים.
7.5. רשומות אימות זהות
המכון האירופי לאישורי IT צריך לשמור תיעוד של תהליך האימות והאמצעים שננקטו כדי לאמת את זהותו של נושא הנתונים. יש לשמור רישום זה למשך פרק זמן סביר ולהשתמש בו כדי להוכיח ציות לחוקי הגנת מידע.
חלק 8. מענה מיידי לבקשות זכויות נושא הנתונים
8.1. תגובה מהירה
המכון האירופי לאישורי IT מגיב לבקשות זכויות נושא המידע באופן מיידי ומספק לנושא המידע את המידע שביקש.
8.2. בקש אישור קבלה
המכון האירופי לאישורי IT מאשר את קבלת בקשתו של נושא הנתונים בהקדם האפשרי, באופן אידיאלי תוך 5 ימי עבודה.
8.3. בקש סקירה
ה-DPO המיועד צריך לבדוק את הבקשה כדי לוודא שהיא עומדת בדרישות הדרושות ושכל המידע הדרוש סופק.
8.4. אימות זהות נושא הנתונים
המכון האירופי לאישורי IT מאמת את זהותו של נושא הנתונים המגיש את הבקשה כדי להבטיח שהנתונים האישיים מסופקים רק לאדם הנכון.
8.5. קבלת מידע נוסף במידת הצורך
אם הבקשה לא ברורה או לא מספקת, המכון האירופי לאישורי IT צריך ליצור קשר עם נושא הנתונים כדי לקבל מידע נוסף.
8.5. שליפת הנתונים הרלוונטיים
המכון האירופי להסמכת IT מאחזר את הנתונים האישיים הרלוונטיים וסוקר אותם כדי לוודא שהם מדויקים ועדכניים.
8.6. מסירת המידע המבוקש
המכון האירופי לאישורי IT מספק לנושא הנתונים את המידע שביקש, לרבות עותק של הנתונים האישיים שלו בפורמט אלקטרוני נפוץ, אלא אם נתבקש אחרת.
8.7. ליידע את נושא הנתונים על זכויותיו
המכון האירופי לאישורי IT מודיע לנושא הנתונים על זכויותיו האחרות, כגון הזכות לתקן או למחוק את הנתונים האישיים שלו, ולספק להם הנחיות נדרשות.
8.8. עמידה בזמן התגובה
המכון האירופי לאישורי IT מגיב לבקשות זכויות נושאי מידע תוך זמן התגובה שנקבע, ומבטיח שננקטות פעולות נדרשות כדי להיענות לבקשה.
8.9. תיעוד התגובה
המכון האירופי לאישורי IT מתעד את התגובה לבקשת זכויות נושא הנתונים, לרבות כל פעולות שננקטו וזמן התגובה, כדי להבטיח שניתן יהיה לבקר אותה ולעקוב אחריה למטרות תאימות.
8.10. יידוע נושא הנתונים על כל שינוי
אם יבוצעו שינויים כלשהם בנתונים האישיים של נושא הנתונים כתוצאה מבקשתו, המכון האירופי לאישורי IT יודיע לנושא הנתונים על שינויים אלה.
חלק 9. תיעוד בקשות לזכויות נושא המידע
המכון האירופי לאישורי IT שומר רישום של בקשות לזכויות נושא הנתונים, לרבות תאריך הבקשה, אופי הבקשה והתגובה לבקשה. תיעוד בקשות לזכויות נושא מידע כולל את ההיבטים הבאים:
9.1. ניהול רישום
המכון האירופי לאישורי IT מחזיק פנקס הקולט את כל הבקשות לזכויות נושא הנתונים שהתקבלו. פנקס זה אמור ללכוד את הפרטים הבאים:
- תאריך הבקשה
- שם ופרטי התקשרות של נושא הנתונים
- תיאור הבקשה
- פעולה שננקטה בתגובה לבקשה
- כל מידע נוסף הנדרש לעיבוד הבקשה
9.2. תהליך סטנדרטי לתיעוד
המכון האירופי לאישורי IT מפעיל תהליך סטנדרטי לתיעוד בקשות לזכויות נושאי מידע כדי להבטיח עקביות ודיוק במידע שנלכד.
9.3. תקופת שמירה
המכון האירופי לאישורי IT שומר את הרשומות הללו למשך פרק זמן סביר, כפי שנקבע על פי החוקים והתקנות החלים, לא קצר משנתיים.
9.4. שמירה על סודיות
המכון האירופי לאישורי IT מבטיח שהרשומות של בקשות לזכויות נושא הנתונים נגישות רק לצוות מורשה שיש לו צורך לגשת למידע כזה במילוי תפקידם. הוא גם מיישם אמצעים טכניים וארגוניים כדי למנוע גישה, חשיפה, שינוי או השמדה בלתי מורשית של נתונים אישיים הכלולים ברשומות של בקשות לזכויות נושא הנתונים.
9.5. דיווח
המכון האירופי לאישורי IT מפיק מעת לעת דוחות על בקשות לזכויות נושאי מידע שהתקבלו, מעובדות ומתקיימות. דוחות אלה משותפים עם בעלי עניין רלוונטיים לרבות ההנהלה הבכירה וה-DPO.
9.6 Analytics
המכון האירופי לאישורי IT עורך ניתוח מגמות לגבי בקשות לזכויות נושאי נתונים כדי לזהות דפוסים וגורמים שורשיים לבקשות. מידע זה משמש לשיפור תהליכים ונהלים לניהול טוב יותר של בקשות כאלה.
חלק 10. מעקב וסקירת התהליך
המכון האירופי לאישורי IT עוקב ובוחן באופן קבוע את התהליך שלו לטיפול בבקשות לזכויות נושאי מידע כדי להבטיח שהוא יישאר יעיל ותואם ל-GDPR.
10.1. ביצוע סקירות תקופתיות
מכון הסמכת ה-IT האירופאי עורך סקירות תקופתיות של תהליך הטיפול בבקשות בנושאי מידע ומדיניות תאימות GDPR כדי להבטיח שהוא יעיל ותואם לתקנות הגנת מידע. סקירות אלו כוללות ניתוח של מספר וסוג הבקשות שהתקבלו, עמידה בזמנים ואפקטיביות של התגובות וכל תחום לשיפור.
10.2. יישום שיפורים
בהתבסס על ממצאי הביקורות, מכון הסמכת ה-IT האירופי מיישם את כל השיפורים הנדרשים בתהליך הטיפול בבקשות לזכויות נושאי המידע שלו. זה עשוי לכלול עדכונים בנהלים, הכשרה נוספת לצוות, או שינויים באופן שבו בקשות מאומתות ומתן מענה.
10.3. הבטחת ציות מתמשך
המכון האירופי לאישורי IT מבטיח ציות מתמשך לתקנות הגנת מידע על ידי סקירה ועדכון שוטפים של המדיניות והנהלים שלו בהתאם לכל שינוי בחוקים ובתקנות הרלוונטיים.
10.4. מעקב אחר ביצועי הצוות
מכון הסמכת ה-IT האירופי עוקב אחר ביצועי הצוות ביחס לטיפול בבקשות לזכויות נושאי מידע, לרבות איכות ועמידה בזמנים של התגובות. זה עשוי לכלול הכשרה תקופתית וסקירות ביצועים כדי להבטיח שהצוות בקיא ומוכשר בתחום זה.
10.5. תקשורת עם נושאי מידע
המכון האירופי לאישורי IT מתקשר עם נושאי מידע לאורך תהליך הטיפול בבקשות כדי להבטיח שהם מעודכנים בהתקדמות ובכל מידע רלוונטי. זה עשוי לכלול מתן עדכונים על סטטוס בקשתם או בקשת מידע נוסף לפי הצורך.
10.6. שמירה על רישומים
המכון האירופי לאישורי IT שומר רישומים של הסקירות שלו, כולל כל שינוי שנעשה בתהליך הטיפול בבקשות לזכויות נושאי המידע שלו, כמו גם כל משוב שהתקבל מנושאי הנתונים. ניתן להשתמש במידע זה כדי לתמוך במאמצי ציות מתמשכים וכדי לזהות אזורים לשיפור נוסף.
חלק 11. קביעת רישום פעולות העיבוד
המכון האירופי להסמכת IT מחזיק את רישום פעילויות העיבוד שהוא מסמך המתאר את עיבוד הנתונים האישיים שבוצע על ידי הארגון. זה נדרש תחת תקנת הגנת המידע הכללית של האיחוד האירופי (GDPR) ונועד לתמוך בהבנה של פעילויות עיבוד נתונים והדגמת ציות ל-GDPR.
11.1. מבנה ROPA
ה-ROPA כולל מידע בסיסי על השם ופרטי ההתקשרות של הארגון, מטרות עיבוד הנתונים, קטגוריות הנתונים האישיים המעובדים, מקבלי הנתונים האישיים ותקופות השמירה של הנתונים האישיים. זה כולל גם מידע על כל מעבד צד שלישי המעבד נתונים אישיים מטעם הארגון.
11.2. ROPA עדכונים שוטפים
ה-ROPA מתעדכן באופן קבוע ומהווה מסמך חי המשקף שינויים בפעילויות עיבוד הנתונים של מכון ה-IT האירופי התומכות בבניית אמון עם נושאי מידע.
מכון הסמכת ה-IT האירופאי מחויב לשמור על הסטנדרטים הגבוהים ביותר בכל הנוגע לניהול בקשות לזכויות נושאי מידע ומדיניות כללית של תקנות הגנת מידע, תוך הקפדה על ציות לכל החוקים והתקנות החלים הקשורים לנושאים אלה, כמו גם לתקנים מובילים בתעשייה. ושיטות עבודה מומלצות, כולל מערכת ניהול מידע פרטיות ISO 27701.