DSRRM および GDPR ポリシー
EITCA アカデミー データ主体の権利要求管理および一般データ保護規則に関するポリシー
この文書は、データ主体の権利要求の管理に関する欧州 IT 認証機関のポリシーと、その有効性と関連性を確保するために定期的に見直され更新される EU 一般データ保護規則の実施を規定しています。 EITCI データ主体の権利要求管理および GDPR ポリシーの最終更新は、10 年 2023 月 27701 日に行われました。当社のデータ主体の権利要求管理および GDPR ポリシーは、ISO 27001 情報セキュリティに対する ISO 2016 プライバシー情報管理システム拡張の原則に基づいています。システム標準、および一般データ保護規則 (679/XNUMX) の要件。
パート1。はじめに
データ主体の権利要求の管理は、データ保護規則、つまり GDPR (EU の一般データ保護規則) への準拠を確保する上で不可欠な部分です。 European IT Certification Institute は、データ主体の権利要求を管理し、GDPR の要件を実装するための次の正式な手順を定義しました。
1.1。 データ主体の権利要求を処理するプロセスの確立
このプロセスでは、データ主体の識別と認証、データ主体の要求の検証、要求への応答など、データ主体の権利要求を処理する際に欧州 IT 認証機関が従う手順の概要を説明します。
1.2. データ保護責任者 (DPO) の指定
European IT Certification Institute は、要求のレビュー、要求への対応、データ保護規制への準拠の確保など、データ主体の権利要求の管理を監督する責任を負う DPO を指定します。
1.3。 個人データの最新の記録を維持する
European IT Certification Institute は、保有する個人データとその処理目的の最新の記録を維持しています。 これにより、European IT Certification Institute はデータ主体の権利要求に迅速かつ正確に対応できるようになります。
1.4。 データ主体に明確で簡潔な情報を提供する
個人データを収集する際、European IT Certification Institute は、個人データの処理にアクセス、修正、消去、および異議を唱える権利を含む、データ主体の権利に関する明確かつ簡潔な情報をデータ主体に提供します。
1.5。 標準応答時間の確立
European IT Certification Institute は、データ主体の権利要求に対する標準的な応答時間を維持し、要求がこの時間枠内に応答されるようにします。
1.6。 データ主体の身元の確認
European IT Certification Institute は、個人データが正しい個人にのみ提供されることを保証するために、要求を行うデータ主体の身元を確認します。
1.7。 データ主体の権利要求への迅速な対応
European IT Certification Institute は、データ主体の権利要求に迅速に対応し、要求された情報をデータ主体に提供します。
1.8。 データ主体の権利要求の文書化
European IT Certification Institute は、要求の日付、要求の性質、および要求に対する応答を含む、データ主体の権利要求の記録を保持しています。
1.9。 プロセスの監視とレビュー
European IT Certification Institute は、データ主体の権利の要求を処理するプロセスを定期的に監視およびレビューして、関連するデータ保護規制に準拠し、有効性を維持していることを確認しています。
1.10。 処理活動の記録の確立
欧州 IT 認定機関は、組織によって実行される個人データの処理の概要を説明する文書である処理活動の記録を保持しています。 これは EU 一般データ保護規則 (GDPR) の下で義務付けられており、データ処理活動の理解をサポートし、GDPR への準拠を実証することを目的としています。
これらの正式な手順に従うことで、欧州 IT 認定機関はデータ主体の権利要求を効果的に管理し、欧州連合の一般データ保護規則を含むデータ保護規則への準拠を確保できます。
パート 2. データ主体の権利要求を処理するためのプロセスの確立
このプロセスは、データ主体の識別と認証、データ主体の要求の検証、および要求への応答を含む、データ主体の権利要求を処理する際に欧州 IT 認定機関が従う手順の概要を示しています。
2.1. データ主体の識別と認証
European IT Certification Institute は、要求を行うデータ主体の身元を確認するためのプロセスを維持しています。 これには、政府発行の ID の要求、既存の記録との照合、または他の認証方法の使用が含まれる場合があります。
2.2. データ主体の要求の検証
データ主体の身元が確認されると、欧州 IT 認定機関は、要求が有効であり、データ主体の個人データに関連していることを確認する必要があります。 要求には、個人データへのアクセス、修正、または削除する権利など、行使される特定の権利も含める必要があります。
2.3. リクエストへの対応
European IT Certification Institute は、関連するデータ保護法で指定された期間内に、ただし 30 日以内にデータ主体の要求に応答する必要があります。 応答には、要求が許可されたか拒否されたかの説明と、決定の理由が含まれている必要があります。
2.4. リクエストとレスポンスの文書化
European IT Certification Institute は、すべてのデータ主体の権利要求と応答の記録を保持しています。 これにより、関連するデータ保護法を確実に遵守し、将来の監査や調査を容易にすることができます。
2.5。 関連スタッフの教育
欧州 IT 認定機関は、データ主体の権利要求の処理を担当するスタッフにトレーニングを提供し、関連するデータ保護法およびそのような要求を処理するための欧州 IT 認定機関の手順に精通していることを確認します。
2.6。 プロセスの監視とレビュー
European IT Certification Institute は、データ主体の権利要求を処理するプロセスを定期的に監視およびレビューして、そのプロセスが有効であり、関連するデータ保護法に準拠していることを確認します。 問題やインシデントはすべて報告され、タイムリーに対処されます。
パート 3. データ保護責任者 (DPO) の指定
European IT Certification Institute は、要求のレビュー、要求への対応、データ保護規制への準拠の確保など、データ主体の権利要求の管理を監督する責任を負う DPO を指定します。
3.1. DPO の指定
European IT Certification Institute は、データ主体の権利要求の管理を監督し、データ保護規制への準拠を確保するために、データ保護オフィサー (DPO) を指定しています。 DPO は、要求を確認し、欧州 IT 認定機関がデータ保護に関する法的義務を満たしていることを確認する責任を負います。
3.2. DPO の能力要件
DPO は、データ保護の法律と慣行に関する専門知識を持ち、その責任を果たすために必要なリソースを提供されなければなりません。 彼らは上級管理職に直接アクセスし、組織の最高管理レベルに報告する必要があります。
3.3. DPO の責任
DPO の責任には以下が含まれますが、これらに限定されません。
- データ主体の権利要求の管理を含む、データ保護の問題について、欧州 IT 認定機関にガイダンスとアドバイスを提供します。
- European IT Certification Institute のデータ保護規制と内部ポリシーおよび手順への準拠を監視します。
- データ保護規則に基づく権利に関するデータ主体からの問い合わせおよび苦情への対応。
- 組織全体でデータ保護要件が確実に満たされるように、他の部門と調整します。
- European IT Certification Institute のデータ保護慣行の定期的なレビューと評価を実施し、改善のための推奨事項を提供します。
- データ保護当局の連絡先として機能し、調査または監査の際に協力します。
- DPO は、データ主体の権利要求の処理に関連するものを含む、データ保護に関連する欧州 IT 認定機関のポリシーと手順の開発と実装にも関与しています。
3.4。 DPO のトレーニングと資格開発
欧州 IT 認定機関は、DPO がデータ保護規則について適切なトレーニングを受け、これらの規則の変更または更新について最新の状態に保たれていることを確認する必要があります。
3.5。 DPO の連絡先情報
DPO の連絡先情報は、データ主体が利用できるようにし、European IT Certification Institute のプライバシー通知またはポリシーに含める必要があります。
パート 4. 個人データの最新記録の維持
European IT Certification Institute は、保有する個人データとその処理目的の最新の記録を維持しています。 これにより、European IT Certification Institute はデータ主体の権利要求に迅速かつ正確に対応できるようになります。
4.1. 個人データの識別と記録のプロセスの確立
European IT Certification Institute は、データ主体の名前、連絡先情報、およびその他の関連情報を含む個人データを識別および記録するための明確で標準化されたプロセスを確立しています。 このプロセスにより、個人データが特定の正当な目的でのみ収集されることが保証されます。
4.2. 個人データの分類
European IT Certification Institute は、追跡と管理を容易にするために個人データを分類しています。 これには、連絡先情報、請求情報、コンピテンシーと資格、財務情報、雇用履歴などのタイプによるデータの分類が含まれます。
4.3. データ管理システムの実装
European IT Certification Institute は、個人データが正確、最新、およびアクセス可能であることを保証するために、データ管理システムを実装しています。 データ管理システムには、データ主体の権利要求への対応を支援するために検索および照会できるデータベースが含まれています。
4.4. 個人データの記録を維持する責任の割り当て
European IT Certification Institute は、個人データの記録を維持する責任を特定の個人または部門に割り当てる必要があります。 これにより、記録が最新かつ正確に保たれます。
4.5. 個人データの記録の定期的な見直しと更新
European IT Certification Institute は、個人データの記録を定期的に見直して更新し、正確かつ最新の状態を維持する必要があります。 これは、定期的な監査または継続的な監視プロセスを通じて行うことができます。
4.6. 適切なセキュリティ対策を実施する
欧州 IT 認定機関は、組織の情報セキュリティ ポリシー (ISP) の一環として、個人データの不正アクセス、偶発的な損失、または破壊を防止するための対策を含む、保有する個人データを保護するための適切なセキュリティ対策を実施しています。 これには、暗号化、ファイアウォール、およびアクセス制御が含まれます。 データ保護のプロセスと手段の詳細な仕様は、専用の欧州 IT 認定機関の情報セキュリティ ポリシーでカバーされています。
パート 5. データ主体に明確で簡潔な情報を提供する
個人データを収集する際、European IT Certification Institute は、個人データの処理にアクセス、修正、消去、および異議を唱える権利を含む、データ主体の権利に関する明確かつ簡潔な情報をデータ主体に提供します。
5.1。 透明
European IT Certification Institute は、個人データの処理において透明性を確保しており、データの使用、処理、保存方法に関する簡潔な情報をデータ主体に提供しています。
5.2。 個人情報保護方針
European IT Certification Institute には、データ主体がデータ主体の権利を行使する方法など、データ処理活動の概要を示す詳細なプライバシー ポリシーがあります。
5.3. アクセス権
データ主体は、欧州 IT 認定機関が保持する個人データへのアクセスを要求する権利を有します。 欧州 IT 認定機関は、アクセスを要求する方法、身元を確認するために必要な情報、および欧州 IT 認定機関が要求に応答するまでにかかる時間について、明確かつ簡潔な情報をデータ主体に提供します。
5.4. 修正する権利
データ主体は、欧州 IT 認定機関が保持している不正確または不完全な個人データを修正するよう要求する権利を有します。 欧州 IT 認定機関は、データ主体に対して、修正を要求する方法、身元を確認するために必要な情報、および欧州 IT 認定機関が要求に応答するまでにかかる時間について、明確かつ簡潔な情報を提供します。
5.5. 消去する権利
データ主体は、特定の状況において、欧州 IT 認定機関に対して個人データの消去を要求する権利を有します。 欧州 IT 認定機関は、データ主体に対して、消去を要求する方法、身元を確認するために必要な情報、および欧州 IT 認定機関が要求に応答するまでにかかる時間について、明確かつ簡潔な情報を提供します。
5.6. 異議を唱える権利
データ主体は、特定の状況において、個人データの処理に異議を唱える権利を有します。 欧州 IT 認定機関は、異議を申し立てる方法、身元を確認するために必要な情報、および欧州 IT 認定機関が要求に応答するまでにかかる時間について、明確かつ簡潔な情報をデータ主体に提供します。
5.7。 連絡先情報
European IT Certification Institute は、個人データの処理方法について質問や懸念がある場合にデータ主体が使用できるように、明確で簡潔な連絡先情報を提供しています。
パート 6. 標準応答時間の確立
European IT Certification Institute は、データ主体の権利要求に対する標準応答時間を確立し、要求がこの時間枠内に応答されるようにします。
6.1. 標準応答時間
European IT Certification Institute は、データ主体の権利要求に対して 30 日の標準応答時間を設定しています。 標準応答時間は、処理と応答の時間の上限を定義し、大部分の要求はより短い時間内に処理および応答されます。
6.2. リクエスト受信確認時間
データ主体の権利要求を受け取ると、DPO または他のスタッフ メンバーは、5 営業日以内に要求の受領を確認し、応答を提供するための推定時間枠をデータ主体に提供します。
6.3. 標準応答時間の例外的な延長
European IT Certification Institute は、確立された標準的な応答時間内にデータ主体の権利要求に応答するために合理的な努力を払います。 ただし、リクエストが複雑な場合、または欧州 IT 認定機関が大量のリクエストを受け取った場合、応答時間が延長されることがあります。 そのような場合、DPO はデータ主体に延長と遅延の理由を通知します。
6.4. データ主体の権利要求を満たすことの拒否
欧州 IT 認定機関がデータ主体の権利要求を満たすことができない場合、データ主体に拒否の説明を提供し、関連する監督機関に苦情を申し立てる権利があることを通知します。
6.5. データ主体の権利要求と応答の記録
European IT Certification Institute は、データ主体の権利の要求と応答の正確な記録を維持します。これには、要求の受領日、要求の性質、応答の日付と方法が含まれます。
6.6. 定期見直し
DPO は、欧州 IT 認定機関の応答時間を定期的に確認し、必要に応じて更新して、適用されるデータ保護規制に確実に準拠できるようにします。
パート 7. データ主体の身元の確認
7.1. 本人確認要件
欧州 IT 認定機関は、個人データが正しい個人にのみ提供されることを保証するために、要求を行うデータ主体の身元を確認する必要があります。
7.2. 本人確認手段および方法
データ主体がデータ保護法に基づく権利の行使を要求する場合、欧州 IT 認定機関は、身分証明書の要求などの適切な手段を使用して、データ主体の身元を確認する必要があります。
7.3. 代理人の本人確認
データ主体が他の誰かに代わって要求を行っている場合、欧州 IT 認定機関は、データ主体と要求が行われている個人の両方の身元を確認する必要があります。
7.4. 本人確認疑惑
欧州 IT 認定機関がデータ主体の身元または要求の有効性について疑問を持っている場合、データ主体の身元を確認するために追加情報を要求するか、その他の適切な措置を講じることができます。
7.5. 本人確認記録
欧州 IT 認定機関は、検証プロセスと、データ主体の身元を検証するために講じられた措置の記録を保持する必要があります。 この記録は、妥当な期間保持し、データ保護法への準拠を示すために使用する必要があります。
パート 8. データ主体の権利要求への迅速な対応
8.1. 迅速な対応
European IT Certification Institute は、データ主体の権利要求に迅速に対応し、要求された情報をデータ主体に提供します。
8.2. 受信確認のリクエスト
European IT Certification Institute は、データ主体の要求をできるだけ早く、理想的には 5 営業日以内に受領したことを確認します。
8.3. 審査をリクエスト
指定された DPO は、リクエストをレビューして、必要な要件を満たし、必要な情報がすべて提供されていることを確認する必要があります。
8.4. データ主体の身元の確認
European IT Certification Institute は、個人データが正しい個人にのみ提供されることを保証するために、要求を行うデータ主体の身元を確認します。
8.5. 必要に応じて追加情報を入手する
要求が不明確または不十分な場合、欧州 IT 認定機関はデータ主体に連絡して追加情報を取得する必要があります。
8.5. 関連データの取得
European IT Certification Institute は、関連する個人データを取得し、それが正確かつ最新であることを確認するためにレビューします。
8.6. 要求された情報の提供
European IT Certification Institute は、別段の要求がない限り、データ主体が要求した情報をデータ主体に提供します。これには、一般的に使用される電子形式の個人データのコピーが含まれます。
8.7. データ主体に権利を通知する
European IT Certification Institute は、個人データを修正または消去する権利など、データ主体に他の権利を通知し、必要な指示を提供します。
8.8. 応答時間の遵守
European IT Certification Institute は、確立された応答時間内にデータ主体の権利要求に対応し、要求に応じるために必要な措置が講じられるようにします。
8.9。 応答の文書化
European IT Certification Institute は、コンプライアンス目的で監査および追跡できるように、データ主体の権利要求への応答を記録します。これには、実行されたアクションと応答時間が含まれます。
8.10. データ主体への変更の通知
要求の結果としてデータ主体の個人データに変更が加えられた場合、欧州 IT 認定機関はデータ主体にこれらの変更を通知します。
パート 9. データ主体の権利要求の文書化
European IT Certification Institute は、要求の日付、要求の性質、および要求に対する応答を含む、データ主体の権利要求の記録を保持しています。 データ主体の権利要求の文書化には、次の側面が含まれます。
9.1. レジスターの維持
European IT Certification Institute は、受け取ったすべてのデータ主体の権利要求を記録する登録簿を維持しています。 このレジスタは、次の詳細をキャプチャする必要があります。
- 依頼日
- データ主体の名前と連絡先の詳細
- リクエストの説明
- リクエストに応じて実行されるアクション
- リクエストの処理に必要な追加情報
9.2. 文書化のための標準化されたプロセス
European IT Certification Institute は、取得した情報の一貫性と正確性を確保するために、データ主体の権利要求を文書化するための標準化されたプロセスを実行します。
9.3. 保存期間
European IT Certification Institute は、これらの記録を、適用される法律および規制によって決定される合理的な期間、2 年以上維持します。
9.4. 機密保持
European IT Certification Institute は、データ主体の権利要求の記録が、職務の遂行においてそのような情報にアクセスする必要がある許可された担当者のみにアクセスできることを保証します。 また、データ主体の権利要求の記録に含まれる個人データの不正アクセス、開示、改ざん、または破壊を防止するための技術的および組織的対策も実施します。
9.5。 報告
European IT Certification Institute は、受信、処理、未処理のデータ主体の権利要求に関するレポートを定期的に生成します。 これらのレポートは、上級管理職や DPO を含む関連する利害関係者と共有されます。
9.6 アナリティクス
European IT Certification Institute は、データ主体の権利要求の傾向分析を行い、要求のパターンと根本原因を特定します。 この情報は、そのような要求をより適切に管理するためのプロセスと手順を強化するために使用されます。
パート 10. プロセスの監視とレビュー
European IT Certification Institute は、データ主体の権利要求を処理するプロセスを定期的に監視およびレビューして、GDPR に準拠し、有効性を維持していることを確認しています。
10.1. 定期的なレビューの実施
European IT Certification Institute は、データ主体の権利要求処理プロセスと GDPR コンプライアンス ポリシーの定期的なレビューを実施して、効果的でデータ保護規制に準拠していることを確認します。 これらのレビューには、受け取った要求の数と種類、応答の適時性と有効性、および改善の余地のある領域の分析が含まれます。
10.2. 改善の実施
レビューの調査結果に基づいて、欧州 IT 認定機関は、データ主体の権利要求処理プロセスに必要な改善を実装します。 これには、手順の更新、スタッフの追加トレーニング、または要求の確認と対応方法の変更が含まれる場合があります。
10.3. 継続的なコンプライアンスの確保
European IT Certification Institute は、関連する法律や規制の変更に合わせてポリシーと手順を定期的に見直し、更新することにより、データ保護規制への継続的な準拠を保証します。
10.4. スタッフのパフォーマンスの監視
European IT Certification Institute は、応答の品質と適時性など、データ主体の権利要求の処理に関するスタッフのパフォーマンスを監視しています。 これには、スタッフがこの分野の知識と能力を備えていることを確認するための定期的なトレーニングとパフォーマンスのレビューが含まれる場合があります。
10.5. データ主体とのコミュニケーション
欧州 IT 認定機関は、リクエスト処理プロセス全体を通じてデータ主体と連絡を取り、進行状況と関連情報が確実に通知されるようにします。 これには、リクエストのステータスに関する最新情報を提供することや、必要に応じて追加情報をリクエストすることが含まれる場合があります。
10.6. 記録の維持
European IT Certification Institute は、データ主体の権利要求の処理プロセスに加えられた変更や、データ主体から受け取ったフィードバックなど、レビューの記録を保持しています。 この情報は、継続的なコンプライアンスの取り組みをサポートし、さらなる改善が必要な領域を特定するために使用できます。
第 11 部 処理活動の記録の確立
欧州 IT 認定機関は、組織によって実行される個人データの処理の概要を説明する文書である処理活動の記録を保持しています。 これは EU 一般データ保護規則 (GDPR) の下で義務付けられており、データ処理活動の理解をサポートし、GDPR への準拠を実証することを目的としています。
11.1. ROPAの構造
ROPA には、組織の名前と連絡先の詳細、データ処理の目的、処理される個人データのカテゴリ、個人データの受信者、および個人データの保持期間に関する基本情報が含まれます。 また、組織に代わって個人データを処理するサードパーティ プロセッサに関する情報も含まれます。
11.2. ROPA定期更新
ROPA は定期的に更新され、データ主体との信頼構築をサポートする欧州 IT 認定機関のデータ処理活動の変更を反映する生きた文書です。
European IT Certification Institute は、データ主体の権利要求管理および一般データ保護規則ポリシーに関して最高水準を維持することを約束し、これらの問題に関連するすべての適用法および規制、ならびに主要な業界標準に確実に準拠します。 ISO 27701 プライバシー情報管理システムを含むベスト プラクティス。