DSRRM र GDPR नीति
EITCA एकेडेमी नीति डाटा विषय अधिकार अनुरोध व्यवस्थापन र सामान्य डाटा संरक्षण नियमन
यस कागजातले डेटा विषय अधिकार अनुरोध व्यवस्थापनमा युरोपेली आईटी प्रमाणीकरण संस्थानको नीति, साथै EU सामान्य डेटा संरक्षण नियमनको कार्यान्वयनलाई निर्दिष्ट गर्दछ, जसको प्रभावकारिता र सान्दर्भिकता सुनिश्चित गर्न नियमित रूपमा समीक्षा र अद्यावधिक गरिन्छ। EITCI डेटा विषय अधिकार अनुरोध व्यवस्थापन र GDPR नीतिको अन्तिम अपडेट १० जनवरी २०२३ मा गरिएको थियो। हाम्रो डेटा विषय अधिकार अनुरोध व्यवस्थापन र GDPR नीति ISO 10 सूचना सुरक्षामा ISO 2023 गोपनीयता सूचना व्यवस्थापन प्रणाली विस्तारको सिद्धान्तहरूमा आधारित छ। प्रणाली मानक, साथै सामान्य डाटा सुरक्षा नियमन (27701/27001) को आवश्यकताहरूमा।
भाग १. परिचय
डाटा विषय अधिकार अनुरोधहरू प्रबन्ध गर्नु डाटा सुरक्षा नियमहरू, अर्थात् GDPR (EU को सामान्य डेटा संरक्षण नियमन) को अनुपालन सुनिश्चित गर्नको लागि एक आवश्यक भाग हो। युरोपेली IT प्रमाणीकरण संस्थानले डेटा विषय अधिकार अनुरोधहरू प्रबन्ध गर्न र GDPR का आवश्यकताहरू लागू गर्न निम्न औपचारिक प्रक्रियाहरू परिभाषित गरेको छ:
१.१। डाटा विषय अधिकार अनुरोधहरू ह्यान्डल गर्नका लागि प्रक्रिया स्थापना गर्दै
यस प्रक्रियाले डेटा विषय अधिकार अनुरोधहरू ह्यान्डल गर्दा युरोपेली IT प्रमाणीकरण संस्थानले पछ्याउने चरणहरूलाई रूपरेखा दिन्छ, डेटा विषयको पहिचान र प्रमाणीकरण, डेटा विषयको अनुरोधको प्रमाणीकरण, र अनुरोधको प्रतिक्रिया सहित।
१.२। एक डाटा संरक्षण अधिकारी (DPO) नियुक्त गर्दै
युरोपेली IT प्रमाणीकरण संस्थानले एक DPO नियुक्त गर्दछ जो डेटा विषय अधिकार अनुरोधहरूको व्यवस्थापनको निरीक्षण गर्न जिम्मेवार हुन्छ, अनुरोधहरूको समीक्षा, अनुरोधहरूको प्रतिक्रिया, र डेटा सुरक्षा नियमहरूको पालना सुनिश्चित गर्ने।
१.३। व्यक्तिगत डाटाको अप-टु-डेट रेकर्ड कायम गर्दै
युरोपेली आईटी प्रमाणीकरण संस्थानले व्यक्तिगत डेटाको अद्यावधिक रेकर्ड राख्छ र यो प्रशोधन भइरहेको उद्देश्यहरू। यसले युरोपेली आईटी प्रमाणीकरण संस्थानलाई डेटा विषय अधिकार अनुरोधहरूलाई छिटो र सही रूपमा प्रतिक्रिया दिन सक्षम बनाउँछ।
१.४। डेटा विषयहरूलाई स्पष्ट र संक्षिप्त जानकारी प्रदान गर्दै
व्यक्तिगत डेटा सङ्कलन गर्दा, युरोपेली आईटी प्रमाणीकरण संस्थानले डेटा विषयहरूलाई उनीहरूको अधिकारको बारेमा स्पष्ट र संक्षिप्त जानकारी प्रदान गर्दछ, जसमा उनीहरूको व्यक्तिगत डेटाको प्रशोधनमा पहुँच, सुधार, मेटाउने र वस्तुको अधिकार समावेश छ।
१.५ मानक प्रतिक्रिया समय स्थापना गर्दै
युरोपेली IT प्रमाणीकरण संस्थानले डेटा विषय अधिकार अनुरोधहरूको लागि एक मानक प्रतिक्रिया समय कायम राख्छ र यो समय सीमा भित्र अनुरोधहरूको जवाफ दिइन्छ भनेर सुनिश्चित गर्दछ।
१.६। डाटा विषयको पहिचान प्रमाणित गर्दै
युरोपेली आईटी प्रमाणीकरण संस्थानले व्यक्तिगत डेटा मात्र सही व्यक्तिलाई प्रदान गरिएको छ भनी सुनिश्चित गर्न अनुरोध गर्दै डाटा विषयको पहिचान प्रमाणित गर्दछ।
१.७। डाटा विषय अधिकार अनुरोधहरू तुरुन्तै जवाफ दिँदै
युरोपेली आईटी प्रमाणीकरण संस्थानले डाटा विषय अधिकार अनुरोधहरूलाई तुरुन्तै जवाफ दिन्छ र उनीहरूले अनुरोध गरेको जानकारीको साथ डाटा विषय प्रदान गर्दछ।
१.८। डाटा विषय अधिकार अनुरोधहरू दस्तावेजीकरण
युरोपेली IT प्रमाणीकरण संस्थानले अनुरोधको मिति, अनुरोधको प्रकृति, र अनुरोधको प्रतिक्रिया सहित डेटा विषय अधिकार अनुरोधहरूको रेकर्ड राख्छ।
१.९। प्रक्रियाको अनुगमन र समीक्षा गर्ने
युरोपेली IT प्रमाणीकरण संस्थानले डेटा विषय अधिकार अनुरोधहरू ह्यान्डल गर्नको लागि यसको प्रक्रियालाई नियमित रूपमा अनुगमन र समीक्षा गर्दछ कि यो प्रभावकारी र प्रासंगिक डेटा सुरक्षा नियमहरूसँग अनुरूप रहेको सुनिश्चित गर्न।
१.१०। प्रशोधन गतिविधिहरूको रेकर्ड स्थापना गर्दै
युरोपेली आईटी प्रमाणीकरण संस्थानले प्रशोधन गतिविधिहरूको रेकर्ड राख्छ जुन एक कागजात हो जसले संगठनद्वारा गरिएको व्यक्तिगत डेटाको प्रशोधनलाई रूपरेखा दिन्छ। यो EU General Data Protection Regulation (GDPR) अन्तर्गत आवश्यक छ र डेटा प्रशोधन गर्ने गतिविधिहरू बुझ्न र GDPR को अनुपालन प्रदर्शन गर्न समर्थन गर्ने उद्देश्यले हो।
यी औपचारिक र प्रक्रियाहरू पछ्याएर, युरोपेली आईटी प्रमाणीकरण संस्थानले डेटा विषय अधिकार अनुरोधहरूलाई प्रभावकारी रूपमा व्यवस्थापन गर्न सक्छ र युरोपेली संघमा सामान्य डेटा संरक्षण नियमहरू सहित डेटा सुरक्षा नियमहरूको पालना सुनिश्चित गर्न सक्छ।
भाग २. डाटा विषय अधिकार अनुरोधहरू ह्यान्डल गर्नको लागि प्रक्रिया स्थापना गर्दै
यस प्रक्रियाले डेटा विषयको पहिचान र प्रमाणीकरण, डेटा विषयको अनुरोधको प्रमाणीकरण, र अनुरोधको प्रतिक्रिया सहित डेटा विषय अधिकार अनुरोधहरू ह्यान्डल गर्दा युरोपेली IT प्रमाणीकरण संस्थानले अनुसरण गर्ने चरणहरूलाई रूपरेखा दिन्छ:
२.१। डाटा विषय पहिचान र प्रमाणीकरण
युरोपेली आईटी प्रमाणीकरण संस्थानले अनुरोध गर्ने डाटा विषयको पहिचान प्रमाणित गर्न प्रक्रिया कायम राख्छ। यसमा सरकारले जारी गरेको आईडीको लागि सोध्ने, अवस्थित रेकर्डहरू विरुद्ध जाँच गर्ने वा अन्य प्रमाणीकरण विधिहरू प्रयोग गर्ने समावेश हुन सक्छ।
२.२। डाटा विषयको अनुरोध प्रमाणित गर्दै
एक पटक डेटा विषयको पहिचान स्थापित भएपछि, युरोपेली आईटी प्रमाणीकरण संस्थानले अनुरोध मान्य छ र डेटा विषयको व्यक्तिगत डेटासँग सम्बन्धित छ भनेर प्रमाणित गर्नुपर्छ। अनुरोधमा प्रयोग गरिँदै आएको विशेष अधिकार पनि समावेश हुनुपर्छ, जस्तै व्यक्तिगत डाटा पहुँच गर्ने, सुधार गर्ने वा मेटाउने अधिकार।
२.३ अनुरोधको जवाफ दिँदै
युरोपेली आईटी प्रमाणीकरण संस्थानले डेटा विषयको अनुरोधलाई सान्दर्भिक डेटा सुरक्षा कानूनहरू द्वारा निर्दिष्ट समय सीमा भित्र प्रतिक्रिया प्रदान गर्नुपर्छ, तर 30 दिन भन्दा बढी। प्रतिक्रियामा अनुरोध स्वीकृत वा अस्वीकृत भएको र निर्णयको कारणहरू समावेश हुनुपर्छ।
२.४ अनुरोध र प्रतिक्रिया दस्तावेजीकरण
युरोपेली IT प्रमाणीकरण संस्थानले सबै डेटा विषय अधिकार अनुरोध र प्रतिक्रियाहरूको रेकर्ड राख्छ। यसले सान्दर्भिक डेटा सुरक्षा कानूनहरूको अनुपालन सुनिश्चित गर्न, साथै भविष्यका लेखा परीक्षण वा अनुसन्धानहरूलाई सहज बनाउन मद्दत गर्दछ।
२.५ सम्बन्धित कर्मचारीलाई तालिम दिने
युरोपेली IT प्रमाणीकरण संस्थानले डेटा विषय अधिकार अनुरोधहरू ह्यान्डल गर्न जिम्मेवार कर्मचारीहरूलाई प्रासंगिक डेटा सुरक्षा कानूनहरू र त्यस्ता अनुरोधहरू ह्यान्डल गर्नका लागि यूरोपीयन IT प्रमाणीकरण संस्थानको प्रक्रियाहरूसँग परिचित छन् भनी सुनिश्चित गर्न प्रशिक्षण प्रदान गर्नेछ।
१.९। प्रक्रियाको अनुगमन र समीक्षा गर्ने
युरोपेली IT प्रमाणीकरण संस्थानले डेटा विषय अधिकार अनुरोधहरू नियमित रूपमा ह्यान्डल गर्ने प्रक्रियालाई प्रभावकारी र सान्दर्भिक डेटा सुरक्षा कानूनहरूसँग अनुरूप रहेको सुनिश्चित गर्नको लागि अनुगमन र समीक्षा गर्दछ। कुनै पनि समस्या वा घटनाहरू रिपोर्ट गरिन्छ र समयमै सम्बोधन गरिन्छ।
भाग 3. डेटा संरक्षण अधिकारी (DPO) नियुक्त गर्ने
युरोपेली IT प्रमाणीकरण संस्थानले एक DPO नियुक्त गर्दछ जो डेटा विषय अधिकार अनुरोधहरूको व्यवस्थापनको निरीक्षण गर्न जिम्मेवार हुन्छ, अनुरोधहरूको समीक्षा, अनुरोधहरूको प्रतिक्रिया, र डेटा सुरक्षा नियमहरूको पालना सुनिश्चित गर्ने।
३.१। DPO तोक्ने
युरोपेली IT प्रमाणीकरण संस्थानले डेटा विषय अधिकार अनुरोधहरूको व्यवस्थापनको निरीक्षण गर्न र डेटा सुरक्षा नियमहरूको पालना सुनिश्चित गर्न डेटा संरक्षण अधिकारी (DPO) नियुक्त गर्दछ। DPO अनुरोधहरूको समीक्षा गर्न र युरोपेली IT प्रमाणीकरण संस्थानले डेटा सुरक्षाको सम्बन्धमा आफ्नो कानुनी दायित्वहरू पूरा गरिरहेको छ भनी सुनिश्चित गर्न जिम्मेवार हुनेछ।
३.२। DPO को योग्यता आवश्यकताहरू
DPO सँग डाटा सुरक्षा कानून र अभ्यासहरूको विशेषज्ञ ज्ञान हुनुपर्छ र उनीहरूको जिम्मेवारी पूरा गर्न आवश्यक स्रोतहरू उपलब्ध गराइनुपर्छ। तिनीहरूको वरिष्ठ व्यवस्थापनमा प्रत्यक्ष पहुँच हुनुपर्छ र संगठनको उच्च व्यवस्थापन स्तरमा रिपोर्ट गर्नुहोस्।
३.३। DPO को जिम्मेवारी
DPO को जिम्मेवारीहरू निम्न समावेश छन्, तर सीमित छैनन्:
- डेटा विषय अधिकार अनुरोधहरूको व्यवस्थापन सहित डेटा सुरक्षा मामिलाहरूमा युरोपेली IT प्रमाणीकरण संस्थानलाई मार्गदर्शन र सल्लाह प्रदान गर्दै।
- डेटा सुरक्षा नियमहरू र आन्तरिक नीतिहरू र प्रक्रियाहरूसँग युरोपेली आईटी प्रमाणीकरण संस्थानको अनुपालन निगरानी गर्दै।
- डाटा सुरक्षा नियमहरू अन्तर्गत उनीहरूको अधिकारको बारेमा डाटा विषयहरूबाट सोधपुछ र गुनासोहरूको जवाफ दिँदै।
- अन्य विभागहरूसँग समन्वय गर्दै यो सुनिश्चित गर्नका लागि कि डाटा सुरक्षा आवश्यकताहरू सम्पूर्ण संगठनमा पूरा हुन्छन्।
- युरोपेली आईटी प्रमाणीकरण संस्थानको डाटा सुरक्षा अभ्यासहरूको आवधिक समीक्षा र मूल्याङ्कनहरू सञ्चालन गर्दै र सुधारका लागि सिफारिसहरू प्रदान गर्दै।
- डाटा सुरक्षा अधिकारीहरूको लागि सम्पर्क बिन्दुको रूपमा सेवा गर्दै र अनुसन्धान वा लेखा परीक्षणको घटनामा उनीहरूसँग सहयोग गर्दै।
- DPO युरोपेली IT प्रमाणीकरण संस्थानको नीति र डेटा संरक्षण सम्बन्धी प्रक्रियाहरूको विकास र कार्यान्वयनमा पनि संलग्न छ, जसमा डेटा विषय अधिकार अनुरोधहरू ह्यान्डल गर्न सम्बन्धित छन्।
३.४। DPO को तालिम र योग्यता विकास
युरोपेली IT प्रमाणीकरण संस्थानले DPO लाई डेटा सुरक्षा नियमहरूमा पर्याप्त तालिम दिइएको छ र यी नियमहरूमा कुनै पनि परिवर्तन वा अद्यावधिकहरूमा अद्यावधिक राखिएको छ भनी सुनिश्चित गर्नुपर्छ।
३.५ DPO को सम्पर्क जानकारी
DPO को सम्पर्क जानकारी डेटा विषयहरूमा उपलब्ध गराइनुपर्छ र युरोपेली IT प्रमाणीकरण संस्थानको गोपनीयता सूचना वा नीतिमा समावेश गरिनुपर्छ।
भाग 4. व्यक्तिगत डेटाको अप-टु-डेट रेकर्ड कायम गर्दै
युरोपेली आईटी प्रमाणीकरण संस्थानले व्यक्तिगत डेटाको अद्यावधिक रेकर्ड राख्छ र यो प्रशोधन भइरहेको उद्देश्यहरू। यसले युरोपेली आईटी प्रमाणीकरण संस्थानलाई डेटा विषय अधिकार अनुरोधहरूलाई छिटो र सही रूपमा प्रतिक्रिया दिन सक्षम बनाउँछ।
४.१। व्यक्तिगत डेटा पहिचान र रेकर्डिङको लागि प्रक्रिया स्थापना गर्दै
युरोपेली आईटी प्रमाणीकरण संस्थानले डेटा विषयको नाम, सम्पर्क जानकारी, र अन्य कुनै पनि सान्दर्भिक जानकारी सहित व्यक्तिगत डेटा पहिचान गर्न र रेकर्ड गर्नको लागि स्पष्ट र मानकीकृत प्रक्रिया स्थापना गर्दछ। यो प्रक्रियाले निश्चित र वैध उद्देश्यका लागि मात्र व्यक्तिगत डेटा सङ्कलन गरिएको सुनिश्चित गर्दछ।
४.२। व्यक्तिगत डेटा वर्गीकरण
युरोपेली आईटी प्रमाणीकरण संस्थानले व्यक्तिगत डेटालाई ट्र्याक गर्न र व्यवस्थापन गर्न सजिलो बनाउन वर्गीकरण गर्दछ। यसमा सम्पर्क जानकारी, बिलिङ जानकारी, दक्षता र योग्यता, वित्तीय जानकारी, वा रोजगार इतिहास जस्ता प्रकार अनुसार डेटा वर्गीकरण समावेश छ।
४.३। डाटा व्यवस्थापन प्रणाली लागू गर्दै
युरोपेली IT प्रमाणीकरण संस्थानले व्यक्तिगत डेटा सही, अप-टु-डेट, र पहुँचयोग्य छ भनी सुनिश्चित गर्न डेटा व्यवस्थापन प्रणाली लागू गर्दछ। डाटा व्यवस्थापन प्रणालीले डाटाबेस समावेश गर्दछ जुन डाटा विषय अधिकार अनुरोधहरूको जवाफ दिन मद्दत गर्न खोजी गर्न सकिन्छ।
४.४। व्यक्तिगत डाटाको रेकर्ड कायम राख्न जिम्मेवारी तोक्ने
युरोपेली आईटी प्रमाणीकरण संस्थानले विशिष्ट व्यक्ति वा विभागहरूलाई व्यक्तिगत डाटाको रेकर्ड कायम राख्न जिम्मेवारी तोक्नुपर्छ। यसले रेकर्ड अप-टु-डेट र सही राखिएको सुनिश्चित गर्नेछ।
४.५ नियमित रूपमा व्यक्तिगत डाटाको रेकर्ड समीक्षा र अद्यावधिक गर्दै
युरोपेली IT प्रमाणीकरण संस्थानले नियमित रूपमा व्यक्तिगत डेटाको रेकर्डको समीक्षा र अद्यावधिक गर्नुपर्छ ताकि यो सही र अप-टु-डेट रहन्छ भनेर सुनिश्चित गर्नुहोस्। यो आवधिक लेखापरीक्षण वा निरन्तर अनुगमन प्रक्रिया मार्फत गर्न सकिन्छ।
४.६। उपयुक्त सुरक्षा उपायहरू लागू गर्नुहोस्
युरोपेली IT प्रमाणीकरण संस्थानले संगठनको सूचना सुरक्षा नीति (ISP) को एक भागको रूपमा, अनधिकृत पहुँच, आकस्मिक हानि, वा व्यक्तिगत डेटाको विनाश रोक्नको लागि उपायहरू सहित, व्यक्तिगत डेटाको सुरक्षा गर्न उपयुक्त सुरक्षा उपायहरू लागू गर्दछ। यसमा ia एन्क्रिप्शन, फायरवाल र पहुँच नियन्त्रणहरू समावेश छन्। डाटा सुरक्षाका लागि प्रक्रियाहरू र उपायहरूको विस्तृत विवरण समर्पित युरोपेली आईटी प्रमाणीकरण संस्थानको सूचना सुरक्षा नीतिले कभर गरेको छ।
भाग 5. डेटा विषयहरूलाई स्पष्ट र संक्षिप्त जानकारी प्रदान गर्दै
व्यक्तिगत डेटा सङ्कलन गर्दा, युरोपेली आईटी प्रमाणीकरण संस्थानले डेटा विषयहरूलाई उनीहरूको अधिकारको बारेमा स्पष्ट र संक्षिप्त जानकारी प्रदान गर्दछ, जसमा उनीहरूको व्यक्तिगत डेटाको प्रशोधनमा पहुँच, सुधार, मेटाउने र वस्तुको अधिकार समावेश छ।
Trans. पारदर्शिता
युरोपेली आईटी प्रमाणीकरण संस्थान व्यक्तिगत डेटाको प्रशोधनमा पारदर्शी छ र डेटा विषयहरूलाई तिनीहरूको डेटा कसरी प्रयोग, प्रशोधन र भण्डारण गरिन्छ भन्ने बारे संक्षिप्त जानकारी प्रदान गर्दछ।
5.2। गोपनीयता नीति
युरोपेली IT प्रमाणीकरण संस्थानसँग एक विस्तृत गोपनीयता नीति छ जसले यसको डेटा प्रशोधन गतिविधिहरूको रूपरेखा दिन्छ, जसमा डेटा विषयहरूले कसरी डेटा विषय अधिकारहरू प्रयोग गर्न सक्छन्।
५.३। पहुँचको अधिकार
डेटा विषयहरूसँग व्यक्तिगत डेटामा पहुँच अनुरोध गर्ने अधिकार छ जुन युरोपेली आईटी प्रमाणीकरण संस्थानले उनीहरूको बारेमा राख्छ। युरोपेली IT प्रमाणीकरण संस्थानले डेटा विषयहरूलाई कसरी पहुँचको लागि अनुरोध गर्ने, तिनीहरूको पहिचान प्रमाणित गर्नको लागि कुन जानकारी चाहिन्छ, र युरोपेली IT प्रमाणीकरण संस्थानले अनुरोधको जवाफ दिन कति समय लिनेछ भन्ने बारे स्पष्ट र संक्षिप्त जानकारी प्रदान गर्दछ।
५.४। सुधार गर्ने अधिकार
डेटा विषयहरूसँग अनुरोध गर्ने अधिकार छ कि युरोपेली आईटी प्रमाणीकरण संस्थानले तिनीहरूको बारेमा राखेको कुनै पनि गलत वा अपूर्ण व्यक्तिगत डेटा सुधार्नुहोस्। युरोपेली IT प्रमाणीकरण संस्थानले डेटा विषयहरूलाई कसरी सुधारको लागि अनुरोध गर्ने, तिनीहरूको पहिचान प्रमाणित गर्नको लागि कुन जानकारी चाहिन्छ, र युरोपेली IT प्रमाणीकरण संस्थानले अनुरोधलाई जवाफ दिन कति समय लिनेछ भन्ने बारे स्पष्ट र संक्षिप्त जानकारी प्रदान गर्दछ।
५.५ मेटाउने अधिकार
डेटा विषयहरूलाई अनुरोध गर्ने अधिकार छ कि युरोपेली आईटी प्रमाणीकरण संस्थानले निश्चित परिस्थितिहरूमा तिनीहरूको व्यक्तिगत डेटा मेटाउनुहोस्। युरोपेली IT प्रमाणीकरण संस्थानले डेटा विषयहरूलाई कसरी मेटाउनको लागि अनुरोध गर्ने, तिनीहरूको पहिचान प्रमाणित गर्नको लागि कुन जानकारी चाहिन्छ, र युरोपेली IT प्रमाणीकरण संस्थानले अनुरोधको जवाफ दिन कति समय लिन्छ भन्ने बारे स्पष्ट र संक्षिप्त जानकारी प्रदान गर्दछ।
५.६। आपत्तिको अधिकार
डाटा विषयहरूलाई निश्चित परिस्थितिहरूमा उनीहरूको व्यक्तिगत डाटाको प्रशोधनमा आपत्ति गर्ने अधिकार छ। युरोपेली IT प्रमाणीकरण संस्थानले डेटा विषयहरूलाई स्पष्ट र संक्षिप्त जानकारी प्रदान गर्दछ कि कसरी वस्तुको लागि अनुरोध गर्ने, कुन जानकारी तिनीहरूको पहिचान प्रमाणित गर्न आवश्यक हुनेछ, र युरोपेली IT प्रमाणीकरण संस्थानले अनुरोधको जवाफ दिन कति समय लिनेछ।
5.7। सम्पर्क जानकारी
युरोपेली आईटी प्रमाणीकरण संस्थानले डेटा विषयहरू प्रयोग गर्नको लागि स्पष्ट र संक्षिप्त सम्पर्क जानकारी प्रदान गर्दछ यदि तिनीहरूसँग उनीहरूको व्यक्तिगत डेटा कसरी प्रशोधन भइरहेको छ भन्ने बारे प्रश्न वा सरोकारहरू छन्।
भाग 6. मानक प्रतिक्रिया समय स्थापना गर्दै
युरोपेली IT प्रमाणीकरण संस्थानले डेटा विषय अधिकार अनुरोधहरूको लागि एक मानक प्रतिक्रिया समय स्थापना गर्यो र यो समयसीमा भित्र अनुरोधहरूको जवाफ दिइन्छ भनेर सुनिश्चित गर्दछ।
६.१। मानक प्रतिक्रिया समय
युरोपेली IT प्रमाणीकरण संस्थानले डेटा विषय अधिकार अनुरोधहरूको लागि 30 दिनको मानक प्रतिक्रिया समय स्थापना गर्दछ। मानक प्रतिक्रिया समयले प्रशोधन र प्रतिक्रियाको लागि माथिल्लो समय सीमा परिभाषित गर्दछ र अधिकांश अनुरोधहरू प्रशोधन गरिन्छ र छोटो समय भित्र प्रतिक्रिया गरिन्छ।
६.२। रसीद स्वीकृति समय अनुरोध गर्नुहोस्
डाटा विषय अधिकार अनुरोध प्राप्त गरेपछि, DPO वा अन्य कर्मचारी सदस्यहरूले 5 कार्य दिन भित्र अनुरोधको प्राप्ति स्वीकार गर्नेछन् र प्रतिक्रिया प्रदान गर्न अनुमानित समय सीमाको साथ डाटा विषय प्रदान गर्नेछ।
६.३। मानक प्रतिक्रिया समय को असाधारण विस्तार
युरोपेली IT प्रमाणीकरण संस्थानले स्थापित मानक प्रतिक्रिया समय भित्र डेटा विषय अधिकार अनुरोधहरूको जवाफ दिन उचित प्रयासहरू प्रयोग गर्नेछ। यद्यपि, यदि अनुरोध जटिल छ वा यदि युरोपेली आईटी प्रमाणीकरण संस्थानले अनुरोधहरूको उच्च मात्रा प्राप्त गर्दछ भने, प्रतिक्रिया समय विस्तार गर्न सकिन्छ। यस्तो अवस्थामा, DPO ले विस्तारको डेटा विषय र ढिलाइको कारण सूचित गर्नेछ।
६.४। डाटा विषय अधिकार अनुरोध पूरा गर्न अस्वीकार
यदि युरोपेली आईटी प्रमाणीकरण संस्थानले डेटा विषय अधिकार अनुरोध पूरा गर्न असमर्थ छ भने, यसले डेटा विषयलाई अस्वीकारको लागि स्पष्टीकरण प्रदान गर्नेछ र उनीहरूलाई सम्बन्धित पर्यवेक्षक अधिकारीलाई उजुरी गर्ने अधिकारको बारेमा सूचित गर्नेछ।
६.५ डाटा विषय अधिकार अनुरोध र प्रतिक्रियाहरूको अभिलेख
युरोपेली IT प्रमाणीकरण संस्थानले डाटा विषय अधिकार अनुरोध र प्रतिक्रियाहरूको सही रेकर्ड राख्नेछ, अनुरोध प्राप्त भएको मिति, अनुरोधको प्रकृति, र प्रतिक्रियाको मिति र तरिका सहित।
६.६। आवधिक समीक्षाहरू
DPO ले आवधिक रूपमा युरोपेली IT प्रमाणीकरण संस्थानको प्रतिक्रिया समयको समीक्षा गर्नेछ र लागू डेटा सुरक्षा नियमहरूको अनुपालन सुनिश्चित गर्न आवश्यक अनुसार अद्यावधिक गर्नेछ।
भाग 7. डाटा विषयको पहिचान प्रमाणित गर्दै
७.१। पहिचान प्रमाणीकरण आवश्यकता
युरोपेली आईटी प्रमाणीकरण संस्थानले व्यक्तिगत डेटा मात्र सही व्यक्तिलाई प्रदान गरिएको छ भनेर सुनिश्चित गर्न अनुरोध गर्दै डाटा विषयको पहिचान प्रमाणित गर्नुपर्छ।
७.२। पहिचान प्रमाणिकरणको माध्यम र विधिहरू
जब डेटा विषयले डेटा सुरक्षा कानून अन्तर्गत आफ्नो अधिकार प्रयोग गर्न अनुरोध गर्दछ, युरोपेली आईटी प्रमाणीकरण संस्थानले उपयुक्त उपायहरू प्रयोग गरी डेटा विषयको पहिचान प्रमाणित गर्नुपर्छ, जस्तै पहिचान कागजातहरू अनुरोध गर्ने।
७.३। प्रोक्सी धारकको पहिचान प्रमाणीकरण
यदि डेटा विषयले अरू कसैको तर्फबाट अनुरोध गरिरहेको छ भने, युरोपेली आईटी प्रमाणीकरण संस्थानले डेटा विषय र व्यक्ति जसको तर्फबाट अनुरोध गरिएको छ दुवैको पहिचान प्रमाणित गर्नुपर्छ।
७.४। पहिचान प्रमाणिकरण शंका
यदि युरोपेली आईटी प्रमाणीकरण संस्थानलाई डाटा विषयको पहिचान वा अनुरोधको वैधताको बारेमा शंका छ भने, यसले थप जानकारी अनुरोध गर्न वा डाटा विषयको पहिचान प्रमाणित गर्न अन्य उपयुक्त उपायहरू लिन सक्छ।
७.५ पहिचान प्रमाणिकरण अभिलेख
युरोपेली आईटी प्रमाणीकरण संस्थानले प्रमाणिकरण प्रक्रियाको रेकर्ड राख्नुपर्छ र डाटा विषयको पहिचान प्रमाणित गर्नका लागि गरिएका उपायहरू। यो रेकर्ड उचित समयको लागि राखिनुपर्छ र डेटा सुरक्षा कानूनहरूको अनुपालन प्रदर्शन गर्न प्रयोग गरिन्छ।
भाग 8. डाटा विषय अधिकार अनुरोधहरू तुरुन्तै जवाफ दिँदै
८.१। छिटो प्रतिक्रिया
युरोपेली आईटी प्रमाणीकरण संस्थानले डाटा विषय अधिकार अनुरोधहरूलाई तुरुन्तै जवाफ दिन्छ र उनीहरूले अनुरोध गरेको जानकारीको साथ डाटा विषय प्रदान गर्दछ।
८.२। रसीद स्वीकृति अनुरोध गर्नुहोस्
युरोपेली आईटी प्रमाणीकरण संस्थानले डाटा विषयको अनुरोधलाई सकेसम्म चाँडो प्राप्त गरेको स्वीकार गर्दछ, आदर्श रूपमा 5 कार्य दिन भित्र।
८.३। समीक्षा अनुरोध गर्नुहोस्
तोकिएको DPO ले आवश्यक आवश्यकताहरू पूरा गरेको र सबै आवश्यक जानकारी प्रदान गरिएको छ भनी सुनिश्चित गर्न अनुरोधको समीक्षा गर्नुपर्छ।
८.४। डाटा विषय पहिचान को प्रमाणीकरण
युरोपेली आईटी प्रमाणीकरण संस्थानले व्यक्तिगत डेटा मात्र सही व्यक्तिलाई प्रदान गरिएको छ भनी सुनिश्चित गर्न अनुरोध गर्दै डाटा विषयको पहिचान प्रमाणित गर्दछ।
८.५ आवश्यक भएमा थप जानकारी प्राप्त गर्दै
यदि अनुरोध अस्पष्ट वा अपर्याप्त छ भने, युरोपेली आईटी प्रमाणीकरण संस्थानले थप जानकारी प्राप्त गर्न डेटा विषयलाई सम्पर्क गर्नुपर्छ।
८.५ सान्दर्भिक डाटा पुन: प्राप्त गर्दै
युरोपेली आईटी प्रमाणीकरण संस्थानले सान्दर्भिक व्यक्तिगत डेटा पुन: प्राप्त गर्दछ र यसलाई सही र अप-टु-डेट छ भनेर सुनिश्चित गर्न समीक्षा गर्दछ।
८.६। अनुरोध गरिएको जानकारी प्रदान गर्दै
युरोपेली आईटी प्रमाणीकरण संस्थानले उनीहरूले अनुरोध गरेको जानकारीको साथ डाटा विषय प्रदान गर्दछ, जसमा उनीहरूको व्यक्तिगत डाटाको प्रतिलिपि सामान्य रूपमा प्रयोग हुने इलेक्ट्रोनिक ढाँचामा समावेश छ, अन्यथा अनुरोध नगरेसम्म।
८.७। तिनीहरूको अधिकारको डेटा विषयलाई सूचित गर्नुहोस्
युरोपेली IT प्रमाणीकरण संस्थानले डेटा विषयलाई तिनीहरूको अन्य अधिकारहरू बारे जानकारी दिन्छ, जस्तै तिनीहरूको व्यक्तिगत डेटा सुधार गर्ने वा मेटाउने अधिकार, र तिनीहरूलाई आवश्यक निर्देशनहरू प्रदान गर्दछ।
८.८। प्रतिक्रिया समय संग अनुपालन
युरोपेली आईटी प्रमाणीकरण संस्थानले डेटा विषय अधिकार अनुरोधहरूलाई स्थापित प्रतिक्रिया समय भित्र प्रतिक्रिया दिन्छ, यो सुनिश्चित गर्दै कि अनुरोधको पालना गर्न आवश्यक कदम चालिएको छ।
८.९। प्रतिक्रिया दस्तावेजीकरण
युरोपेली IT प्रमाणीकरण संस्थानले डेटा विषय अधिकार अनुरोधको प्रतिक्रिया कागजात गर्दछ, कुनै पनि कारबाहीहरू र प्रतिक्रिया समय सहित, अनुपालन उद्देश्यका लागि यसलाई लेखा परीक्षण र ट्र्याक गर्न सकिन्छ भनेर सुनिश्चित गर्न।
८.१०। कुनै पनि परिवर्तनको डेटा विषयलाई सूचित गर्दै
यदि तिनीहरूको अनुरोधको परिणाम स्वरूप डेटा विषयको व्यक्तिगत डेटामा कुनै परिवर्तनहरू गरियो भने, युरोपेली आईटी प्रमाणीकरण संस्थानले यी परिवर्तनहरूको डेटा विषयलाई सूचित गर्दछ।
भाग 9. डाटा विषय अधिकार अनुरोधहरू दस्तावेजीकरण
युरोपेली IT प्रमाणीकरण संस्थानले अनुरोधको मिति, अनुरोधको प्रकृति, र अनुरोधको प्रतिक्रिया सहित डेटा विषय अधिकार अनुरोधहरूको रेकर्ड राख्छ। डाटा विषय अधिकार अनुरोधहरू दस्तावेजीकरणमा निम्न पक्षहरू समावेश छन्:
९.१। एक दर्ता कायम गर्दै
युरोपेली आईटी प्रमाणीकरण संस्थानले एक दर्ता राख्छ जसले प्राप्त भएका सबै डेटा विषय अधिकार अनुरोधहरू क्याप्चर गर्दछ। यो दर्ताले निम्न विवरणहरू कब्जा गर्नुपर्छ:
- अनुरोधको मिति
- डाटा विषयको नाम र सम्पर्क विवरण
- अनुरोधको विवरण
- अनुरोधको जवाफमा कारबाही गरियो
- अनुरोध प्रक्रिया गर्न आवश्यक कुनै पनि अतिरिक्त जानकारी
९.२। कागजातको लागि मानकीकृत प्रक्रिया
युरोपेली आईटी प्रमाणीकरण संस्थानले डाटा विषय अधिकार अनुरोधहरू दस्तावेजीकरण गर्नको लागि एक मानकीकृत प्रक्रिया चलाउँछ कि क्याप्चर गरिएको जानकारीमा स्थिरता र शुद्धता सुनिश्चित गर्न।
९.३। अवधारण अवधि
युरोपेली IT प्रमाणीकरण संस्थानले यी रेकर्डहरूलाई उपयुक्त समयावधिका लागि कायम राख्छ, जुन लागू हुने कानुन र नियमहरूद्वारा निर्धारित हुन्छ, २ वर्षभन्दा कम होइन।
९.४। गोपनीयता कायम गर्ने
युरोपेली आईटी प्रमाणीकरण संस्थानले यो सुनिश्चित गर्दछ कि डाटा विषय अधिकार अनुरोधहरूको रेकर्डहरू केवल अधिकृत कर्मचारीहरूका लागि पहुँचयोग्य छन् जसलाई उनीहरूको कर्तव्यको प्रदर्शनमा यस्तो जानकारी पहुँच गर्न आवश्यक छ। यसले डाटा विषय अधिकार अनुरोधहरूको अभिलेखमा रहेको व्यक्तिगत डेटाको अनधिकृत पहुँच, खुलासा, परिवर्तन वा विनाश रोक्नको लागि प्राविधिक र संगठनात्मक उपायहरू पनि लागू गर्दछ।
Report. रिपोर्टि।
युरोपेली आईटी प्रमाणीकरण संस्थानले आवधिक रूपमा डाटा विषय अधिकार अनुरोधहरू प्राप्त, प्रशोधन र बकाया रिपोर्टहरू उत्पन्न गर्दछ। यी प्रतिवेदनहरू वरिष्ठ व्यवस्थापन र DPO सहित सम्बन्धित सरोकारवालाहरूसँग साझेदारी गरिन्छ।
9.6 एनालिटिक्स
युरोपेली IT प्रमाणीकरण संस्थानले ढाँचाहरू र अनुरोधहरूको मूल कारणहरू पहिचान गर्न डेटा विषय अधिकार अनुरोधहरूमा प्रवृत्ति विश्लेषण सञ्चालन गर्दछ। यस जानकारीलाई त्यस्ता अनुरोधहरूलाई राम्रोसँग व्यवस्थापन गर्न प्रक्रियाहरू र प्रक्रियाहरू बढाउन प्रयोग गरिन्छ।
भाग 10. प्रक्रियाको अनुगमन र समीक्षा
युरोपेली IT प्रमाणीकरण संस्थानले डेटा विषय अधिकार अनुरोधहरू ह्यान्डल गर्नको लागि यसको प्रक्रियालाई नियमित रूपमा निगरानी र समीक्षा गर्छ कि यो GDPR सँग प्रभावकारी र अनुरूप रहेको सुनिश्चित गर्न।
१०.१। आवधिक समीक्षाहरू सञ्चालन गर्दै
युरोपेली IT प्रमाणीकरण संस्थानले यसको डेटा विषय अधिकार अनुरोध ह्यान्डलिङ प्रक्रिया र GDPR अनुपालन नीतिको आवधिक समीक्षाहरू गर्छ कि यो प्रभावकारी छ र डेटा सुरक्षा नियमहरूसँग अनुरूप छ। यी समीक्षाहरूमा प्राप्त अनुरोधहरूको संख्या र प्रकार, प्रतिक्रियाहरूको समयबद्धता र प्रभावकारिता, र सुधारका लागि कुनै पनि क्षेत्रहरू समावेश छन्।
१०.२। सुधारको कार्यान्वयन
समीक्षाहरूको निष्कर्षमा आधारित, युरोपेली IT प्रमाणीकरण संस्थानले यसको डेटा विषय अधिकार अनुरोध ह्यान्डलिंग प्रक्रियामा आवश्यक सुधारहरू लागू गर्दछ। यसमा प्रक्रियाहरूमा अद्यावधिकहरू, कर्मचारीहरूका लागि थप प्रशिक्षण, वा अनुरोधहरू प्रमाणीकरण र जवाफ दिने तरिकामा परिवर्तनहरू समावेश हुन सक्छन्।
१०.३। निरन्तर अनुपालन सुनिश्चित गर्दै
युरोपेली आईटी प्रमाणीकरण संस्थानले सान्दर्भिक कानून र नियमहरूमा कुनै पनि परिवर्तनहरू अनुरूप यसको नीति र प्रक्रियाहरू नियमित रूपमा समीक्षा र अद्यावधिक गरेर डाटा सुरक्षा नियमहरूको निरन्तर अनुपालन सुनिश्चित गर्दछ।
१०.४। कर्मचारीको कार्यसम्पादन अनुगमन गर्ने
युरोपेली IT प्रमाणिकरण संस्थानले डेटा विषय अधिकार अनुरोधहरू, प्रतिक्रियाहरूको गुणस्तर र समयबद्धता सहित व्यवस्थापन गर्ने सम्बन्धमा कर्मचारीहरूको कार्यसम्पादनको अनुगमन गर्दछ। यसमा कर्मचारीहरू यस क्षेत्रमा जानकार र सक्षम छन् भनी सुनिश्चित गर्न आवधिक प्रशिक्षण र कार्यसम्पादन समीक्षाहरू समावेश हुन सक्छन्।
१०.५ डाटा विषयहरु संग संचार
युरोपेली आईटी प्रमाणीकरण संस्थानले अनुरोध ह्यान्डलिंग प्रक्रिया भर डेटा विषयहरूसँग कुराकानी गर्छ कि उनीहरूलाई प्रगति र कुनै पनि सान्दर्भिक जानकारीको बारेमा सूचित राखिएको छ। यसमा तिनीहरूको अनुरोधको स्थितिमा अद्यावधिकहरू उपलब्ध गराउन वा आवश्यकता अनुसार थप जानकारी अनुरोध गर्न समावेश हुन सक्छ।
१०.६। अभिलेख राख्ने
युरोपेली IT प्रमाणीकरण संस्थानले यसको डेटा विषय अधिकार अनुरोध ह्यान्डलिंग प्रक्रियामा गरिएका कुनै पनि परिवर्तनहरू, साथै डेटा विषयहरूबाट प्राप्त प्रतिक्रियाहरू सहित यसको समीक्षाहरूको रेकर्ड राख्छ। यो जानकारी चलिरहेको अनुपालन प्रयासहरूलाई समर्थन गर्न र थप सुधारका लागि क्षेत्रहरू पहिचान गर्न प्रयोग गर्न सकिन्छ।
भाग 11. प्रशोधन गतिविधिहरूको रेकर्ड स्थापना गर्दै
युरोपेली आईटी प्रमाणीकरण संस्थानले प्रशोधन गतिविधिहरूको रेकर्ड राख्छ जुन एक कागजात हो जसले संगठनद्वारा गरिएको व्यक्तिगत डेटाको प्रशोधनलाई रूपरेखा दिन्छ। यो EU General Data Protection Regulation (GDPR) अन्तर्गत आवश्यक छ र डेटा प्रशोधन गर्ने गतिविधिहरू बुझ्न र GDPR को अनुपालन प्रदर्शन गर्न समर्थन गर्ने उद्देश्यले हो।
११.१। ROPA संरचना
ROPA मा संस्थाको नाम र सम्पर्क विवरणहरू, डाटा प्रशोधनका उद्देश्यहरू, व्यक्तिगत डाटाका वर्गहरू, व्यक्तिगत डाटा प्राप्तकर्ताहरू, र व्यक्तिगत डाटाको लागि अवधारण अवधिहरू समावेश छन्। यसले संगठनको तर्फबाट व्यक्तिगत डेटा प्रशोधन गर्ने तेस्रो-पक्ष प्रोसेसरहरूको बारेमा जानकारी पनि समावेश गर्दछ।
११.२। ROPA नियमित अपडेटहरू
ROPA नियमित रूपमा अद्यावधिक गरिन्छ र यो एक जीवित कागजात हो जसले डेटा विषयहरूसँग विश्वास निर्माण गर्न समर्थन गर्ने युरोपेली आईटी प्रमाणीकरण संस्थानको डेटा प्रशोधन गतिविधिहरूमा परिवर्तनहरू प्रतिबिम्बित गर्दछ।
युरोपेली आईटी प्रमाणीकरण संस्थान यसको डाटा विषय अधिकार अनुरोध व्यवस्थापन र सामान्य डाटा संरक्षण नियमन नीतिको सन्दर्भमा उच्च मापदण्डहरू कायम गर्न प्रतिबद्ध छ, यी मुद्दाहरूसँग सम्बन्धित सबै लागू कानून र नियमहरूको पालना गर्न सुनिश्चित गर्दै, साथै अग्रणी उद्योग मापदण्डहरू। र ISO 27701 गोपनीयता सूचना व्यवस्थापन प्रणाली सहित उत्कृष्ट अभ्यासहरू।