Kebijakan DSRRM dan GDPR
Kebijakan Akademi EITCA tentang Pengelolaan Permintaan Hak Subjek Data dan Regulasi Perlindungan Data Umum
Dokumen ini menetapkan Kebijakan Institut Sertifikasi TI Eropa tentang Manajemen Permintaan Hak Subjek Data, serta penerapan Peraturan Perlindungan Data Umum UE, yang ditinjau dan diperbarui secara berkala untuk memastikan efektivitas dan relevansinya. Pembaruan terakhir pada Manajemen Permintaan Hak Subjek Data EITCI dan Kebijakan GDPR dibuat pada 10 Januari 2023. Manajemen Permintaan Hak Subjek Data dan Kebijakan GDPR kami didasarkan pada prinsip ekstensi Sistem Manajemen Informasi Privasi ISO 27701 ke Keamanan Informasi ISO 27001 Standar sistem, serta persyaratan Peraturan Perlindungan Data Umum (2016/679).
Bagian 1. Pendahuluan
Mengelola permintaan hak subjek data adalah bagian penting untuk memastikan kepatuhan terhadap peraturan perlindungan data, yaitu GDPR (Peraturan Perlindungan Data Umum UE). Institut Sertifikasi TI Eropa menetapkan prosedur formal berikut untuk mengelola permintaan hak subjek data dan menerapkan persyaratan GDPR:
1.1. Menetapkan proses untuk menangani permintaan hak subjek data
Proses ini menguraikan langkah-langkah yang diikuti Institut Sertifikasi TI Eropa saat menangani permintaan hak subjek data, termasuk identifikasi dan otentikasi subjek data, verifikasi permintaan subjek data, dan tanggapan atas permintaan tersebut.
1.2. Menunjuk Petugas Perlindungan Data (DPO)
Institut Sertifikasi TI Eropa menunjuk DPO yang bertanggung jawab untuk mengawasi pengelolaan permintaan hak subjek data, termasuk peninjauan permintaan, tanggapan terhadap permintaan, dan memastikan kepatuhan terhadap peraturan perlindungan data.
1.3. Mempertahankan catatan data pribadi yang up-to-date
Institut Sertifikasi TI Eropa memelihara catatan data pribadi terkini yang dimilikinya dan tujuan pemrosesannya. Ini akan memungkinkan Institut Sertifikasi TI Eropa untuk menanggapi permintaan hak subjek data dengan cepat dan akurat.
1.4. Memberikan informasi yang jelas dan ringkas kepada subjek data
Saat mengumpulkan data pribadi, Institut Sertifikasi TI Eropa memberikan informasi yang jelas dan ringkas kepada subjek data tentang hak mereka, termasuk hak untuk mengakses, memperbaiki, menghapus, dan menolak pemrosesan data pribadi mereka.
1.5. Menetapkan waktu respons standar
Institut Sertifikasi TI Eropa mempertahankan waktu respons standar untuk permintaan hak subjek data dan memastikan bahwa permintaan ditanggapi dalam jangka waktu ini.
1.6. Memverifikasi identitas subjek data
Institut Sertifikasi TI Eropa memverifikasi identitas subjek data yang membuat permintaan untuk memastikan bahwa data pribadi hanya diberikan kepada individu yang benar.
1.7. Menanggapi permintaan hak subjek data dengan segera
Institut Sertifikasi TI Eropa menanggapi permintaan hak subjek data dengan segera dan memberikan informasi yang mereka minta kepada subjek data.
1.8. Mendokumentasikan permintaan hak subjek data
Institut Sertifikasi TI Eropa menyimpan catatan permintaan hak subjek data, termasuk tanggal permintaan, sifat permintaan, dan tanggapan atas permintaan tersebut.
1.9. Memantau dan meninjau proses
Institut Sertifikasi TI Eropa secara teratur memantau dan meninjau prosesnya untuk menangani permintaan hak subjek data untuk memastikan bahwa itu tetap efektif dan sesuai dengan peraturan perlindungan data yang relevan.
1.10. Membuat Rekaman Kegiatan Pemrosesan
Institut Sertifikasi TI Eropa memelihara Catatan Kegiatan Pemrosesan yang merupakan dokumen yang menguraikan pemrosesan data pribadi yang dilakukan oleh organisasi. Ini diwajibkan berdasarkan Peraturan Perlindungan Data Umum (GDPR) UE dan dimaksudkan untuk mendukung pemahaman tentang aktivitas pemrosesan data dan menunjukkan kepatuhan terhadap GDPR.
Dengan mengikuti formal dan prosedur ini, Institut Sertifikasi TI Eropa dapat secara efektif mengelola permintaan hak subjek data dan memastikan kepatuhan terhadap peraturan perlindungan data, termasuk Peraturan Perlindungan Data Umum di Uni Eropa.
Bagian 2. Menetapkan proses untuk menangani permintaan hak subjek data
Proses ini menguraikan langkah-langkah yang diikuti Institut Sertifikasi TI Eropa saat menangani permintaan hak subjek data, termasuk identifikasi dan otentikasi subjek data, verifikasi permintaan subjek data, dan respons terhadap permintaan:
2.1. Mengidentifikasi dan mengautentikasi subjek data
Institut Sertifikasi TI Eropa menjalankan proses untuk memverifikasi identitas subjek data yang mengajukan permintaan. Ini mungkin termasuk meminta tanda pengenal yang dikeluarkan pemerintah, memeriksa catatan yang ada, atau menggunakan metode autentikasi lainnya.
2.2. Memverifikasi permintaan subjek data
Setelah identitas subjek data ditetapkan, Institut Sertifikasi TI Eropa harus memverifikasi bahwa permintaan tersebut valid dan terkait dengan data pribadi subjek data. Permintaan tersebut juga harus mencakup hak khusus yang digunakan, seperti hak untuk mengakses, memperbaiki, atau menghapus data pribadi.
2.3. Menanggapi permintaan tersebut
Institut Sertifikasi TI Eropa harus memberikan tanggapan atas permintaan subjek data dalam jangka waktu yang ditentukan oleh undang-undang perlindungan data yang relevan, tetapi tidak lebih dari 30 hari. Tanggapan harus mencakup penjelasan tentang apakah permintaan tersebut telah dikabulkan atau ditolak, dan alasan keputusan tersebut.
2.4. Mendokumentasikan permintaan dan tanggapan
Institut Sertifikasi TI Eropa menyimpan catatan semua permintaan dan tanggapan hak subjek data. Ini membantu memastikan kepatuhan terhadap undang-undang perlindungan data yang relevan, serta memfasilitasi audit atau investigasi di masa mendatang.
2.5. Pelatihan staf yang relevan
Lembaga Sertifikasi TI Eropa akan memberikan pelatihan kepada staf yang bertanggung jawab untuk menangani permintaan hak subjek data untuk memastikan bahwa mereka memahami undang-undang perlindungan data yang relevan dan prosedur Lembaga Sertifikasi TI Eropa untuk menangani permintaan tersebut.
2.6. Memantau dan meninjau proses
Lembaga Sertifikasi TI Eropa memantau dan meninjau proses penanganan permintaan hak subjek data secara rutin untuk memastikan bahwa proses tersebut tetap efektif dan mematuhi undang-undang perlindungan data yang relevan. Setiap masalah atau insiden dilaporkan dan ditangani secara tepat waktu.
Bagian 3. Penunjukan Petugas Perlindungan Data (DPO)
Institut Sertifikasi TI Eropa menunjuk DPO yang bertanggung jawab untuk mengawasi pengelolaan permintaan hak subjek data, termasuk peninjauan permintaan, tanggapan terhadap permintaan, dan memastikan kepatuhan terhadap peraturan perlindungan data.
3.1. Penetapan DPO
Institut Sertifikasi TI Eropa menunjuk Petugas Perlindungan Data (DPO) untuk mengawasi pengelolaan permintaan hak subjek data dan memastikan kepatuhan terhadap peraturan perlindungan data. DPO akan bertanggung jawab untuk meninjau permintaan dan memastikan bahwa Lembaga Sertifikasi TI Eropa memenuhi kewajiban hukumnya sehubungan dengan perlindungan data.
3.2. persyaratan kompetensi DPO
DPO harus memiliki pengetahuan ahli tentang undang-undang dan praktik perlindungan data dan diberi sumber daya yang diperlukan untuk memenuhi tanggung jawab mereka. Mereka harus memiliki akses langsung ke manajemen senior dan melapor ke tingkat manajemen tertinggi organisasi.
3.3. tanggung jawab DPO
Tanggung jawab DPO termasuk, namun tidak terbatas pada, hal-hal berikut:
- Memberikan panduan dan saran kepada Institut Sertifikasi TI Eropa tentang masalah perlindungan data, termasuk pengelolaan permintaan hak subjek data.
- Memantau kepatuhan Lembaga Sertifikasi TI Eropa terhadap peraturan perlindungan data serta kebijakan dan prosedur internal.
- Menanggapi pertanyaan dan keluhan dari subjek data mengenai hak mereka berdasarkan peraturan perlindungan data.
- Berkoordinasi dengan departemen lain untuk memastikan bahwa persyaratan perlindungan data terpenuhi di seluruh organisasi.
- Melakukan tinjauan dan penilaian berkala terhadap praktik perlindungan data Institut Sertifikasi TI Eropa dan memberikan rekomendasi untuk perbaikan.
- Berfungsi sebagai titik kontak untuk otoritas perlindungan data dan bekerja sama dengan mereka dalam hal penyelidikan atau audit.
- DPO juga terlibat dalam pengembangan dan penerapan kebijakan dan prosedur Institut Sertifikasi TI Eropa terkait dengan perlindungan data, termasuk yang terkait dengan penanganan permintaan hak subjek data.
3.4. Pelatihan dan pengembangan kualifikasi DPO
Lembaga Sertifikasi TI Eropa harus memastikan bahwa DPO mendapatkan pelatihan yang memadai tentang peraturan perlindungan data dan terus mengikuti perubahan atau pembaruan peraturan ini.
3.5. informasi kontak DPO
Informasi kontak DPO harus disediakan untuk subjek data dan disertakan dalam pemberitahuan atau kebijakan privasi Institut Sertifikasi TI Eropa.
Bagian 4. Mempertahankan catatan data pribadi terkini
Institut Sertifikasi TI Eropa memelihara catatan data pribadi terkini yang dimilikinya dan tujuan pemrosesannya. Ini akan memungkinkan Institut Sertifikasi TI Eropa untuk menanggapi permintaan hak subjek data dengan cepat dan akurat.
4.1. Menetapkan proses untuk mengidentifikasi dan merekam data pribadi
Institut Sertifikasi TI Eropa menetapkan proses yang jelas dan standar untuk mengidentifikasi dan merekam data pribadi, termasuk nama subjek data, informasi kontak, dan informasi relevan lainnya. Proses ini memastikan bahwa data pribadi dikumpulkan hanya untuk tujuan tertentu dan sah.
4.2. Mengkategorikan data pribadi
Institut Sertifikasi TI Eropa mengkategorikan data pribadi agar lebih mudah dilacak dan dikelola. Ini termasuk mengkategorikan data menurut jenisnya, seperti informasi kontak, informasi penagihan, kompetensi dan kualifikasi, informasi keuangan, atau riwayat pekerjaan.
4.3. Menerapkan sistem manajemen data
Institut Sertifikasi TI Eropa menerapkan sistem manajemen data untuk membantu memastikan bahwa data pribadi akurat, terkini, dan dapat diakses. Sistem manajemen data mencakup database yang dapat dicari dan ditanyakan untuk membantu menanggapi permintaan hak subjek data.
4.4. Menugaskan tanggung jawab untuk memelihara catatan data pribadi
Institut Sertifikasi TI Eropa harus menetapkan tanggung jawab untuk memelihara catatan data pribadi kepada individu atau departemen tertentu. Ini akan memastikan bahwa catatan disimpan up-to-date dan akurat.
4.5. Secara teratur meninjau dan memperbarui catatan data pribadi
Institut Sertifikasi TI Eropa harus secara teratur meninjau dan memperbarui catatan data pribadi untuk memastikan bahwa itu tetap akurat dan terkini. Hal ini dapat dilakukan melalui audit berkala atau melalui proses pemantauan yang berkelanjutan.
4.6. Menerapkan langkah-langkah keamanan yang tepat
Institut Sertifikasi TI Eropa menerapkan langkah-langkah keamanan yang tepat untuk melindungi data pribadi yang dimilikinya, termasuk langkah-langkah untuk mencegah akses tidak sah, kehilangan yang tidak disengaja, atau penghancuran data pribadi, sebagai bagian dari Kebijakan Keamanan Informasi (ISP) organisasi. Ini termasuk enkripsi, firewall, dan kontrol akses. Spesifikasi terperinci dari proses dan langkah-langkah untuk perlindungan data dicakup oleh Kebijakan Keamanan Informasi Institut Sertifikasi TI Eropa khusus.
Bagian 5. Memberikan informasi yang jelas dan ringkas kepada subjek data
Saat mengumpulkan data pribadi, Institut Sertifikasi TI Eropa memberikan informasi yang jelas dan ringkas kepada subjek data tentang hak mereka, termasuk hak untuk mengakses, memperbaiki, menghapus, dan menolak pemrosesan data pribadi mereka.
5.1. Transparansi
Lembaga Sertifikasi TI Eropa transparan dalam pemrosesan data pribadinya dan memberikan informasi singkat kepada subjek data tentang bagaimana data mereka digunakan, diproses, dan disimpan.
5.2. Rahasia pribadi
Institut Sertifikasi TI Eropa memiliki kebijakan privasi terperinci yang menguraikan aktivitas pemrosesan datanya, termasuk bagaimana subjek data dapat menggunakan hak subjek data mereka.
5.3. Hak untuk Mengakses
Subjek data memiliki hak untuk meminta akses ke data pribadi yang dimiliki Institut Sertifikasi TI Eropa tentang mereka. Institut Sertifikasi TI Eropa memberikan informasi yang jelas dan ringkas kepada subjek data tentang cara membuat permintaan akses, informasi apa yang akan diperlukan untuk memverifikasi identitas mereka, dan berapa lama waktu yang dibutuhkan Institut Sertifikasi TI Eropa untuk menanggapi permintaan tersebut.
5.4. Hak untuk Memperbaiki
Subjek data berhak meminta Lembaga Sertifikasi TI Eropa untuk memperbaiki data pribadi yang tidak akurat atau tidak lengkap yang dimilikinya tentang mereka. Institut Sertifikasi TI Eropa memberikan informasi yang jelas dan ringkas kepada subjek data tentang cara membuat permintaan perbaikan, informasi apa yang akan diperlukan untuk memverifikasi identitas mereka, dan berapa lama waktu yang dibutuhkan Institut Sertifikasi TI Eropa untuk menanggapi permintaan tersebut.
5.5. Hak untuk Menghapus
Subjek data memiliki hak untuk meminta Institut Sertifikasi TI Eropa menghapus data pribadi mereka dalam keadaan tertentu. Institut Sertifikasi TI Eropa memberikan informasi yang jelas dan ringkas kepada subjek data tentang cara mengajukan permintaan penghapusan, informasi apa yang akan diperlukan untuk memverifikasi identitas mereka, dan berapa lama waktu yang dibutuhkan Institut Sertifikasi TI Eropa untuk menanggapi permintaan tersebut.
5.6. Hak untuk Menolak
Subjek data memiliki hak untuk menolak pemrosesan data pribadi mereka dalam keadaan tertentu. Institut Sertifikasi TI Eropa memberikan informasi yang jelas dan ringkas kepada subjek data tentang cara membuat permintaan untuk mengajukan keberatan, informasi apa yang akan diperlukan untuk memverifikasi identitas mereka, dan berapa lama waktu yang dibutuhkan Institut Sertifikasi TI Eropa untuk menanggapi permintaan tersebut.
5.7. Kontak informasi
Institut Sertifikasi TI Eropa memberikan informasi kontak yang jelas dan ringkas untuk digunakan oleh subjek data jika mereka memiliki pertanyaan atau masalah tentang bagaimana data pribadi mereka diproses.
Bagian 6. Menetapkan waktu respons standar
Institut Sertifikasi TI Eropa menetapkan waktu respons standar untuk permintaan hak subjek data dan memastikan bahwa permintaan ditanggapi dalam jangka waktu ini.
6.1. Waktu respons standar
Institut Sertifikasi TI Eropa menetapkan waktu respons standar 30 hari untuk permintaan hak subjek data. Waktu respons standar menentukan batas waktu atas untuk pemrosesan dan respons dan sebagian besar permintaan diproses dan ditanggapi dalam waktu yang lebih singkat.
6.2. Meminta waktu konfirmasi tanda terima
Setelah menerima permintaan hak subjek data, DPO atau anggota staf lainnya akan mengakui penerimaan permintaan dalam waktu 5 hari kerja dan memberi subjek data perkiraan jangka waktu untuk memberikan tanggapan.
6.3. Perpanjangan luar biasa dari waktu respons standar
Institut Sertifikasi TI Eropa akan menggunakan upaya yang wajar untuk menanggapi permintaan hak subjek data dalam waktu tanggapan standar yang ditetapkan. Namun, jika permintaan rumit atau jika Lembaga Sertifikasi TI Eropa menerima permintaan dalam jumlah besar, waktu respons dapat diperpanjang. Dalam kasus tersebut, DPO akan menginformasikan subjek data tentang perpanjangan dan alasan penundaan.
6.4. Penolakan untuk memenuhi permintaan hak subjek data
Jika Institut Sertifikasi TI Eropa tidak dapat memenuhi permintaan hak subjek data, itu akan memberikan penjelasan kepada subjek data atas penolakan tersebut dan memberi tahu mereka tentang hak mereka untuk mengajukan keluhan kepada otoritas pengawas yang relevan.
6.5. Rekaman permintaan dan tanggapan hak subjek data
Institut Sertifikasi TI Eropa akan memelihara catatan akurat permintaan dan tanggapan hak subjek data, termasuk tanggal penerimaan permintaan, sifat permintaan, dan tanggal serta cara tanggapan.
6.6. Tinjauan berkala
DPO akan secara berkala meninjau waktu respons Institut Sertifikasi TI Eropa dan memperbaruinya seperlunya untuk memastikan kepatuhan terhadap peraturan perlindungan data yang berlaku.
Bagian 7. Memverifikasi identitas subjek data
7.1. Persyaratan verifikasi identitas
Institut Sertifikasi TI Eropa harus memverifikasi identitas subjek data yang membuat permintaan untuk memastikan bahwa data pribadi hanya diberikan kepada individu yang benar.
7.2. Cara dan metode verifikasi identitas
Saat subjek data mengajukan permintaan untuk menggunakan haknya berdasarkan undang-undang perlindungan data, Institut Sertifikasi TI Eropa harus memverifikasi identitas subjek data menggunakan tindakan yang sesuai, seperti meminta dokumen identifikasi.
7.3. Verifikasi identitas pemegang proxy
Jika subjek data membuat permintaan atas nama orang lain, Institut Sertifikasi TI Eropa harus memverifikasi identitas subjek data dan individu yang atas nama permintaan dibuat.
7.4. Keraguan verifikasi identitas
Jika Lembaga Sertifikasi TI Eropa meragukan identitas subjek data atau validitas permintaan, Lembaga tersebut dapat meminta informasi tambahan atau mengambil tindakan lain yang sesuai untuk memverifikasi identitas subjek data.
7.5. Catatan verifikasi identitas
Institut Sertifikasi TI Eropa harus menyimpan catatan proses verifikasi dan tindakan yang diambil untuk memverifikasi identitas subjek data. Catatan ini harus disimpan selama jangka waktu yang wajar dan digunakan untuk menunjukkan kepatuhan terhadap undang-undang perlindungan data.
Bagian 8. Menanggapi permintaan hak subjek data dengan segera
8.1. Respon cepat
Institut Sertifikasi TI Eropa menanggapi permintaan hak subjek data dengan segera dan memberikan informasi yang mereka minta kepada subjek data.
8.2. Minta tanda terima tanda terima
Institut Sertifikasi TI Eropa mengakui penerimaan permintaan subjek data sesegera mungkin, idealnya dalam 5 hari kerja.
8.3. Minta peninjauan
DPO yang ditunjuk harus meninjau permintaan untuk memastikan bahwa permintaan tersebut memenuhi persyaratan yang diperlukan dan bahwa semua informasi yang diperlukan telah diberikan.
8.4. Verifikasi identitas subjek data
Institut Sertifikasi TI Eropa memverifikasi identitas subjek data yang membuat permintaan untuk memastikan bahwa data pribadi hanya diberikan kepada individu yang benar.
8.5. Memperoleh informasi tambahan jika diperlukan
Jika permintaan tidak jelas atau tidak mencukupi, Institut Sertifikasi TI Eropa harus menghubungi subjek data untuk mendapatkan informasi tambahan.
8.5. Mengambil data yang relevan
Institut Sertifikasi TI Eropa mengambil data pribadi yang relevan dan meninjaunya untuk memastikan bahwa data tersebut akurat dan terkini.
8.6. Memberikan informasi yang diminta
Institut Sertifikasi TI Eropa menyediakan subjek data dengan informasi yang mereka minta, termasuk salinan data pribadi mereka dalam format elektronik yang umum digunakan, kecuali diminta sebaliknya.
8.7. Beri tahu subjek data tentang hak-hak mereka
Institut Sertifikasi TI Eropa memberi tahu subjek data tentang hak mereka yang lain, seperti hak untuk memperbaiki atau menghapus data pribadi mereka, dan memberi mereka instruksi yang diperlukan.
8.8. Mematuhi waktu respons
Lembaga Sertifikasi TI Eropa menanggapi permintaan hak subjek data dalam waktu tanggapan yang ditetapkan, memastikan bahwa tindakan yang diperlukan diambil untuk memenuhi permintaan tersebut.
8.9. Mendokumentasikan tanggapan
Institut Sertifikasi TI Eropa mendokumentasikan tanggapan atas permintaan hak subjek data, termasuk tindakan apa pun yang diambil dan waktu tanggapan, untuk memastikan bahwa itu dapat diaudit dan dilacak untuk tujuan kepatuhan.
8.10. Memberitahu subjek data tentang setiap perubahan
Jika ada perubahan yang dibuat pada data pribadi subjek data sebagai akibat dari permintaan mereka, Lembaga Sertifikasi TI Eropa akan memberi tahu subjek data tentang perubahan ini.
Bagian 9. Mendokumentasikan permintaan hak subjek data
Institut Sertifikasi TI Eropa menyimpan catatan permintaan hak subjek data, termasuk tanggal permintaan, sifat permintaan, dan tanggapan atas permintaan tersebut. Mendokumentasikan permintaan hak subjek data mencakup aspek-aspek berikut:
9.1. Menjaga register
Institut Sertifikasi TI Eropa mengelola daftar yang mencatat semua permintaan hak subjek data yang diterima. Daftar ini harus menangkap detail berikut:
- Tanggal permintaan
- Nama dan detail kontak subjek data
- Deskripsi permintaan
- Tindakan yang diambil sebagai tanggapan atas permintaan tersebut
- Setiap informasi tambahan yang diperlukan untuk memproses permintaan
9.2. Proses standar untuk dokumentasi
Institut Sertifikasi TI Eropa menjalankan proses standar untuk mendokumentasikan permintaan hak subjek data untuk memastikan konsistensi dan akurasi informasi yang diambil.
9.3. Jangka waktu penyimpanan
Institut Sertifikasi TI Eropa menyimpan catatan ini untuk jangka waktu yang wajar, sebagaimana ditentukan oleh undang-undang dan peraturan yang berlaku, tidak kurang dari 2 tahun.
9.4. Menjaga kerahasiaan
Institut Sertifikasi TI Eropa memastikan bahwa catatan permintaan hak subjek data hanya dapat diakses oleh personel berwenang yang memiliki kebutuhan untuk mengakses informasi tersebut dalam pelaksanaan tugas mereka. Ini juga menerapkan langkah-langkah teknis dan organisasi untuk mencegah akses, pengungkapan, perubahan atau penghancuran data pribadi yang tidak sah yang terkandung dalam catatan permintaan hak subjek data.
9.5. Pelaporan
Institut Sertifikasi TI Eropa secara berkala membuat laporan tentang permintaan hak subjek data yang diterima, diproses, dan belum diselesaikan. Laporan ini dibagikan kepada pemangku kepentingan terkait termasuk manajemen senior dan DPO.
9.6. Analisis
Institut Sertifikasi TI Eropa melakukan analisis tren pada permintaan hak subjek data untuk mengidentifikasi pola dan akar penyebab permintaan. Informasi ini digunakan untuk menyempurnakan proses dan prosedur untuk mengelola permintaan tersebut dengan lebih baik.
Bagian 10. Pemantauan dan peninjauan proses
Institut Sertifikasi TI Eropa secara teratur memantau dan meninjau prosesnya untuk menangani permintaan hak subjek data untuk memastikannya tetap efektif dan sesuai dengan GDPR.
10.1. Melakukan review berkala
Lembaga Sertifikasi TI Eropa melakukan tinjauan berkala terhadap proses penanganan permintaan hak subjek data dan kebijakan kepatuhan GDPR untuk memastikan bahwa proses tersebut efektif dan sesuai dengan peraturan perlindungan data. Tinjauan ini mencakup analisis jumlah dan jenis permintaan yang diterima, ketepatan waktu dan keefektifan tanggapan, dan area apa pun untuk perbaikan.
10.2. Implementasi perbaikan
Berdasarkan temuan tinjauan, Institut Sertifikasi TI Eropa menerapkan perbaikan apa pun yang diperlukan untuk proses penanganan permintaan hak subjek datanya. Ini mungkin termasuk pembaruan prosedur, pelatihan tambahan untuk staf, atau perubahan cara permintaan diverifikasi dan ditanggapi.
10.3. Memastikan kepatuhan yang berkelanjutan
Institut Sertifikasi TI Eropa memastikan kepatuhan berkelanjutan terhadap peraturan perlindungan data dengan secara teratur meninjau dan memperbarui kebijakan dan prosedurnya sejalan dengan perubahan hukum dan peraturan yang relevan.
10.4. Pemantauan kinerja staf
Institut Sertifikasi TI Eropa memantau kinerja staf sehubungan dengan penanganan permintaan hak subjek data, termasuk kualitas dan ketepatan waktu tanggapan. Ini mungkin termasuk pelatihan berkala dan tinjauan kinerja untuk memastikan bahwa staf memiliki pengetahuan dan kompetensi di bidang ini.
10.5. Berkomunikasi dengan subjek data
Institut Sertifikasi TI Eropa berkomunikasi dengan subjek data selama proses penanganan permintaan untuk memastikan bahwa mereka terus mendapat informasi tentang kemajuan dan informasi yang relevan. Ini mungkin termasuk memberikan pembaruan tentang status permintaan mereka atau meminta informasi tambahan sesuai kebutuhan.
10.6. Memelihara catatan
Institut Sertifikasi TI Eropa menyimpan catatan tinjauannya, termasuk setiap perubahan yang dilakukan pada proses penanganan permintaan hak subjek datanya, serta setiap umpan balik yang diterima dari subjek data. Informasi ini dapat digunakan untuk mendukung upaya kepatuhan yang sedang berlangsung dan untuk mengidentifikasi area yang perlu ditingkatkan lebih lanjut.
Bagian 11. Membuat Catatan Kegiatan Pemrosesan
Institut Sertifikasi TI Eropa memelihara Catatan Kegiatan Pemrosesan yang merupakan dokumen yang menguraikan pemrosesan data pribadi yang dilakukan oleh organisasi. Ini diwajibkan berdasarkan Peraturan Perlindungan Data Umum (GDPR) UE dan dimaksudkan untuk mendukung pemahaman tentang aktivitas pemrosesan data dan menunjukkan kepatuhan terhadap GDPR.
11.1. struktur ROPA
ROPA mencakup informasi dasar tentang nama dan detail kontak organisasi, tujuan pemrosesan data, kategori data pribadi yang diproses, penerima data pribadi, dan periode penyimpanan data pribadi. Ini juga mencakup informasi tentang pemroses pihak ketiga mana pun yang memproses data pribadi atas nama organisasi.
11.2. Pembaruan rutin ROPA
ROPA diperbarui secara berkala dan merupakan dokumen hidup yang mencerminkan perubahan dalam aktivitas pemrosesan data Institut Sertifikasi TI Eropa yang mendukung pembangunan kepercayaan dengan subjek data.
Institut Sertifikasi TI Eropa berkomitmen untuk mempertahankan standar tertinggi sehubungan dengan Manajemen Permintaan Hak Subjek Data dan Kebijakan Peraturan Perlindungan Data Umum, memastikan untuk mematuhi semua undang-undang dan peraturan yang berlaku terkait dengan masalah ini, serta standar industri terkemuka dan praktik terbaik, termasuk Sistem Manajemen Informasi Privasi ISO 27701.