Patakaran sa DSRRM at GDPR
Patakaran ng EITCA Academy sa Pamamahala ng Mga Karapatan sa Subject ng Data at Pangkalahatang Regulasyon sa Proteksyon ng Data
Tinukoy ng dokumentong ito ang Patakaran ng European IT Certification Institute sa Pamamahala ng Mga Karapatan sa Paksa ng Data, pati na rin ang pagpapatupad ng Pangkalahatang Regulasyon sa Proteksyon ng Data ng EU, na regular na sinusuri at ina-update upang matiyak ang pagiging epektibo at kaugnayan nito. Ang huling update sa EITCI Data Subject Rights Requests Management at GDPR Policy ay ginawa noong ika-10 ng Enero 2023. Ang aming Data Subject Rights Requests Management at GDPR Policy ay batay sa mga prinsipyo ng ISO 27701 Privacy Information Management System extension sa ISO 27001 Information Security Pamantayan ng system, pati na rin sa mga kinakailangan ng General Data Protection Regulation (2016/679).
Bahagi 1. Panimula
Ang pamamahala sa mga kahilingan sa karapatan sa paksa ng data ay isang mahalagang bahagi ng pagtiyak ng pagsunod sa mga regulasyon sa proteksyon ng data, katulad ng GDPR (General Data Protection Regulation ng EU). Tinukoy ng European IT Certification Institute ang mga sumusunod na pormal na pamamaraan para sa pamamahala ng mga kahilingan sa karapatan sa paksa ng data at pagpapatupad ng mga kinakailangan ng GDPR:
1.1. Pagtatatag ng proseso para sa paghawak ng mga kahilingan sa mga karapatan sa paksa ng data
Binabalangkas ng prosesong ito ang mga hakbang na sinusunod ng European IT Certification Institute kapag pinangangasiwaan ang mga kahilingan sa karapatan sa paksa ng data, kabilang ang pagkilala at pagpapatunay ng paksa ng data, ang pag-verify ng kahilingan ng paksa ng data, at ang pagtugon sa kahilingan.
1.2. Pagtatalaga ng Data Protection Officer (DPO)
Ang European IT Certification Institute ay nagtatalaga ng isang DPO na responsable sa pangangasiwa sa pamamahala ng mga kahilingan sa mga karapatan sa paksa ng data, kabilang ang pagsusuri ng mga kahilingan, pagtugon sa mga kahilingan, at pagtiyak ng pagsunod sa mga regulasyon sa proteksyon ng data.
1.3. Pagpapanatili ng up-to-date na talaan ng personal na data
Ang European IT Certification Institute ay nagpapanatili ng isang napapanahon na talaan ng personal na data na hawak nito at ang mga layunin kung saan ito pinoproseso. Ito ay magbibigay-daan sa European IT Certification Institute na mabilis at tumpak na tumugon sa mga kahilingan sa mga karapatan sa paksa ng data.
1.4. Pagbibigay ng malinaw at maigsi na impormasyon sa mga paksa ng datos
Kapag nangongolekta ng personal na data, ang European IT Certification Institute ay nagbibigay ng malinaw at maigsi na impormasyon sa mga paksa ng data tungkol sa kanilang mga karapatan, kabilang ang karapatang ma-access, itama, burahin, at tumutol sa pagproseso ng kanilang personal na data.
1.5. Pagtatatag ng karaniwang oras ng pagtugon
Ang European IT Certification Institute ay nagpapanatili ng isang karaniwang oras ng pagtugon para sa mga kahilingan sa mga karapatan sa paksa ng data at tinitiyak na ang mga kahilingan ay tutugunan sa loob ng panahong ito.
1.6. Pag-verify ng pagkakakilanlan ng paksa ng data
Bine-verify ng European IT Certification Institute ang pagkakakilanlan ng data subject na gumagawa ng kahilingan upang matiyak na ang personal na data ay ibinibigay lamang sa tamang indibidwal.
1.7. Pagtugon kaagad sa mga kahilingan sa mga karapatan sa paksa ng data
Ang European IT Certification Institute ay kaagad na tumutugon sa mga kahilingan sa mga karapatan sa paksa ng data at nagbibigay sa paksa ng data ng impormasyon na kanilang hiniling.
1.8. Pagdodokumento ng mga kahilingan sa karapatan sa paksa ng data
Ang European IT Certification Institute ay nagpapanatili ng isang talaan ng mga kahilingan sa mga karapatan sa paksa ng data, kabilang ang petsa ng kahilingan, ang katangian ng kahilingan, at ang tugon sa kahilingan.
1.9. Pagsubaybay at pagsusuri sa proseso
Regular na sinusubaybayan at sinusuri ng European IT Certification Institute ang proseso nito para sa paghawak ng mga kahilingan sa karapatan sa paksa ng data upang matiyak na ito ay nananatiling epektibo at sumusunod sa mga nauugnay na regulasyon sa proteksyon ng data.
1.10. Pagtatatag ng Talaan ng Mga Aktibidad sa Pagproseso
Pinapanatili ng European IT Certification Institute ang Record of Processing Activities na isang dokumento na nagbabalangkas sa pagproseso ng personal na data na isinagawa ng organisasyon. Ito ay kinakailangan sa ilalim ng EU General Data Protection Regulation (GDPR) at nilayon upang suportahan ang pag-unawa sa mga aktibidad sa pagpoproseso ng data at pagpapakita ng pagsunod sa GDPR.
Sa pamamagitan ng pagsunod sa mga pormal at pamamaraang ito, mabisang mapapamahalaan ng European IT Certification Institute ang mga kahilingan sa karapatan sa paksa ng data at matiyak ang pagsunod sa mga regulasyon sa proteksyon ng data, kabilang ang General Data Protection Regulation sa European Union.
Bahagi 2. Pagtatatag ng proseso para sa paghawak ng mga kahilingan sa karapatan sa paksa ng data
Binabalangkas ng prosesong ito ang mga hakbang na sinusunod ng European IT Certification Institute kapag pinangangasiwaan ang mga kahilingan sa mga karapatan sa paksa ng data, kabilang ang pagkakakilanlan at pagpapatunay ng paksa ng data, ang pag-verify ng kahilingan ng paksa ng data, at ang pagtugon sa kahilingan:
2.1. Pagkilala at pagpapatunay ng paksa ng data
Ang European IT Certification Institute ay nagpapanatili ng isang proseso sa lugar upang i-verify ang pagkakakilanlan ng paksa ng data na gumagawa ng kahilingan. Maaaring kabilang dito ang paghingi ng ID na ibinigay ng gobyerno, pagsuri sa mga kasalukuyang tala, o paggamit ng iba pang paraan ng pagpapatunay.
2.2. Pag-verify sa kahilingan ng paksa ng data
Kapag naitatag na ang pagkakakilanlan ng paksa ng data, dapat i-verify ng European IT Certification Institute na wasto ang kahilingan at nauugnay sa personal na data ng paksa ng data. Dapat ding isama sa kahilingan ang partikular na karapatang ginagamit, gaya ng karapatang mag-access, magtama, o magtanggal ng personal na data.
2.3. Pagsagot sa kahilingan
Ang European IT Certification Institute ay dapat magbigay ng tugon sa kahilingan ng data subject sa loob ng time frame na tinukoy ng mga nauugnay na batas sa proteksyon ng data, ngunit hindi hihigit sa 30 araw. Ang tugon ay dapat magsama ng paliwanag kung ang kahilingan ay ipinagkaloob o tinanggihan, at ang mga dahilan para sa desisyon.
2.4. Pagdodokumento ng kahilingan at tugon
Ang European IT Certification Institute ay nagpapanatili ng talaan ng lahat ng kahilingan at tugon sa mga karapatan sa paksa ng data. Nakakatulong ito upang matiyak ang pagsunod sa mga kaugnay na batas sa proteksyon ng data, gayundin upang mapadali ang mga pag-audit o pagsisiyasat sa hinaharap.
2.5. Pagsasanay sa mga kaugnay na kawani
Ang European IT Certification Institute ay magbibigay ng pagsasanay sa mga kawani na responsable sa paghawak ng mga kahilingan sa mga karapatan sa paksa ng data upang matiyak na pamilyar sila sa mga nauugnay na batas sa proteksyon ng data at mga pamamaraan ng European IT Certification Institute para sa paghawak ng mga naturang kahilingan.
2.6. Pagsubaybay at pagsusuri sa proseso
Regular na sinusubaybayan at sinusuri ng European IT Certification Institute ang proseso para sa paghawak ng mga kahilingan sa karapatan sa paksa ng data upang matiyak na ito ay nananatiling epektibo at sumusunod sa mga nauugnay na batas sa proteksyon ng data. Ang anumang mga isyu o insidente ay iniuulat at tinutugunan sa isang napapanahong paraan.
Bahagi 3. Pagtatalaga ng Data Protection Officer (DPO)
Ang European IT Certification Institute ay nagtatalaga ng isang DPO na responsable sa pangangasiwa sa pamamahala ng mga kahilingan sa mga karapatan sa paksa ng data, kabilang ang pagsusuri ng mga kahilingan, pagtugon sa mga kahilingan, at pagtiyak ng pagsunod sa mga regulasyon sa proteksyon ng data.
3.1. Pagtatalaga ng DPO
Ang European IT Certification Institute ay nagtatalaga ng Data Protection Officer (DPO) upang pangasiwaan ang pamamahala ng mga kahilingan sa karapatan sa paksa ng data at tiyakin ang pagsunod sa mga regulasyon sa proteksyon ng data. Pananagutan ng DPO ang pagrepaso ng mga kahilingan at pagtiyak na natutugunan ng European IT Certification Institute ang mga legal na obligasyon nito kaugnay ng proteksyon ng data.
3.2. Mga kinakailangan sa kakayahan ng DPO
Ang DPO ay dapat magkaroon ng dalubhasang kaalaman sa mga batas at kasanayan sa proteksyon ng data at mabigyan ng mga kinakailangang mapagkukunan upang matupad ang kanilang mga responsibilidad. Dapat silang magkaroon ng direktang access sa senior management at mag-ulat sa pinakamataas na antas ng pamamahala ng organisasyon.
3.3. Mga responsibilidad ng DPO
Kasama sa mga responsibilidad ng DPO, ngunit hindi limitado sa, ang mga sumusunod:
- Nagbibigay ng patnubay at payo sa European IT Certification Institute sa mga usapin sa proteksyon ng data, kabilang ang pamamahala ng mga kahilingan sa karapatan sa paksa ng data.
- Pagsubaybay sa pagsunod ng European IT Certification Institute sa mga regulasyon sa proteksyon ng data at panloob na mga patakaran at pamamaraan.
- Pagsagot sa mga katanungan at reklamo mula sa mga paksa ng data tungkol sa kanilang mga karapatan sa ilalim ng mga regulasyon sa proteksyon ng data.
- Pakikipag-ugnayan sa ibang mga departamento upang matiyak na ang mga kinakailangan sa proteksyon ng data ay natutugunan sa buong organisasyon.
- Pagsasagawa ng mga pana-panahong pagsusuri at pagtatasa ng mga kasanayan sa proteksyon ng data ng European IT Certification Institute at pagbibigay ng mga rekomendasyon para sa pagpapabuti.
- Nagsisilbing punto ng pakikipag-ugnayan para sa mga awtoridad sa proteksyon ng data at nakikipagtulungan sa kanila kung sakaling magkaroon ng pagsisiyasat o pag-audit.
- Ang DPO ay kasangkot din sa pagbuo at pagpapatupad ng mga patakaran at pamamaraan ng European IT Certification Institute na may kaugnayan sa proteksyon ng data, kabilang ang mga nauugnay sa paghawak ng mga kahilingan sa karapatan sa paksa ng data.
3.4. Pagsasanay at pagpapaunlad ng mga kwalipikasyon ng DPO
Dapat tiyakin ng European IT Certification Institute na ang DPO ay sapat na sinanay sa mga regulasyon sa proteksyon ng data at napapanatiling napapanahon sa anumang mga pagbabago o update sa mga regulasyong ito.
3.5. Impormasyon sa pakikipag-ugnayan ng DPO
Ang impormasyon sa pakikipag-ugnayan ng DPO ay dapat gawing available sa mga paksa ng data at kasama sa paunawa o patakaran sa privacy ng European IT Certification Institute.
Bahagi 4. Pagpapanatili ng up-to-date na talaan ng personal na data
Ang European IT Certification Institute ay nagpapanatili ng isang napapanahon na talaan ng personal na data na hawak nito at ang mga layunin kung saan ito pinoproseso. Ito ay magbibigay-daan sa European IT Certification Institute na mabilis at tumpak na tumugon sa mga kahilingan sa mga karapatan sa paksa ng data.
4.1. Pagtatatag ng isang proseso para sa pagtukoy at pagtatala ng personal na data
Ang European IT Certification Institute ay nagtatatag ng isang malinaw at standardized na proseso para sa pagtukoy at pagtatala ng personal na data, kabilang ang pangalan ng paksa ng data, impormasyon sa pakikipag-ugnayan, at anumang iba pang nauugnay na impormasyon. Tinitiyak ng prosesong ito na ang personal na data ay kinokolekta lamang para sa mga partikular at lehitimong layunin.
4.2. Pag-uuri ng personal na data
Kinakategorya ng European IT Certification Institute ang personal na data upang gawing mas madaling subaybayan at pamahalaan. Kabilang dito ang pagkakategorya ng data ayon sa uri, gaya ng impormasyon sa pakikipag-ugnayan, impormasyon sa pagsingil, mga kakayahan at kwalipikasyon, impormasyon sa pananalapi, o kasaysayan ng trabaho.
4.3. Pagpapatupad ng isang sistema ng pamamahala ng data
Ang European IT Certification Institute ay nagpapatupad ng isang data management system upang makatulong na matiyak na ang personal na data ay tumpak, napapanahon, at naa-access. Ang sistema ng pamamahala ng data ay may kasamang database na maaaring hanapin at i-query para tumulong sa pagtugon sa mga kahilingan sa mga karapatan sa paksa ng data.
4.4. Pagtatalaga ng responsibilidad para sa pagpapanatili ng talaan ng personal na data
Ang European IT Certification Institute ay dapat magtalaga ng responsibilidad para sa pagpapanatili ng talaan ng personal na data sa mga partikular na indibidwal o departamento. Titiyakin nito na ang talaan ay napananatiling napapanahon at tumpak.
4.5. Regular na sinusuri at ina-update ang talaan ng personal na data
Ang European IT Certification Institute ay dapat na regular na suriin at i-update ang talaan ng personal na data upang matiyak na ito ay nananatiling tumpak at napapanahon. Magagawa ito sa pamamagitan ng pana-panahong pag-audit o sa pamamagitan ng patuloy na proseso ng pagsubaybay.
4.6. Magpatupad ng naaangkop na mga hakbang sa seguridad
Ang European IT Certification Institute ay nagpapatupad ng naaangkop na mga hakbang sa seguridad upang protektahan ang personal na data na hawak nito, kabilang ang mga hakbang upang maiwasan ang hindi awtorisadong pag-access, aksidenteng pagkawala, o pagkasira ng personal na data, bilang bahagi ng Patakaran sa Seguridad ng Impormasyon (ISP) ng organisasyon. Kabilang dito ang pag-encrypt ng ia, mga firewall, at mga kontrol sa pag-access. Ang isang detalyadong detalye ng mga proseso at hakbang para sa proteksyon ng data ay saklaw ng nakalaang European IT Certification Institute's Information Security Policy.
Bahagi 5. Pagbibigay ng malinaw at maigsi na impormasyon sa mga paksa ng datos
Kapag nangongolekta ng personal na data, ang European IT Certification Institute ay nagbibigay ng malinaw at maigsi na impormasyon sa mga paksa ng data tungkol sa kanilang mga karapatan, kabilang ang karapatang ma-access, itama, burahin, at tumutol sa pagproseso ng kanilang personal na data.
5.1. Aninaw
Ang European IT Certification Institute ay transparent sa pagproseso nito ng personal na data at nagbibigay ng maigsi na impormasyon sa mga paksa ng data kung paano ginagamit, pinoproseso, at iniimbak ang kanilang data.
5.2. Patakaran sa Privacy
Ang European IT Certification Institute ay may detalyadong patakaran sa privacy na nagbabalangkas sa mga aktibidad nito sa pagpoproseso ng data, kabilang ang kung paano magagamit ng mga paksa ng data ang kanilang mga karapatan sa paksa ng data.
5.3. Karapatan sa Pag-access
Ang mga paksa ng data ay may karapatang humiling ng access sa personal na data na hawak ng European IT Certification Institute tungkol sa kanila. Ang European IT Certification Institute ay nagbibigay ng malinaw at maigsi na impormasyon sa mga paksa ng data tungkol sa kung paano gumawa ng kahilingan para sa pag-access, anong impormasyon ang kakailanganin upang ma-verify ang kanilang pagkakakilanlan, at kung gaano katagal ang European IT Certification Institute ay aabutin upang tumugon sa kahilingan.
5.4. Karapatan sa Pagwawasto
Ang mga paksa ng data ay may karapatang humiling na itama ng European IT Certification Institute ang anumang hindi tumpak o hindi kumpletong personal na data na hawak nito tungkol sa kanila. Ang European IT Certification Institute ay nagbibigay ng malinaw at maigsi na impormasyon sa mga paksa ng data tungkol sa kung paano gumawa ng isang kahilingan para sa pagwawasto, kung anong impormasyon ang kinakailangan upang ma-verify ang kanilang pagkakakilanlan, at kung gaano katagal ang European IT Certification Institute ay aabutin upang tumugon sa kahilingan.
5.5. Karapatan na Burahin
Ang mga paksa ng data ay may karapatang humiling na burahin ng European IT Certification Institute ang kanilang personal na data sa ilang partikular na sitwasyon. Ang European IT Certification Institute ay nagbibigay ng malinaw at maigsi na impormasyon sa mga paksa ng data tungkol sa kung paano gumawa ng isang kahilingan para sa pagbura, kung anong impormasyon ang kinakailangan upang ma-verify ang kanilang pagkakakilanlan, at kung gaano katagal ang European IT Certification Institute ay aabutin upang tumugon sa kahilingan.
5.6. Karapatang Tumutol
Ang mga paksa ng data ay may karapatang tumutol sa pagproseso ng kanilang personal na data sa ilang partikular na sitwasyon. Ang European IT Certification Institute ay nagbibigay ng malinaw at maigsi na impormasyon sa mga paksa ng data tungkol sa kung paano gumawa ng isang kahilingan upang tumutol, kung anong impormasyon ang kinakailangan upang ma-verify ang kanilang pagkakakilanlan, at kung gaano katagal ang European IT Certification Institute ay aabutin upang tumugon sa kahilingan.
5.7. Impormasyon sa Pakikipag-ugnay
Ang European IT Certification Institute ay nagbibigay ng malinaw at maigsi na impormasyon sa pakikipag-ugnayan para sa mga paksa ng data na gagamitin kung mayroon silang mga tanong o alalahanin kung paano pinoproseso ang kanilang personal na data.
Bahagi 6. Pagtatatag ng karaniwang oras ng pagtugon
Ang European IT Certification Institute ay nagtatag ng isang karaniwang oras ng pagtugon para sa mga kahilingan sa karapatan sa paksa ng data at tinitiyak na ang mga kahilingan ay tutugunan sa loob ng panahong ito.
6.1. Karaniwang oras ng pagtugon
Ang European IT Certification Institute ay nagtatatag ng karaniwang oras ng pagtugon na 30 araw para sa mga kahilingan sa mga karapatan sa paksa ng data. Ang karaniwang oras ng pagtugon ay tumutukoy sa isang mas mataas na limitasyon sa oras para sa pagproseso at pagtugon at karamihan ng mga kahilingan ay pinoproseso at sinasagot sa loob ng mas maikling panahon.
6.2. Humiling ng oras ng pagtanggap ng resibo
Sa pagtanggap ng kahilingan sa mga karapatan sa paksa ng data, tatanggapin ng DPO o iba pang miyembro ng kawani ang pagtanggap ng kahilingan sa loob ng 5 araw ng trabaho at bibigyan ang paksa ng data ng tinantyang takdang panahon para sa pagbibigay ng tugon.
6.3. Mga pambihirang extension ng karaniwang oras ng pagtugon
Ang European IT Certification Institute ay gagamit ng mga makatwirang pagsisikap upang tumugon sa mga kahilingan sa mga karapatan sa paksa ng data sa loob ng itinatag na karaniwang oras ng pagtugon. Gayunpaman, kung ang kahilingan ay kumplikado o kung ang European IT Certification Institute ay tumatanggap ng mataas na dami ng mga kahilingan, ang oras ng pagtugon ay maaaring pahabain. Sa ganitong mga kaso, ipapaalam ng DPO sa paksa ng data ang extension at ang dahilan ng pagkaantala.
6.4. Pagtanggi na tuparin ang kahilingan sa mga karapatan sa paksa ng data
Kung hindi matupad ng European IT Certification Institute ang isang kahilingan sa mga karapatan sa paksa ng data, bibigyan nito ang paksa ng data ng paliwanag para sa pagtanggi at ipaalam sa kanila ang kanilang karapatang magreklamo sa nauugnay na awtoridad sa pangangasiwa.
6.5. Mga talaan ng mga kahilingan at tugon sa mga karapatan sa paksa ng data
Ang European IT Certification Institute ay magpapanatili ng tumpak na mga talaan ng mga kahilingan at tugon sa mga karapatan sa paksa ng data, kabilang ang petsa ng pagtanggap ng kahilingan, ang katangian ng kahilingan, at ang petsa at paraan ng pagtugon.
6.6. Mga pana-panahong pagsusuri
Pana-panahong susuriin ng DPO ang mga oras ng pagtugon ng European IT Certification Institute at ia-update ang mga ito kung kinakailangan upang matiyak ang pagsunod sa mga naaangkop na regulasyon sa proteksyon ng data.
Bahagi 7. Pagpapatunay sa pagkakakilanlan ng paksa ng datos
7.1. Kinakailangan sa pagpapatunay ng pagkakakilanlan
Dapat i-verify ng European IT Certification Institute ang pagkakakilanlan ng data subject na gumagawa ng kahilingan upang matiyak na ang personal na data ay ibinibigay lamang sa tamang indibidwal.
7.2. Paraan at pamamaraan ng pagpapatunay ng pagkakakilanlan
Kapag humiling ang isang paksa ng data na gamitin ang kanilang mga karapatan sa ilalim ng mga batas sa proteksyon ng data, dapat i-verify ng European IT Certification Institute ang pagkakakilanlan ng paksa ng data gamit ang mga naaangkop na hakbang, gaya ng paghiling ng mga dokumento ng pagkakakilanlan.
7.3. Pag-verify ng pagkakakilanlan ng isang may hawak ng proxy
Kung ang paksa ng data ay gumagawa ng kahilingan sa ngalan ng ibang tao, dapat na i-verify ng European IT Certification Institute ang pagkakakilanlan ng parehong paksa ng data at ang indibidwal na kung saan ang kahilingan ay ginawa.
7.4. Mga pagdududa sa pagpapatunay ng pagkakakilanlan
Kung ang European IT Certification Institute ay may mga pagdududa tungkol sa pagkakakilanlan ng paksa ng data o ang bisa ng kahilingan, maaari itong humiling ng karagdagang impormasyon o gumawa ng iba pang naaangkop na mga hakbang upang i-verify ang pagkakakilanlan ng paksa ng data.
7.5. Mga talaan ng pagpapatunay ng pagkakakilanlan
Ang European IT Certification Institute ay dapat magtago ng talaan ng proseso ng pag-verify at ang mga hakbang na ginawa upang ma-verify ang pagkakakilanlan ng paksa ng data. Ang rekord na ito ay dapat itago sa isang makatwirang yugto ng panahon at gamitin upang ipakita ang pagsunod sa mga batas sa proteksyon ng data.
Bahagi 8. Pagtugon kaagad sa mga kahilingan sa karapatan sa paksa ng data
8.1. Maagap na tugon
Ang European IT Certification Institute ay kaagad na tumutugon sa mga kahilingan sa mga karapatan sa paksa ng data at binibigyan ang paksa ng data ng impormasyon na kanilang hiniling.
8.2. Humiling ng pagkilala sa resibo
Kinikilala ng European IT Certification Institute ang pagtanggap ng kahilingan ng paksa ng data sa lalong madaling panahon, mas mabuti sa loob ng 5 araw ng trabaho.
8.3. Humiling ng pagsusuri
Dapat suriin ng itinalagang DPO ang kahilingan upang matiyak na natutugunan nito ang mga kinakailangang kinakailangan at naibigay ang lahat ng kinakailangang impormasyon.
8.4. Pagpapatunay ng pagkakakilanlan ng paksa ng data
Bine-verify ng European IT Certification Institute ang pagkakakilanlan ng data subject na gumagawa ng kahilingan upang matiyak na ang personal na data ay ibinibigay lamang sa tamang indibidwal.
8.5. Pagkuha ng karagdagang impormasyon kung kinakailangan
Kung ang kahilingan ay hindi malinaw o hindi sapat, ang European IT Certification Institute ay dapat makipag-ugnayan sa paksa ng data upang makakuha ng karagdagang impormasyon.
8.5. Kinukuha ang nauugnay na data
Kinukuha ng European IT Certification Institute ang nauugnay na personal na data at sinusuri ito upang matiyak na ito ay tumpak at napapanahon.
8.6. Pagbibigay ng hinihinging impormasyon
Ang European IT Certification Institute ay nagbibigay sa paksa ng data ng impormasyong hiniling nila, kabilang ang isang kopya ng kanilang personal na data sa isang karaniwang ginagamit na elektronikong format, maliban kung hiniling.
8.7. Ipaalam sa paksa ng data ang kanilang mga karapatan
Ang European IT Certification Institute ay nagpapaalam sa paksa ng data ng kanilang iba pang mga karapatan, tulad ng karapatang itama o burahin ang kanilang personal na data, at bigyan sila ng mga kinakailangang tagubilin.
8.8. Pagsunod sa oras ng pagtugon
Ang European IT Certification Institute ay tumutugon sa mga kahilingan sa mga karapatan sa paksa ng data sa loob ng itinakdang oras ng pagtugon, na tinitiyak na ang kinakailangang aksyon ay gagawin upang makasunod sa kahilingan.
8.9. Pagdodokumento ng tugon
Ang European IT Certification Institute ay nagdodokumento ng tugon sa kahilingan sa mga karapatan sa paksa ng data, kabilang ang anumang mga pagkilos na ginawa at ang oras ng pagtugon, upang matiyak na maaari itong ma-audit at masubaybayan para sa mga layunin ng pagsunod.
8.10. Pag-abiso sa paksa ng data ng anumang mga pagbabago
Kung may anumang pagbabagong ginawa sa personal na data ng subject ng data bilang resulta ng kanilang kahilingan, aabisuhan ng European IT Certification Institute ang paksa ng data ng mga pagbabagong ito.
Bahagi 9. Pagdodokumento ng mga kahilingan sa karapatan sa paksa ng data
Ang European IT Certification Institute ay nagpapanatili ng isang talaan ng mga kahilingan sa mga karapatan sa paksa ng data, kabilang ang petsa ng kahilingan, ang katangian ng kahilingan, at ang tugon sa kahilingan. Kasama sa pagdodokumento ng mga kahilingan sa karapatan sa paksa ng data ang mga sumusunod na aspeto:
9.1. Pagpapanatili ng isang rehistro
Ang European IT Certification Institute ay nagpapanatili ng isang rehistro na kumukuha ng lahat ng mga kahilingan sa mga karapatan sa paksa ng data na natanggap. Dapat makuha ng rehistrong ito ang mga sumusunod na detalye:
- Petsa ng kahilingan
- Pangalan at mga detalye ng contact ng paksa ng data
- Paglalarawan ng kahilingan
- Nagsagawa ng aksyon bilang tugon sa kahilingan
- Anumang karagdagang impormasyon na kinakailangan upang maproseso ang kahilingan
9.2. Standardized na proseso para sa dokumentasyon
Ang European IT Certification Institute ay nagpapatakbo ng isang standardized na proseso para sa pagdodokumento ng mga kahilingan sa mga karapatan sa paksa ng data upang matiyak ang pagkakapare-pareho at katumpakan sa nakuhang impormasyon.
9.3. Panahon ng pagpapanatili
Pinapanatili ng European IT Certification Institute ang mga rekord na ito para sa isang makatwirang yugto ng panahon, gaya ng tinutukoy ng mga naaangkop na batas at regulasyon, hindi mas maikli sa 2 taon.
9.4. Pagpapanatili ng pagiging kompidensiyal
Tinitiyak ng European IT Certification Institute na ang mga talaan ng mga kahilingan sa mga karapatan sa paksa ng data ay maa-access lamang ng mga awtorisadong tauhan na kailangang ma-access ang naturang impormasyon sa pagganap ng kanilang mga tungkulin. Nagpapatupad din ito ng mga teknikal at pang-organisasyong hakbang upang maiwasan ang hindi awtorisadong pag-access, pagsisiwalat, pagbabago o pagsira ng personal na data na nakapaloob sa mga talaan ng mga kahilingan sa karapatan sa paksa ng data.
9.5. Pag-uulat
Ang European IT Certification Institute ay pana-panahong bumubuo ng mga ulat sa mga kahilingan sa mga karapatan sa paksa ng data na natanggap, naproseso at hindi pa nababayaran. Ang mga ulat na ito ay ibinabahagi sa mga nauugnay na stakeholder kabilang ang senior management at ang DPO.
9.6 Analytics
Ang European IT Certification Institute ay nagsasagawa ng trend analysis sa mga kahilingan sa mga karapatan sa paksa ng data upang matukoy ang mga pattern at ugat ng mga kahilingan. Ang impormasyong ito ay ginagamit upang mapahusay ang mga proseso at pamamaraan upang mas mahusay na pamahalaan ang mga naturang kahilingan.
Bahagi 10. Pagsubaybay at pagrepaso sa proseso
Regular na sinusubaybayan at sinusuri ng European IT Certification Institute ang proseso nito para sa paghawak ng mga kahilingan sa karapatan sa paksa ng data upang matiyak na ito ay nananatiling epektibo at sumusunod sa GDPR.
10.1. Pagsasagawa ng mga pana-panahong pagsusuri
Ang European IT Certification Institute ay nagsasagawa ng mga pana-panahong pagsusuri sa proseso ng pangangasiwa ng kahilingan sa mga karapatan ng paksa ng data nito at patakaran sa pagsunod sa GDPR upang matiyak na ito ay epektibo at sumusunod sa mga regulasyon sa proteksyon ng data. Kasama sa mga pagsusuring ito ang pagsusuri ng bilang at uri ng mga kahilingang natanggap, ang pagiging maagap at pagiging epektibo ng mga tugon, at anumang bahagi para sa pagpapabuti.
10.2. Pagpapatupad ng mga pagpapabuti
Batay sa mga natuklasan ng mga pagsusuri, ang European IT Certification Institute ay nagpapatupad ng anumang kinakailangang mga pagpapabuti sa proseso ng paghawak ng kahilingan sa kahilingan ng mga karapatan sa data ng paksa. Maaaring kabilang dito ang mga update sa mga pamamaraan, karagdagang pagsasanay para sa mga kawani, o mga pagbabago sa paraan ng pagbe-verify at pagtugon sa mga kahilingan.
10.3. Tinitiyak ang patuloy na pagsunod
Tinitiyak ng European IT Certification Institute ang patuloy na pagsunod sa mga regulasyon sa proteksyon ng data sa pamamagitan ng regular na pagsusuri at pag-update ng mga patakaran at pamamaraan nito alinsunod sa anumang pagbabago sa mga nauugnay na batas at regulasyon.
10.4. Pagsubaybay sa pagganap ng mga tauhan
Sinusubaybayan ng European IT Certification Institute ang pagganap ng mga kawani kaugnay ng paghawak sa mga kahilingan sa mga karapatan sa paksa ng data, kabilang ang kalidad at pagiging maagap ng mga tugon. Maaaring kabilang dito ang pana-panahong pagsasanay at mga pagsusuri sa pagganap upang matiyak na ang mga kawani ay may kaalaman at may kakayahan sa larangang ito.
10.5. Pakikipag-usap sa mga paksa ng data
Nakikipag-ugnayan ang European IT Certification Institute sa mga paksa ng data sa buong proseso ng paghawak ng kahilingan upang matiyak na pinananatiling alam nila ang tungkol sa pag-unlad at anumang nauugnay na impormasyon. Maaaring kabilang dito ang pagbibigay ng mga update sa status ng kanilang kahilingan o paghiling ng karagdagang impormasyon kung kinakailangan.
10.6. Pagpapanatili ng mga talaan
Ang European IT Certification Institute ay nagpapanatili ng mga talaan ng mga pagsusuri nito, kabilang ang anumang mga pagbabagong ginawa sa proseso ng paghiling ng mga karapatan sa kahilingan ng data subject nito, pati na rin ang anumang feedback na natanggap mula sa mga paksa ng data. Maaaring gamitin ang impormasyong ito upang suportahan ang patuloy na pagsusumikap sa pagsunod at upang tukuyin ang mga lugar para sa karagdagang pagpapabuti.
Bahagi 11. Pagtatatag ng Talaan ng Mga Aktibidad sa Pagproseso
Pinapanatili ng European IT Certification Institute ang Record of Processing Activities na isang dokumento na nagbabalangkas sa pagproseso ng personal na data na isinagawa ng organisasyon. Ito ay kinakailangan sa ilalim ng EU General Data Protection Regulation (GDPR) at nilayon upang suportahan ang pag-unawa sa mga aktibidad sa pagpoproseso ng data at pagpapakita ng pagsunod sa GDPR.
11.1. Istruktura ng ROPA
Kasama sa ROPA ang pangunahing impormasyon sa pangalan at mga detalye ng contact ng organisasyon, ang mga layunin ng pagproseso ng data, ang mga kategorya ng personal na data na naproseso, ang mga tatanggap ng personal na data, at ang mga panahon ng pagpapanatili para sa personal na data. Kasama rin dito ang impormasyon tungkol sa anumang mga third-party na processor na nagpoproseso ng personal na data sa ngalan ng organisasyon.
11.2. Mga regular na update ng ROPA
Ang ROPA ay regular na ina-update at isang buhay na dokumento na nagpapakita ng mga pagbabago sa mga aktibidad sa pagproseso ng data ng European IT Certification Institute na sumusuporta sa pagbuo ng tiwala sa mga paksa ng data.
Ang European IT Certification Institute ay nakatuon sa pagpapanatili ng pinakamataas na pamantayan patungkol sa Pamamahala ng Mga Karapatan sa Paksa ng Data nito at Pangkalahatang Patakaran sa Regulasyon sa Proteksyon ng Data, na tinitiyak na sumunod sa lahat ng naaangkop na batas at regulasyong nauugnay sa mga isyung ito, gayundin sa nangungunang mga pamantayan sa industriya at pinakamahuhusay na kagawian, kabilang ang ISO 27701 Privacy Information Management System.