DSRRM और GDPR नीति
डेटा सब्जेक्ट राइट्स रिक्वेस्ट मैनेजमेंट एंड जनरल डेटा प्रोटेक्शन रेगुलेशन पर EITCA अकादमी नीति
यह दस्तावेज़ यूरोपीय आईटी प्रमाणन संस्थान की डेटा सब्जेक्ट राइट्स रिक्वेस्ट मैनेजमेंट की नीति के साथ-साथ ईयू जनरल डेटा प्रोटेक्शन रेगुलेशन के कार्यान्वयन को निर्दिष्ट करता है, जिसकी प्रभावशीलता और प्रासंगिकता सुनिश्चित करने के लिए नियमित रूप से समीक्षा की जाती है और इसे अपडेट किया जाता है। EITCI डेटा सब्जेक्ट राइट्स रिक्वेस्ट मैनेजमेंट और GDPR पॉलिसी का आखिरी अपडेट 10 जनवरी 2023 को किया गया था। हमारी डेटा सब्जेक्ट राइट्स रिक्वेस्ट मैनेजमेंट और GDPR पॉलिसी ISO 27701 प्राइवेसी इंफॉर्मेशन मैनेजमेंट सिस्टम एक्सटेंशन के ISO 27001 इंफॉर्मेशन सिक्योरिटी के सिद्धांतों पर आधारित है। सिस्टम मानक, साथ ही सामान्य डेटा संरक्षण विनियम (2016/679) की आवश्यकताओं पर।
भाग 1. परिचय
डेटा विषय अधिकार अनुरोधों को प्रबंधित करना डेटा सुरक्षा नियमों, अर्थात् GDPR (यूरोपीय संघ के सामान्य डेटा संरक्षण विनियमन) के अनुपालन को सुनिश्चित करने का एक अनिवार्य हिस्सा है। यूरोपीय आईटी प्रमाणन संस्थान ने डेटा विषय अधिकार अनुरोधों के प्रबंधन और जीडीपीआर की आवश्यकताओं को लागू करने के लिए निम्नलिखित औपचारिक प्रक्रियाओं को परिभाषित किया:
1.1। डेटा विषय अधिकार अनुरोधों को संभालने के लिए एक प्रक्रिया स्थापित करना
यह प्रक्रिया उन चरणों की रूपरेखा देती है जो यूरोपीय आईटी प्रमाणन संस्थान डेटा विषय की पहचान और प्रमाणीकरण, डेटा विषय के अनुरोध का सत्यापन और अनुरोध की प्रतिक्रिया सहित डेटा विषय अधिकार अनुरोधों को संभालते समय अनुसरण करता है।
1.2। डेटा सुरक्षा अधिकारी (DPO) नामित करना
यूरोपीय आईटी प्रमाणन संस्थान एक डीपीओ को नामित करता है जो डेटा विषय अधिकार अनुरोधों के प्रबंधन की देखरेख के लिए जिम्मेदार होता है, जिसमें अनुरोधों की समीक्षा, अनुरोधों की प्रतिक्रिया और डेटा सुरक्षा नियमों का अनुपालन सुनिश्चित करना शामिल है।
1.3। व्यक्तिगत डेटा का अप-टू-डेट रिकॉर्ड बनाए रखना
यूरोपीय आईटी प्रमाणन संस्थान अपने पास मौजूद व्यक्तिगत डेटा और जिन उद्देश्यों के लिए इसे संसाधित किया जा रहा है, उसका अद्यतन रिकॉर्ड रखता है। यह यूरोपीय आईटी प्रमाणन संस्थान को डेटा विषय अधिकारों के अनुरोधों का त्वरित और सटीक रूप से जवाब देने में सक्षम करेगा।
1.4। डेटा विषयों को स्पष्ट और संक्षिप्त जानकारी प्रदान करना
व्यक्तिगत डेटा एकत्र करते समय, यूरोपीय आईटी प्रमाणन संस्थान डेटा विषयों को उनके अधिकारों के बारे में स्पष्ट और संक्षिप्त जानकारी प्रदान करता है, जिसमें उनके व्यक्तिगत डेटा के प्रसंस्करण के अधिकार, सुधार, मिटाने और आपत्ति का अधिकार शामिल है।
1.5। एक मानक प्रतिक्रिया समय की स्थापना
यूरोपीय आईटी प्रमाणन संस्थान डेटा विषय अधिकार अनुरोधों के लिए एक मानक प्रतिक्रिया समय बनाए रखता है और यह सुनिश्चित करता है कि इस समय सीमा के भीतर अनुरोधों का जवाब दिया जाए।
1.6। डेटा विषय की पहचान की पुष्टि करना
यूरोपीय आईटी प्रमाणन संस्थान यह सुनिश्चित करने के लिए अनुरोध करने वाले डेटा विषय की पहचान की पुष्टि करता है कि व्यक्तिगत डेटा केवल सही व्यक्ति को प्रदान किया जाता है।
1.7। डेटा विषय अधिकार अनुरोधों का तुरंत जवाब देना
यूरोपीय आईटी प्रमाणन संस्थान डेटा विषय अधिकारों के अनुरोधों का तुरंत जवाब देता है और डेटा विषय को उनके द्वारा अनुरोधित जानकारी प्रदान करता है।
1.8। डेटा विषय अधिकार अनुरोधों का दस्तावेजीकरण
यूरोपीय आईटी प्रमाणन संस्थान डेटा विषय अधिकार अनुरोधों का रिकॉर्ड रखता है, जिसमें अनुरोध की तिथि, अनुरोध की प्रकृति और अनुरोध की प्रतिक्रिया शामिल है।
1.9। प्रक्रिया की निगरानी और समीक्षा करना
यूरोपीय आईटी प्रमाणन संस्थान नियमित रूप से डेटा विषय अधिकार अनुरोधों को संभालने के लिए अपनी प्रक्रिया की निगरानी और समीक्षा करता है ताकि यह सुनिश्चित हो सके कि यह प्रासंगिक डेटा सुरक्षा नियमों के साथ प्रभावी और अनुपालन बना रहे।
1.10। प्रसंस्करण गतिविधियों का रिकॉर्ड स्थापित करना
यूरोपीय आईटी प्रमाणन संस्थान प्रसंस्करण गतिविधियों का रिकॉर्ड रखता है जो एक दस्तावेज है जो संगठन द्वारा किए गए व्यक्तिगत डेटा के प्रसंस्करण की रूपरेखा तैयार करता है। यह EU जनरल डेटा प्रोटेक्शन रेगुलेशन (GDPR) के तहत आवश्यक है और इसका उद्देश्य डेटा प्रोसेसिंग गतिविधियों की समझ और GDPR के अनुपालन को प्रदर्शित करना है।
इन औपचारिक और प्रक्रियाओं का पालन करके, यूरोपीय आईटी प्रमाणन संस्थान डेटा विषय अधिकारों के अनुरोधों को प्रभावी ढंग से प्रबंधित कर सकता है और यूरोपीय संघ में सामान्य डेटा संरक्षण विनियम सहित डेटा सुरक्षा नियमों का अनुपालन सुनिश्चित कर सकता है।
भाग 2। डेटा विषय अधिकार अनुरोधों को संभालने के लिए एक प्रक्रिया की स्थापना
यह प्रक्रिया उन चरणों की रूपरेखा देती है जो यूरोपीय आईटी प्रमाणन संस्थान डेटा विषय की पहचान और प्रमाणीकरण, डेटा विषय के अनुरोध का सत्यापन और अनुरोध की प्रतिक्रिया सहित डेटा विषय अधिकार अनुरोधों को संभालते समय अनुसरण करता है:
2.1। डेटा विषय की पहचान और प्रमाणीकरण
यूरोपीय आईटी प्रमाणन संस्थान अनुरोध करने वाले डेटा विषय की पहचान को सत्यापित करने के लिए एक प्रक्रिया रखता है। इसमें सरकार द्वारा जारी आईडी मांगना, मौजूदा रिकॉर्ड की जांच करना, या अन्य प्रमाणीकरण विधियों का उपयोग करना शामिल हो सकता है।
2.2। डेटा विषय के अनुरोध की पुष्टि करना
एक बार डेटा विषय की पहचान स्थापित हो जाने के बाद, यूरोपीय आईटी प्रमाणन संस्थान को यह सत्यापित करना होगा कि अनुरोध मान्य है और डेटा विषय के व्यक्तिगत डेटा से संबंधित है। अनुरोध में उपयोग किए जा रहे विशिष्ट अधिकार भी शामिल होने चाहिए, जैसे कि व्यक्तिगत डेटा तक पहुंचने, सुधारने या हटाने का अधिकार।
2.3। अनुरोध का जवाब देना
यूरोपीय आईटी प्रमाणन संस्थान को प्रासंगिक डेटा संरक्षण कानूनों द्वारा निर्दिष्ट समय सीमा के भीतर डेटा विषय के अनुरोध का जवाब देना चाहिए, लेकिन 30 दिनों से अधिक नहीं। प्रतिक्रिया में स्पष्टीकरण शामिल होना चाहिए कि क्या अनुरोध स्वीकृत या अस्वीकार किया गया है, और निर्णय के कारण।
2.4। अनुरोध और प्रतिक्रिया का दस्तावेजीकरण
यूरोपीय आईटी प्रमाणन संस्थान सभी डेटा विषय अधिकार अनुरोधों और प्रतिक्रियाओं का रिकॉर्ड रखता है। यह प्रासंगिक डेटा संरक्षण कानूनों के अनुपालन को सुनिश्चित करने में मदद करता है, साथ ही भविष्य के ऑडिट या जांच को सुविधाजनक बनाता है।
2.5। संबंधित कर्मचारियों को प्रशिक्षण देना
यूरोपीय आईटी प्रमाणन संस्थान डेटा विषय अधिकार अनुरोधों को संभालने के लिए जिम्मेदार कर्मचारियों को प्रशिक्षण प्रदान करेगा ताकि यह सुनिश्चित किया जा सके कि वे प्रासंगिक डेटा संरक्षण कानूनों और ऐसे अनुरोधों को संभालने के लिए यूरोपीय आईटी प्रमाणन संस्थान की प्रक्रियाओं से परिचित हैं।
2.6। प्रक्रिया की निगरानी और समीक्षा करना
यूरोपीय आईटी प्रमाणन संस्थान नियमित आधार पर डेटा विषय अधिकार अनुरोधों को संभालने की प्रक्रिया की निगरानी और समीक्षा करता है ताकि यह सुनिश्चित हो सके कि यह प्रासंगिक डेटा सुरक्षा कानूनों के साथ प्रभावी और अनुपालन बना रहे। किसी भी मुद्दे या घटनाओं की सूचना दी जाती है और समयबद्ध तरीके से संबोधित किया जाता है।
भाग 3. डेटा सुरक्षा अधिकारी (DPO) नामित करना
यूरोपीय आईटी प्रमाणन संस्थान एक डीपीओ को नामित करता है जो डेटा विषय अधिकार अनुरोधों के प्रबंधन की देखरेख के लिए जिम्मेदार होता है, जिसमें अनुरोधों की समीक्षा, अनुरोधों की प्रतिक्रिया और डेटा सुरक्षा नियमों का अनुपालन सुनिश्चित करना शामिल है।
3.1। डीपीओ नामित करना
यूरोपीय आईटी प्रमाणन संस्थान डेटा विषय अधिकारों के अनुरोधों के प्रबंधन की देखरेख करने और डेटा सुरक्षा नियमों के अनुपालन को सुनिश्चित करने के लिए एक डेटा सुरक्षा अधिकारी (डीपीओ) नामित करता है। डीपीओ अनुरोधों की समीक्षा करने और यह सुनिश्चित करने के लिए जिम्मेदार होगा कि यूरोपीय आईटी प्रमाणन संस्थान डेटा सुरक्षा के संबंध में अपने कानूनी दायित्वों को पूरा कर रहा है।
3.2। डीपीओ की क्षमता आवश्यकताओं
डीपीओ को डेटा संरक्षण कानूनों और प्रथाओं का विशेषज्ञ ज्ञान होना चाहिए और उन्हें अपनी जिम्मेदारियों को पूरा करने के लिए आवश्यक संसाधन उपलब्ध कराए जाने चाहिए। उनकी वरिष्ठ प्रबंधन तक सीधी पहुंच होनी चाहिए और संगठन के उच्चतम प्रबंधन स्तर को रिपोर्ट करनी चाहिए।
3.3। डीपीओ की जिम्मेदारी
डीपीओ की जिम्मेदारियों में निम्नलिखित शामिल हैं, लेकिन इन तक सीमित नहीं हैं:
- डेटा विषय अधिकार अनुरोधों के प्रबंधन सहित डेटा संरक्षण मामलों पर यूरोपीय आईटी प्रमाणन संस्थान को मार्गदर्शन और सलाह प्रदान करना।
- डेटा सुरक्षा नियमों और आंतरिक नीतियों और प्रक्रियाओं के साथ यूरोपीय आईटी प्रमाणन संस्थान के अनुपालन की निगरानी करना।
- डेटा संरक्षण नियमों के तहत उनके अधिकारों के संबंध में डेटा विषयों से पूछताछ और शिकायतों का जवाब देना।
- यह सुनिश्चित करने के लिए अन्य विभागों के साथ समन्वय करना कि पूरे संगठन में डेटा सुरक्षा आवश्यकताओं को पूरा किया जाता है।
- यूरोपीय आईटी प्रमाणन संस्थान के डेटा संरक्षण प्रथाओं की समय-समय पर समीक्षा और आकलन करना और सुधार के लिए सिफारिशें प्रदान करना।
- डेटा सुरक्षा प्राधिकरणों के लिए संपर्क बिंदु के रूप में कार्य करना और जांच या ऑडिट की स्थिति में उनके साथ सहयोग करना।
- डीपीओ यूरोपीय आईटी प्रमाणन संस्थान की नीतियों और डेटा संरक्षण से संबंधित प्रक्रियाओं के विकास और कार्यान्वयन में भी शामिल है, जिसमें डेटा विषय अधिकार अनुरोधों को संभालने से संबंधित हैं।
3.4। डीपीओ का प्रशिक्षण और योग्यता विकास
यूरोपीय आईटी प्रमाणन संस्थान को यह सुनिश्चित करना चाहिए कि डीपीओ को डेटा सुरक्षा नियमों पर पर्याप्त रूप से प्रशिक्षित किया गया है और इन विनियमों में किसी भी बदलाव या अपडेट पर अद्यतित रखा गया है।
3.5। डीपीओ की संपर्क जानकारी
डीपीओ की संपर्क जानकारी को डेटा विषयों के लिए उपलब्ध कराया जाना चाहिए और यूरोपीय आईटी प्रमाणन संस्थान की गोपनीयता सूचना या नीति में शामिल किया जाना चाहिए।
भाग 4. व्यक्तिगत डेटा का अप-टू-डेट रिकॉर्ड बनाए रखना
यूरोपीय आईटी प्रमाणन संस्थान अपने पास मौजूद व्यक्तिगत डेटा और जिन उद्देश्यों के लिए इसे संसाधित किया जा रहा है, उसका अद्यतन रिकॉर्ड रखता है। यह यूरोपीय आईटी प्रमाणन संस्थान को डेटा विषय अधिकारों के अनुरोधों का त्वरित और सटीक रूप से जवाब देने में सक्षम करेगा।
4.1। व्यक्तिगत डेटा की पहचान करने और रिकॉर्ड करने के लिए एक प्रक्रिया स्थापित करना
यूरोपीय आईटी प्रमाणन संस्थान व्यक्तिगत डेटा की पहचान करने और रिकॉर्ड करने के लिए एक स्पष्ट और मानकीकृत प्रक्रिया स्थापित करता है, जिसमें डेटा विषय का नाम, संपर्क जानकारी और कोई अन्य प्रासंगिक जानकारी शामिल है। यह प्रक्रिया सुनिश्चित करती है कि व्यक्तिगत डेटा केवल विशिष्ट और वैध उद्देश्यों के लिए ही एकत्र किया जाता है।
4.2। व्यक्तिगत डेटा का वर्गीकरण
यूरोपीय आईटी प्रमाणन संस्थान व्यक्तिगत डेटा को ट्रैक और प्रबंधित करना आसान बनाने के लिए वर्गीकृत करता है। इसमें प्रकार के आधार पर डेटा को वर्गीकृत करना शामिल है, जैसे संपर्क जानकारी, बिलिंग जानकारी, दक्षताओं और योग्यता, वित्तीय जानकारी, या रोजगार इतिहास।
4.3। डेटा प्रबंधन प्रणाली को लागू करना
यूरोपीय आईटी प्रमाणन संस्थान यह सुनिश्चित करने में सहायता के लिए डेटा प्रबंधन प्रणाली लागू करता है कि व्यक्तिगत डेटा सटीक, अद्यतित और पहुंच योग्य है। डेटा प्रबंधन प्रणाली में एक डेटाबेस शामिल होता है जिसे डेटा विषय अधिकार अनुरोधों का जवाब देने में सहायता के लिए खोजा और पूछताछ की जा सकती है।
4.4। व्यक्तिगत डेटा के रिकॉर्ड को बनाए रखने की जिम्मेदारी सौंपना
यूरोपीय आईटी प्रमाणन संस्थान को विशिष्ट व्यक्तियों या विभागों को व्यक्तिगत डेटा के रिकॉर्ड को बनाए रखने की जिम्मेदारी सौंपनी चाहिए। यह सुनिश्चित करेगा कि रिकॉर्ड को अद्यतित और सटीक रखा जाए।
4.5। व्यक्तिगत डेटा के रिकॉर्ड की नियमित रूप से समीक्षा और अद्यतन करना
यूरोपीय आईटी प्रमाणन संस्थान को यह सुनिश्चित करने के लिए व्यक्तिगत डेटा के रिकॉर्ड की नियमित रूप से समीक्षा और अद्यतन करना चाहिए कि यह सटीक और अद्यतित रहता है। यह आवधिक ऑडिट या निरंतर निगरानी प्रक्रिया के माध्यम से किया जा सकता है।
4.6। उचित सुरक्षा उपायों को लागू करें
यूरोपीय आईटी प्रमाणन संस्थान संगठन की सूचना सुरक्षा नीति (आईएसपी) के एक भाग के रूप में अनधिकृत पहुंच, आकस्मिक हानि, या व्यक्तिगत डेटा के विनाश को रोकने के उपायों सहित व्यक्तिगत डेटा की सुरक्षा के लिए उपयुक्त सुरक्षा उपायों को लागू करता है। इसमें ia एन्क्रिप्शन, फ़ायरवॉल और अभिगम नियंत्रण शामिल हैं। डेटा सुरक्षा के लिए प्रक्रियाओं और उपायों का एक विस्तृत विवरण समर्पित यूरोपीय आईटी प्रमाणन संस्थान की सूचना सुरक्षा नीति द्वारा कवर किया गया है।
भाग 5. डेटा विषयों को स्पष्ट और संक्षिप्त जानकारी प्रदान करना
व्यक्तिगत डेटा एकत्र करते समय, यूरोपीय आईटी प्रमाणन संस्थान डेटा विषयों को उनके अधिकारों के बारे में स्पष्ट और संक्षिप्त जानकारी प्रदान करता है, जिसमें उनके व्यक्तिगत डेटा के प्रसंस्करण के अधिकार, सुधार, मिटाने और आपत्ति का अधिकार शामिल है।
5.1। ट्रांसपेरेंसी
यूरोपीय आईटी प्रमाणन संस्थान व्यक्तिगत डेटा के प्रसंस्करण में पारदर्शी है और डेटा विषयों को संक्षिप्त जानकारी प्रदान करता है कि उनका डेटा कैसे उपयोग, संसाधित और संग्रहीत किया जाता है।
5.2. गोपनीयता नीति
यूरोपीय आईटी प्रमाणन संस्थान की एक विस्तृत गोपनीयता नीति है जो इसकी डेटा प्रोसेसिंग गतिविधियों को रेखांकित करती है, जिसमें यह भी शामिल है कि डेटा विषय अपने डेटा विषय अधिकारों का उपयोग कैसे कर सकते हैं।
5.3. प्रवेश का अधिकार
डेटा विषयों को व्यक्तिगत डेटा तक पहुंच का अनुरोध करने का अधिकार है जो यूरोपीय आईटी प्रमाणन संस्थान उनके बारे में रखता है। यूरोपीय आईटी प्रमाणन संस्थान डेटा विषयों को स्पष्ट और संक्षिप्त जानकारी प्रदान करता है कि कैसे पहुंच के लिए अनुरोध किया जाए, उनकी पहचान को सत्यापित करने के लिए कौन सी जानकारी की आवश्यकता होगी, और यूरोपीय आईटी प्रमाणन संस्थान को अनुरोध का जवाब देने में कितना समय लगेगा।
5.4। सुधार का अधिकार
डेटा विषयों को यह अनुरोध करने का अधिकार है कि यूरोपीय आईटी प्रमाणन संस्थान किसी भी गलत या अधूरे व्यक्तिगत डेटा को सुधारें जो उनके पास है। यूरोपीय आईटी प्रमाणन संस्थान डेटा विषयों को स्पष्ट और संक्षिप्त जानकारी प्रदान करता है कि सुधार के लिए अनुरोध कैसे किया जाए, उनकी पहचान को सत्यापित करने के लिए कौन सी जानकारी की आवश्यकता होगी, और यूरोपीय आईटी प्रमाणन संस्थान को अनुरोध का जवाब देने में कितना समय लगेगा।
5.5। मिटाने का अधिकार
डेटा विषयों को यह अनुरोध करने का अधिकार है कि यूरोपीय आईटी प्रमाणन संस्थान कुछ परिस्थितियों में उनके व्यक्तिगत डेटा को मिटा दें। यूरोपीय आईटी प्रमाणन संस्थान डेटा विषयों को स्पष्ट और संक्षिप्त जानकारी प्रदान करता है कि मिटाने के लिए अनुरोध कैसे किया जाए, उनकी पहचान को सत्यापित करने के लिए कौन सी जानकारी की आवश्यकता होगी, और यूरोपीय आईटी प्रमाणन संस्थान को अनुरोध का जवाब देने में कितना समय लगेगा।
5.6। आपत्ति का अधिकार
डेटा विषयों को कुछ परिस्थितियों में अपने व्यक्तिगत डेटा के प्रसंस्करण पर आपत्ति जताने का अधिकार है। यूरोपीय आईटी प्रमाणन संस्थान डेटा विषयों को स्पष्ट और संक्षिप्त जानकारी प्रदान करता है कि आपत्ति के लिए अनुरोध कैसे किया जाए, उनकी पहचान को सत्यापित करने के लिए कौन सी जानकारी की आवश्यकता होगी, और यूरोपीय आईटी प्रमाणन संस्थान को अनुरोध का जवाब देने में कितना समय लगेगा।
5.7. संपर्क करने संबंधी जानकारी
यूरोपीय आईटी प्रमाणन संस्थान डेटा विषयों के उपयोग के लिए स्पष्ट और संक्षिप्त संपर्क जानकारी प्रदान करता है यदि उनके पास अपने व्यक्तिगत डेटा को कैसे संसाधित किया जा रहा है, इस बारे में प्रश्न या चिंताएं हैं।
भाग 6. एक मानक प्रतिक्रिया समय स्थापित करना
यूरोपीय आईटी प्रमाणन संस्थान ने डेटा विषय अधिकार अनुरोधों के लिए एक मानक प्रतिक्रिया समय स्थापित किया है और यह सुनिश्चित करता है कि इस समय सीमा के भीतर अनुरोधों का जवाब दिया जाए।
6.1। मानक प्रतिक्रिया समय
यूरोपीय आईटी प्रमाणन संस्थान डेटा विषय अधिकार अनुरोधों के लिए 30 दिनों का एक मानक प्रतिक्रिया समय स्थापित करता है। मानक प्रतिक्रिया समय प्रसंस्करण और प्रतिक्रिया के लिए ऊपरी समय सीमा को परिभाषित करता है और अधिकांश अनुरोधों को कम समय के भीतर संसाधित और प्रतिक्रिया दी जाती है।
6.2। अनुरोध प्राप्ति पावती समय
डेटा सब्जेक्ट राइट्स रिक्वेस्ट प्राप्त होने पर, डीपीओ या अन्य स्टाफ सदस्य 5 कार्य दिवसों के भीतर अनुरोध की प्राप्ति की पुष्टि करेंगे और डेटा सब्जेक्ट को प्रतिक्रिया प्रदान करने के लिए अनुमानित समय सीमा प्रदान करेंगे।
6.3। मानक प्रतिक्रिया समय का असाधारण विस्तार
यूरोपीय आईटी प्रमाणन संस्थान स्थापित मानक प्रतिक्रिया समय के भीतर डेटा विषय अधिकार अनुरोधों का जवाब देने के लिए उचित प्रयास करेगा। हालाँकि, यदि अनुरोध जटिल है या यदि यूरोपीय आईटी प्रमाणन संस्थान को उच्च मात्रा में अनुरोध प्राप्त होते हैं, तो प्रतिक्रिया समय बढ़ाया जा सकता है। ऐसे मामलों में, डीपीओ विस्तार के डेटा विषय और देरी के कारण के बारे में सूचित करेगा।
6.4। डेटा विषय अधिकार अनुरोध को पूरा करने से इंकार करना
यदि यूरोपीय आईटी प्रमाणन संस्थान डेटा विषय अधिकारों के अनुरोध को पूरा करने में असमर्थ है, तो यह डेटा विषय को इनकार के लिए एक स्पष्टीकरण प्रदान करेगा और संबंधित पर्यवेक्षी प्राधिकरण को शिकायत करने के उनके अधिकार के बारे में सूचित करेगा।
6.5। डेटा विषय अधिकार अनुरोधों और प्रतिक्रियाओं के रिकॉर्ड
यूरोपीय आईटी प्रमाणन संस्थान डेटा विषय अधिकार अनुरोधों और प्रतिक्रियाओं के सटीक रिकॉर्ड बनाए रखेगा, जिसमें अनुरोध की प्राप्ति की तिथि, अनुरोध की प्रकृति और प्रतिक्रिया की तिथि और तरीका शामिल है।
6.6। आवधिक समीक्षाएँ
डीपीओ समय-समय पर यूरोपीय आईटी प्रमाणन संस्थान के प्रतिक्रिया समय की समीक्षा करेगा और लागू डेटा सुरक्षा नियमों के अनुपालन को सुनिश्चित करने के लिए आवश्यक रूप से उन्हें अपडेट करेगा।
भाग 7. डेटा विषय की पहचान की पुष्टि करना
7.1। पहचान सत्यापन आवश्यकता
यूरोपीय आईटी प्रमाणन संस्थान को यह सुनिश्चित करने के लिए अनुरोध करने वाले डेटा विषय की पहचान को सत्यापित करना चाहिए कि व्यक्तिगत डेटा केवल सही व्यक्ति को प्रदान किया जाता है।
7.2। पहचान सत्यापन के साधन और तरीके
जब कोई डेटा विषय डेटा संरक्षण कानूनों के तहत अपने अधिकारों का प्रयोग करने का अनुरोध करता है, तो यूरोपीय आईटी प्रमाणन संस्थान को पहचान दस्तावेजों का अनुरोध करने जैसे उपयुक्त उपायों का उपयोग करके डेटा विषय की पहचान सत्यापित करनी चाहिए।
7.3। प्रॉक्सी धारक का पहचान सत्यापन
यदि डेटा विषय किसी और की ओर से अनुरोध कर रहा है, तो यूरोपीय आईटी प्रमाणन संस्थान को डेटा विषय और उस व्यक्ति की पहचान की पुष्टि करनी चाहिए जिसकी ओर से अनुरोध किया जा रहा है।
7.4। पहचान सत्यापन संदेह
यदि यूरोपीय आईटी प्रमाणन संस्थान को डेटा विषय की पहचान या अनुरोध की वैधता के बारे में संदेह है, तो वह अतिरिक्त जानकारी का अनुरोध कर सकता है या डेटा विषय की पहचान को सत्यापित करने के लिए अन्य उचित उपाय कर सकता है।
7.5। पहचान सत्यापन रिकॉर्ड
यूरोपीय आईटी प्रमाणन संस्थान को सत्यापन प्रक्रिया और डेटा विषय की पहचान को सत्यापित करने के लिए किए गए उपायों का रिकॉर्ड रखना चाहिए। यह रिकॉर्ड उचित समयावधि के लिए रखा जाना चाहिए और डेटा सुरक्षा कानूनों के अनुपालन को प्रदर्शित करने के लिए उपयोग किया जाना चाहिए।
भाग 8. डेटा विषय अधिकार अनुरोधों का तुरंत जवाब देना
8.1। त्वरित प्रतिक्रिया
यूरोपीय आईटी प्रमाणन संस्थान डेटा विषय अधिकारों के अनुरोधों का तुरंत जवाब देता है और डेटा विषय को उनके द्वारा अनुरोधित जानकारी प्रदान करता है।
8.2। रसीद पावती का अनुरोध करें
यूरोपीय आईटी प्रमाणन संस्थान, आदर्श रूप से 5 कार्य दिवसों के भीतर, जितनी जल्दी हो सके डेटा विषय के अनुरोध की प्राप्ति को स्वीकार करता है।
8.3। समीक्षा का अनुरोध करें
नामित डीपीओ को यह सुनिश्चित करने के लिए अनुरोध की समीक्षा करनी चाहिए कि यह आवश्यक आवश्यकताओं को पूरा करता है और यह कि सभी आवश्यक जानकारी प्रदान की गई है।
8.4। डेटा विषय पहचान का सत्यापन
यूरोपीय आईटी प्रमाणन संस्थान यह सुनिश्चित करने के लिए अनुरोध करने वाले डेटा विषय की पहचान की पुष्टि करता है कि व्यक्तिगत डेटा केवल सही व्यक्ति को प्रदान किया जाता है।
8.5। यदि आवश्यक हो तो अतिरिक्त जानकारी प्राप्त करना
यदि अनुरोध अस्पष्ट या अपर्याप्त है, तो यूरोपीय आईटी प्रमाणन संस्थान को अतिरिक्त जानकारी प्राप्त करने के लिए डेटा विषय से संपर्क करना चाहिए।
8.5। प्रासंगिक डेटा पुनर्प्राप्त करना
यूरोपीय आईटी प्रमाणन संस्थान प्रासंगिक व्यक्तिगत डेटा को पुनः प्राप्त करता है और यह सुनिश्चित करने के लिए इसकी समीक्षा करता है कि यह सटीक और अद्यतित है।
8.6। मांगी गई जानकारी प्रदान करना
यूरोपीय आईटी प्रमाणन संस्थान डेटा विषय को उनके द्वारा मांगी गई जानकारी के साथ प्रदान करता है, जिसमें आमतौर पर इस्तेमाल किए जाने वाले इलेक्ट्रॉनिक प्रारूप में उनके व्यक्तिगत डेटा की एक प्रति शामिल है, जब तक कि अन्यथा अनुरोध नहीं किया जाता।
8.7। उनके अधिकारों के डेटा विषय को सूचित करें
यूरोपीय आईटी प्रमाणन संस्थान अपने अन्य अधिकारों के डेटा विषय को सूचित करता है, जैसे कि उनके व्यक्तिगत डेटा को सुधारने या मिटाने का अधिकार, और उन्हें आवश्यक निर्देश प्रदान करता है।
8.8। प्रतिक्रिया समय का अनुपालन
यूरोपीय आईटी प्रमाणन संस्थान निर्धारित प्रतिक्रिया समय के भीतर डेटा विषय अधिकार अनुरोधों का जवाब देता है, यह सुनिश्चित करता है कि अनुरोध के अनुपालन के लिए आवश्यक कार्रवाई की जाए।
8.9। प्रतिक्रिया का दस्तावेजीकरण
यूरोपीय आईटी प्रमाणन संस्थान यह सुनिश्चित करने के लिए कि अनुपालन उद्देश्यों के लिए इसका ऑडिट और ट्रैक किया जा सकता है, किसी भी कार्रवाई और प्रतिक्रिया समय सहित डेटा विषय अधिकार अनुरोध की प्रतिक्रिया का दस्तावेजीकरण करता है।
8.10। किसी भी परिवर्तन के डेटा विषय को सूचित करना
यदि उनके अनुरोध के परिणामस्वरूप डेटा विषय के व्यक्तिगत डेटा में कोई परिवर्तन किया जाता है, तो यूरोपीय आईटी प्रमाणन संस्थान इन परिवर्तनों के डेटा विषय को सूचित करता है।
भाग 9. डेटा विषय अधिकार अनुरोधों का दस्तावेजीकरण
यूरोपीय आईटी प्रमाणन संस्थान डेटा विषय अधिकार अनुरोधों का रिकॉर्ड रखता है, जिसमें अनुरोध की तिथि, अनुरोध की प्रकृति और अनुरोध की प्रतिक्रिया शामिल है। डेटा विषय अधिकार अनुरोधों के दस्तावेज़ीकरण में निम्नलिखित पहलू शामिल हैं:
9.1। एक रजिस्टर बनाए रखना
यूरोपीय आईटी प्रमाणन संस्थान एक रजिस्टर रखता है जो प्राप्त सभी डेटा विषय अधिकार अनुरोधों को कैप्चर करता है। इस रजिस्टर में निम्नलिखित विवरण दर्ज होने चाहिए:
- अनुरोध की तिथि
- डेटा विषय का नाम और संपर्क विवरण
- अनुरोध का विवरण
- अनुरोध के जवाब में कार्रवाई की गई
- अनुरोध को संसाधित करने के लिए आवश्यक कोई अतिरिक्त जानकारी
9.2। प्रलेखन के लिए मानकीकृत प्रक्रिया
यूरोपीय आईटी प्रमाणन संस्थान प्राप्त जानकारी में स्थिरता और सटीकता सुनिश्चित करने के लिए डेटा विषय अधिकार अनुरोधों के दस्तावेजीकरण के लिए एक मानकीकृत प्रक्रिया चलाता है।
9.3। अवधारण अवधि
यूरोपीय आईटी प्रमाणन संस्थान इन अभिलेखों को उचित समयावधि के लिए बनाए रखता है, जैसा कि लागू कानूनों और विनियमों द्वारा निर्धारित किया गया है, जो 2 वर्ष से कम नहीं है।
9.4। गोपनीयता बनाए रखना
यूरोपीय आईटी प्रमाणन संस्थान यह सुनिश्चित करता है कि डेटा विषय अधिकार अनुरोधों के रिकॉर्ड केवल अधिकृत कर्मियों के लिए सुलभ हैं, जिन्हें अपने कर्तव्यों के प्रदर्शन में ऐसी जानकारी तक पहुंचने की आवश्यकता है। यह डेटा विषय अधिकार अनुरोधों के रिकॉर्ड में निहित व्यक्तिगत डेटा के अनधिकृत उपयोग, प्रकटीकरण, परिवर्तन या विनाश को रोकने के लिए तकनीकी और संगठनात्मक उपायों को भी लागू करता है।
9.5। रिपोर्ट कर रहा है
यूरोपीय आईटी प्रमाणन संस्थान समय-समय पर प्राप्त, संसाधित और बकाया डेटा विषय अधिकार अनुरोधों पर रिपोर्ट तैयार करता है। इन रिपोर्टों को वरिष्ठ प्रबंधन और डीपीओ सहित प्रासंगिक हितधारकों के साथ साझा किया जाता है।
9.6। एनालिटिक्स
यूरोपीय आईटी प्रमाणन संस्थान अनुरोधों के पैटर्न और मूल कारणों की पहचान करने के लिए डेटा विषय अधिकार अनुरोधों पर प्रवृत्ति विश्लेषण करता है। इस जानकारी का उपयोग ऐसे अनुरोधों को बेहतर ढंग से प्रबंधित करने के लिए प्रक्रियाओं और प्रक्रियाओं को बढ़ाने के लिए किया जाता है।
भाग 10. प्रक्रिया की निगरानी और समीक्षा करना
यूरोपीय आईटी प्रमाणन संस्थान नियमित रूप से डेटा विषय अधिकार अनुरोधों को संभालने के लिए अपनी प्रक्रिया की निगरानी और समीक्षा करता है ताकि यह सुनिश्चित हो सके कि यह प्रभावी और जीडीपीआर के अनुरूप है।
10.1। समय-समय पर समीक्षा करना
यूरोपीय आईटी प्रमाणन संस्थान अपने डेटा विषय अधिकार अनुरोध प्रबंधन प्रक्रिया और जीडीपीआर अनुपालन नीति की समय-समय पर समीक्षा करता है ताकि यह सुनिश्चित किया जा सके कि यह प्रभावी है और डेटा सुरक्षा नियमों के अनुरूप है। इन समीक्षाओं में प्राप्त अनुरोधों की संख्या और प्रकार, प्रतिक्रियाओं की समयबद्धता और प्रभावशीलता, और सुधार के लिए किसी भी क्षेत्र का विश्लेषण शामिल है।
10.2। सुधारों का कार्यान्वयन
समीक्षाओं के निष्कर्षों के आधार पर, यूरोपीय आईटी प्रमाणन संस्थान अपने डेटा विषय अधिकार अनुरोध प्रबंधन प्रक्रिया में आवश्यक सुधार लागू करता है। इसमें प्रक्रियाओं के अद्यतन, कर्मचारियों के लिए अतिरिक्त प्रशिक्षण, या अनुरोधों को सत्यापित करने और उनका जवाब देने के तरीकों में परिवर्तन शामिल हो सकते हैं।
10.3। निरंतर अनुपालन सुनिश्चित करना
यूरोपीय आईटी प्रमाणन संस्थान प्रासंगिक कानूनों और विनियमों में किसी भी बदलाव के अनुरूप अपनी नीतियों और प्रक्रियाओं की नियमित रूप से समीक्षा और अद्यतन करके डेटा सुरक्षा नियमों के साथ निरंतर अनुपालन सुनिश्चित करता है।
10.4। कर्मचारियों के प्रदर्शन की निगरानी करना
यूरोपीय आईटी प्रमाणन संस्थान प्रतिक्रियाओं की गुणवत्ता और समयबद्धता सहित डेटा विषय अधिकार अनुरोधों को संभालने के संबंध में कर्मचारियों के प्रदर्शन पर नज़र रखता है। इसमें यह सुनिश्चित करने के लिए समय-समय पर प्रशिक्षण और प्रदर्शन की समीक्षा शामिल हो सकती है कि कर्मचारी इस क्षेत्र में जानकार और सक्षम हैं।
10.5। डेटा विषयों के साथ संचार
यूरोपीय आईटी प्रमाणन संस्थान यह सुनिश्चित करने के लिए अनुरोध प्रबंधन प्रक्रिया के दौरान डेटा विषयों के साथ संचार करता है कि उन्हें प्रगति और किसी भी प्रासंगिक जानकारी के बारे में सूचित किया जाता है। इसमें उनके अनुरोध की स्थिति पर अद्यतन प्रदान करना या आवश्यकतानुसार अतिरिक्त जानकारी का अनुरोध करना शामिल हो सकता है।
10.6। रिकॉर्ड बनाए रखना
यूरोपीय आईटी प्रमाणन संस्थान अपनी समीक्षाओं के रिकॉर्ड रखता है, जिसमें इसके डेटा विषय अधिकार अनुरोध प्रबंधन प्रक्रिया में किए गए किसी भी बदलाव के साथ-साथ डेटा विषयों से प्राप्त कोई भी प्रतिक्रिया शामिल है। इस जानकारी का उपयोग चल रहे अनुपालन प्रयासों का समर्थन करने और आगे सुधार के लिए क्षेत्रों की पहचान करने के लिए किया जा सकता है।
भाग 11. प्रसंस्करण गतिविधियों का रिकॉर्ड स्थापित करना
यूरोपीय आईटी प्रमाणन संस्थान प्रसंस्करण गतिविधियों का रिकॉर्ड रखता है जो एक दस्तावेज है जो संगठन द्वारा किए गए व्यक्तिगत डेटा के प्रसंस्करण की रूपरेखा तैयार करता है। यह EU जनरल डेटा प्रोटेक्शन रेगुलेशन (GDPR) के तहत आवश्यक है और इसका उद्देश्य डेटा प्रोसेसिंग गतिविधियों की समझ और GDPR के अनुपालन को प्रदर्शित करना है।
11.1। आरओपीए संरचना
ROPA में संगठन के नाम और संपर्क विवरण, डेटा प्रोसेसिंग के उद्देश्य, संसाधित किए गए व्यक्तिगत डेटा की श्रेणियां, व्यक्तिगत डेटा के प्राप्तकर्ता और व्यक्तिगत डेटा के प्रतिधारण अवधि के बारे में बुनियादी जानकारी शामिल है। इसमें किसी तीसरे पक्ष के प्रोसेसर के बारे में जानकारी भी शामिल है जो संगठन की ओर से व्यक्तिगत डेटा को प्रोसेस करता है।
11.2। ROPA नियमित अद्यतन
ROPA नियमित रूप से अपडेट किया जाता है और एक जीवित दस्तावेज़ है जो डेटा विषयों के साथ विश्वास निर्माण का समर्थन करने वाले यूरोपीय आईटी प्रमाणन संस्थान की डेटा प्रोसेसिंग गतिविधियों में परिवर्तन को दर्शाता है।
यूरोपीय आईटी प्रमाणन संस्थान अपने डेटा सब्जेक्ट राइट्स रिक्वेस्ट मैनेजमेंट और जनरल डेटा प्रोटेक्शन रेगुलेशन पॉलिसी के संबंध में उच्चतम मानकों को बनाए रखने के लिए प्रतिबद्ध है, जो इन मुद्दों से संबंधित सभी लागू कानूनों और विनियमों के साथ-साथ प्रमुख उद्योग मानकों का पालन करना सुनिश्चित करता है। और ISO 27701 गोपनीयता सूचना प्रबंधन प्रणाली सहित सर्वोत्तम अभ्यास।