Dasar DSRRM dan GDPR
Polisi Akademi EITCA mengenai Pengurusan Permintaan Hak Subjek Data dan Peraturan Perlindungan Data Am
Dokumen ini menyatakan Dasar Institut Pensijilan IT Eropah mengenai Pengurusan Permintaan Hak Subjek Data, serta pelaksanaan Peraturan Perlindungan Data Am EU, yang disemak dan dikemas kini secara kerap untuk memastikan keberkesanan dan kaitannya. Kemas kini terakhir kepada Pengurusan Permintaan Hak Subjek Data EITCI dan Dasar GDPR telah dibuat pada 10 Januari 2023. Pengurusan Permintaan Hak Subjek Data kami dan Dasar GDPR adalah berdasarkan prinsip sambungan Sistem Pengurusan Maklumat Privasi ISO 27701 kepada Keselamatan Maklumat ISO 27001 Piawaian sistem, serta keperluan Peraturan Perlindungan Data Umum (2016/679).
Bahagian 1. Pengenalan
Menguruskan permintaan hak subjek data adalah bahagian penting dalam memastikan pematuhan terhadap peraturan perlindungan data, iaitu GDPR (Peraturan Perlindungan Data Umum EU). Institut Pensijilan IT Eropah mentakrifkan prosedur rasmi berikut untuk mengurus permintaan hak subjek data dan melaksanakan keperluan GDPR:
1.1. Mewujudkan proses untuk mengendalikan permintaan hak subjek data
Proses ini menggariskan langkah-langkah yang diikuti oleh Institut Pensijilan IT Eropah semasa mengendalikan permintaan hak subjek data, termasuk pengenalpastian dan pengesahan subjek data, pengesahan permintaan subjek data dan respons kepada permintaan tersebut.
1.2. Menetapkan Pegawai Perlindungan Data (DPO)
Institut Pensijilan IT Eropah menetapkan DPO yang bertanggungjawab untuk mengawasi pengurusan permintaan hak subjek data, termasuk semakan permintaan, tindak balas kepada permintaan dan memastikan pematuhan terhadap peraturan perlindungan data.
1.3. Mengekalkan rekod data peribadi yang terkini
Institut Pensijilan IT Eropah mengekalkan rekod terkini data peribadi yang dipegangnya dan tujuan ia diproses. Ini akan membolehkan Institut Pensijilan IT Eropah bertindak balas dengan cepat dan tepat kepada permintaan hak subjek data.
1.4. Menyediakan maklumat yang jelas dan ringkas kepada subjek data
Apabila mengumpul data peribadi, Institut Pensijilan IT Eropah memberikan maklumat yang jelas dan padat kepada subjek data tentang hak mereka, termasuk hak untuk mengakses, membetulkan, memadam dan membantah pemprosesan data peribadi mereka.
1.5. Mewujudkan masa tindak balas standard
Institut Pensijilan IT Eropah mengekalkan masa respons standard untuk permintaan hak subjek data dan memastikan permintaan dijawab dalam tempoh masa ini.
1.6. Mengesahkan identiti subjek data
Institut Pensijilan IT Eropah mengesahkan identiti subjek data yang membuat permintaan untuk memastikan bahawa data peribadi hanya diberikan kepada individu yang betul.
1.7. Menjawab permintaan hak subjek data dengan segera
Institut Pensijilan IT Eropah bertindak balas kepada permintaan hak subjek data dengan segera dan memberikan subjek data maklumat yang mereka minta.
1.8. Mendokumentasikan permintaan hak subjek data
Institut Pensijilan IT Eropah mengekalkan rekod permintaan hak subjek data, termasuk tarikh permintaan, sifat permintaan dan respons kepada permintaan itu.
1.9. Memantau dan menyemak proses
Institut Pensijilan IT Eropah sentiasa memantau dan menyemak prosesnya untuk mengendalikan permintaan hak subjek data untuk memastikan ia kekal berkesan dan mematuhi peraturan perlindungan data yang berkaitan.
1.10. Mewujudkan Rekod Aktiviti Pemprosesan
Institut Pensijilan IT Eropah mengekalkan Rekod Aktiviti Pemprosesan yang merupakan dokumen yang menggariskan pemprosesan data peribadi yang dijalankan oleh organisasi. Ia diperlukan di bawah Peraturan Perlindungan Data Am (GDPR) EU dan bertujuan untuk menyokong pemahaman tentang aktiviti pemprosesan data dan menunjukkan pematuhan dengan GDPR.
Dengan mengikut prosedur formal dan ini, Institut Pensijilan IT Eropah boleh mengurus permintaan hak subjek data dengan berkesan dan memastikan pematuhan terhadap peraturan perlindungan data, termasuk Peraturan Perlindungan Data Am di Kesatuan Eropah.
Bahagian 2. Mewujudkan proses untuk mengendalikan permintaan hak subjek data
Proses ini menggariskan langkah-langkah yang diikuti oleh Institut Pensijilan IT Eropah semasa mengendalikan permintaan hak subjek data, termasuk pengenalpastian dan pengesahan subjek data, pengesahan permintaan subjek data dan respons kepada permintaan itu:
2.1. Mengenal pasti dan mengesahkan subjek data
Institut Pensijilan IT Eropah mengekalkan proses untuk mengesahkan identiti subjek data yang membuat permintaan. Ini mungkin termasuk meminta ID keluaran kerajaan, menyemak rekod sedia ada atau menggunakan kaedah pengesahan lain.
2.2. Mengesahkan permintaan subjek data
Setelah identiti subjek data telah diwujudkan, Institut Pensijilan IT Eropah mesti mengesahkan bahawa permintaan itu sah dan berkaitan dengan data peribadi subjek data. Permintaan itu juga harus termasuk hak khusus yang digunakan, seperti hak untuk mengakses, membetulkan atau memadam data peribadi.
2.3. Menjawab permintaan
Institut Pensijilan IT Eropah mesti memberikan respons kepada permintaan subjek data dalam tempoh masa yang ditetapkan oleh undang-undang perlindungan data yang berkaitan, tetapi tidak lebih daripada 30 hari. Tanggapan harus merangkumi penjelasan sama ada permintaan itu telah diberikan atau ditolak, dan sebab keputusan itu.
2.4. Mendokumentasikan permintaan dan respons
Institut Pensijilan IT Eropah mengekalkan rekod semua permintaan dan respons hak subjek data. Ini membantu memastikan pematuhan undang-undang perlindungan data yang berkaitan, serta memudahkan audit atau penyiasatan masa hadapan.
2.5. Melatih kakitangan yang berkaitan
Institut Pensijilan IT Eropah akan menyediakan latihan kepada kakitangan yang bertanggungjawab untuk mengendalikan permintaan hak subjek data untuk memastikan mereka mengetahui undang-undang perlindungan data yang berkaitan dan prosedur Institut Pensijilan IT Eropah untuk mengendalikan permintaan tersebut.
2.6. Memantau dan menyemak proses
Institut Pensijilan IT Eropah memantau dan menyemak proses untuk mengendalikan permintaan hak subjek data secara tetap untuk memastikan ia kekal berkesan dan mematuhi undang-undang perlindungan data yang berkaitan. Sebarang isu atau insiden dilaporkan dan ditangani tepat pada masanya.
Bahagian 3. Melantik Pegawai Perlindungan Data (DPO)
Institut Pensijilan IT Eropah menetapkan DPO yang bertanggungjawab untuk mengawasi pengurusan permintaan hak subjek data, termasuk semakan permintaan, tindak balas kepada permintaan dan memastikan pematuhan terhadap peraturan perlindungan data.
3.1. Menetapkan DPO
Institut Pensijilan IT Eropah melantik Pegawai Perlindungan Data (DPO) untuk mengawasi pengurusan permintaan hak subjek data dan memastikan pematuhan terhadap peraturan perlindungan data. DPO akan bertanggungjawab untuk menyemak permintaan dan memastikan bahawa Institut Pensijilan IT Eropah memenuhi kewajipan undang-undangnya berhubung dengan perlindungan data.
3.2. Keperluan kecekapan DPO
DPO mesti mempunyai pengetahuan pakar tentang undang-undang dan amalan perlindungan data dan dibekalkan dengan sumber yang diperlukan untuk memenuhi tanggungjawab mereka. Mereka harus mempunyai akses terus kepada pengurusan kanan dan melaporkan kepada peringkat pengurusan tertinggi organisasi.
3.3. Tanggungjawab DPO
Tanggungjawab DPO termasuk, tetapi tidak terhad kepada, perkara berikut:
- Memberi panduan dan nasihat kepada Institut Pensijilan IT Eropah mengenai perkara perlindungan data, termasuk pengurusan permintaan hak subjek data.
- Memantau pematuhan Institut Pensijilan IT Eropah terhadap peraturan perlindungan data serta dasar dan prosedur dalaman.
- Menjawab pertanyaan dan aduan daripada subjek data mengenai hak mereka di bawah peraturan perlindungan data.
- Menyelaras dengan jabatan lain untuk memastikan keperluan perlindungan data dipenuhi di seluruh organisasi.
- Menjalankan semakan dan penilaian berkala terhadap amalan perlindungan data Institut Pensijilan IT Eropah dan memberikan cadangan untuk penambahbaikan.
- Berkhidmat sebagai titik hubungan untuk pihak berkuasa perlindungan data dan bekerjasama dengan mereka sekiranya berlaku penyiasatan atau audit.
- DPO juga terlibat dalam pembangunan dan pelaksanaan dasar dan prosedur Institut Pensijilan IT Eropah yang berkaitan dengan perlindungan data, termasuk yang berkaitan dengan pengendalian permintaan hak subjek data.
3.4. Latihan dan pembangunan kelayakan DPO
Institut Pensijilan IT Eropah harus memastikan bahawa DPO dilatih secukupnya tentang peraturan perlindungan data dan sentiasa dikemas kini tentang sebarang perubahan atau kemas kini kepada peraturan ini.
3.5. maklumat hubungan DPO
Maklumat hubungan DPO hendaklah disediakan kepada subjek data dan disertakan dalam notis atau dasar privasi Institut Pensijilan IT Eropah.
Bahagian 4. Mengekalkan rekod data peribadi yang terkini
Institut Pensijilan IT Eropah mengekalkan rekod terkini data peribadi yang dipegangnya dan tujuan ia diproses. Ini akan membolehkan Institut Pensijilan IT Eropah bertindak balas dengan cepat dan tepat kepada permintaan hak subjek data.
4.1. Mewujudkan proses untuk mengenal pasti dan merekod data peribadi
Institut Pensijilan IT Eropah menetapkan proses yang jelas dan piawai untuk mengenal pasti dan merekod data peribadi, termasuk nama subjek data, maklumat hubungan dan sebarang maklumat lain yang berkaitan. Proses ini memastikan bahawa data peribadi dikumpul hanya untuk tujuan khusus dan sah.
4.2. Mengkategorikan data peribadi
Institut Pensijilan IT Eropah mengkategorikan data peribadi untuk memudahkan pengesanan dan pengurusan. Ini termasuk mengkategorikan data mengikut jenis, seperti maklumat hubungan, maklumat pengebilan, kecekapan dan kelayakan, maklumat kewangan atau sejarah pekerjaan.
4.3. Melaksanakan sistem pengurusan data
Institut Pensijilan IT Eropah melaksanakan sistem pengurusan data untuk membantu memastikan data peribadi adalah tepat, terkini dan boleh diakses. Sistem pengurusan data termasuk pangkalan data yang boleh dicari dan ditanya untuk membantu bertindak balas terhadap permintaan hak subjek data.
4.4. Menugaskan tanggungjawab untuk mengekalkan rekod data peribadi
Institut Pensijilan IT Eropah harus memberikan tanggungjawab untuk mengekalkan rekod data peribadi kepada individu atau jabatan tertentu. Ini akan memastikan bahawa rekod sentiasa dikemas kini dan tepat.
4.5. Sentiasa menyemak dan mengemas kini rekod data peribadi
Institut Pensijilan IT Eropah harus sentiasa menyemak dan mengemas kini rekod data peribadi untuk memastikan ia kekal tepat dan terkini. Ini boleh dilakukan melalui audit berkala atau melalui proses pemantauan berterusan.
4.6. Laksanakan langkah keselamatan yang sesuai
Institut Pensijilan IT Eropah melaksanakan langkah keselamatan yang sesuai untuk melindungi data peribadi yang dipegangnya, termasuk langkah untuk menghalang capaian tanpa kebenaran, kehilangan tidak sengaja atau pemusnahan data peribadi, sebagai sebahagian daripada Dasar Keselamatan Maklumat (ISP) organisasi. Ini termasuk penyulitan ia, tembok api dan kawalan akses. Spesifikasi terperinci proses dan langkah untuk perlindungan data dilindungi oleh Dasar Keselamatan Maklumat Institut Pensijilan IT Eropah yang berdedikasi.
Bahagian 5. Menyediakan maklumat yang jelas dan padat kepada subjek data
Apabila mengumpul data peribadi, Institut Pensijilan IT Eropah memberikan maklumat yang jelas dan padat kepada subjek data tentang hak mereka, termasuk hak untuk mengakses, membetulkan, memadam dan membantah pemprosesan data peribadi mereka.
5.1. Ketelusan
Institut Pensijilan IT Eropah telus dalam pemprosesan data peribadinya dan memberikan maklumat ringkas kepada subjek data tentang cara data mereka digunakan, diproses dan disimpan.
5.2. Dasar Privasi
Institut Pensijilan IT Eropah mempunyai dasar privasi terperinci yang menggariskan aktiviti pemprosesan datanya, termasuk cara subjek data boleh menggunakan hak subjek data mereka.
5.3. Hak untuk Akses
Subjek data mempunyai hak untuk meminta akses kepada data peribadi yang dipegang oleh Institut Pensijilan IT Eropah mengenai mereka. Institut Pensijilan IT Eropah menyediakan maklumat yang jelas dan ringkas kepada subjek data tentang cara membuat permintaan untuk akses, maklumat yang diperlukan untuk mengesahkan identiti mereka dan berapa lama Institut Pensijilan IT Eropah akan mengambil masa untuk menjawab permintaan tersebut.
5.4. Hak untuk Membetulkan
Subjek data mempunyai hak untuk meminta Institut Pensijilan IT Eropah membetulkan sebarang data peribadi yang tidak tepat atau tidak lengkap yang disimpan mengenai mereka. Institut Pensijilan IT Eropah memberikan maklumat yang jelas dan padat kepada subjek data tentang cara membuat permintaan untuk pembetulan, maklumat yang diperlukan untuk mengesahkan identiti mereka dan berapa lama Institut Pensijilan IT Eropah akan mengambil masa untuk menjawab permintaan tersebut.
5.5. Hak untuk Memadam
Subjek data mempunyai hak untuk meminta Institut Persijilan IT Eropah memadamkan data peribadi mereka dalam keadaan tertentu. Institut Pensijilan IT Eropah menyediakan maklumat yang jelas dan padat kepada subjek data tentang cara membuat permintaan untuk pemadaman, maklumat yang diperlukan untuk mengesahkan identiti mereka dan berapa lama Institut Pensijilan IT Eropah akan mengambil masa untuk menjawab permintaan tersebut.
5.6. Hak untuk Objek
Subjek data mempunyai hak untuk membantah pemprosesan data peribadi mereka dalam keadaan tertentu. Institut Pensijilan IT Eropah menyediakan maklumat yang jelas dan padat kepada subjek data tentang cara membuat permintaan untuk membantah, maklumat yang diperlukan untuk mengesahkan identiti mereka dan berapa lama Institut Pensijilan IT Eropah akan mengambil masa untuk menjawab permintaan tersebut.
5.7. Maklumat Hubungi
Institut Pensijilan IT Eropah menyediakan maklumat hubungan yang jelas dan ringkas untuk digunakan oleh subjek data jika mereka mempunyai soalan atau kebimbangan tentang cara data peribadi mereka diproses.
Bahagian 6. Mewujudkan masa tindak balas standard
Institut Pensijilan IT Eropah menetapkan masa respons standard untuk permintaan hak subjek data dan memastikan permintaan dijawab dalam tempoh masa ini.
6.1. Masa tindak balas standard
Institut Pensijilan IT Eropah menetapkan masa respons standard selama 30 hari untuk permintaan hak subjek data. Masa respons standard mentakrifkan had masa atas untuk pemprosesan dan respons dan majoriti permintaan diproses dan dijawab dalam masa yang lebih singkat.
6.2. Minta masa pengakuan penerimaan
Setelah menerima permintaan hak subjek data, DPO atau ahli kakitangan lain akan mengakui penerimaan permintaan itu dalam masa 5 hari bekerja dan memberikan subjek data jangka masa anggaran untuk memberikan respons.
6.3. Sambungan luar biasa masa tindak balas standard
Institut Pensijilan IT Eropah akan menggunakan usaha yang munasabah untuk membalas permintaan hak subjek data dalam masa respons standard yang ditetapkan. Walau bagaimanapun, jika permintaan itu rumit atau jika Institut Pensijilan IT Eropah menerima jumlah permintaan yang tinggi, masa respons boleh dilanjutkan. Dalam kes sedemikian, DPO akan memaklumkan subjek data sambungan dan sebab kelewatan.
6.4. Keengganan untuk memenuhi permintaan hak subjek data
Jika Institut Persijilan IT Eropah tidak dapat memenuhi permintaan hak subjek data, ia akan memberikan subjek data penjelasan untuk penolakan dan memaklumkan mereka tentang hak mereka untuk mengadu kepada pihak berkuasa penyeliaan yang berkaitan.
6.5. Rekod permintaan dan respons hak subjek data
Institut Pensijilan IT Eropah akan mengekalkan rekod yang tepat mengenai permintaan dan respons hak subjek data, termasuk tarikh penerimaan permintaan, sifat permintaan dan tarikh serta cara respons.
6.6. Semakan berkala
DPO akan menyemak secara berkala masa respons Institut Pensijilan IT Eropah dan mengemas kininya mengikut keperluan untuk memastikan pematuhan dengan peraturan perlindungan data yang berkenaan.
Bahagian 7. Mengesahkan identiti subjek data
7.1. Keperluan pengesahan identiti
Institut Persijilan IT Eropah mesti mengesahkan identiti subjek data yang membuat permintaan untuk memastikan bahawa data peribadi hanya diberikan kepada individu yang betul.
7.2. Cara dan kaedah pengesahan identiti
Apabila subjek data membuat permintaan untuk melaksanakan hak mereka di bawah undang-undang perlindungan data, Institut Pensijilan IT Eropah mesti mengesahkan identiti subjek data menggunakan langkah yang sesuai, seperti meminta dokumen pengenalan.
7.3. Pengesahan identiti pemegang proksi
Jika subjek data membuat permintaan bagi pihak orang lain, Institut Pensijilan IT Eropah mesti mengesahkan identiti kedua-dua subjek data dan individu yang bagi pihak permintaan itu dibuat.
7.4. Keraguan pengesahan identiti
Jika Institut Pensijilan IT Eropah mempunyai keraguan tentang identiti subjek data atau kesahihan permintaan, ia mungkin meminta maklumat tambahan atau mengambil langkah lain yang sesuai untuk mengesahkan identiti subjek data.
7.5. Rekod pengesahan identiti
Institut Pensijilan IT Eropah harus menyimpan rekod proses pengesahan dan langkah-langkah yang diambil untuk mengesahkan identiti subjek data. Rekod ini harus disimpan untuk tempoh masa yang munasabah dan digunakan untuk menunjukkan pematuhan kepada undang-undang perlindungan data.
Bahagian 8. Menjawab permintaan hak subjek data dengan segera
8.1. Tindak balas segera
Institut Pensijilan IT Eropah bertindak balas terhadap permintaan hak subjek data dengan segera dan memberikan subjek data maklumat yang mereka minta.
8.2. Minta pengakuan resit
Institut Pensijilan IT Eropah mengakui penerimaan permintaan subjek data secepat mungkin, sebaik-baiknya dalam masa 5 hari bekerja.
8.3. Minta semakan
DPO yang ditetapkan harus menyemak permintaan untuk memastikan bahawa ia memenuhi keperluan yang diperlukan dan semua maklumat yang diperlukan telah disediakan.
8.4. Pengesahan identiti subjek data
Institut Pensijilan IT Eropah mengesahkan identiti subjek data yang membuat permintaan untuk memastikan bahawa data peribadi hanya diberikan kepada individu yang betul.
8.5. Mendapatkan maklumat tambahan jika diperlukan
Jika permintaan tidak jelas atau tidak mencukupi, Institut Pensijilan IT Eropah harus menghubungi subjek data untuk mendapatkan maklumat tambahan.
8.5. Mendapatkan semula data yang berkaitan
Institut Pensijilan IT Eropah mendapatkan semula data peribadi yang berkaitan dan menyemaknya untuk memastikan ia adalah tepat dan terkini.
8.6. Menyediakan maklumat yang diminta
Institut Pensijilan IT Eropah memberikan subjek data maklumat yang mereka minta, termasuk salinan data peribadi mereka dalam format elektronik yang biasa digunakan, melainkan diminta sebaliknya.
8.7. Maklumkan hak mereka kepada subjek data
Institut Pensijilan IT Eropah memberitahu subjek data tentang hak mereka yang lain, seperti hak untuk membetulkan atau memadam data peribadi mereka, dan memberikan mereka arahan yang diperlukan.
8.8. Mematuhi masa tindak balas
Institut Pensijilan IT Eropah bertindak balas kepada permintaan hak subjek data dalam masa respons yang ditetapkan, memastikan tindakan yang perlu diambil untuk mematuhi permintaan tersebut.
8.9. Mendokumentasikan respons
Institut Pensijilan IT Eropah mendokumenkan respons kepada permintaan hak subjek data, termasuk sebarang tindakan yang diambil dan masa respons, untuk memastikan ia boleh diaudit dan dijejaki untuk tujuan pematuhan.
8.10. Memberitahu subjek data tentang sebarang perubahan
Jika sebarang perubahan dibuat pada data peribadi subjek data akibat permintaan mereka, Institut Pensijilan IT Eropah memberitahu subjek data tentang perubahan ini.
Bahagian 9. Mendokumentasikan permintaan hak subjek data
Institut Pensijilan IT Eropah mengekalkan rekod permintaan hak subjek data, termasuk tarikh permintaan, sifat permintaan dan respons kepada permintaan itu. Mendokumentasikan permintaan hak subjek data merangkumi aspek berikut:
9.1. Mengekalkan daftar
Institut Pensijilan IT Eropah mengekalkan daftar yang menangkap semua permintaan hak subjek data yang diterima. Daftar ini harus menangkap butiran berikut:
- Tarikh permintaan
- Nama dan butiran hubungan subjek data
- Penerangan mengenai permintaan
- Tindakan diambil sebagai tindak balas kepada permintaan itu
- Sebarang maklumat tambahan yang diperlukan untuk memproses permintaan
9.2. Proses standard untuk dokumentasi
Institut Pensijilan IT Eropah menjalankan proses piawai untuk mendokumentasikan permintaan hak subjek data untuk memastikan ketekalan dan ketepatan dalam maklumat yang ditangkap.
9.3. Tempoh pengekalan
Institut Pensijilan IT Eropah mengekalkan rekod ini untuk tempoh masa yang munasabah, seperti yang ditentukan oleh undang-undang dan peraturan yang berkenaan, tidak kurang daripada 2 tahun.
9.4. Menjaga kerahsiaan
Institut Pensijilan IT Eropah memastikan bahawa rekod permintaan hak subjek data hanya boleh diakses oleh kakitangan yang diberi kuasa yang mempunyai keperluan untuk mengakses maklumat tersebut dalam melaksanakan tugas mereka. Ia juga melaksanakan langkah-langkah teknikal dan organisasi untuk menghalang akses tanpa kebenaran, pendedahan, pengubahan atau pemusnahan data peribadi yang terkandung dalam rekod permintaan hak subjek data.
9.5. Pelaporan
Institut Pensijilan IT Eropah secara berkala menjana laporan mengenai permintaan hak subjek data yang diterima, diproses dan belum selesai. Laporan ini dikongsi dengan pihak berkepentingan yang berkaitan termasuk pengurusan kanan dan DPO.
9.6 Analitis
Institut Pensijilan IT Eropah menjalankan analisis trend mengenai permintaan hak subjek data untuk mengenal pasti corak dan punca permintaan. Maklumat ini digunakan untuk meningkatkan proses dan prosedur untuk mengurus permintaan sedemikian dengan lebih baik.
Bahagian 10. Memantau dan menyemak proses
Institut Pensijilan IT Eropah sentiasa memantau dan menyemak prosesnya untuk mengendalikan permintaan hak subjek data untuk memastikan ia kekal berkesan dan mematuhi GDPR.
10.1. Menjalankan tinjauan berkala
Institut Pensijilan IT Eropah menjalankan semakan berkala terhadap proses pengendalian permintaan hak subjek data dan dasar pematuhan GDPR untuk memastikan ia berkesan dan mematuhi peraturan perlindungan data. Ulasan ini termasuk analisis bilangan dan jenis permintaan yang diterima, ketepatan masa dan keberkesanan respons, dan mana-mana bahagian untuk penambahbaikan.
10.2. Pelaksanaan penambahbaikan
Berdasarkan penemuan semakan, Institut Pensijilan IT Eropah melaksanakan sebarang penambahbaikan yang diperlukan untuk proses pengendalian permintaan hak subjek datanya. Ini mungkin termasuk kemas kini kepada prosedur, latihan tambahan untuk kakitangan, atau perubahan pada cara permintaan disahkan dan dijawab.
10.3. Memastikan pematuhan berterusan
Institut Pensijilan IT Eropah memastikan pematuhan berterusan terhadap peraturan perlindungan data dengan kerap menyemak dan mengemas kini dasar dan prosedurnya selaras dengan sebarang perubahan kepada undang-undang dan peraturan yang berkaitan.
10.4. Memantau prestasi kakitangan
Institut Pensijilan IT Eropah memantau prestasi kakitangan berhubung dengan pengendalian permintaan hak subjek data, termasuk kualiti dan ketepatan masa respons. Ini mungkin termasuk latihan berkala dan semakan prestasi untuk memastikan kakitangan berpengetahuan dan cekap dalam bidang ini.
10.5. Berkomunikasi dengan subjek data
Institut Pensijilan IT Eropah berkomunikasi dengan subjek data sepanjang proses pengendalian permintaan untuk memastikan mereka dimaklumkan tentang kemajuan dan sebarang maklumat yang berkaitan. Ini mungkin termasuk menyediakan kemas kini tentang status permintaan mereka atau meminta maklumat tambahan seperti yang diperlukan.
10.6. Mengekalkan rekod
Institut Pensijilan IT Eropah mengekalkan rekod ulasannya, termasuk sebarang perubahan yang dibuat pada proses pengendalian permintaan hak subjek datanya, serta sebarang maklum balas yang diterima daripada subjek data. Maklumat ini boleh digunakan untuk menyokong usaha pematuhan yang berterusan dan untuk mengenal pasti bidang untuk penambahbaikan selanjutnya.
Bahagian 11. Mewujudkan Rekod Aktiviti Pemprosesan
Institut Pensijilan IT Eropah mengekalkan Rekod Aktiviti Pemprosesan yang merupakan dokumen yang menggariskan pemprosesan data peribadi yang dijalankan oleh organisasi. Ia diperlukan di bawah Peraturan Perlindungan Data Am (GDPR) EU dan bertujuan untuk menyokong pemahaman tentang aktiviti pemprosesan data dan menunjukkan pematuhan dengan GDPR.
11.1. struktur ROPA
ROPA termasuk maklumat asas tentang nama dan butiran hubungan organisasi, tujuan pemprosesan data, kategori data peribadi yang diproses, penerima data peribadi dan tempoh penyimpanan untuk data peribadi. Ia juga termasuk maklumat tentang mana-mana pemproses pihak ketiga yang memproses data peribadi bagi pihak organisasi.
11.2. Kemas kini biasa ROPA
ROPA dikemas kini dengan kerap dan merupakan dokumen hidup yang mencerminkan perubahan dalam aktiviti pemprosesan data Institut Pensijilan IT Eropah yang menyokong membina kepercayaan dengan subjek data.
Institut Pensijilan IT Eropah komited untuk mengekalkan piawaian tertinggi berhubung dengan Pengurusan Permintaan Hak Subjek Data dan Dasar Peraturan Perlindungan Data Am, memastikan untuk mematuhi semua undang-undang dan peraturan yang berkaitan dengan isu ini, serta piawaian industri terkemuka dan amalan terbaik, termasuk Sistem Pengurusan Maklumat Privasi ISO 27701.