DSRRM وسياسة GDPR
سياسة أكاديمية EITCA بشأن إدارة طلبات حقوق موضوع البيانات واللائحة العامة لحماية البيانات
تحدد هذه الوثيقة سياسة المعهد الأوروبي لشهادة تكنولوجيا المعلومات بشأن إدارة طلبات حقوق موضوع البيانات ، بالإضافة إلى تنفيذ لائحة حماية البيانات العامة للاتحاد الأوروبي ، والتي تتم مراجعتها وتحديثها بانتظام لضمان فعاليتها وأهميتها. تم إجراء آخر تحديث لإدارة طلبات حقوق موضوع البيانات وسياسة القانون العام لحماية البيانات (EITCI) في 10 يناير 2023. وتستند إدارة طلبات حقوق موضوع البيانات وسياسة القانون العام لحماية البيانات (GDPR) الخاصة بنا إلى مبادئ ملحق نظام إدارة معلومات الخصوصية ISO 27701 إلى ISO 27001 لأمن المعلومات معيار النظام ، وكذلك متطلبات اللائحة العامة لحماية البيانات (2016/679).
الجزء 1. مقدمة
تُعد إدارة طلبات حقوق موضوع البيانات جزءًا أساسيًا من ضمان الامتثال للوائح حماية البيانات ، أي اللائحة العامة لحماية البيانات (GDPR) (اللائحة العامة لحماية البيانات في الاتحاد الأوروبي). حدد المعهد الأوروبي لشهادة تكنولوجيا المعلومات الإجراءات الرسمية التالية لإدارة طلبات حقوق موضوع البيانات وتنفيذ متطلبات اللائحة العامة لحماية البيانات:
1.1 إنشاء عملية للتعامل مع طلبات حقوق موضوع البيانات
تحدد هذه العملية الخطوات التي يتبعها المعهد الأوروبي لشهادات تكنولوجيا المعلومات عند التعامل مع طلبات حقوق موضوع البيانات ، بما في ذلك تحديد هوية موضوع البيانات والمصادقة عليه ، والتحقق من طلب موضوع البيانات ، والاستجابة للطلب.
1.2 تعيين مسؤول حماية البيانات (DPO)
يعين المعهد الأوروبي لشهادات تكنولوجيا المعلومات مسؤول حماية البيانات (DPO) الذي يكون مسؤولاً عن الإشراف على إدارة طلبات حقوق موضوع البيانات ، بما في ذلك مراجعة الطلبات والاستجابة للطلبات وضمان الامتثال للوائح حماية البيانات.
1.3 الاحتفاظ بسجل محدث للبيانات الشخصية
يحتفظ المعهد الأوروبي لشهادات تكنولوجيا المعلومات بسجل محدث للبيانات الشخصية التي يحتفظ بها والأغراض التي تتم معالجتها من أجلها. سيمكن هذا المعهد الأوروبي لشهادات تكنولوجيا المعلومات من الاستجابة بسرعة ودقة لطلبات حقوق موضوع البيانات.
1.4 توفير معلومات واضحة وموجزة لأصحاب البيانات
عند جمع البيانات الشخصية ، يوفر المعهد الأوروبي لشهادات تكنولوجيا المعلومات معلومات واضحة وموجزة لأصحاب البيانات حول حقوقهم ، بما في ذلك الحق في الوصول إلى بياناتهم الشخصية وتصحيحها ومسحها والاعتراض على معالجتها.
1.5 تحديد وقت استجابة قياسي
يحتفظ المعهد الأوروبي لشهادات تكنولوجيا المعلومات بوقت استجابة قياسي لطلبات حقوق موضوع البيانات ويضمن الاستجابة للطلبات خلال هذا الإطار الزمني.
1.6 التحقق من هوية صاحب البيانات
يتحقق المعهد الأوروبي لشهادة تكنولوجيا المعلومات من هوية صاحب البيانات الذي يقدم الطلب لضمان تقديم البيانات الشخصية للفرد الصحيح فقط.
1.7 الاستجابة لطلبات حقوق موضوع البيانات على الفور
يستجيب المعهد الأوروبي لشهادات تكنولوجيا المعلومات لطلبات حقوق موضوع البيانات على الفور ويزود موضوع البيانات بالمعلومات التي طلبوها.
1.8 توثيق طلبات حقوق موضوع البيانات
يحتفظ المعهد الأوروبي لشهادات تكنولوجيا المعلومات بسجل لطلبات حقوق موضوع البيانات ، بما في ذلك تاريخ الطلب وطبيعة الطلب والاستجابة للطلب.
1.9 مراقبة ومراجعة العملية
يراقب المعهد الأوروبي لشهادات تكنولوجيا المعلومات ويراجع بانتظام عمليته للتعامل مع طلبات حقوق موضوع البيانات للتأكد من أنها تظل فعالة ومتوافقة مع لوائح حماية البيانات ذات الصلة.
1.10. إنشاء سجل أنشطة المعالجة
يحتفظ المعهد الأوروبي لشهادات تكنولوجيا المعلومات بسجل أنشطة المعالجة وهو مستند يحدد معالجة البيانات الشخصية التي تقوم بها المنظمة. إنه مطلوب بموجب لائحة حماية البيانات العامة للاتحاد الأوروبي (GDPR) ويهدف إلى دعم فهم أنشطة معالجة البيانات وإثبات الامتثال للائحة العامة لحماية البيانات (GDPR).
باتباع هذه الإجراءات الرسمية ، يمكن للمعهد الأوروبي لشهادات تكنولوجيا المعلومات إدارة طلبات حقوق موضوع البيانات بفعالية وضمان الامتثال للوائح حماية البيانات ، بما في ذلك اللائحة العامة لحماية البيانات في الاتحاد الأوروبي.
الجزء 2. إنشاء عملية للتعامل مع طلبات حقوق موضوع البيانات
توضح هذه العملية الخطوات التي يتبعها المعهد الأوروبي لشهادات تكنولوجيا المعلومات عند التعامل مع طلبات حقوق موضوع البيانات ، بما في ذلك تحديد هوية موضوع البيانات والمصادقة عليه ، والتحقق من طلب موضوع البيانات ، والاستجابة للطلب:
2.1. تحديد وتوثيق موضوع البيانات
يحتفظ المعهد الأوروبي لشهادات تكنولوجيا المعلومات بعملية مطبقة للتحقق من هوية صاحب البيانات الذي قدم الطلب. قد يشمل ذلك طلب بطاقة هوية صادرة عن جهة حكومية ، أو التحقق من السجلات الموجودة ، أو استخدام طرق مصادقة أخرى.
2.2. التحقق من طلب صاحب البيانات
بمجرد تحديد هوية موضوع البيانات ، يجب أن يتحقق المعهد الأوروبي لشهادة تكنولوجيا المعلومات من أن الطلب صالح ويتعلق بالبيانات الشخصية لصاحب البيانات. يجب أن يتضمن الطلب أيضًا الحق المحدد الذي يتم ممارسته ، مثل الحق في الوصول إلى البيانات الشخصية أو تصحيحها أو حذفها.
2.3 الاستجابة للطلب
يجب أن يقدم المعهد الأوروبي لشهادة تكنولوجيا المعلومات ردًا على طلب موضوع البيانات ضمن الإطار الزمني المحدد بموجب قوانين حماية البيانات ذات الصلة ، ولكن ليس أكثر من 30 يومًا. يجب أن يتضمن الرد شرحًا لما إذا كان الطلب قد تم قبوله أو رفضه ، وأسباب القرار.
2.4 توثيق الطلب والاستجابة
يحتفظ المعهد الأوروبي لشهادات تكنولوجيا المعلومات بسجل لجميع طلبات واستجابات حقوق موضوع البيانات. يساعد ذلك في ضمان الامتثال لقوانين حماية البيانات ذات الصلة ، فضلاً عن تسهيل عمليات التدقيق أو التحقيقات المستقبلية.
2.5 تدريب الموظفين المعنيين
سيوفر المعهد الأوروبي لشهادة تكنولوجيا المعلومات التدريب للموظفين المسؤولين عن التعامل مع طلبات حقوق موضوع البيانات للتأكد من أنهم على دراية بقوانين حماية البيانات ذات الصلة وإجراءات المعهد الأوروبي لشهادات تكنولوجيا المعلومات للتعامل مع مثل هذه الطلبات.
2.6 مراقبة ومراجعة العملية
يراقب المعهد الأوروبي لشهادات تكنولوجيا المعلومات ويراجع عملية معالجة طلبات حقوق موضوع البيانات بشكل منتظم للتأكد من أنها تظل فعالة ومتوافقة مع قوانين حماية البيانات ذات الصلة. يتم الإبلاغ عن أي مشكلات أو حوادث ومعالجتها في الوقت المناسب.
الجزء 3. تعيين مسؤول حماية البيانات (DPO)
يعين المعهد الأوروبي لشهادات تكنولوجيا المعلومات مسؤول حماية البيانات (DPO) الذي يكون مسؤولاً عن الإشراف على إدارة طلبات حقوق موضوع البيانات ، بما في ذلك مراجعة الطلبات والاستجابة للطلبات وضمان الامتثال للوائح حماية البيانات.
3.1. تعيين DPO
يعين المعهد الأوروبي لشهادات تكنولوجيا المعلومات مسؤول حماية البيانات (DPO) للإشراف على إدارة طلبات حقوق موضوع البيانات وضمان الامتثال للوائح حماية البيانات. سيكون مسؤول حماية البيانات مسؤولاً عن مراجعة الطلبات والتأكد من أن المعهد الأوروبي لشهادات تكنولوجيا المعلومات يفي بالتزاماته القانونية فيما يتعلق بحماية البيانات.
3.2 متطلبات كفاءات DPO
يجب أن يكون لدى مسؤول حماية البيانات معرفة متخصصة بقوانين وممارسات حماية البيانات وأن يتم تزويده بالموارد اللازمة للوفاء بمسؤولياته. يجب أن يكون لديهم وصول مباشر إلى الإدارة العليا وأن يكونوا مسؤولين أمام أعلى مستوى إداري في المنظمة.
3.3 مسؤوليات DPO
تشمل مسؤوليات مسؤول حماية البيانات ، على سبيل المثال لا الحصر ، ما يلي:
- تقديم التوجيه والمشورة إلى المعهد الأوروبي لشهادات تكنولوجيا المعلومات بشأن مسائل حماية البيانات ، بما في ذلك إدارة طلبات حقوق موضوع البيانات.
- مراقبة امتثال المعهد الأوروبي لشهادات تكنولوجيا المعلومات للوائح حماية البيانات والسياسات والإجراءات الداخلية.
- الرد على الاستفسارات والشكاوى الواردة من أصحاب البيانات فيما يتعلق بحقوقهم بموجب لوائح حماية البيانات.
- التنسيق مع الإدارات الأخرى لضمان تلبية متطلبات حماية البيانات في جميع أنحاء المنظمة.
- إجراء مراجعات وتقييمات دورية لممارسات حماية البيانات الخاصة بالمعهد الأوروبي لشهادات تكنولوجيا المعلومات وتقديم توصيات للتحسين.
- العمل كنقطة اتصال لسلطات حماية البيانات والتعاون معها في حالة إجراء تحقيق أو تدقيق.
- يشارك مسؤول حماية البيانات أيضًا في تطوير وتنفيذ سياسات وإجراءات المعهد الأوروبي لشهادات تكنولوجيا المعلومات المتعلقة بحماية البيانات ، بما في ذلك تلك المتعلقة بمعالجة طلبات حقوق موضوع البيانات.
3.4. تطوير التدريب والمؤهلات في DPO
يجب أن يضمن المعهد الأوروبي لشهادة تكنولوجيا المعلومات أن مسؤول حماية البيانات (DPO) مدرب تدريباً كافياً على لوائح حماية البيانات وأن يتم تحديثه باستمرار بشأن أي تغييرات أو تحديثات تطرأ على هذه اللوائح.
3.5 معلومات الاتصال بـ DPO
يجب توفير معلومات الاتصال الخاصة بـ DPO لأصحاب البيانات وإدراجها في إشعار أو سياسة الخصوصية الخاصة بالمعهد الأوروبي لشهادات تكنولوجيا المعلومات.
الجزء 4. الاحتفاظ بسجل محدث للبيانات الشخصية
يحتفظ المعهد الأوروبي لشهادات تكنولوجيا المعلومات بسجل محدث للبيانات الشخصية التي يحتفظ بها والأغراض التي تتم معالجتها من أجلها. سيمكن هذا المعهد الأوروبي لشهادات تكنولوجيا المعلومات من الاستجابة بسرعة ودقة لطلبات حقوق موضوع البيانات.
4.1 إنشاء عملية لتحديد وتسجيل البيانات الشخصية
ينشئ المعهد الأوروبي لشهادة تكنولوجيا المعلومات عملية واضحة وموحدة لتحديد البيانات الشخصية وتسجيلها ، بما في ذلك اسم موضوع البيانات ومعلومات الاتصال وأي معلومات أخرى ذات صلة. تضمن هذه العملية أن البيانات الشخصية يتم جمعها فقط لأغراض محددة وشرعية.
4.2 تصنيف البيانات الشخصية
يصنف المعهد الأوروبي لشهادات تكنولوجيا المعلومات البيانات الشخصية لتسهيل تتبعها وإدارتها. يتضمن ذلك تصنيف البيانات حسب النوع ، مثل معلومات الاتصال أو معلومات الفواتير أو الكفاءات والمؤهلات أو المعلومات المالية أو سجل التوظيف.
4.3 تنفيذ نظام إدارة البيانات
ينفذ المعهد الأوروبي لشهادات تكنولوجيا المعلومات نظامًا لإدارة البيانات للمساعدة في ضمان دقة البيانات الشخصية وحداثتها وإمكانية الوصول إليها. يتضمن نظام إدارة البيانات قاعدة بيانات يمكن البحث عنها والاستعلام عنها للمساعدة في الاستجابة لطلبات حقوق موضوع البيانات.
4.4 تكليف مسؤولية الحفاظ على سجل البيانات الشخصية
يجب على المعهد الأوروبي لشهادة تكنولوجيا المعلومات إسناد مسؤولية الاحتفاظ بسجل البيانات الشخصية لأفراد أو أقسام محددة. سيضمن ذلك الحفاظ على السجل محدثًا ودقيقًا.
4.5 مراجعة وتحديث سجل البيانات الشخصية بانتظام
يجب أن يقوم المعهد الأوروبي لشهادة تكنولوجيا المعلومات بمراجعة وتحديث سجل البيانات الشخصية بانتظام للتأكد من أنها تظل دقيقة ومحدثة. يمكن القيام بذلك من خلال عمليات تدقيق دورية أو من خلال عملية مراقبة مستمرة.
4.6 تنفيذ تدابير أمنية مناسبة
ينفذ المعهد الأوروبي لشهادة تكنولوجيا المعلومات تدابير أمنية مناسبة لحماية البيانات الشخصية التي يحتفظ بها ، بما في ذلك تدابير لمنع الوصول غير المصرح به أو الفقد العرضي أو تدمير البيانات الشخصية ، كجزء من سياسة أمن المعلومات الخاصة بالمنظمة (ISP). يتضمن ذلك تشفير ia وجدران الحماية وضوابط الوصول. يتم تغطية المواصفات التفصيلية للعمليات والتدابير الخاصة بحماية البيانات من خلال سياسة أمن المعلومات الخاصة بالمعهد الأوروبي لشهادات تكنولوجيا المعلومات.
الجزء 5. توفير معلومات واضحة وموجزة لأصحاب البيانات
عند جمع البيانات الشخصية ، يوفر المعهد الأوروبي لشهادات تكنولوجيا المعلومات معلومات واضحة وموجزة لأصحاب البيانات حول حقوقهم ، بما في ذلك الحق في الوصول إلى بياناتهم الشخصية وتصحيحها ومسحها والاعتراض على معالجتها.
5.1. شفافية
يتسم المعهد الأوروبي لشهادات تكنولوجيا المعلومات بالشفافية في معالجته للبيانات الشخصية ويوفر معلومات موجزة لأصحاب البيانات حول كيفية استخدام بياناتهم ومعالجتها وتخزينها.
5.2. سياسة الخصوصية
لدى المعهد الأوروبي لشهادات تكنولوجيا المعلومات سياسة خصوصية مفصلة تحدد أنشطة معالجة البيانات الخاصة به ، بما في ذلك كيف يمكن لأصحاب البيانات ممارسة حقوق موضوع البيانات الخاصة بهم.
5.3 الحق في الوصول
يحق لأصحاب البيانات طلب الوصول إلى البيانات الشخصية التي يحتفظ بها المعهد الأوروبي لشهادات تكنولوجيا المعلومات. يوفر المعهد الأوروبي لشهادات تكنولوجيا المعلومات معلومات واضحة وموجزة لموضوعات البيانات حول كيفية تقديم طلب للوصول ، وما هي المعلومات المطلوبة للتحقق من هويتهم ، والمدة التي سيستغرقها المعهد الأوروبي لشهادات تكنولوجيا المعلومات للرد على الطلب.
5.4. الحق في التصحيح
يحق لأصحاب البيانات أن يطلبوا من المعهد الأوروبي لشهادات تكنولوجيا المعلومات تصحيح أي بيانات شخصية غير دقيقة أو غير كاملة يحتفظ بها عنهم. يوفر المعهد الأوروبي لشهادات تكنولوجيا المعلومات معلومات واضحة وموجزة لأصحاب البيانات حول كيفية تقديم طلب التصحيح ، وما هي المعلومات المطلوبة للتحقق من هويتهم ، والمدة التي سيستغرقها المعهد الأوروبي لشهادات تكنولوجيا المعلومات للرد على الطلب.
5.5 الحق في المحو
يحق لأصحاب البيانات أن يطلبوا من المعهد الأوروبي لشهادات تكنولوجيا المعلومات مسح بياناتهم الشخصية في ظروف معينة. يوفر المعهد الأوروبي لشهادات تكنولوجيا المعلومات معلومات واضحة وموجزة لموضوعات البيانات حول كيفية تقديم طلب للمسح ، وما هي المعلومات المطلوبة للتحقق من هويتهم ، والمدة التي سيستغرقها المعهد الأوروبي لشهادات تكنولوجيا المعلومات للرد على الطلب.
5.6 الحق في الاعتراض
يحق لأصحاب البيانات الاعتراض على معالجة بياناتهم الشخصية في ظروف معينة. يوفر المعهد الأوروبي لشهادات تكنولوجيا المعلومات معلومات واضحة وموجزة لأصحاب البيانات حول كيفية تقديم طلب للاعتراض ، وما هي المعلومات المطلوبة للتحقق من هويتهم ، والمدة التي سيستغرقها المعهد الأوروبي لشهادات تكنولوجيا المعلومات للرد على الطلب.
5.7. معلومات للتواصل
يوفر المعهد الأوروبي لشهادات تكنولوجيا المعلومات معلومات اتصال واضحة وموجزة لأصحاب البيانات لاستخدامها إذا كانت لديهم أسئلة أو مخاوف بشأن كيفية معالجة بياناتهم الشخصية.
الجزء 6. تحديد وقت استجابة قياسي
أنشأ المعهد الأوروبي لشهادات تكنولوجيا المعلومات وقت استجابة قياسيًا لطلبات حقوق موضوع البيانات والتأكد من الاستجابة للطلبات خلال هذا الإطار الزمني.
6.1 وقت الاستجابة القياسي
يحدد المعهد الأوروبي لشهادات تكنولوجيا المعلومات وقت استجابة قياسيًا يبلغ 30 يومًا لطلبات حقوق موضوع البيانات. يحدد وقت الاستجابة القياسي حدًا زمنيًا أعلى للمعالجة والاستجابة وتتم معالجة غالبية الطلبات والاستجابة لها في غضون فترة زمنية أقصر.
6.2 وقت إقرار استلام الطلب
عند استلام طلب حقوق صاحب البيانات ، سيقر مسؤول حماية البيانات أو غيره من الموظفين باستلام الطلب في غضون 5 أيام عمل ويزود صاحب البيانات بإطار زمني تقديري لتقديم الرد.
6.3 تمديدات استثنائية لوقت الاستجابة القياسي
سيبذل المعهد الأوروبي لشهادات تكنولوجيا المعلومات جهودًا معقولة للرد على طلبات حقوق موضوع البيانات خلال وقت الاستجابة القياسي المحدد. ومع ذلك ، إذا كان الطلب معقدًا أو إذا تلقى المعهد الأوروبي لشهادات تكنولوجيا المعلومات عددًا كبيرًا من الطلبات ، فقد يتم تمديد وقت الاستجابة. في مثل هذه الحالات ، سيقوم مسؤول حماية البيانات بإبلاغ صاحب البيانات بالتمديد وسبب التأخير.
6.4. رفض تلبية طلب حقوق موضوع البيانات
إذا كان المعهد الأوروبي لشهادة تكنولوجيا المعلومات غير قادر على تلبية طلب حقوق موضوع البيانات ، فسيقوم بتزويد موضوع البيانات بشرح للرفض وإبلاغه بحقه في تقديم شكوى إلى السلطة الإشرافية ذات الصلة.
6.5. سجلات طلبات حقوق موضوع البيانات والردود عليها
سيحتفظ المعهد الأوروبي لشهادات تكنولوجيا المعلومات بسجلات دقيقة لطلبات حقوق موضوع البيانات والردود عليها ، بما في ذلك تاريخ استلام الطلب وطبيعة الطلب وتاريخ الاستجابة وطريقة الرد.
6.6. المراجعات الدورية
سيقوم مسؤول حماية البيانات (DPO) بمراجعة أوقات استجابة المعهد الأوروبي لشهادات تكنولوجيا المعلومات بشكل دوري وتحديثها حسب الضرورة لضمان الامتثال للوائح حماية البيانات المعمول بها.
الجزء 7. التحقق من هوية صاحب البيانات
7.1 متطلبات التحقق من الهوية
يجب أن يتحقق المعهد الأوروبي لشهادة تكنولوجيا المعلومات من هوية صاحب البيانات الذي يتقدم بالطلب لضمان تقديم البيانات الشخصية للفرد الصحيح فقط.
7.2 وسائل وطرق التحقق من الهوية
عندما يقدم موضوع البيانات طلبًا لممارسة حقوقه بموجب قوانين حماية البيانات ، يجب على المعهد الأوروبي لشهادات تكنولوجيا المعلومات التحقق من هوية موضوع البيانات باستخدام التدابير المناسبة ، مثل طلب وثائق الهوية.
7.3. التحقق من هوية صاحب الوكيل
إذا كان موضوع البيانات يقدم الطلب نيابة عن شخص آخر ، فيجب على المعهد الأوروبي لشهادة تكنولوجيا المعلومات التحقق من هوية كل من موضوع البيانات والفرد الذي يتم تقديم الطلب نيابة عنه.
7.4. شكوك التحقق من الهوية
إذا كان لدى المعهد الأوروبي لشهادة تكنولوجيا المعلومات شكوك حول هوية موضوع البيانات أو صحة الطلب ، فيجوز له طلب معلومات إضافية أو اتخاذ تدابير مناسبة أخرى للتحقق من هوية صاحب البيانات.
7.5 سجلات التحقق من الهوية
يجب أن يحتفظ المعهد الأوروبي لشهادة تكنولوجيا المعلومات بسجل لعملية التحقق والتدابير المتخذة للتحقق من هوية موضوع البيانات. يجب الاحتفاظ بهذا السجل لفترة زمنية معقولة واستخدامه لإثبات الامتثال لقوانين حماية البيانات.
الجزء 8. الاستجابة لطلبات حقوق موضوع البيانات على الفور
8.1 استجابة سريعة
يستجيب المعهد الأوروبي لشهادات تكنولوجيا المعلومات لطلبات حقوق موضوع البيانات على الفور ويزود موضوع البيانات بالمعلومات التي طلبوها.
8.2 طلب إيصال استلام
يقر المعهد الأوروبي لشهادة تكنولوجيا المعلومات باستلام طلب موضوع البيانات في أقرب وقت ممكن ، ويفضل في غضون 5 أيام عمل.
8.3 طلب مراجعة
يجب على مسؤول حماية البيانات المعين مراجعة الطلب للتأكد من أنه يفي بالمتطلبات الضرورية وأن جميع المعلومات الضرورية قد تم توفيرها.
8.4 التحقق من هوية صاحب البيانات
يتحقق المعهد الأوروبي لشهادة تكنولوجيا المعلومات من هوية صاحب البيانات الذي يقدم الطلب لضمان تقديم البيانات الشخصية للفرد الصحيح فقط.
8.5 الحصول على معلومات إضافية إذا لزم الأمر
إذا كان الطلب غير واضح أو غير كاف ، يجب على المعهد الأوروبي لشهادة تكنولوجيا المعلومات الاتصال بموضوع البيانات للحصول على معلومات إضافية.
8.5 استرجاع البيانات ذات الصلة
يقوم المعهد الأوروبي لشهادات تكنولوجيا المعلومات باسترداد البيانات الشخصية ذات الصلة ومراجعتها للتأكد من أنها دقيقة وحديثة.
8.6 توفير المعلومات المطلوبة
يزود المعهد الأوروبي لشهادات تكنولوجيا المعلومات موضوع البيانات بالمعلومات التي طلبوها ، بما في ذلك نسخة من بياناتهم الشخصية بتنسيق إلكتروني شائع الاستخدام ، ما لم يُطلب خلاف ذلك.
8.7 إبلاغ صاحب البيانات بحقوقه
يُعلِم المعهد الأوروبي لشهادة تكنولوجيا المعلومات صاحب البيانات بحقوقه الأخرى ، مثل الحق في تصحيح أو محو بياناته الشخصية ، وتزويده بالتعليمات اللازمة.
8.8 الالتزام بوقت الاستجابة
يستجيب المعهد الأوروبي لشهادة تكنولوجيا المعلومات لطلبات حقوق موضوع البيانات خلال وقت الاستجابة المحدد ، مما يضمن اتخاذ الإجراءات اللازمة للامتثال للطلب.
8.9 توثيق الاستجابة
يوثق المعهد الأوروبي لشهادات تكنولوجيا المعلومات الاستجابة لطلب حقوق موضوع البيانات ، بما في ذلك أي إجراءات تم اتخاذها ووقت الاستجابة ، لضمان إمكانية تدقيقها وتعقبها لأغراض الامتثال.
8.10. إخطار موضوع البيانات بأي تغييرات
إذا تم إجراء أي تغييرات على البيانات الشخصية لصاحب البيانات نتيجة لطلبه ، يقوم المعهد الأوروبي لشهادات تكنولوجيا المعلومات بإخطار موضوع البيانات بهذه التغييرات.
الجزء 9. توثيق طلبات حقوق صاحب البيانات
يحتفظ المعهد الأوروبي لشهادات تكنولوجيا المعلومات بسجل لطلبات حقوق موضوع البيانات ، بما في ذلك تاريخ الطلب وطبيعة الطلب والاستجابة للطلب. يتضمن توثيق طلبات حقوق صاحب البيانات الجوانب التالية:
9.1 الاحتفاظ بسجل
يحتفظ المعهد الأوروبي لشهادات تكنولوجيا المعلومات بسجل يلتقط جميع طلبات حقوق موضوع البيانات الواردة. يجب أن يحتوي هذا السجل على التفاصيل التالية:
- تاريخ الطلب
- اسم وتفاصيل الاتصال بموضوع البيانات
- وصف الطلب
- الإجراءات المتخذة استجابة للطلب
- أي معلومات إضافية مطلوبة لمعالجة الطلب
9.2. عملية موحدة للتوثيق
يدير المعهد الأوروبي لشهادات تكنولوجيا المعلومات عملية موحدة لتوثيق طلبات حقوق موضوع البيانات لضمان الاتساق والدقة في المعلومات التي تم الحصول عليها.
9.3 فترة الاحتفاظ
يحتفظ المعهد الأوروبي لشهادة تكنولوجيا المعلومات بهذه السجلات لفترة زمنية معقولة ، وفقًا لما تحدده القوانين واللوائح المعمول بها ، ولا تقل عن عامين.
9.4 الحفاظ على السرية
يضمن المعهد الأوروبي لشهادة تكنولوجيا المعلومات أن سجلات طلبات حقوق موضوع البيانات لا يمكن الوصول إليها إلا للأفراد المصرح لهم الذين يحتاجون إلى الوصول إلى هذه المعلومات أثناء أداء واجباتهم. كما تقوم بتنفيذ تدابير فنية وتنظيمية لمنع الوصول غير المصرح به أو الكشف أو تغيير أو إتلاف البيانات الشخصية الواردة في سجلات طلبات حقوق موضوع البيانات.
9.5. التقارير
يُنشئ المعهد الأوروبي لشهادات تكنولوجيا المعلومات بشكل دوري تقارير حول طلبات حقوق موضوع البيانات المستلمة والمعالجة والمعلقة. تتم مشاركة هذه التقارير مع أصحاب المصلحة المعنيين بما في ذلك الإدارة العليا و DPO.
9.6. تحليلات
يُجري المعهد الأوروبي لشهادات تكنولوجيا المعلومات تحليلًا للاتجاهات بشأن طلبات حقوق موضوع البيانات لتحديد الأنماط والأسباب الجذرية للطلبات. تُستخدم هذه المعلومات لتعزيز العمليات والإجراءات لتحسين إدارة مثل هذه الطلبات.
الجزء 10. مراقبة ومراجعة العملية
يراقب المعهد الأوروبي لشهادات تكنولوجيا المعلومات ويراجع بانتظام عمليته للتعامل مع طلبات حقوق موضوع البيانات للتأكد من أنها تظل فعالة ومتوافقة مع اللائحة العامة لحماية البيانات (GDPR).
10.1. إجراء المراجعات الدورية
يُجري المعهد الأوروبي لشهادات تكنولوجيا المعلومات مراجعات دورية لعملية معالجة طلبات حقوق موضوع البيانات وسياسة الامتثال للائحة العامة لحماية البيانات (GDPR) للتأكد من أنها فعالة ومتوافقة مع لوائح حماية البيانات. تتضمن هذه المراجعات تحليلاً لعدد ونوع الطلبات الواردة ، وتوقيت وفعالية الردود ، وأي مجالات للتحسين.
10.2. تنفيذ التحسينات
استنادًا إلى نتائج المراجعات ، يقوم المعهد الأوروبي لشهادات تكنولوجيا المعلومات بتنفيذ أي تحسينات ضرورية على عملية معالجة طلبات حقوق موضوع البيانات. قد يشمل ذلك تحديثات للإجراءات ، أو تدريبًا إضافيًا للموظفين ، أو تغييرات في طريقة التحقق من الطلبات والاستجابة لها.
10.3. ضمان الامتثال المستمر
يضمن المعهد الأوروبي لشهادة تكنولوجيا المعلومات الامتثال المستمر للوائح حماية البيانات من خلال مراجعة وتحديث سياساته وإجراءاته بانتظام بما يتماشى مع أي تغييرات تطرأ على القوانين واللوائح ذات الصلة.
10.4. مراقبة أداء الموظفين
يراقب المعهد الأوروبي لشهادة تكنولوجيا المعلومات أداء الموظفين فيما يتعلق بمعالجة طلبات حقوق موضوع البيانات ، بما في ذلك جودة الردود وحسن توقيتها. وقد يشمل ذلك تدريبات دورية ومراجعات للأداء للتأكد من أن الموظفين على دراية وكفاءة في هذا المجال.
10.5. التواصل مع موضوعات البيانات
يتواصل المعهد الأوروبي لشهادة تكنولوجيا المعلومات مع موضوعات البيانات طوال عملية معالجة الطلب للتأكد من إطلاعهم على التقدم وأي معلومات ذات صلة. قد يشمل ذلك توفير تحديثات عن حالة طلبهم أو طلب معلومات إضافية حسب الحاجة.
10.6. الاحتفاظ بالسجلات
يحتفظ المعهد الأوروبي لشهادات تكنولوجيا المعلومات بسجلات لمراجعاته ، بما في ذلك أي تغييرات تم إجراؤها على عملية معالجة طلبات حقوق موضوع البيانات ، بالإضافة إلى أي تعليقات يتم تلقيها من موضوعات البيانات. يمكن استخدام هذه المعلومات لدعم جهود الامتثال المستمرة وتحديد المجالات التي تحتاج إلى مزيد من التحسين.
الجزء 11. إنشاء سجل أنشطة المعالجة
يحتفظ المعهد الأوروبي لشهادات تكنولوجيا المعلومات بسجل أنشطة المعالجة وهو مستند يحدد معالجة البيانات الشخصية التي تقوم بها المنظمة. إنه مطلوب بموجب لائحة حماية البيانات العامة للاتحاد الأوروبي (GDPR) ويهدف إلى دعم فهم أنشطة معالجة البيانات وإثبات الامتثال للائحة العامة لحماية البيانات (GDPR).
11.1. هيكل ROPA
يتضمن ROPA معلومات أساسية عن الاسم وتفاصيل الاتصال الخاصة بالمنظمة ، وأغراض معالجة البيانات ، وفئات البيانات الشخصية التي تتم معالجتها ، ومستلمي البيانات الشخصية ، وفترات الاحتفاظ بالبيانات الشخصية. يتضمن أيضًا معلومات حول أي معالجات تابعة لجهات خارجية تقوم بمعالجة البيانات الشخصية نيابة عن المنظمة.
11.2. تحديثات منتظمة لـ ROPA
يتم تحديث ROPA بانتظام وهو مستند حي يعكس التغييرات في أنشطة معالجة البيانات في المعهد الأوروبي لشهادات تكنولوجيا المعلومات التي تدعم بناء الثقة مع موضوعات البيانات.
يلتزم المعهد الأوروبي لشهادة تكنولوجيا المعلومات بالحفاظ على أعلى المعايير فيما يتعلق بإدارة طلبات حقوق موضوع البيانات وسياسة التنظيم العامة لحماية البيانات ، مع التأكد من الامتثال لجميع القوانين واللوائح المعمول بها المتعلقة بهذه المشكلات ، فضلاً عن معايير الصناعة الرائدة وأفضل الممارسات ، بما في ذلك نظام إدارة معلومات الخصوصية ISO 27701.