DSRRM болон GDPR бодлого
EITCA Академийн мэдээллийн субьектийн эрхийн хүсэлтийн удирдлага, мэдээлэл хамгаалах ерөнхий зохицуулалтын талаарх бодлого
Энэхүү баримт бичиг нь Европын мэдээллийн технологийн гэрчилгээжүүлэлтийн хүрээлэнгийн мэдээллийн субьектийн эрхийн хүсэлтийн менежментийн бодлого, түүнчлэн ЕХ-ны мэдээлэл хамгаалах ерөнхий журмын хэрэгжилтийг тодорхойлсон бөгөөд үр дүнтэй, хамааралтай эсэхийг баталгаажуулахын тулд тогтмол хянаж, шинэчилж байдаг. EITCI-ын өгөгдлийн субьектийн эрхийн хүсэлтийн удирдлага болон GDPR бодлогын сүүлийн шинэчлэлтийг 10 оны 2023-р сарын 27701-нд хийсэн. Манай өгөгдлийн субьектийн эрхийн хүсэлтийн удирдлага болон GDPR бодлого нь ISO 27001 нууцлалын мэдээллийн удирдлагын системийн ISO 2016 мэдээллийн аюулгүй байдлын өргөтгөлийн зарчимд суурилдаг. Системийн стандарт, түүнчлэн Мэдээлэл хамгаалах ерөнхий дүрмийн шаардлагын дагуу (679/XNUMX).
1-р хэсэг. Оршил
Өгөгдлийн субьектийн эрхийн хүсэлтийг удирдах нь өгөгдөл хамгаалах журам, тухайлбал GDPR (ЕХ-ны Мэдээллийн Хамгаалалтын Ерөнхий журам)-ыг дагаж мөрдөхийн чухал хэсэг юм. Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь мэдээллийн субьектийн эрхийн хүсэлтийг удирдах, GDPR-ийн шаардлагыг хэрэгжүүлэх дараах албан ёсны журмыг тодорхойлсон.
1.1. Өгөгдлийн субьектийн эрхийн хүсэлтийг шийдвэрлэх үйл явцыг бий болгох
Энэхүү үйл явц нь мэдээллийн субьектийн эрхийн хүсэлтийг шийдвэрлэхдээ мэдээллийн субьектийг таних, баталгаажуулах, өгөгдлийн субьектийн хүсэлтийг шалгах, хүсэлтэд хариу өгөх зэрэг Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэнгийн дагаж мөрдөх алхмуудыг тоймлон харуулсан болно.
1.2. Мэдээлэл хамгаалах ажилтан (DPO) томилох
Европын мэдээллийн технологийн гэрчилгээжүүлэлтийн хүрээлэн нь өгөгдлийн субьектийн эрхийн хүсэлтийн удирдлага, тухайлбал хүсэлтийг хянах, хүсэлтэд хариу өгөх, мэдээлэл хамгаалах дүрэм журмыг дагаж мөрдөхийг хянах үүрэгтэй DPO-г томилдог.
1.3. Хувийн мэдээллийн хамгийн сүүлийн үеийн бүртгэл хөтлөх
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь өөрийн эзэмшиж буй хувийн мэдээлэл болон түүнийг боловсруулж буй зорилгынхоо хамгийн сүүлийн үеийн бүртгэлийг хөтөлдөг. Энэ нь Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэнд мэдээллийн субьектийн эрхийн хүсэлтэд хурдан бөгөөд үнэн зөв хариу өгөх боломжийг олгоно.
1.4. Мэдээллийн субъектуудад тодорхой бөгөөд товч мэдээлэл өгөх
Хувийн мэдээллийг цуглуулахдаа Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь мэдээллийн субьектүүдэд хувийн мэдээлэлдээ хандах, засварлах, устгах, боловсруулахыг эсэргүүцэх зэрэг эрхийн талаар тодорхой бөгөөд товч мэдээлэл өгдөг.
1.5. Стандарт хариу өгөх хугацааг бий болгох
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь өгөгдлийн субьектийн эрхийн хүсэлтэд стандарт хариу өгөх хугацааг барьж, хүсэлтэд энэ хугацаанд хариу өгөхийг баталгаажуулдаг.
1.6. Өгөгдлийн субьектийн хэн болохыг баталгаажуулах
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь хувийн мэдээллийг зөвхөн зөв хүнд өгөхийн тулд хүсэлт гаргасан өгөгдлийн субьектийн хэн болохыг баталгаажуулдаг.
1.7. Мэдээллийн субьектийн эрхийн хүсэлтэд цаг алдалгүй хариу өгөх
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь мэдээллийн субьектийн эрхийн хүсэлтэд цаг алдалгүй хариу өгч, мэдээллийн субьектийг хүссэн мэдээллээр хангадаг.
1.8. Өгөгдлийн субьектийн эрхийн хүсэлтийг баримтжуулах
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь хүсэлтийн огноо, хүсэлтийн шинж чанар, хүсэлтийн хариу зэрэг мэдээллийн субьектийн эрхийн хүсэлтийн бүртгэлийг хөтөлдөг.
1.9. Үйл явцыг хянах, хянах
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь мэдээллийн субьектийн эрхийн хүсэлтийг шийдвэрлэх үйл явц нь үр дүнтэй, өгөгдөл хамгаалах холбогдох дүрэм журамд нийцэж байгаа эсэхийг тогтмол хянаж, хянаж байдаг.
1.10. Боловсруулалтын үйл ажиллагааны бүртгэлийг бий болгох
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь боловсруулах үйл ажиллагааны бүртгэлийг хөтөлдөг бөгөөд энэ нь тухайн байгууллагын хувийн мэдээллийг боловсруулах үйл явцыг харуулсан баримт бичиг юм. Энэ нь ЕХ-ны Мэдээллийн Хамгаалалтын Ерөнхий Дүрэм (GDPR)-ийн дагуу шаардлагатай бөгөөд өгөгдөл боловсруулах үйл ажиллагааны талаархи ойлголтыг дэмжих, GDPR-д нийцэж байгааг харуулах зорилготой юм.
Эдгээр албан ёсны болон журмыг дагаж мөрдвөл Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь өгөгдлийн субьектийн эрхийн хүсэлтийг үр дүнтэй удирдаж, өгөгдөл хамгаалах журам, тэр дундаа Европын Холбооны Мэдээллийг хамгаалах ерөнхий журамд нийцэж байгаа эсэхийг баталгаажуулах боломжтой.
2-р хэсэг. Өгөгдлийн субьектийн эрхийн хүсэлтийг шийдвэрлэх үйл явцыг бий болгох
Энэхүү үйл явц нь өгөгдлийн субьектийн эрхийн хүсэлтийг шийдвэрлэхдээ мэдээллийн субьектийг тодорхойлох, баталгаажуулах, өгөгдлийн субьектийн хүсэлтийг баталгаажуулах, хүсэлтэд хариу өгөх зэрэг Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэнгийн дагаж мөрдөх алхмуудыг тоймлон харуулав.
2.1. Өгөгдлийн субьектийг тодорхойлох, баталгаажуулах
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь хүсэлт гаргаж буй өгөгдлийн субьектийн хэн болохыг баталгаажуулах үйл явцыг явуулдаг. Үүнд засгийн газраас олгосон үнэмлэхийг хүсэх, одоо байгаа бүртгэлтэй харьцуулах эсвэл баталгаажуулах бусад аргыг ашиглах зэрэг багтаж болно.
2.2. Өгөгдлийн субьектийн хүсэлтийг шалгаж байна
Мэдээллийн субьектийн хэн болохыг тогтоосны дараа Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн хүсэлт нь хүчинтэй бөгөөд өгөгдлийн субьектийн хувийн мэдээлэлтэй холбоотой эсэхийг шалгах ёстой. Хүсэлт нь мөн хувийн мэдээлэлд хандах, засварлах, устгах эрх гэх мэт хэрэгжиж буй тодорхой эрхийг агуулсан байх ёстой.
2.3. Хүсэлтэд хариу өгч байна
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь мэдээллийн субьектийн хүсэлтийн хариуг холбогдох өгөгдөл хамгаалах хуулинд заасан хугацаанд өгөх ёстой, гэхдээ 30 хоногоос хэтрэхгүй. Хариултад хүсэлтийг хангасан эсхүл татгалзсан эсэх, шийдвэрийн үндэслэлийг тусгасан байна.
2.4. Хүсэлт, хариуг баримтжуулах
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь мэдээллийн субьектийн эрхийн талаархи бүх хүсэлт, хариултын бүртгэлийг хөтөлдөг. Энэ нь холбогдох өгөгдөл хамгаалах хууль тогтоомжийг дагаж мөрдөх, цаашдын аудит эсвэл мөрдөн байцаалтыг хөнгөвчлөхөд тусалдаг.
2.5. Холбогдох ажилтнуудыг сургах
Мэдээллийн технологийн гэрчилгээжүүлэх Европын хүрээлэн нь өгөгдлийн субьектийн эрхийн хүсэлтийг шийдвэрлэх үүрэгтэй ажилтнуудад холбогдох өгөгдөл хамгаалах хууль тогтоомж болон Европын мэдээллийн технологийн гэрчилгээжүүлэлтийн хүрээлэнгийн ийм хүсэлтийг шийдвэрлэх журамтай танилцсан байхын тулд сургалт явуулна.
2.6. Үйл явцыг хянах, хянах
Мэдээллийн технологийн гэрчилгээжүүлэх Европын хүрээлэн нь мэдээллийн субьектийн эрхийн хүсэлтийг шийдвэрлэх үйл явцыг үр дүнтэй, өгөгдөл хамгаалах холбогдох хууль тогтоомжид нийцэж байгаа эсэхийг тогтмол хянаж, хянаж байдаг. Аливаа асуудал, зөрчлийг цаг тухайд нь мэдээлж, шийдвэрлэдэг.
3-р хэсэг. Мэдээлэл хамгаалах ажилтан (DPO) томилох
Европын мэдээллийн технологийн гэрчилгээжүүлэлтийн хүрээлэн нь өгөгдлийн субьектийн эрхийн хүсэлтийн удирдлага, тухайлбал хүсэлтийг хянах, хүсэлтэд хариу өгөх, мэдээлэл хамгаалах дүрэм журмыг дагаж мөрдөхийг хянах үүрэгтэй DPO-г томилдог.
3.1. DPO-г томилох
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь өгөгдлийн субьектийн эрхийн хүсэлтийн удирдлагыг хянах, мэдээлэл хамгаалах дүрэм журмыг дагаж мөрдөхийг баталгаажуулах зорилгоор Өгөгдөл Хамгаалах Ажилтныг (DPO) томилдог. DPO нь хүсэлтийг хянан үзэж, Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн мэдээлэл хамгаалахтай холбоотой хуулиар хүлээсэн үүргээ биелүүлж байгаа эсэхийг шалгах үүрэгтэй.
3.2. DPO-ийн ур чадварын шаардлага
DPO нь өгөгдөл хамгаалах хууль тогтоомж, практикийн талаар мэргэжлийн мэдлэгтэй байх ёстой бөгөөд үүргээ биелүүлэхэд шаардлагатай нөөцөөр хангагдсан байх ёстой. Тэд дээд удирдлагад шууд хандаж, байгууллагын дээд удирдлагын түвшинд тайлагнадаг байх ёстой.
3.3. DPO-ийн үүрэг хариуцлага
DPO-ийн үүрэг хариуцлагад дараахь зүйлс орно, гэхдээ үүгээр хязгаарлагдахгүй.
- Мэдээллийн субьектийн эрхийн хүсэлтийг удирдах зэрэг өгөгдөл хамгаалах асуудлаар Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэнд заавар, зөвлөгөө өгөх.
- Мэдээллийн технологийн гэрчилгээжүүлэлтийн Европын хүрээлэнгээс өгөгдөл хамгаалах журам, дотоод бодлого, журамд нийцэж байгаа эсэхэд хяналт тавих.
- Мэдээллийн субьектүүдээс мэдээлэл хамгаалах журмын дагуу тэдний эрхийн талаарх хүсэлт, гомдолд хариу өгөх.
- Байгууллага даяар өгөгдөл хамгаалах шаардлагыг хангахын тулд бусад хэлтэстэй хамтран ажиллах.
- Европын мэдээллийн технологийн гэрчилгээжүүлэлтийн хүрээлэнгийн өгөгдөл хамгаалах практикт үе үе үзлэг, үнэлгээ хийж, сайжруулах зөвлөмж өгөх.
- Мэдээллийг хамгаалах байгууллагуудтай холбоо барих цэг болж, мөрдөн байцаалт, аудитын үед тэдэнтэй хамтран ажиллах.
- DPO нь мэдээллийн субьектийн эрхийн хүсэлтийг шийдвэрлэхтэй холбоотой мэдээллийг хамгаалахтай холбоотой Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэнгийн бодлого, журмыг боловсруулж, хэрэгжүүлэхэд оролцдог.
3.4. DPO-ийн сургалт, мэргэжил дээшлүүлэх
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь DPO-г өгөгдөл хамгаалах журмын талаар зохих ёсоор сургаж, эдгээр журамд гарсан аливаа өөрчлөлт, шинэчлэлтийн талаар байнга мэдээлж байх ёстой.
3.5. DPO-ийн холбоо барих мэдээлэл
DPO-ийн холбоо барих мэдээллийг өгөгдлийн субьектүүдэд нээлттэй болгож, Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэнгийн нууцлалын мэдэгдэл эсвэл бодлогод оруулах ёстой.
4-р хэсэг. Хувийн мэдээллийн хамгийн сүүлийн үеийн бүртгэл хөтлөх
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь өөрийн эзэмшиж буй хувийн мэдээлэл болон түүнийг боловсруулж буй зорилгынхоо хамгийн сүүлийн үеийн бүртгэлийг хөтөлдөг. Энэ нь Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэнд мэдээллийн субьектийн эрхийн хүсэлтэд хурдан бөгөөд үнэн зөв хариу өгөх боломжийг олгоно.
4.1. Хувийн мэдээллийг тодорхойлох, бүртгэх үйл явцыг бий болгох
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь өгөгдлийн субьектийн нэр, холбоо барих мэдээлэл болон бусад холбогдох мэдээллийг багтаасан хувийн мэдээллийг тодорхойлох, бүртгэх тодорхой бөгөөд стандартчилсан үйл явцыг бий болгодог. Энэ үйл явц нь хувийн мэдээллийг зөвхөн тодорхой, хууль ёсны зорилгоор цуглуулахыг баталгаажуулдаг.
4.2. Хувийн мэдээллийг ангилах
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь хувийн мэдээллийг хянах, удирдахад хялбар болгох үүднээс ангилдаг. Үүнд холбоо барих мэдээлэл, төлбөрийн мэдээлэл, ур чадвар, мэргэшил, санхүүгийн мэдээлэл, ажил эрхлэлтийн түүх зэрэг өгөгдлийг төрлөөр нь ангилах зэрэг орно.
4.3. Мэдээллийн удирдлагын системийг нэвтрүүлэх
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь хувийн мэдээллийг үнэн зөв, шинэчлэгдсэн, хүртээмжтэй байлгахад туслах мэдээллийн удирдлагын системийг хэрэгжүүлдэг. Өгөгдлийн удирдлагын систем нь өгөгдлийн субьектийн эрхийн хүсэлтэд хариу өгөхөд туслах зорилгоор хайж, асууж болох мэдээллийн санг агуулдаг.
4.4. Хувийн мэдээллийн бүртгэл хөтлөх үүрэг хариуцлагыг хуваарилах
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь хувийн мэдээллийн бүртгэлийг тодорхой хувь хүн эсвэл хэлтэст хариуцах ёстой. Энэ нь бүртгэлийг шинэчилж, үнэн зөв байлгах боломжийг олгоно.
4.5. Хувийн мэдээллийн бүртгэлийг тогтмол хянаж, шинэчлэх
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь хувийн мэдээллийн бүртгэлийг үнэн зөв, шинэчлэгдсэн хэвээр байлгахын тулд тогтмол хянаж, шинэчилж байх ёстой. Үүнийг үе үе аудит хийх эсвэл байнгын мониторинг хийх замаар хийж болно.
4.6. Аюулгүй байдлын зохих арга хэмжээг хэрэгжүүлэх
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь байгууллагын Мэдээллийн аюулгүй байдлын бодлогын (ISP) нэг хэсэг болгон хувийн мэдээллийг зөвшөөрөлгүй нэвтрэх, санамсаргүй байдлаар алдах, устгахаас урьдчилан сэргийлэх арга хэмжээнүүдийг багтаасан хувийн мэдээллээ хамгаалахын тулд зохих аюулгүй байдлын арга хэмжээг хэрэгжүүлдэг. Үүнд шифрлэлт, галт хана, хандалтын хяналт орно. Мэдээлэл хамгаалах үйл явц, арга хэмжээний нарийвчилсан тодорхойлолтыг Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэнгийн мэдээллийн аюулгүй байдлын бодлогод тусгасан болно.
5-р хэсэг. Мэдээллийн субъектуудад тодорхой бөгөөд товч мэдээлэл өгөх
Хувийн мэдээллийг цуглуулахдаа Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь мэдээллийн субьектүүдэд хувийн мэдээлэлдээ хандах, засварлах, устгах, боловсруулахыг эсэргүүцэх зэрэг эрхийн талаар тодорхой бөгөөд товч мэдээлэл өгдөг.
5.1. Ил тод байдал
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь хувийн мэдээллийг боловсруулахдаа ил тод бөгөөд мэдээллийн субьектүүдэд тэдний өгөгдлийг хэрхэн ашиглаж, боловсруулж, хадгалж байгаа талаар товч мэдээлэл өгдөг.
5.2. Нууцлалын бодлого
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь мэдээллийн субьектүүд өгөгдлийн субьектийн эрхээ хэрхэн хэрэгжүүлэх зэрэг мэдээлэл боловсруулах үйл ажиллагаагаа тодорхойлсон нууцлалын нарийвчилсан бодлоготой.
5.3. Нэвтрэх эрх
Мэдээллийн субьект нь Европын мэдээллийн технологийн гэрчилгээжүүлэлтийн хүрээлэнгийн тэдний талаарх хувийн мэдээлэлд хандах хүсэлт гаргах эрхтэй. Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь мэдээллийн субьектүүдэд хандах хүсэлтийг хэрхэн гаргах, хэн болохыг баталгаажуулахын тулд ямар мэдээлэл шаардагдах, Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн хүсэлтэд хариу өгөхөд хэр хугацаа шаардагдах талаар тодорхой бөгөөд товч мэдээллийг өгдөг.
5.4. Залруулах эрх
Мэдээллийн субьект нь Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэнгээс өөрийн эзэмшиж буй аливаа буруу эсвэл бүрэн бус хувийн мэдээллийг засахыг шаардах эрхтэй. Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь өгөгдлийн субьектүүдэд хэрхэн залруулах хүсэлт гаргах, тэдний биеийн байцаалтыг баталгаажуулахын тулд ямар мэдээлэл шаардагдах, Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн хүсэлтэд хариу өгөхөд хэр хугацаа шаардагдах талаар тодорхой бөгөөд товч мэдээлэл өгдөг.
5.5. Устгах эрх
Мэдээллийн субьект нь тодорхой нөхцөлд Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэнгээс хувийн мэдээллээ устгахыг шаардах эрхтэй. Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь мэдээллийн субьектүүдэд хэрхэн устгах хүсэлт гаргах, тэдний хувийн мэдээллийг баталгаажуулахад ямар мэдээлэл шаардагдах, Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн хүсэлтэд хариу өгөхөд хэр хугацаа шаардагдах талаар тодорхой бөгөөд товч мэдээлэл өгдөг.
5.6. Эсэргүүцэх эрх
Мэдээллийн субъектууд тодорхой нөхцөл байдалд хувийн мэдээллээ боловсруулахыг эсэргүүцэх эрхтэй. Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь өгөгдлийн субьектүүдэд хэрхэн эсэргүүцэх хүсэлт гаргах, тэдний хэн болохыг баталгаажуулахын тулд ямар мэдээлэл шаардагдах, Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн хүсэлтэд хариу өгөхөд хэр хугацаа шаардагдах талаар тодорхой бөгөөд товч мэдээлэл өгдөг.
5.7 дугаартай. Холбогдох мэдээлэл
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь өгөгдлийн субьектүүдэд хувийн мэдээллээ хэрхэн боловсруулж байгаа талаар асуулт, санаа зовж байгаа тохиолдолд ашиглах боломжтой холбоо барих мэдээллийг тодорхой бөгөөд товч өгдөг.
6-р хэсэг. Стандарт хариу өгөх хугацааг тогтоох
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь өгөгдлийн субьектийн эрхийн хүсэлтэд стандарт хариу өгөх хугацааг тогтоож, хүсэлтэд энэ хугацаанд хариу өгөхийг баталгаажуулдаг.
6.1. Стандарт хариу өгөх хугацаа
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь мэдээллийн субьектийн эрхийн хүсэлтэд 30 хоногийн стандарт хариу өгөх хугацааг тогтоодог. Стандарт хариу өгөх хугацаа нь боловсруулах, хариу өгөх дээд хугацааг тодорхойлдог бөгөөд ихэнх хүсэлтийг боловсруулж, богино хугацаанд хариу өгдөг.
6.2. Хүсэлт хүлээн авсныг хүлээн зөвшөөрөх хугацаа
Мэдээллийн субьектийн эрхийн хүсэлтийг хүлээн авсны дараа DPO эсвэл бусад ажилтнууд ажлын 5 өдрийн дотор хүсэлтийг хүлээн авснаа мэдэгдэж, хариу өгөх тооцоолсон хугацааг мэдээллийн субьектэд өгнө.
6.3. Стандарт хариу өгөх хугацааны онцгой өргөтгөлүүд
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь өгөгдлийн субьектийн эрхийн хүсэлтэд тогтоосон стандарт хариу хугацаанд хариу өгөхийн тулд боломжийн хүчин чармайлт гаргах болно. Гэсэн хэдий ч хэрэв хүсэлт нь нарийн төвөгтэй эсвэл Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэнд маш их хэмжээний хүсэлт ирвэл хариу өгөх хугацааг сунгаж болно. Ийм тохиолдолд DPO нь өгөгдлийн субьектэд сунгалт болон хойшлуулсан шалтгааныг мэдэгдэнэ.
6.4. Мэдээллийн субьектийн эрхийн хүсэлтийг биелүүлэхээс татгалзах
Хэрэв Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь мэдээллийн субьектийн эрхийн хүсэлтийг биелүүлэх боломжгүй бол өгөгдлийн субьектэд татгалзсан тайлбарыг өгч, холбогдох хяналтын байгууллагад гомдол гаргах эрхийнхээ талаар мэдээлнэ.
6.5. Мэдээллийн субьектийн эрхийн хүсэлт, хариултын бүртгэл
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь хүсэлтийг хүлээн авсан огноо, хүсэлтийн шинж чанар, хариу өгөх огноо, хэлбэр зэрэг мэдээллийн субьектийн эрхийн хүсэлт, хариултын үнэн зөв бүртгэлийг хөтөлнө.
6.6. Үе үе тойм
DPO нь Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэнгийн хариу өгөх хугацааг үе үе хянаж, холбогдох өгөгдөл хамгаалах журамд нийцэж байгаа эсэхийг баталгаажуулахын тулд шаардлагатай бол шинэчлэх болно.
7-р хэсэг. Өгөгдлийн субьектийн хэн болохыг баталгаажуулах
7.1. Иргэний үнэмлэхийг баталгаажуулах шаардлага
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь хувийн мэдээллийг зөвхөн зөв хүнд өгсөн эсэхийг баталгаажуулахын тулд хүсэлт гаргасан өгөгдлийн субьектийн хэн болохыг баталгаажуулах ёстой.
7.2. Иргэний үнэмлэхийг баталгаажуулах арга, хэрэгсэл
Мэдээллийн субьект нь өгөгдөл хамгаалах хуулийн дагуу эрхээ хэрэгжүүлэх хүсэлт гаргах үед Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь таних бичиг баримтыг шаардах зэрэг зохих арга хэмжээг ашиглан мэдээллийн субьектийн хэн болохыг баталгаажуулах ёстой.
7.3. Прокси эзэмшигчийн хувийн мэдээллийг баталгаажуулах
Хэрэв өгөгдлийн субъект өөр хэн нэгний нэрийн өмнөөс хүсэлт гаргаж байгаа бол Европын мэдээллийн технологийн гэрчилгээжүүлэлтийн хүрээлэн нь тухайн мэдээллийн субьект болон түүний өмнөөс хүсэлт гаргаж буй хувь хүний хэн болохыг баталгаажуулах ёстой.
7.4. Хувийн мэдээллийг баталгаажуулах эргэлзээ
Хэрэв Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь өгөгдлийн субьектийн таних эсэх эсвэл хүсэлтийн хүчин төгөлдөр эсэхэд эргэлзэж байвал нэмэлт мэдээлэл авах эсвэл өгөгдлийн субьектийн хэн болохыг баталгаажуулахын тулд бусад зохих арга хэмжээг авч болно.
7.5. Иргэний үнэмлэхийг баталгаажуулах бүртгэл
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь баталгаажуулалтын үйл явц болон өгөгдлийн субьектийн хэн болохыг баталгаажуулахын тулд авсан арга хэмжээний бүртгэлийг хөтөлж байх ёстой. Энэхүү бүртгэлийг боломжийн хугацаанд хадгалж, мэдээлэл хамгаалах хууль тогтоомжид нийцэж байгааг харуулахад ашиглах ёстой.
8-р хэсэг. Мэдээллийн субьектийн эрхийн хүсэлтэд цаг алдалгүй хариу өгөх
8.1. Түргэн шуурхай хариу арга хэмжээ
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь мэдээллийн субьектийн эрхийн хүсэлтэд цаг алдалгүй хариу өгч, мэдээллийн субьектэд тэдний хүссэн мэдээллээр хангадаг.
8.2. Баримт бичгийг хүлээн авах хүсэлт гаргах
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь мэдээллийн субьектийн хүсэлтийг аль болох хурдан, хамгийн тохиромжтой нь ажлын 5 хоногийн дотор хүлээн авахыг хүлээн зөвшөөрдөг.
8.3. Шалгах хүсэлт гаргах
Томилогдсон DPO нь хүсэлтийг шаардлагатай шаардлагад нийцэж байгаа эсэх, шаардлагатай бүх мэдээллээр хангагдсан эсэхийг шалгах ёстой.
8.4. Өгөгдлийн субьектийн хувийн байдлыг шалгах
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь хувийн мэдээллийг зөвхөн зөв хүнд өгөхийн тулд хүсэлт гаргасан өгөгдлийн субьектийн хэн болохыг баталгаажуулдаг.
8.5. Шаардлагатай бол нэмэлт мэдээлэл авах
Хэрэв хүсэлт нь тодорхойгүй эсвэл хангалтгүй байвал Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн мэдээллийн субьекттэй холбогдож нэмэлт мэдээлэл авна.
8.5. Холбогдох өгөгдлийг татаж байна
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь холбогдох хувийн мэдээллийг авч, үнэн зөв, шинэчлэгдсэн эсэхийг шалгадаг.
8.6. Хүссэн мэдээллээр хангах
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь өгөгдлийн субьектэд өөр хүсэлт гаргаагүй бол тэдний хүссэн мэдээллээр, түүний дотор хувийн мэдээллийн хуулбарыг түгээмэл хэрэглэгддэг цахим хэлбэрээр өгдөг.
8.7. Мэдээллийн субьектэд тэдний эрхийн талаар мэдэгдэх
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь өгөгдлийн субьектэд хувийн мэдээллээ засах, устгах зэрэг бусад эрхийн талаар мэдээлж, шаардлагатай зааварчилгааг өгдөг.
8.8. Хариу өгөх хугацааг дагаж мөрдөх
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь өгөгдлийн субьектийн эрхийн хүсэлтэд тогтоосон хариу хугацаанд хариу өгч, хүсэлтийг биелүүлэхийн тулд шаардлагатай арга хэмжээг авахыг баталгаажуулдаг.
8.9. Хариултыг баримтжуулах
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь өгөгдлийн субьектийн эрхийн хүсэлтэд өгсөн хариу арга хэмжээ, хариу өгөх хугацааг багтаасан баримт бичгийг дагаж мөрдөх зорилгоор аудит хийж, хянах боломжтой.
8.10. Аливаа өөрчлөлтийн талаар өгөгдлийн субьектэд мэдэгдэх
Хэрэв өгөгдлийн субьектийн хувийн мэдээлэлд тэдний хүсэлтийн дагуу ямар нэгэн өөрчлөлт орсон бол Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн эдгээр өөрчлөлтийн талаар мэдээллийн субьектэд мэдэгдэнэ.
9-р хэсэг. Өгөгдлийн субьектийн эрхийн хүсэлтийг баримтжуулах
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь хүсэлтийн огноо, хүсэлтийн шинж чанар, хүсэлтийн хариу зэрэг мэдээллийн субьектийн эрхийн хүсэлтийн бүртгэлийг хөтөлдөг. Өгөгдлийн субьектийн эрхийн хүсэлтийг баримтжуулах нь дараахь зүйлийг агуулна.
9.1. Бүртгэл хөтлөх
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь хүлээн авсан бүх өгөгдлийн субьектийн эрхийн хүсэлтийг бүртгэх бүртгэл хөтөлдөг. Энэхүү бүртгэл нь дараах дэлгэрэнгүй мэдээллийг агуулсан байх ёстой.
- Хүсэлтийн огноо
- Өгөгдлийн субьектийн нэр, холбоо барих мэдээлэл
- Хүсэлтийн тайлбар
- Хүсэлтийн дагуу арга хэмжээ авсан
- Хүсэлтийг боловсруулахад шаардлагатай аливаа нэмэлт мэдээлэл
9.2. Баримт бичгийн стандартчилсан процесс
Европын мэдээллийн технологийн гэрчилгээжүүлэлтийн хүрээлэн нь олж авсан мэдээллийн тууштай, үнэн зөвийг баталгаажуулахын тулд өгөгдлийн субьектийн эрхийн хүсэлтийг баримтжуулах стандартчилсан процессыг явуулдаг.
9.3. Хадгалах хугацаа
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн эдгээр бүртгэлийг холбогдох хууль тогтоомжоор тогтоосон боломжийн хугацаанд, 2 жилээс багагүй хугацаанд хөтөлдөг.
9.4. Нууцлалыг хадгалах
Мэдээллийн технологийн гэрчилгээжүүлэх Европын хүрээлэн нь өгөгдлийн субьектийн эрхийн хүсэлтийн бүртгэлд зөвхөн үүргээ гүйцэтгэх явцад ийм мэдээлэлд хандах шаардлагатай эрх бүхий ажилтнуудад нээлттэй байхыг баталгаажуулдаг. Мөн өгөгдлийн субьектийн эрхийн хүсэлтийн бүртгэлд агуулагдсан хувийн мэдээллийг зөвшөөрөлгүй нэвтрэх, задруулах, өөрчлөх, устгахаас урьдчилан сэргийлэх техникийн болон зохион байгуулалтын арга хэмжээг хэрэгжүүлдэг.
9.5. Тайлан гаргах
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь өгөгдлийн субьектийн эрхийн хүсэлтийн хүлээн авсан, боловсруулагдсан болон хүлээгдэж буй тайлангуудыг үе үе гаргадаг. Эдгээр тайланг ахлах удирдлага, ДПО зэрэг холбогдох оролцогч талуудтай хуваалцдаг.
9.6 дугаартай Аналитик
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь хүсэлтийн хэв маяг, үндсэн шалтгааныг тодорхойлохын тулд өгөгдлийн субьектийн эрхийн хүсэлтэд чиг хандлагын дүн шинжилгээ хийдэг. Энэ мэдээллийг ийм хүсэлтийг илүү сайн удирдахын тулд үйл явц, журмыг сайжруулахад ашигладаг.
10-р хэсэг. Үйл явцыг хянах, хянах
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь өгөгдлийн субьектийн эрхийн хүсэлтийг үр дүнтэй, GDPR-д нийцсэн хэвээр байлгахын тулд түүний үйл явцыг тогтмол хянаж, хянаж байдаг.
10.1. Тогтмол хяналт шалгалт хийх
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь өгөгдөл хамгаалах журамд нийцэж, үр дүнтэй эсэхийг баталгаажуулахын тулд өгөгдлийн субьектийн эрхийн хүсэлтийг шийдвэрлэх үйл явц болон GDPR дагаж мөрдөх бодлогыг үе үе хянаж байдаг. Эдгээр үнэлгээнд хүлээн авсан хүсэлтийн тоо, төрөл, хариу арга хэмжээний цаг хугацаа, үр дүнтэй байдал, сайжруулах шаардлагатай газруудад хийсэн дүн шинжилгээ орно.
10.2. Сайжруулалтын хэрэгжилт
Шалгалтын үр дүнд үндэслэн Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь мэдээллийн субьектийн эрхийн хүсэлтийг шийдвэрлэх үйл явцад шаардлагатай сайжруулалтыг хийдэг. Үүнд журмын шинэчлэлт, ажилтнуудад зориулсан нэмэлт сургалт, хүсэлтийг шалгаж, хариу өгөх аргад өөрчлөлт оруулах зэрэг багтаж болно.
10.3. Үргэлжлүүлэн дагаж мөрдөхийг баталгаажуулах
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь холбогдох хууль тогтоомжид гарсан аливаа өөрчлөлтийн дагуу бодлого, журмаа тогтмол хянаж, шинэчилж байх замаар мэдээлэл хамгаалах дүрэм журмыг байнга дагаж мөрддөг.
10.4. Ажилтны гүйцэтгэлийг хянах
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь өгөгдлийн субьектийн эрхийн хүсэлтийг шийдвэрлэхтэй холбоотой ажилтнуудын гүйцэтгэлийг хянадаг бөгөөд үүнд хариу өгөх чанар, цаг тухайд нь байдаг. Үүнд ажилтнуудыг энэ чиглэлээр мэдлэгтэй, чадварлаг байлгахын тулд үе үе сургалт явуулж, гүйцэтгэлийн үнэлгээ хийж болно.
10.5. Мэдээллийн субъектуудтай харилцах
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь хүсэлтийг шийдвэрлэх явцад мэдээллийн субьектүүдтэй харилцаж, ахиц дэвшил болон холбогдох мэдээллийн талаар байнга мэдээлж байх болно. Үүнд тэдний хүсэлтийн статусын талаар мэдээлэл өгөх эсвэл шаардлагатай бол нэмэлт мэдээлэл хүсэх зэрэг багтаж болно.
10.6. Бүртгэл хөтлөх
Европын мэдээллийн технологийн гэрчилгээжүүлэлтийн хүрээлэн нь өгөгдлийн субьектийн эрхийн хүсэлтийг шийдвэрлэх үйл явцад оруулсан өөрчлөлт, мөн өгөгдлийн субьектүүдээс хүлээн авсан санал хүсэлтийг багтаасан үнэлгээний бүртгэлийг хөтөлдөг. Энэхүү мэдээллийг дагаж мөрдөх хүчин чармайлтыг дэмжих, цаашид сайжруулах чиглэлийг тодорхойлоход ашиглаж болно.
11-р хэсэг. Боловсруулах үйл ажиллагааны бүртгэлийг бий болгох
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь боловсруулах үйл ажиллагааны бүртгэлийг хөтөлдөг бөгөөд энэ нь тухайн байгууллагын хувийн мэдээллийг боловсруулах үйл явцыг харуулсан баримт бичиг юм. Энэ нь ЕХ-ны Мэдээллийн Хамгаалалтын Ерөнхий Дүрэм (GDPR)-ийн дагуу шаардлагатай бөгөөд өгөгдөл боловсруулах үйл ажиллагааны талаархи ойлголтыг дэмжих, GDPR-д нийцэж байгааг харуулах зорилготой юм.
11.1. ROPA бүтэц
ROPA нь байгууллагын нэр, холбоо барих хаяг, мэдээлэл боловсруулах зорилго, боловсруулсан хувийн мэдээллийн ангилал, хувийн мэдээллийг хүлээн авагч, хувийн мэдээллийг хадгалах хугацаа зэрэг үндсэн мэдээллийг агуулдаг. Мөн байгууллагын нэрийн өмнөөс хувийн мэдээллийг боловсруулдаг гуравдагч талын боловсруулагчдын талаарх мэдээллийг багтаасан болно.
11.2. ROPA тогтмол шинэчлэлтүүд
ROPA нь тогтмол шинэчлэгддэг бөгөөд Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэнгийн мэдээллийн субьектүүдэд итгэх итгэлийг бий болгоход дэмжлэг үзүүлэх мэдээлэл боловсруулах үйл ажиллагаанд гарсан өөрчлөлтийг тусгасан амьд баримт бичиг юм.
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь мэдээллийн субьектийн эрхийн хүсэлтийн удирдлага, мэдээлэл хамгаалах ерөнхий зохицуулалтын бодлогод хамгийн өндөр стандартыг баримталж, эдгээр асуудалтай холбоотой холбогдох хууль тогтоомж, дүрэм журам, түүнчлэн салбарын тэргүүлэх стандартыг дагаж мөрдөхийг эрмэлздэг. ISO 27701 Нууцлалын Мэдээллийн Удирдлагын Систем зэрэг шилдэг туршлагууд.