DSRRM 및 GDPR 정책
데이터 주체 권리 요청 관리 및 일반 데이터 보호 규정에 관한 EITCA 아카데미 정책
이 문서는 데이터 주체 권한 요청 관리에 대한 유럽 IT 인증 기관의 정책과 그 효과 및 관련성을 보장하기 위해 정기적으로 검토 및 업데이트되는 EU 일반 데이터 보호 규정의 구현을 지정합니다. EITCI 데이터 주체 권한 요청 관리 및 GDPR 정책에 대한 마지막 업데이트는 10년 2023월 27701일에 이루어졌습니다. 당사의 데이터 주체 권한 요청 관리 및 GDPR 정책은 ISO 27001 정보 보안에 대한 ISO 2016 개인 정보 관리 시스템 확장의 원칙을 기반으로 합니다. 일반 데이터 보호 규정(679/XNUMX)의 요구 사항뿐만 아니라 시스템 표준.
1 부분. 소개
데이터 주체 권리 요청을 관리하는 것은 데이터 보호 규정, 즉 GDPR(EU 일반 데이터 보호 규정)을 준수하는 데 필수적인 부분입니다. 유럽 IT 인증 기관은 데이터 주체 권한 요청을 관리하고 GDPR 요구 사항을 구현하기 위해 다음과 같은 공식 절차를 정의했습니다.
1.1. 데이터 주체 권리 요청을 처리하기 위한 프로세스 구축
이 프로세스는 데이터 주체의 식별 및 인증, 데이터 주체의 요청 확인 및 요청에 대한 응답을 포함하여 데이터 주체 권한 요청을 처리할 때 유럽 IT 인증 기관이 따르는 단계를 간략하게 설명합니다.
1.2. 데이터 보호 책임자(DPO) 지정
유럽 IT 인증 기관은 요청 검토, 요청에 대한 응답 및 데이터 보호 규정 준수를 포함하여 데이터 주체 권리 요청 관리를 감독하는 DPO를 지정합니다.
1.3. 개인 데이터의 최신 기록 유지
유럽 IT 인증 기관은 보유하고 있는 개인 데이터와 처리 목적에 대한 최신 기록을 유지합니다. 이를 통해 유럽 IT 인증 기관은 데이터 주체 권리 요청에 빠르고 정확하게 대응할 수 있습니다.
1.4. 정보주체에게 명확하고 간결한 정보 제공
개인 데이터를 수집할 때 유럽 IT 인증 기관은 개인 데이터 처리에 대한 액세스, 수정, 삭제 및 반대 권한을 포함하여 데이터 주체의 권리에 대해 명확하고 간결한 정보를 제공합니다.
1.5. 표준 응답 시간 설정
유럽 IT 인증 기관은 데이터 주체 권리 요청에 대한 표준 응답 시간을 유지하고 요청이 이 시간 내에 응답되도록 합니다.
1.6. 정보주체의 신원 확인
유럽 IT 인증 기관은 개인 데이터가 올바른 개인에게만 제공되도록 요청하는 데이터 주체의 신원을 확인합니다.
1.7. 데이터 주체 권리 요청에 신속하게 응답
유럽 IT 인증 기관은 데이터 주체 권리 요청에 신속하게 응답하고 요청한 정보를 데이터 주체에게 제공합니다.
1.8. 데이터 주체 권리 요청 문서화
유럽 IT 인증 기관은 요청 날짜, 요청의 성격 및 요청에 대한 응답을 포함하여 데이터 주체 권리 요청에 대한 기록을 유지합니다.
1.9. 프로세스 모니터링 및 검토
유럽 IT 인증 기관은 데이터 주체 권리 요청을 처리하는 프로세스를 정기적으로 모니터링하고 검토하여 효과를 유지하고 관련 데이터 보호 규정을 준수하는지 확인합니다.
1.10. 처리 활동 기록 수립
유럽 IT 인증 기관은 조직에서 수행하는 개인 데이터 처리를 설명하는 문서인 처리 활동 기록을 유지 관리합니다. EU 일반 데이터 보호 규정(GDPR)에 따라 요구되며 데이터 처리 활동에 대한 이해를 지원하고 GDPR 준수를 입증하기 위한 것입니다.
이러한 공식 및 절차를 따르면 유럽 IT 인증 기관은 데이터 주체 권리 요청을 효과적으로 관리하고 유럽 연합의 일반 데이터 보호 규정을 비롯한 데이터 보호 규정을 준수할 수 있습니다.
2부. 데이터 주체 권리 요청을 처리하기 위한 프로세스 구축
이 프로세스는 데이터 주체의 식별 및 인증, 데이터 주체의 요청 확인 및 요청에 대한 응답을 포함하여 데이터 주체 권한 요청을 처리할 때 유럽 IT 인증 기관이 따르는 단계를 간략하게 설명합니다.
2.1. 데이터 주체 식별 및 인증
유럽 IT 인증 기관은 요청하는 데이터 주체의 신원을 확인하기 위한 프로세스를 유지합니다. 여기에는 정부 발급 ID 요청, 기존 기록 확인 또는 기타 인증 방법 사용이 포함될 수 있습니다.
2.2. 정보주체의 요청 확인
데이터 주체의 신원이 확인되면 유럽 IT 인증 기관은 요청이 유효하고 데이터 주체의 개인 데이터와 관련이 있는지 확인해야 합니다. 또한 요청에는 개인 데이터에 액세스, 수정 또는 삭제할 수 있는 권리와 같이 행사 중인 특정 권리가 포함되어야 합니다.
2.3. 요청에 응답
유럽 IT 인증 기관은 관련 데이터 보호법에 명시된 기간 내에 데이터 주체의 요청에 대한 응답을 제공해야 하지만 30일을 넘지 않아야 합니다. 응답에는 요청이 승인되었는지 또는 거부되었는지에 대한 설명과 결정 이유가 포함되어야 합니다.
2.4. 요청 및 응답 문서화
유럽 IT 인증 기관은 모든 데이터 주체 권리 요청 및 응답에 대한 기록을 유지합니다. 이는 관련 데이터 보호법을 준수하고 향후 감사 또는 조사를 용이하게 하는 데 도움이 됩니다.
2.5. 관련 직원 교육
유럽 IT 인증 기관은 관련 데이터 보호법과 그러한 요청을 처리하기 위한 유럽 IT 인증 기관의 절차를 숙지할 수 있도록 데이터 주체 권리 요청 처리를 담당하는 직원에게 교육을 제공합니다.
2.6. 프로세스 모니터링 및 검토
유럽 IT 인증 기관은 데이터 주체 권리 요청을 처리하는 프로세스를 정기적으로 모니터링하고 검토하여 효과를 유지하고 관련 데이터 보호법을 준수하는지 확인합니다. 모든 문제 또는 사고는 적시에 보고되고 해결됩니다.
3부. 데이터 보호 책임자(DPO) 지정
유럽 IT 인증 기관은 요청 검토, 요청에 대한 응답 및 데이터 보호 규정 준수를 포함하여 데이터 주체 권리 요청 관리를 감독하는 DPO를 지정합니다.
3.1. DPO 지정
European IT Certification Institute는 DPO(Data Protection Officer)를 지정하여 데이터 주체 권리 요청 관리를 감독하고 데이터 보호 규정 준수를 보장합니다. DPO는 요청을 검토하고 유럽 IT 인증 기관이 데이터 보호와 관련된 법적 의무를 충족하는지 확인할 책임이 있습니다.
3.2. DPO의 역량 요구 사항
DPO는 데이터 보호법 및 관행에 대한 전문 지식을 보유하고 있어야 하며 책임을 다하는 데 필요한 리소스를 제공받아야 합니다. 그들은 고위 경영진에게 직접 접근할 수 있어야 하며 조직의 최고 경영진에게 보고해야 합니다.
3.3. DPO의 책임
DPO의 책임에는 다음이 포함되지만 이에 국한되지는 않습니다.
- 데이터 주체 권리 요청 관리를 포함하여 데이터 보호 문제에 대해 유럽 IT 인증 기관에 지침 및 조언을 제공합니다.
- 유럽 IT 인증 기관의 데이터 보호 규정 및 내부 정책 및 절차 준수를 모니터링합니다.
- 데이터 보호 규정에 따른 권리에 대한 데이터 주체의 문의 및 불만에 대응합니다.
- 데이터 보호 요구 사항이 조직 전체에서 충족되도록 다른 부서와 조정합니다.
- 유럽 IT 인증 기관의 데이터 보호 관행을 정기적으로 검토 및 평가하고 개선을 위한 권장 사항을 제공합니다.
- 데이터 보호 당국의 연락 창구 역할을 하고 조사 또는 감사 시 협력합니다.
- DPO는 또한 데이터 주체 권리 요청 처리와 관련된 정책을 포함하여 데이터 보호와 관련된 유럽 IT 인증 기관의 정책 및 절차의 개발 및 구현에 관여합니다.
3.4. DPO의 교육 및 자격 개발
유럽 IT 인증 기관은 DPO가 데이터 보호 규정에 대해 적절하게 교육을 받았는지 확인하고 이러한 규정의 변경 사항 또는 업데이트에 대한 최신 정보를 유지하도록 해야 합니다.
3.5. DPO의 연락처 정보
DPO의 연락처 정보는 데이터 주체가 사용할 수 있어야 하며 유럽 IT 인증 기관의 개인 정보 보호 정책 또는 정책에 포함되어야 합니다.
4부. 개인 데이터의 최신 기록 유지
유럽 IT 인증 기관은 보유하고 있는 개인 데이터와 처리 목적에 대한 최신 기록을 유지합니다. 이를 통해 유럽 IT 인증 기관은 데이터 주체 권리 요청에 빠르고 정확하게 대응할 수 있습니다.
4.1. 개인정보 식별 및 기록을 위한 프로세스 수립
유럽 IT 인증 기관은 데이터 주체의 이름, 연락처 정보 및 기타 관련 정보를 포함하여 개인 데이터를 식별하고 기록하기 위한 명확하고 표준화된 프로세스를 수립합니다. 이 프로세스는 개인 데이터가 구체적이고 합법적인 목적으로만 수집되도록 합니다.
4.2. 개인 데이터 분류
유럽 IT 인증 기관은 추적 및 관리하기 쉽도록 개인 데이터를 분류합니다. 여기에는 연락처 정보, 청구 정보, 역량 및 자격, 재무 정보 또는 고용 이력과 같은 유형별 데이터 분류가 포함됩니다.
4.3. 데이터 관리 시스템 구현
유럽 IT 인증 기관은 개인 데이터가 정확하고 최신이며 액세스 가능하도록 데이터 관리 시스템을 구현합니다. 데이터 관리 시스템에는 데이터 주체 권리 요청에 응답하는 데 도움이 되도록 검색 및 쿼리할 수 있는 데이터베이스가 포함되어 있습니다.
4.4. 개인 데이터 기록 유지 관리 책임 부여
유럽 IT 인증 기관은 개인 데이터 기록을 유지 관리할 책임을 특정 개인이나 부서에 할당해야 합니다. 이렇게 하면 기록이 최신 상태로 정확하게 유지됩니다.
4.5. 개인정보에 관한 기록을 정기적으로 검토 및 갱신
유럽 IT 인증 기관은 개인 데이터 기록을 정기적으로 검토하고 업데이트하여 정확하고 최신 상태로 유지되도록 해야 합니다. 이는 정기적인 감사 또는 지속적인 모니터링 프로세스를 통해 수행할 수 있습니다.
4.6. 적절한 보안 조치 구현
유럽 IT 인증 기관은 조직의 정보 보안 정책(ISP)의 일부로 개인 데이터의 무단 액세스, 우발적인 손실 또는 파괴를 방지하는 조치를 포함하여 보유하고 있는 개인 데이터를 보호하기 위한 적절한 보안 조치를 구현합니다. 여기에는 암호화, 방화벽 및 액세스 제어가 포함됩니다. 데이터 보호를 위한 프로세스 및 조치에 대한 자세한 사양은 전담 유럽 IT 인증 기관의 정보 보안 정책에서 다룹니다.
5부. 정보주체에게 명확하고 간결한 정보 제공
개인 데이터를 수집할 때 유럽 IT 인증 기관은 개인 데이터 처리에 대한 액세스, 수정, 삭제 및 반대 권한을 포함하여 데이터 주체의 권리에 대해 명확하고 간결한 정보를 제공합니다.
5.1. 투명도
유럽 IT 인증 기관은 개인 데이터를 투명하게 처리하며 데이터가 사용, 처리 및 저장되는 방법에 대한 간결한 정보를 데이터 주체에게 제공합니다.
5.2. 개인 정보 보호 정책
유럽 IT 인증 기관에는 데이터 주체가 데이터 주체 권리를 행사할 수 있는 방법을 포함하여 데이터 처리 활동을 설명하는 자세한 개인 정보 보호 정책이 있습니다.
5.3. 액세스 권한
데이터 주체는 유럽 IT 인증 기관이 보유하고 있는 개인 데이터에 대한 액세스를 요청할 권리가 있습니다. 유럽 IT 인증 기관은 액세스 요청 방법, 신원 확인에 필요한 정보, 유럽 IT 인증 기관이 요청에 응답하는 데 걸리는 시간에 대해 데이터 주체에게 명확하고 간결한 정보를 제공합니다.
5.4. 수정할 권리
데이터 주체는 유럽 IT 인증 기관이 보유하고 있는 부정확하거나 불완전한 개인 데이터를 수정하도록 요청할 권리가 있습니다. 유럽 IT 인증 기관은 정정 요청 방법, 신원 확인에 필요한 정보, 유럽 IT 인증 기관이 요청에 응답하는 데 걸리는 시간에 대해 데이터 주체에게 명확하고 간결한 정보를 제공합니다.
5.5. 삭제할 권리
데이터 주체는 특정 상황에서 유럽 IT 인증 기관에 개인 데이터를 삭제하도록 요청할 권리가 있습니다. 유럽 IT 인증 기관은 삭제 요청 방법, 신원 확인에 필요한 정보, 유럽 IT 인증 기관이 요청에 응답하는 데 걸리는 시간에 대해 데이터 주체에게 명확하고 간결한 정보를 제공합니다.
5.6. 반대할 권리
데이터 주체는 특정 상황에서 자신의 개인 데이터 처리에 반대할 권리가 있습니다. 유럽 IT 인증 기관은 거부 요청 방법, 신원 확인에 필요한 정보, 유럽 IT 인증 기관이 요청에 응답하는 데 걸리는 시간에 대해 데이터 주체에게 명확하고 간결한 정보를 제공합니다.
5.7. 연락처 정보
유럽 IT 인증 기관은 개인 데이터 처리 방법에 대한 질문이나 우려 사항이 있는 경우 데이터 주체가 사용할 수 있는 명확하고 간결한 연락처 정보를 제공합니다.
파트 6. 표준 응답 시간 설정
유럽 IT 인증 기관은 데이터 주체 권리 요청에 대한 표준 응답 시간을 설정하고 요청이 이 기간 내에 응답되도록 합니다.
6.1. 표준 응답 시간
유럽 IT 인증 기관은 데이터 주체 권리 요청에 대해 30일의 표준 응답 시간을 설정합니다. 표준 응답 시간은 처리 및 응답에 대한 상한 시간을 정의하며 대부분의 요청은 더 짧은 시간 내에 처리 및 응답됩니다.
6.2. 요청 접수 확인 시간
데이터 주체 권리 요청을 수신하면 DPO 또는 기타 직원은 근무일 기준 5일 이내에 요청 수신을 확인하고 응답을 제공하기 위한 예상 시간을 데이터 주체에게 제공합니다.
6.3. 표준 응답 시간의 탁월한 확장
유럽 IT 인증 기관은 정해진 표준 응답 시간 내에 데이터 주체 권리 요청에 응답하기 위해 합당한 노력을 기울일 것입니다. 그러나 요청이 복잡하거나 유럽 IT 인증 기관에서 요청이 많은 경우 응답 시간이 길어질 수 있습니다. 이 경우 DPO는 정보주체에게 연장 및 지연 사유를 알려드립니다.
6.4. 데이터 주체 권리 요청 이행 거부
유럽 IT 인증 기관이 데이터 주체 권리 요청을 이행할 수 없는 경우 데이터 주체에게 거부에 대한 설명을 제공하고 관련 감독 기관에 불만을 제기할 수 있는 권리를 알려줍니다.
6.5. 정보주체 권리 요청 및 응답에 관한 기록
유럽 IT 인증 기관은 요청 접수 날짜, 요청의 성격, 응답 날짜 및 방식을 포함하여 데이터 주체 권리 요청 및 응답에 대한 정확한 기록을 유지합니다.
6.6. 정기 검토
DPO는 유럽 IT 인증 기관의 응답 시간을 정기적으로 검토하고 해당 데이터 보호 규정을 준수하는지 확인하기 위해 필요에 따라 업데이트합니다.
7부. 정보주체 본인 확인
7.1. 신원 확인 요구 사항
유럽 IT 인증 기관은 개인 데이터가 올바른 개인에게만 제공되도록 요청하는 데이터 주체의 신원을 확인해야 합니다.
7.2. 본인 확인 수단 및 방법
정보주체가 정보보호법에 따른 권리 행사를 요청하는 경우 유럽 IT 인증기관은 신원 확인 서류를 요구하는 등 적절한 조치를 통해 정보주체의 신원을 확인해야 합니다.
7.3. 대리인 본인 확인
데이터 주체가 다른 사람을 대신하여 요청하는 경우 유럽 IT 인증 기관은 데이터 주체와 요청을 대신하는 개인의 신원을 모두 확인해야 합니다.
7.4. 신원 확인 의심
유럽 IT 인증 기관이 데이터 주체의 신원 또는 요청의 타당성에 대해 의문이 있는 경우 추가 정보를 요청하거나 데이터 주체의 신원을 확인하기 위한 기타 적절한 조치를 취할 수 있습니다.
7.5. 본인 확인 기록
유럽 IT 인증 기관은 확인 프로세스와 데이터 주체의 신원을 확인하기 위해 취한 조치에 대한 기록을 유지해야 합니다. 이 기록은 합당한 기간 동안 보관되어야 하며 데이터 보호법 준수를 입증하는 데 사용되어야 합니다.
8부. 정보주체의 권리 요청에 대한 신속한 대응
8.1. 프롬프트 응답
유럽 IT 인증 기관은 데이터 주체 권리 요청에 신속하게 응답하고 요청한 정보를 데이터 주체에게 제공합니다.
8.2. 영수증 확인 요청
유럽 IT 인증 기관은 가능한 한 빨리, 이상적으로는 영업일 기준 5일 이내에 데이터 주체의 요청을 접수했음을 인정합니다.
8.3. 검토 요청
지정된 DPO는 요청이 필수 요건을 충족하고 필요한 모든 정보가 제공되었는지 확인하기 위해 요청을 검토해야 합니다.
8.4. 데이터 주체 신원 확인
유럽 IT 인증 기관은 개인 데이터가 올바른 개인에게만 제공되도록 요청하는 데이터 주체의 신원을 확인합니다.
8.5. 필요한 경우 추가 정보 얻기
요청이 불분명하거나 불충분한 경우 유럽 IT 인증 기관은 데이터 주체에게 연락하여 추가 정보를 얻어야 합니다.
8.5. 관련 데이터 검색
유럽 IT 인증 기관은 관련 개인 데이터를 검색하고 검토하여 정확하고 최신인지 확인합니다.
8.6. 요청된 정보 제공
유럽 IT 인증 기관은 달리 요청하지 않는 한 일반적으로 사용되는 전자 형식의 개인 데이터 사본을 포함하여 데이터 주체가 요청한 정보를 데이터 주체에게 제공합니다.
8.7. 데이터 주체에게 그들의 권리를 알리십시오
유럽 IT 인증 기관은 개인 데이터를 수정하거나 삭제할 수 있는 권리와 같은 다른 권리를 데이터 주체에게 알리고 필요한 지침을 제공합니다.
8.8. 응답 시간 준수
유럽 IT 인증 기관은 설정된 응답 시간 내에 데이터 주체 권리 요청에 응답하여 요청을 준수하기 위해 필요한 조치를 취하도록 합니다.
8.9. 응답 문서화
유럽 IT 인증 기관은 준수 목적으로 감사 및 추적할 수 있도록 하기 위해 수행된 조치 및 응답 시간을 포함하여 데이터 주체 권한 요청에 대한 응답을 문서화합니다.
8.10. 변경 사항을 데이터 주체에게 알리기
정보 주체의 요청에 따라 정보 주체의 개인 데이터가 변경된 경우 유럽 IT 인증 기관은 이러한 변경 사항을 정보 주체에게 알립니다.
9부. 데이터 주체 권리 요청 문서화
유럽 IT 인증 기관은 요청 날짜, 요청의 성격 및 요청에 대한 응답을 포함하여 데이터 주체 권리 요청에 대한 기록을 유지합니다. 데이터 주체 권리 요청 문서화에는 다음과 같은 측면이 포함됩니다.
9.1. 등록 유지
유럽 IT 인증 기관은 수신된 모든 데이터 주체 권리 요청을 캡처하는 등록부를 유지 관리합니다. 이 레지스터는 다음 세부 정보를 캡처해야 합니다.
- 요청 날짜
- 데이터 주체의 이름 및 연락처 정보
- 요청에 대한 설명
- 요청에 대한 응답으로 취한 조치
- 요청을 처리하는 데 필요한 추가 정보
9.2. 문서화를 위한 표준화된 프로세스
유럽 IT 인증 기관은 수집된 정보의 일관성과 정확성을 보장하기 위해 데이터 주체 권리 요청을 문서화하기 위한 표준화된 프로세스를 실행합니다.
9.3. 보유 기간
유럽 IT 인증 기관은 해당 법률 및 규정에 따라 2년 이상 합당한 기간 동안 이러한 기록을 유지합니다.
9.4. 기밀 유지
유럽 IT 인증 기관(European IT Certification Institute)은 의무를 수행하는 동안 해당 정보에 액세스해야 하는 승인된 직원만 데이터 주체 권리 요청 기록에 액세스할 수 있도록 합니다. 또한 데이터 주체 권리 요청 기록에 포함된 개인 데이터의 무단 액세스, 공개, 변경 또는 파괴를 방지하기 위한 기술적 및 조직적 조치를 구현합니다.
9.5. 보고
유럽 IT 인증 기관은 수신, 처리 및 처리되지 않은 데이터 주체 권리 요청에 대한 보고서를 주기적으로 생성합니다. 이 보고서는 고위 경영진 및 DPO를 포함한 관련 이해 관계자와 공유됩니다.
9.6 분석
유럽 IT 인증 기관은 데이터 주체 권리 요청에 대한 추세 분석을 수행하여 요청의 패턴과 근본 원인을 식별합니다. 이 정보는 이러한 요청을 더 잘 관리하기 위해 프로세스 및 절차를 개선하는 데 사용됩니다.
파트 10. 프로세스 모니터링 및 검토
유럽 IT 인증 기관은 데이터 주체 권리 요청을 처리하는 프로세스를 정기적으로 모니터링하고 검토하여 효과를 유지하고 GDPR을 준수하는지 확인합니다.
10.1. 정기 검토 실시
유럽 IT 인증 기관은 데이터 주체 권리 요청 처리 프로세스 및 GDPR 준수 정책을 주기적으로 검토하여 효과적이고 데이터 보호 규정을 준수하는지 확인합니다. 이러한 검토에는 접수된 요청의 수와 유형, 응답의 적시성 및 효율성, 개선이 필요한 영역에 대한 분석이 포함됩니다.
10.2. 개선의 구현
검토 결과에 따라 유럽 IT 인증 기관은 데이터 주체 권리 요청 처리 프로세스에 필요한 모든 개선 사항을 구현합니다. 여기에는 절차 업데이트, 직원을 위한 추가 교육 또는 요청 확인 및 응답 방식 변경이 포함될 수 있습니다.
10.3. 지속적인 규정 준수 보장
유럽 IT 인증 기관은 관련 법률 및 규정의 변경 사항에 따라 정책 및 절차를 정기적으로 검토하고 업데이트하여 데이터 보호 규정을 지속적으로 준수하도록 합니다.
10.4. 직원 성과 모니터링
유럽 IT 인증 기관은 응답의 품질 및 적시성을 포함하여 데이터 주체 권리 요청 처리와 관련하여 직원 성과를 모니터링합니다. 여기에는 직원이 이 분야에 대한 지식과 능력을 갖추도록 하기 위한 정기적인 교육 및 성과 검토가 포함될 수 있습니다.
10.5. 데이터 주체와의 커뮤니케이션
유럽 IT 인증 기관은 요청 처리 프로세스 전반에 걸쳐 데이터 주체와 통신하여 진행 상황 및 관련 정보를 지속적으로 알 수 있도록 합니다. 여기에는 요청 상태에 대한 업데이트 제공 또는 필요에 따라 추가 정보 요청이 포함될 수 있습니다.
10.6. 기록 유지
유럽 IT 인증 기관은 데이터 주체 권리 요청 처리 프로세스에 대한 변경 사항과 데이터 주체로부터 받은 피드백을 포함하여 검토 기록을 유지합니다. 이 정보는 지속적인 규정 준수 노력을 지원하고 추가 개선이 필요한 영역을 식별하는 데 사용할 수 있습니다.
11부. 처리 활동 기록 수립
유럽 IT 인증 기관은 조직에서 수행하는 개인 데이터 처리를 설명하는 문서인 처리 활동 기록을 유지 관리합니다. EU 일반 데이터 보호 규정(GDPR)에 따라 요구되며 데이터 처리 활동에 대한 이해를 지원하고 GDPR 준수를 입증하기 위한 것입니다.
11.1. ROPA 구조
ROPA에는 조직의 이름 및 연락처, 데이터 처리 목적, 처리되는 개인 데이터 범주, 개인 데이터 수신자 및 개인 데이터 보유 기간에 대한 기본 정보가 포함됩니다. 또한 조직을 대신하여 개인 데이터를 처리하는 제XNUMX자 처리자에 대한 정보도 포함됩니다.
11.2. ROPA 정기 업데이트
ROPA는 정기적으로 업데이트되며 데이터 주체와의 신뢰 구축을 지원하는 유럽 IT 인증 기관의 데이터 처리 활동의 변경 사항을 반영하는 살아있는 문서입니다.
유럽 IT 인증 기관은 데이터 주체 권리 요청 관리 및 일반 데이터 보호 규정 정책과 관련하여 최고 수준을 유지하기 위해 최선을 다하고 있으며, 이러한 문제와 관련된 모든 적용 가능한 법률 및 규정은 물론 선도적인 업계 표준을 준수하는지 확인합니다. ISO 27701 개인 정보 관리 시스템을 포함한 모범 사례.