DSRRM და GDPR პოლიტიკა
EITCA აკადემიის პოლიტიკა მონაცემთა სუბიექტის უფლებების მოთხოვნების მართვისა და მონაცემთა დაცვის ზოგადი რეგულაციების შესახებ
ეს დოკუმენტი აკონკრეტებს ევროპის IT სერტიფიკაციის ინსტიტუტის პოლიტიკას მონაცემთა სუბიექტის უფლებების მოთხოვნების მართვის შესახებ, ასევე ევროკავშირის მონაცემთა დაცვის ზოგადი რეგულაციის იმპლემენტაციას, რომელიც რეგულარულად განიხილება და განახლდება მისი ეფექტურობისა და შესაბამისობის უზრუნველსაყოფად. EITCI მონაცემთა სუბიექტის უფლებების მოთხოვნების მართვისა და GDPR პოლიტიკის ბოლო განახლება განხორციელდა 10 წლის 2023 იანვარს. ჩვენი მონაცემთა სუბიექტის უფლებების მოთხოვნების მენეჯმენტი და GDPR პოლიტიკა ეფუძნება ISO 27701 კონფიდენციალურობის ინფორმაციის მართვის სისტემის გაფართოების პრინციპებს ISO 27001 ინფორმაციის უსაფრთხოებაზე. სისტემის სტანდარტი, ასევე მონაცემთა დაცვის ზოგადი რეგულაციის (2016/679) მოთხოვნების შესახებ.
ნაწილი 1. შესავალი
მონაცემთა სუბიექტის უფლებების მოთხოვნების მართვა არის მონაცემთა დაცვის რეგულაციების, კერძოდ, GDPR (ევროკავშირის მონაცემთა დაცვის ზოგადი რეგულაცია) დაცვის უზრუნველსაყოფად მნიშვნელოვანი ნაწილი. ევროპის IT სერტიფიცირების ინსტიტუტმა განსაზღვრა შემდეგი ფორმალური პროცედურები მონაცემთა სუბიექტის უფლებების მოთხოვნების მართვისა და GDPR-ის მოთხოვნების განხორციელებისთვის:
1.1. მონაცემთა სუბიექტის უფლებების მოთხოვნების დამუშავების პროცესის დადგენა
ეს პროცესი ასახავს ნაბიჯებს, რომლებსაც ევროპის IT სერტიფიცირების ინსტიტუტი მიჰყვება მონაცემთა სუბიექტის უფლებების მოთხოვნის განხილვისას, მათ შორის მონაცემთა სუბიექტის იდენტიფიკაციასა და ავთენტიფიკაციას, მონაცემთა სუბიექტის მოთხოვნის გადამოწმებას და მოთხოვნაზე პასუხის გაცემას.
1.2. მონაცემთა დაცვის ოფიცრის (DPO) დანიშვნა
ევროპის IT სერტიფიცირების ინსტიტუტი განსაზღვრავს DPO-ს, რომელიც პასუხისმგებელია მონაცემთა სუბიექტის უფლებების მოთხოვნების მართვაზე, მათ შორის მოთხოვნის განხილვაზე, თხოვნებზე პასუხის გაცემაზე და მონაცემთა დაცვის რეგულაციებთან შესაბამისობის უზრუნველყოფაზე.
1.3. პერსონალური მონაცემების განახლებული ჩანაწერის შენარჩუნება
ევროპის IT სერტიფიკაციის ინსტიტუტი ინახავს განახლებულ ჩანაწერს მის მიერ დაცული პერსონალური მონაცემებისა და მათი დამუშავების მიზნების შესახებ. ეს საშუალებას მისცემს ევროპის IT სერტიფიკაციის ინსტიტუტს სწრაფად და ზუსტად უპასუხოს მონაცემთა სუბიექტის უფლებების მოთხოვნებს.
1.4. მონაცემთა სუბიექტებისთვის მკაფიო და ლაკონური ინფორმაციის მიწოდება
პერსონალური მონაცემების შეგროვებისას, ევროპის IT სერტიფიკაციის ინსტიტუტი აწვდის მკაფიო და ლაკონურ ინფორმაციას მონაცემთა სუბიექტებს მათი უფლებების შესახებ, მათ შორის პერსონალური მონაცემების წვდომის, გამოსწორების, წაშლისა და დამუშავების წინააღმდეგობის უფლების ჩათვლით.
1.5. სტანდარტული რეაგირების დროის დაწესება
ევროპის IT სერტიფიკაციის ინსტიტუტი ინარჩუნებს სტანდარტული პასუხის დროს მონაცემთა სუბიექტის უფლებების მოთხოვნებს და უზრუნველყოფს, რომ მოთხოვნებს უპასუხონ ამ ვადაში.
1.6. მონაცემთა სუბიექტის ვინაობის გადამოწმება
ევროპის IT სერტიფიცირების ინსტიტუტი ამოწმებს მონაცემთა სუბიექტის ვინაობას, რომელიც თხოვს უზრუნველჰყოფს, რომ პერსონალური მონაცემები მიეწოდება მხოლოდ სწორ ინდივიდს.
1.7. მონაცემთა სუბიექტის უფლებების მოთხოვნებზე ოპერატიულად რეაგირება
ევროპის IT სერტიფიცირების ინსტიტუტი სწრაფად პასუხობს მონაცემთა სუბიექტის უფლებების მოთხოვნებს და აწვდის მონაცემთა სუბიექტს მათ მიერ მოთხოვნილ ინფორმაციას.
1.8. მონაცემთა სუბიექტის უფლებების მოთხოვნების დოკუმენტირება
ევროპის IT სერტიფიცირების ინსტიტუტი აწარმოებს მონაცემთა სუბიექტის უფლებების მოთხოვნის ჩანაწერს, მოთხოვნის თარიღის, მოთხოვნის ხასიათისა და მოთხოვნაზე პასუხის ჩათვლით.
1.9. პროცესის მონიტორინგი და განხილვა
ევროპის IT სერტიფიცირების ინსტიტუტი რეგულარულად აკვირდება და განიხილავს მის პროცესს მონაცემთა სუბიექტის უფლებების მოთხოვნის განხილვის მიზნით, რათა უზრუნველყოს, რომ ის რჩება ეფექტური და შეესაბამება მონაცემთა დაცვის შესაბამის რეგულაციას.
1.10. გადამამუშავებელი საქმიანობის ჩანაწერის დადგენა
ევროპის IT სერტიფიცირების ინსტიტუტი აწარმოებს დამუშავების საქმიანობების ჩანაწერს, რომელიც წარმოადგენს დოკუმენტს, რომელიც ასახავს ორგანიზაციის მიერ განხორციელებული პერსონალური მონაცემების დამუშავებას. ის საჭიროა ევროკავშირის მონაცემთა დაცვის ზოგადი რეგულაციის (GDPR) მიხედვით და მიზნად ისახავს მონაცემთა დამუშავების საქმიანობის გაგებას და GDPR-თან შესაბამისობის დემონსტრირებას.
ამ ფორმალური და პროცედურების დაცვით, ევროპის IT სერტიფიცირების ინსტიტუტს შეუძლია ეფექტურად მართოს მონაცემთა სუბიექტის უფლებების მოთხოვნები და უზრუნველყოს მონაცემთა დაცვის რეგულაციების დაცვა, მათ შორის, მონაცემთა დაცვის ზოგადი რეგულაცია ევროკავშირში.
ნაწილი 2. მონაცემთა სუბიექტის უფლებების მოთხოვნის განხილვის პროცესის ჩამოყალიბება
ეს პროცესი ასახავს ნაბიჯებს, რომლებსაც ევროპის IT სერტიფიკაციის ინსტიტუტი მიჰყვება მონაცემთა სუბიექტის უფლებების მოთხოვნის განხილვისას, მათ შორის მონაცემთა სუბიექტის იდენტიფიკაციასა და ავთენტიფიკაციას, მონაცემთა სუბიექტის მოთხოვნის გადამოწმებას და მოთხოვნაზე პასუხის გაცემას:
2.1. მონაცემთა სუბიექტის იდენტიფიცირება და ავთენტიფიკაცია
ევროპის IT სერტიფიკაციის ინსტიტუტი აწარმოებს პროცესს მონაცემთა სუბიექტის ვინაობის გადამოწმების მიზნით, რომელიც მოთხოვნის მომტანია. ეს შეიძლება მოიცავდეს მთავრობის მიერ გაცემული პირადობის მოწმობის მოთხოვნას, არსებული ჩანაწერების შემოწმებას ან ავთენტიფიკაციის სხვა მეთოდების გამოყენებას.
2.2. მონაცემთა სუბიექტის მოთხოვნის გადამოწმება
მას შემდეგ რაც დადგინდება მონაცემთა სუბიექტის ვინაობა, ევროპის IT სერტიფიკაციის ინსტიტუტმა უნდა გადაამოწმოს, რომ მოთხოვნა მოქმედებს და ეხება მონაცემთა სუბიექტის პერსონალურ მონაცემებს. მოთხოვნა ასევე უნდა შეიცავდეს კონკრეტულ უფლებას, რომელიც გამოიყენება, როგორიცაა პერსონალური მონაცემების წვდომის, გამოსწორების ან წაშლის უფლება.
2.3. თხოვნაზე რეაგირება
ევროპის IT სერტიფიცირების ინსტიტუტმა უნდა უზრუნველყოს პასუხი მონაცემთა სუბიექტის მოთხოვნაზე მონაცემთა დაცვის შესაბამისი კანონებით განსაზღვრულ ვადაში, მაგრამ არა უმეტეს 30 დღისა. პასუხი უნდა მოიცავდეს ახსნა-განმარტებას, დაკმაყოფილდა თუ არა მოთხოვნა და გადაწყვეტილების მიზეზები.
2.4. მოთხოვნის და პასუხის დოკუმენტირება
ევროპის IT სერტიფიცირების ინსტიტუტი აწარმოებს ჩანაწერებს მონაცემთა სუბიექტის უფლებების ყველა მოთხოვნასა და პასუხზე. ეს ხელს უწყობს მონაცემთა დაცვის შესაბამის კანონებთან შესაბამისობის უზრუნველყოფას, ასევე ხელს უწყობს მომავალი აუდიტისა და გამოძიების განხორციელებას.
2.5. შესაბამისი პერსონალის მომზადება
ევროპის IT სერტიფიკაციის ინსტიტუტი გაუწევს ტრენინგს პერსონალს, რომელიც პასუხისმგებელია მონაცემთა სუბიექტის უფლებების მოთხოვნებზე, რათა დარწმუნდეს, რომ ისინი იცნობენ მონაცემთა დაცვის შესაბამის კანონებს და ევროპის IT სერტიფიცირების ინსტიტუტის პროცედურებს ასეთი მოთხოვნების განსახილველად.
2.6. პროცესის მონიტორინგი და განხილვა
ევროპის IT სერტიფიცირების ინსტიტუტი რეგულარულად აკონტროლებს და განიხილავს მონაცემთა სუბიექტის უფლებების მოთხოვნების განხილვის პროცესს, რათა უზრუნველყოს, რომ ის ეფექტური და შესაბამისობაშია მონაცემთა დაცვის შესაბამის კანონებთან. ნებისმიერი საკითხი ან ინციდენტი ეცნობება და დროულად განიხილება.
ნაწილი 3. მონაცემთა დაცვის ოფიცრის (DPO) დანიშვნა
ევროპის IT სერტიფიცირების ინსტიტუტი განსაზღვრავს DPO-ს, რომელიც პასუხისმგებელია მონაცემთა სუბიექტის უფლებების მოთხოვნების მართვაზე, მათ შორის მოთხოვნის განხილვაზე, თხოვნებზე პასუხის გაცემაზე და მონაცემთა დაცვის რეგულაციებთან შესაბამისობის უზრუნველყოფაზე.
3.1. DPO-ის დანიშვნა
ევროპის IT სერტიფიცირების ინსტიტუტი ნიშნავს მონაცემთა დაცვის ოფიცერს (DPO), რომელიც ზედამხედველობას გაუწევს მონაცემთა სუბიექტის უფლებების მოთხოვნების მართვას და უზრუნველყოს მონაცემთა დაცვის რეგულაციების დაცვა. DPO პასუხისმგებელი იქნება მოთხოვნების განხილვაზე და უზრუნველყოს, რომ ევროპის IT სერტიფიცირების ინსტიტუტი ასრულებს თავის კანონიერ ვალდებულებებს მონაცემთა დაცვასთან დაკავშირებით.
3.2. DPO-ის კომპეტენციების მოთხოვნები
DPO-ს უნდა ჰქონდეს მონაცემთა დაცვის კანონებისა და პრაქტიკის საექსპერტო ცოდნა და უზრუნველყოფილი იყოს საჭირო რესურსებით თავისი მოვალეობების შესასრულებლად. მათ უნდა ჰქონდეთ პირდაპირი წვდომა უფროს მენეჯმენტთან და ანგარიში გაუწიონ ორგანიზაციის უმაღლეს მენეჯმენტს.
3.3. DPO-ს პასუხისმგებლობა
DPO-ის პასუხისმგებლობა მოიცავს, მაგრამ არ შემოიფარგლება, შემდეგით:
- ევროპის IT სერტიფიკაციის ინსტიტუტისთვის ხელმძღვანელობისა და რჩევების მიწოდება მონაცემთა დაცვის საკითხებში, მათ შორის მონაცემთა სუბიექტის უფლებების მოთხოვნების მართვის შესახებ.
- ევროპის IT სერტიფიცირების ინსტიტუტის მიერ მონაცემთა დაცვის რეგულაციებთან და შიდა პოლიტიკასთან და პროცედურებთან შესაბამისობის მონიტორინგი.
- მონაცემთა სუბიექტების კითხვებზე და საჩივრებზე პასუხის გაცემა მონაცემთა დაცვის რეგულაციების მიხედვით მათ უფლებებთან დაკავშირებით.
- კოორდინაცია სხვა დეპარტამენტებთან, რათა უზრუნველყოს მონაცემთა დაცვის მოთხოვნების დაკმაყოფილება მთელ ორგანიზაციაში.
- ევროპის IT სერტიფიკაციის ინსტიტუტის მონაცემთა დაცვის პრაქტიკის პერიოდული მიმოხილვისა და შეფასების ჩატარება და გაუმჯობესების რეკომენდაციების მიწოდება.
- ემსახურება მონაცემთა დაცვის ორგანოების საკონტაქტო პუნქტს და მათთან თანამშრომლობას გამოძიების ან აუდიტის შემთხვევაში.
- DPO ასევე ჩართულია ევროპის IT სერტიფიკაციის ინსტიტუტის პოლიტიკისა და პროცედურების შემუშავებასა და განხორციელებაში, რომელიც დაკავშირებულია მონაცემთა დაცვასთან, მათ შორის მონაცემთა სუბიექტის უფლებების მოთხოვნებთან დამუშავებასთან.
3.4. DPO-ს ტრენინგი და კვალიფიკაციის ამაღლება
ევროპის IT სერტიფიკაციის ინსტიტუტმა უნდა უზრუნველყოს, რომ DPO სათანადოდ იყოს გაწვრთნილი მონაცემთა დაცვის რეგულაციების შესახებ და იყოს განახლებული ამ რეგულაციების ნებისმიერი ცვლილებისა თუ განახლების შესახებ.
3.5. DPO-ს საკონტაქტო ინფორმაცია
DPO-ის საკონტაქტო ინფორმაცია ხელმისაწვდომი უნდა იყოს მონაცემთა სუბიექტებისთვის და ჩართული უნდა იყოს ევროპის IT სერტიფიკაციის ინსტიტუტის კონფიდენციალურობის შეტყობინებაში ან პოლიტიკაში.
ნაწილი 4. პერსონალური მონაცემების განახლებული ჩანაწერის წარმოება
ევროპის IT სერტიფიკაციის ინსტიტუტი ინახავს განახლებულ ჩანაწერს მის მიერ დაცული პერსონალური მონაცემებისა და მათი დამუშავების მიზნების შესახებ. ეს საშუალებას მისცემს ევროპის IT სერტიფიკაციის ინსტიტუტს სწრაფად და ზუსტად უპასუხოს მონაცემთა სუბიექტის უფლებების მოთხოვნებს.
4.1. პერსონალური მონაცემების იდენტიფიკაციისა და აღრიცხვის პროცესის დადგენა
ევროპის IT სერტიფიცირების ინსტიტუტი ადგენს მკაფიო და სტანდარტიზებულ პროცესს პერსონალური მონაცემების იდენტიფიკაციისა და ჩაწერისთვის, მათ შორის მონაცემთა სუბიექტის სახელი, საკონტაქტო ინფორმაცია და ნებისმიერი სხვა შესაბამისი ინფორმაცია. ეს პროცესი უზრუნველყოფს პერსონალური მონაცემების შეგროვებას მხოლოდ კონკრეტული და ლეგიტიმური მიზნებისთვის.
4.2. პერსონალური მონაცემების კატეგორიზაცია
ევროპის IT სერტიფიცირების ინსტიტუტი ანაწილებს პერსონალურ მონაცემებს, რათა გაადვილდეს თვალყურის დევნება და მართვა. ეს მოიცავს მონაცემთა კატეგორიზაციას ტიპის მიხედვით, როგორიცაა საკონტაქტო ინფორმაცია, ბილინგის ინფორმაცია, კომპეტენციები და კვალიფიკაცია, ფინანსური ინფორმაცია ან დასაქმების ისტორია.
4.3. მონაცემთა მართვის სისტემის დანერგვა
ევროპის IT სერტიფიცირების ინსტიტუტი ახორციელებს მონაცემთა მართვის სისტემას, რათა უზრუნველყოს პერსონალური მონაცემები ზუსტი, განახლებული და ხელმისაწვდომი. მონაცემთა მართვის სისტემა მოიცავს მონაცემთა ბაზას, რომლის მოძიება და მოთხოვნა შესაძლებელია მონაცემთა სუბიექტის უფლებების მოთხოვნებზე პასუხის გასაცემად.
4.4. პასუხისმგებლობის დაკისრება პერსონალური მონაცემების აღრიცხვაზე
ევროპის IT სერტიფიცირების ინსტიტუტმა უნდა დააკისროს პასუხისმგებლობა პერსონალური მონაცემების აღრიცხვაზე კონკრეტულ პირებს ან დეპარტამენტებს. ეს უზრუნველყოფს, რომ ჩანაწერი იყოს განახლებული და ზუსტი.
4.5. პერსონალური მონაცემების ჩანაწერის რეგულარულად განხილვა და განახლება
ევროპის IT სერტიფიცირების ინსტიტუტმა რეგულარულად უნდა განიხილოს და განაახლოს პერსონალური მონაცემების ჩანაწერები, რათა უზრუნველყოს ის ზუსტი და განახლებული. ეს შეიძლება მოხდეს პერიოდული აუდიტის ან უწყვეტი მონიტორინგის პროცესის მეშვეობით.
4.6. გაატარეთ უსაფრთხოების შესაბამისი ზომები
ევროპის IT სერტიფიკაციის ინსტიტუტი ახორციელებს უსაფრთხოების შესაბამის ზომებს მის მიერ დაცული პერსონალური მონაცემების დასაცავად, მათ შორის ზომების თავიდან ასაცილებლად პერსონალური მონაცემების არაავტორიზებული წვდომის, შემთხვევითი დაკარგვის ან განადგურების თავიდან ასაცილებლად, როგორც ორგანიზაციის ინფორმაციის უსაფრთხოების პოლიტიკის (ISP) ნაწილი. ეს მოიცავს IA დაშიფვრას, ფეიერვოლებს და წვდომის კონტროლს. მონაცემთა დაცვის პროცესებისა და ზომების დეტალური დაზუსტება მოცემულია ევროპის IT სერტიფიცირების ინსტიტუტის ინფორმაციული უსაფრთხოების პოლიტიკაში.
ნაწილი 5. მონაცემთა სუბიექტებისთვის მკაფიო და ლაკონური ინფორმაციის მიწოდება
პერსონალური მონაცემების შეგროვებისას, ევროპის IT სერტიფიკაციის ინსტიტუტი აწვდის მკაფიო და ლაკონურ ინფორმაციას მონაცემთა სუბიექტებს მათი უფლებების შესახებ, მათ შორის პერსონალური მონაცემების წვდომის, გამოსწორების, წაშლისა და დამუშავების წინააღმდეგობის უფლების ჩათვლით.
5.1. გამჭვირვალეობა
ევროპის IT სერტიფიცირების ინსტიტუტი გამჭვირვალეა პერსონალური მონაცემების დამუშავებისას და მონაცემთა სუბიექტებს აწვდის მოკლე ინფორმაციას იმის შესახებ, თუ როგორ ხდება მათი მონაცემების გამოყენება, დამუშავება და შენახვა.
5.2. კონფიდენციალურობის პოლიტიკა
ევროპის IT სერტიფიკაციის ინსტიტუტს აქვს დეტალური კონფიდენციალურობის პოლიტიკა, რომელიც ასახავს მის მონაცემთა დამუშავების საქმიანობას, მათ შორის, თუ როგორ შეუძლიათ მონაცემთა სუბიექტებს გამოიყენონ მონაცემთა სუბიექტის უფლებები.
5.3. წვდომის უფლება
მონაცემთა სუბიექტებს უფლება აქვთ მოითხოვონ წვდომა იმ პერსონალურ მონაცემებზე, რომლებსაც ევროპის IT სერტიფიკაციის ინსტიტუტი ფლობს მათ შესახებ. ევროპის IT სერტიფიცირების ინსტიტუტი აწვდის მკაფიო და ლაკონურ ინფორმაციას მონაცემთა სუბიექტებს იმის შესახებ, თუ როგორ უნდა მიმართონ წვდომას, რა ინფორმაცია იქნება საჭირო მათი ვინაობის გადამოწმებისთვის და რამდენი დრო დასჭირდება ევროპის IT სერტიფიკაციის ინსტიტუტს მოთხოვნაზე რეაგირებისთვის.
5.4. გამოსწორების უფლება
მონაცემთა სუბიექტებს უფლება აქვთ მოითხოვონ ევროპის IT სერტიფიკაციის ინსტიტუტის გამოსწორება ნებისმიერი არაზუსტი ან არასრული პერსონალური მონაცემის შესახებ, რომელიც მას ფლობს მათ შესახებ. ევროპის IT სერტიფიცირების ინსტიტუტი აწვდის მკაფიო და ლაკონურ ინფორმაციას მონაცემთა სუბიექტებს იმის შესახებ, თუ როგორ უნდა მიმართონ შესწორებას, რა ინფორმაცია იქნება საჭირო მათი ვინაობის დასადასტურებლად და რამდენი დრო დასჭირდება ევროპის IT სერტიფიკაციის ინსტიტუტს მოთხოვნაზე რეაგირებისთვის.
5.5. წაშლის უფლება
მონაცემთა სუბიექტებს უფლება აქვთ მოითხოვონ ევროპის IT სერტიფიკაციის ინსტიტუტისგან წაშალოს მათი პერსონალური მონაცემები გარკვეულ გარემოებებში. ევროპის IT სერტიფიკაციის ინსტიტუტი მონაცემთა სუბიექტებს აწვდის მკაფიო და ლაკონურ ინფორმაციას იმის შესახებ, თუ როგორ უნდა მიმართონ წაშლას, რა ინფორმაცია იქნება საჭირო მათი ვინაობის დასადასტურებლად და რამდენი დრო დასჭირდება ევროპის IT სერტიფიკაციის ინსტიტუტს მოთხოვნაზე რეაგირებისთვის.
5.6. წინააღმდეგობის უფლება
მონაცემთა სუბიექტებს უფლება აქვთ გააპროტესტონ მათი პერსონალური მონაცემების დამუშავება გარკვეულ გარემოებებში. ევროპის IT სერტიფიცირების ინსტიტუტი აწვდის მკაფიო და ლაკონურ ინფორმაციას მონაცემთა სუბიექტებს იმის შესახებ, თუ როგორ უნდა მიმართონ წინააღმდეგობის მოთხოვნას, რა ინფორმაცია იქნება საჭირო მათი ვინაობის დასადასტურებლად და რამდენი დრო დასჭირდება ევროპის IT სერტიფიკაციის ინსტიტუტს მოთხოვნაზე რეაგირებისთვის.
5.7. საკონტაქტო ინფორმაცია
ევროპის IT სერტიფიცირების ინსტიტუტი უზრუნველყოფს მონაცემთა სუბიექტებს ნათელ და ლაკონურ საკონტაქტო ინფორმაციას, რათა გამოიყენონ, თუ მათ აქვთ შეკითხვები ან შეშფოთება, თუ როგორ მუშავდება მათი პერსონალური მონაცემები.
ნაწილი 6. სტანდარტული რეაგირების დროის დადგენა
ევროპის IT სერტიფიკაციის ინსტიტუტმა დააწესა სტანდარტული პასუხის დრო მონაცემთა სუბიექტის უფლებების მოთხოვნებისთვის და უზრუნველყოს, რომ მოთხოვნებს უპასუხონ ამ ვადაში.
6.1. სტანდარტული რეაგირების დრო
ევროპის IT სერტიფიკაციის ინსტიტუტი ადგენს სტანდარტული პასუხის დროს 30 დღის განმავლობაში მონაცემთა სუბიექტის უფლებების მოთხოვნებთან დაკავშირებით. სტანდარტული პასუხის დრო განსაზღვრავს დამუშავებისა და პასუხის ზედა ვადას და მოთხოვნების უმეტესობა მუშავდება და პასუხობს უფრო მოკლე დროში.
6.2. მოითხოვეთ ქვითრის დადასტურების დრო
მონაცემთა სუბიექტის უფლებების მოთხოვნის მიღებისთანავე, DPO ან სხვა თანამშრომლები დაადასტურებენ მოთხოვნის მიღებას 5 სამუშაო დღის განმავლობაში და მიაწვდიან მონაცემთა სუბიექტს პასუხის გაცემის სავარაუდო ვადას.
6.3. სტანდარტული რეაგირების დროის განსაკუთრებული გაფართოება
ევროპის IT სერტიფიცირების ინსტიტუტი გამოიყენებს გონივრულ ძალისხმევას, რათა უპასუხოს მონაცემთა სუბიექტის უფლებების მოთხოვნებს დადგენილ სტანდარტული რეაგირების დროში. თუმცა, თუ მოთხოვნა რთულია ან თუ ევროპის IT სერტიფიკაციის ინსტიტუტი მიიღებს მოთხოვნის დიდ რაოდენობას, პასუხის დრო შეიძლება გაგრძელდეს. ასეთ შემთხვევებში, DPO აცნობებს მონაცემთა სუბიექტს გახანგრძლივებისა და დაგვიანების მიზეზს.
6.4. უარის თქმა მონაცემთა სუბიექტის უფლებების მოთხოვნის შესრულებაზე
თუ ევროპის IT სერტიფიცირების ინსტიტუტი ვერ შეასრულებს მონაცემთა სუბიექტის უფლებების მოთხოვნას, ის მიაწვდის მონაცემთა სუბიექტს ახსნას უარის თქმის შესახებ და აცნობებს მათ უფლებას მიმართონ შესაბამის სამეთვალყურეო ორგანოს.
6.5. მონაცემთა სუბიექტის უფლებების მოთხოვნებისა და პასუხების ჩანაწერები
ევროპის IT სერტიფიცირების ინსტიტუტი შეინახავს მონაცემთა სუბიექტის უფლებების მოთხოვნებისა და პასუხების ზუსტ ჩანაწერებს, მათ შორის მოთხოვნის მიღების თარიღს, მოთხოვნის ბუნებას და პასუხის თარიღსა და წესს.
6.6. პერიოდული მიმოხილვები
DPO პერიოდულად განიხილავს ევროპის IT სერტიფიკაციის ინსტიტუტის რეაგირების დროს და განაახლებს მათ საჭიროებისამებრ, რათა უზრუნველყოს მონაცემთა დაცვის მოქმედი რეგულაციების დაცვა.
ნაწილი 7. მონაცემთა სუბიექტის ვინაობის გადამოწმება
7.1. პირადობის დადასტურების მოთხოვნა
ევროპის IT სერტიფიკაციის ინსტიტუტმა უნდა გადაამოწმოს მოთხოვნის მომტანი მონაცემთა სუბიექტის ვინაობა, რათა დარწმუნდეს, რომ პერსონალური მონაცემები მხოლოდ სწორ ინდივიდს მიეწოდება.
7.2. პირადობის გადამოწმების საშუალებები და მეთოდები
როდესაც მონაცემთა სუბიექტი ითხოვს მონაცემთა დაცვის კანონმდებლობით გათვალისწინებული უფლებების განხორციელებას, ევროპის IT სერტიფიცირების ინსტიტუტმა უნდა გადაამოწმოს მონაცემთა სუბიექტის ვინაობა შესაბამისი ზომების გამოყენებით, როგორიცაა საიდენტიფიკაციო დოკუმენტების მოთხოვნა.
7.3. მარიონეტული მფლობელის პირადობის დადასტურება
თუ მონაცემთა სუბიექტი აკეთებს მოთხოვნას სხვისი სახელით, ევროპის IT სერტიფიცირების ინსტიტუტმა უნდა გადაამოწმოს როგორც მონაცემთა სუბიექტის, ასევე იმ პირის ვინაობა, რომლის სახელითაც ხდება მოთხოვნა.
7.4. პირადობის გადამოწმების ეჭვები
თუ ევროპის IT სერტიფიკაციის ინსტიტუტს აქვს ეჭვი მონაცემთა სუბიექტის ვინაობასთან ან მოთხოვნის მართებულობასთან დაკავშირებით, მას შეუძლია მოითხოვოს დამატებითი ინფორმაცია ან მიიღოს სხვა შესაბამისი ზომები მონაცემთა სუბიექტის ვინაობის დასადასტურებლად.
7.5. პირადობის დამადასტურებელი ჩანაწერები
ევროპის IT სერტიფიცირების ინსტიტუტმა უნდა აწარმოოს ჩანაწერი გადამოწმების პროცესისა და მონაცემთა სუბიექტის იდენტურობის დასადასტურებლად მიღებული ზომების შესახებ. ეს ჩანაწერი უნდა ინახებოდეს გონივრული დროის განმავლობაში და გამოყენებული იქნას მონაცემთა დაცვის კანონებთან შესაბამისობის საჩვენებლად.
ნაწილი 8. მონაცემთა სუბიექტის უფლებების მოთხოვნებზე ოპერატიულად რეაგირება
8.1. Სწრაფი რეაგირების
ევროპის IT სერტიფიცირების ინსტიტუტი სწრაფად პასუხობს მონაცემთა სუბიექტის უფლებების მოთხოვნებს და აწვდის მონაცემთა სუბიექტს მათ მიერ მოთხოვნილ ინფორმაციას.
8.2. მოითხოვეთ ქვითრის დადასტურება
ევროპის IT სერტიფიცირების ინსტიტუტი ადასტურებს მონაცემთა სუბიექტის მოთხოვნის მიღებას რაც შეიძლება მალე, იდეალურ შემთხვევაში 5 სამუშაო დღის განმავლობაში.
8.3. მოითხოვეთ განხილვა
დანიშნულმა DPO-მ უნდა განიხილოს მოთხოვნა, რათა დარწმუნდეს, რომ იგი აკმაყოფილებს აუცილებელ მოთხოვნებს და არის მოწოდებული ყველა საჭირო ინფორმაცია.
8.4. მონაცემთა სუბიექტის იდენტურობის შემოწმება
ევროპის IT სერტიფიცირების ინსტიტუტი ამოწმებს მონაცემთა სუბიექტის ვინაობას, რომელიც თხოვს უზრუნველჰყოფს, რომ პერსონალური მონაცემები მიეწოდება მხოლოდ სწორ ინდივიდს.
8.5. საჭიროების შემთხვევაში დამატებითი ინფორმაციის მიღება
თუ მოთხოვნა გაურკვეველია ან არასაკმარისი, ევროპის IT სერტიფიცირების ინსტიტუტი უნდა დაუკავშირდეს მონაცემთა სუბიექტს დამატებითი ინფორმაციის მისაღებად.
8.5. შესაბამისი მონაცემების მოძიება
ევროპის IT სერტიფიცირების ინსტიტუტი იღებს შესაბამის პერსონალურ მონაცემებს და განიხილავს მათ, რათა დარწმუნდეს, რომ ეს არის ზუსტი და განახლებული.
8.6. მოთხოვნილი ინფორმაციის მიწოდება
ევროპის IT სერტიფიცირების ინსტიტუტი მონაცემთა სუბიექტს აწვდის მათ მიერ მოთხოვნილ ინფორმაციას, მათ შორის პერსონალური მონაცემების ასლს ჩვეულებრივ ელექტრონულ ფორმატში, თუ სხვა რამ არ არის მოთხოვნილი.
8.7. აცნობეთ მონაცემთა სუბიექტს მათი უფლებების შესახებ
ევროპის IT სერტიფიკაციის ინსტიტუტი აცნობებს მონაცემთა სუბიექტს სხვა უფლებებზე, როგორიცაა მათი პირადი მონაცემების გასწორების ან წაშლის უფლება და მიაწოდოს მათ საჭირო მითითებები.
8.8. რეაგირების დროის დაცვა
ევროპის IT სერტიფიცირების ინსტიტუტი პასუხობს მონაცემთა სუბიექტის უფლებების თხოვნას პასუხის დადგენილ დროში, რაც უზრუნველყოფს საჭირო ზომების მიღებას მოთხოვნის შესასრულებლად.
8.9. პასუხის დოკუმენტირება
ევროპის IT სერტიფიცირების ინსტიტუტი ადასტურებს პასუხს მონაცემთა სუბიექტის უფლებების მოთხოვნაზე, მათ შორის ნებისმიერი განხორციელებული ქმედება და რეაგირების დრო, რათა უზრუნველყოს მისი აუდიტის და თვალყურის დევნება შესაბამისობის მიზნებისათვის.
8.10. მონაცემთა სუბიექტის შეტყობინება ნებისმიერი ცვლილების შესახებ
თუ მონაცემთა სუბიექტის პერსონალურ მონაცემებში რაიმე ცვლილება განხორციელდება მათი მოთხოვნის შედეგად, ევროპის IT სერტიფიკაციის ინსტიტუტი აცნობებს მონაცემთა სუბიექტს ამ ცვლილებების შესახებ.
ნაწილი 9. მონაცემთა სუბიექტის უფლებების მოთხოვნების დოკუმენტირება
ევროპის IT სერტიფიცირების ინსტიტუტი აწარმოებს მონაცემთა სუბიექტის უფლებების მოთხოვნის ჩანაწერს, მოთხოვნის თარიღის, მოთხოვნის ხასიათისა და მოთხოვნაზე პასუხის ჩათვლით. მონაცემთა სუბიექტის უფლებების მოთხოვნების დოკუმენტირება მოიცავს შემდეგ ასპექტებს:
9.1. რეესტრის წარმოება
ევროპის IT სერტიფიცირების ინსტიტუტი აწარმოებს რეესტრს, რომელიც აღწერს მონაცემთა სუბიექტის უფლებების შესახებ მიღებულ ყველა მოთხოვნას. ეს რეესტრი უნდა შეიცავდეს შემდეგ დეტალებს:
- მოთხოვნის თარიღი
- მონაცემთა სუბიექტის სახელი და საკონტაქტო ინფორმაცია
- მოთხოვნის აღწერა
- განხორციელებული ქმედება მოთხოვნის საპასუხოდ
- ნებისმიერი დამატებითი ინფორმაცია, რომელიც საჭიროა მოთხოვნის დასამუშავებლად
9.2. დოკუმენტაციის სტანდარტიზებული პროცესი
ევროპის IT სერტიფიკაციის ინსტიტუტი აწარმოებს სტანდარტიზებულ პროცესს მონაცემთა სუბიექტის უფლებების მოთხოვნის დოკუმენტაციისთვის, რათა უზრუნველყოს მიღებული ინფორმაციის თანმიმდევრულობა და სიზუსტე.
9.3. Შეკავების პერიოდი
ევროპის IT სერტიფიცირების ინსტიტუტი ინახავს ამ ჩანაწერებს გონივრული ვადით, როგორც ეს დადგენილია მოქმედი კანონებითა და რეგულაციებით, არაუმეტეს 2 წლისა.
9.4. კონფიდენციალურობის დაცვა
ევროპის IT სერტიფიკაციის ინსტიტუტი უზრუნველყოფს, რომ მონაცემთა სუბიექტის უფლებების მოთხოვნის ჩანაწერები ხელმისაწვდომი იყოს მხოლოდ უფლებამოსილი პერსონალისთვის, რომელსაც აქვს საჭიროება, მიიღონ წვდომა ასეთ ინფორმაციაზე თავიანთი მოვალეობების შესრულებისას. ის ასევე ახორციელებს ტექნიკურ და ორგანიზაციულ ზომებს მონაცემთა სუბიექტის უფლებების მოთხოვნის ჩანაწერებში არსებული პერსონალური მონაცემების არასანქცირებული წვდომის, გამჟღავნების, ცვლილების ან განადგურების თავიდან ასაცილებლად.
9.5. რეპორტინგი
ევროპის IT სერტიფიცირების ინსტიტუტი პერიოდულად აწარმოებს ანგარიშებს მონაცემთა სუბიექტის უფლებების შესახებ მიღებული, დამუშავებული და გადაუჭრელი მოთხოვნების შესახებ. ეს ანგარიშები გაზიარებულია შესაბამის დაინტერესებულ მხარეებთან, მათ შორის, უფროს მენეჯმენტთან და DPO-სთან.
9.6 ანალიტიკა
ევროპის IT სერტიფიკაციის ინსტიტუტი ახორციელებს ტენდენციების ანალიზს მონაცემთა სუბიექტის უფლებების მოთხოვნებზე, რათა დაადგინოს მოთხოვნების შაბლონები და ძირითადი მიზეზები. ეს ინფორმაცია გამოიყენება პროცესებისა და პროცედურების გასაუმჯობესებლად ასეთი მოთხოვნების უკეთ მართვისთვის.
ნაწილი 10. პროცესის მონიტორინგი და განხილვა
ევროპის IT სერტიფიცირების ინსტიტუტი რეგულარულად აკვირდება და განიხილავს მის პროცესს მონაცემთა სუბიექტის უფლებების მოთხოვნების განხილვის მიზნით, რათა უზრუნველყოს, რომ ის რჩება ეფექტური და შეესაბამება GDPR-ს.
10.1. პერიოდული მიმოხილვების ჩატარება
ევროპის IT სერტიფიკაციის ინსტიტუტი ატარებს პერიოდულ მიმოხილვას მონაცემთა სუბიექტის უფლებების მოთხოვნის დამუშავების პროცესისა და GDPR-ის შესაბამისობის პოლიტიკის შესახებ, რათა უზრუნველყოს ის ეფექტური და მონაცემთა დაცვის რეგულაციების შესაბამისობაში. ეს მიმოხილვები მოიცავს მიღებული მოთხოვნების რაოდენობისა და ტიპის ანალიზს, პასუხების დროულობასა და ეფექტურობას და გაუმჯობესების ნებისმიერ სფეროს.
10.2. გაუმჯობესებების განხორციელება
მიმოხილვის შედეგების საფუძველზე, ევროპის IT სერტიფიცირების ინსტიტუტი ახორციელებს ყველა საჭირო გაუმჯობესებას მონაცემთა სუბიექტის უფლებების მოთხოვნის დამუშავების პროცესში. ეს შეიძლება მოიცავდეს პროცედურების განახლებებს, პერსონალის დამატებით ტრენინგს ან ცვლილებებს მოთხოვნის გადამოწმებისა და რეაგირების ხერხში.
10.3. მუდმივი შესაბამისობის უზრუნველყოფა
ევროპის IT სერტიფიცირების ინსტიტუტი უზრუნველყოფს მონაცემთა დაცვის რეგულაციების მუდმივ დაცვას თავისი პოლიტიკისა და პროცედურების რეგულარულად განხილვით და განახლებით შესაბამისი კანონებისა და რეგულაციების ნებისმიერი ცვლილების შესაბამისად.
10.4. პერსონალის მუშაობის მონიტორინგი
ევროპის IT სერტიფიცირების ინსტიტუტი აკონტროლებს პერსონალის მუშაობას მონაცემთა სუბიექტის უფლებების მოთხოვნების დამუშავებასთან დაკავშირებით, მათ შორის პასუხების ხარისხისა და დროულობის ჩათვლით. ეს შეიძლება მოიცავდეს პერიოდულ ტრენინგს და შესრულების მიმოხილვას, რათა დარწმუნდეს, რომ პერსონალი არის მცოდნე და კომპეტენტური ამ სფეროში.
10.5. მონაცემთა სუბიექტებთან კომუნიკაცია
ევროპის IT სერტიფიცირების ინსტიტუტი აკავშირებს მონაცემთა სუბიექტებს მოთხოვნის განხილვის პროცესში, რათა უზრუნველყოს მათი ინფორმირება პროგრესისა და ნებისმიერი შესაბამისი ინფორმაციის შესახებ. ეს შეიძლება მოიცავდეს განახლებების მიწოდებას მათი მოთხოვნის სტატუსის შესახებ ან საჭიროების შემთხვევაში დამატებითი ინფორმაციის მოთხოვნას.
10.6. ჩანაწერების შენარჩუნება
ევროპის IT სერტიფიცირების ინსტიტუტი აწარმოებს ჩანაწერებს მისი მიმოხილვების შესახებ, მათ შორის ნებისმიერი ცვლილების შესახებ, რომელიც განხორციელებულა მონაცემთა სუბიექტის უფლებების მოთხოვნის დამუშავების პროცესში, ისევე როგორც მონაცემთა სუბიექტებისგან მიღებული ნებისმიერი გამოხმაურება. ეს ინფორმაცია შეიძლება გამოყენებულ იქნას შესაბამისობის მცდელობის მხარდასაჭერად და შემდგომი გაუმჯობესების სფეროების იდენტიფიცირებისთვის.
ნაწილი 11. გადამამუშავებელი საქმიანობის ჩანაწერის შედგენა
ევროპის IT სერტიფიცირების ინსტიტუტი აწარმოებს დამუშავების საქმიანობების ჩანაწერს, რომელიც წარმოადგენს დოკუმენტს, რომელიც ასახავს ორგანიზაციის მიერ განხორციელებული პერსონალური მონაცემების დამუშავებას. ის საჭიროა ევროკავშირის მონაცემთა დაცვის ზოგადი რეგულაციის (GDPR) მიხედვით და მიზნად ისახავს მონაცემთა დამუშავების საქმიანობის გაგებას და GDPR-თან შესაბამისობის დემონსტრირებას.
11.1. ROPA სტრუქტურა
ROPA მოიცავს ძირითად ინფორმაციას ორგანიზაციის სახელსა და საკონტაქტო დეტალებზე, მონაცემთა დამუშავების მიზნებზე, დამუშავებული პერსონალური მონაცემების კატეგორიებზე, პერსონალური მონაცემების მიმღებებზე და პერსონალური მონაცემების შენახვის პერიოდებზე. ის ასევე შეიცავს ინფორმაციას ნებისმიერი მესამე მხარის დამმუშავებლის შესახებ, რომელიც ამუშავებს პირად მონაცემებს ორგანიზაციის სახელით.
11.2. ROPA რეგულარული განახლებები
ROPA რეგულარულად განახლდება და წარმოადგენს ცოცხალ დოკუმენტს, რომელიც ასახავს ცვლილებებს ევროპის IT სერტიფიკაციის ინსტიტუტის მონაცემთა დამუშავების საქმიანობაში, რაც ხელს უწყობს მონაცემთა სუბიექტებთან ნდობის ჩამოყალიბებას.
ევროპის IT სერტიფიცირების ინსტიტუტი მოწოდებულია შეინარჩუნოს უმაღლესი სტანდარტები მონაცემთა სუბიექტის უფლებების მოთხოვნების მართვისა და მონაცემთა დაცვის ზოგადი რეგულირების პოლიტიკის მიმართ, დარწმუნებულია, რომ შეესაბამება ამ საკითხებთან დაკავშირებულ ყველა მოქმედ კანონს და რეგულაციას, ისევე როგორც წამყვანი ინდუსტრიის სტანდარტებს. და საუკეთესო პრაქტიკა, მათ შორის ISO 27701 კონფიდენციალურობის ინფორმაციის მართვის სისტემა.