Fonte PDF: SOP_GDPR_Requests_Release_Deletion.pdf
SOP - GDPR Formazione e verifica dei dati
Oggetto
Per garantire che tutto il personale EasyDNA comprenda e rispetti la protezione dei dati generale
Regolamento (GDPR), compreso il corretto trattamento di personale, sensibile e altamente
dati sensibili e procedure di verifica per i clienti esistenti.
- Panoramica di GDPR
Il Regolamento generale sulla protezione dei dati (GDPR) tutela i diritti di privacy
individui e regola come le organizzazioni raccogliere, utilizzare e memorizzare i dati personali.
GDPR si basa su sei principi fondamentali che devono essere seguiti in ogni momento:
- Giurisprudenza, correttezza e trasparenza - Il trattamento deve essere legale, equo,
e chiaro all'individuo.
- Limitazione dello scopo - I dati raccolti devono essere utilizzati solo per i dichiarati
scopo.
- Data Minimisation - Raccogli solo ciò che è necessario.
- Precisione - Tenere i dati accurati e aggiornati.
- Limitazione di memorizzazione - Non mantenere i dati più lunghi del necessario.
- Integrità e riservatezza - Proteggere i dati dall'accesso non autorizzato,
perdita, o distruzione.
Tutto il personale EasyDNA si impegna a proteggere i dati dei clienti sotto questi
principi.
- Classificazione dei dati
Dati personali
Eventuali informazioni che identificano o possono identificare una persona, direttamente o indirettamente.
Esempi:
- Nome, indirizzo, numero di telefono, email
- Numero d'ordine legato a un cliente
- Numero di riferimento
- Dati di pagamento
Dati personali sensibili
Dati che rivelano gli attributi o le convinzioni personali di un individuo.
Esempi:
- Gara o etnia
- Religione o opinione politica
- Informazioni sulla salute
- Dati biometrici
- orientamento sessuale
Dati altamente sensibili
Informazioni che richiedono il massimo livello di protezione a causa di potenziali danni o
discriminazione se esposta.
Esempi:
- Risultati genetici (DNA, file grezzi)
- Dati sulla condanna penale
- Documenti di identità (passaporto, carta d'identità)
- Dati di relazione prenatali o post-mortem
Tutte le analisi genetiche e relazionali gestite da EasyDNA o Endeavor DNA sono
classificato come Dati altamente sensibili.
-
Trattamento dei dati e Base legale
Il trattamento dei dati include qualsiasi operazione eseguita sui dati personali, come ad esempio
raccolta, archiviazione, utilizzo, condivisione o cancellazione.
Il trattamento deve avere almeno una base giuridica ai sensi dell'articolo 6 del GDPR
Esempio di Base legale in EasyDNA Contesto
Consenso cliente zecche casella di consenso quando
campionamento
Trattamento del contratto necessario per eseguire DNA
analisi
Obbligo legale Compliance con immigrazione o tribunale
ordini
Interessi vitali Casi rari che coinvolgono medico
emergenze
Interessi legittimi Prevenzione o qualità delle frodi interne
controllo
Nota: Nelle relazioni di lavoro o di servizio clienti, "consenso" è raramente valido a causa di
squilibrio di potere; affidarsi invece agli obblighi contrattuali o legali.
-
Verifica con i clienti esistenti
Oggetto
Per proteggere i dati dei clienti e prevenire l'accesso o la divulgazione non autorizzata.
Procedura
-
Confermare l'identità del chiamante:
- Chiedi il numero di riferimento del caso, nome completo e indirizzo email
usato sull'ordine.
- Controllo incrociato con ATP o CRM.
- Controllare le informazioni di sicurezza:
- Confermare la data di nascita, indirizzo o tipo di prova.
- Non rivelare i risultati o le informazioni sensibili fino a quando la verifica è
completo.
- Se Caller fallisce la verifica:
- Rifiutare di condividere dati.
- Per motivi di protezione dei dati, non possiamo condividere queste informazioni
fino a quando la verifica non è completa. Vi preghiamo di inviarci un'email dall'indirizzo
registrato nel suo caso."
- Verifica record nelle note:
- Aggiungi ATP nota: "Cliente verificato sotto controllo GDPR - confermato DOB +
CR."
- Gestione delle richieste di accesso dei soggetti (SAR)
Tipi di richieste
- Richiesta di accesso - Il cliente richiede una copia di tutti i dati personali detenuti.
- Utilizzare EN - modulo GDPR REC 4.2 (RECORD).
- Richiesta di cancellazione ("Right to be Forgotten") - Il cliente richiede la cancellazione
i loro dati.
- Utilizzare EN - modulo GDPR REC 1.1 (DELETE).
Procedura
-
Verificare l'identità del richiedente.
-
Registrare la richiesta utilizzando il modulo appropriato.
-
Inoltro al Responsabile della protezione dei dati (DPO) per il trattamento.
-
I dati devono essere forniti o cancellati entro 30 giorni a meno che non siano estesi
Articolo 12(3) GDPR.
-
Confermare il completamento al cliente per iscritto.
-
Retenzione e cancellazione dei dati
- Mantenere i dati del cliente solo per tutto il tempo necessario per la prova, la consegna dei risultati,
e la conformità legale.
- Una volta raggiunto il limite di conservazione, i dati devono essere cancellati in modo sicuro da tutti
sistemi (ATP, e-mail, unità condivise e archivi di laboratorio).
- Per i dati sensibili e altamente sensibili, assicurarsi che il laboratorio conferma anche
cancellazione.
Esempi di conservazione:
Tipo di dati Periodo di conservazione tipico
Case record 2 anni post-analisi
Casi legali/immigrazione 7 anni
I dipendenti registrano 5 anni dopo la fine dell'occupazione
Registrazioni CCTV/Call 30-90 giorni
- Breaches dati
Una violazione dei dati avviene quando i dati personali sono accessibili, divulgati o persi
involontariamente o illegalmente.
Passi immediatamente
- Informare il DPO entro 24 ore.
- Registra i dettagli degli incidenti (che, cosa, quando, dove, come).
- Il DPO valuta se la notifica all'autorità di controllo (ad esempio, ICO, OAIC)
è richiesto entro 72 ore.
- Gli individui interessati devono essere informati se la violazione è ad alto rischio.
- Valutazione dell'impatto sulla protezione dei dati (DPIA)
Una DPIA è richiesta quando le attività di elaborazione rischiano di provocare un alto rischio
diritti individuali (ad esempio, trattamento genetico o sanitario).
Esso dovrebbe descrivere lo scopo, valutare la necessità e delineare la mitigazione del rischio
passi.
I trigger chiave per DPIA:
- Utilizzo di nuove tecnologie (AI, automazione)
- Trattamento su larga scala dei dati sensibili
- Monitoraggio del comportamento pubblico o online
- Ruoli e responsabilità
Responsabilità del ruolo
Tutti gli Staff Seguire i principi GDPR; garantire sicuro
gestione di tutte le personali e sensibili
dati.
Servizio clienti / CSR Eseguire la verifica prima di rivelare o
aggiornamento dei dati del cliente.
DPO Superare la conformità, gestire SARs,
consigliare su violazioni e DPIA.
Gestori Assicurare al personale una formazione completa GDPR
e implementare aggiornamenti di policy.
- Documenti di riferimento e link
- Termini di servizio e protezione dei dati EasyDNA:
https://easydna.co.uk/terms-of-service/
- EN - GDPR REC 1.1 - Richiesta di accesso del soggetto (Cancella)
- EN - GDPR REC 4.2 - Richiesta di accesso (record)
- Note del corso DPO (Sessioni 1-3)
- UE GDPR (regolamento (UE) 2016/679)
- Recensione e formazione
- Tutti i dipendenti devono completare la formazione GDPR ogni anno.
- Le sessioni di aggiornamento devono essere registrate nei record di formazione HR.
- Questo SOP viene esaminato dal DPO ogni 12 mesi o su una politica significativa
cambiamenti.
- Addendum - Verifica Quando il cliente si rifiuta di fornire ID
Oggetto
Fornire un processo coerente e verificabile per verificare l'identità di un richiedente per SARs
(access/erasure) quando rifiutano di condividere ID foto, allineati alla nostra verifica
controlli e gestione SAR.
Ambito
Tutte le richieste di accesso del soggetto in cui l'ID è rifiutato, ma la verifica è ancora necessaria a causa
alla natura dei nostri dati (dati genetici altamente sensibili).
Contesto giuridico (sommario)
- Ai sensi dell'articolo 12, paragrafo 6, UK GDPR, dove c'è un ragionevole dubbio su
identità, possiamo richiedere ulteriori informazioni prima del trattamento. Termini
eseguire una volta "che cosa abbiamo bisogno" è ricevuto, per la nostra procedura SAR.
A. verifica basata sul codice (alternativa approvata all'ID foto)
Quando usare
- Il richiedente si rifiuta di fornire ID ma completerà il nostro modulo e accetterà un
codice di verifica una volta.
- Abbiamo un punto di contatto affidabile già sul file (e-mail registrate e, se
disponibile, un numero di telefono). Questo completa i controlli di verifica esistenti per
clienti esistenti.
Procedura
- Generare un codice a tempo unico
- Creare un codice alfanumerico 8-10 caratteri.
- ATP nota: "GDPR codice di verifica alt-ID generato."
- Invia il Codice
- Invia via e-mail il caso all'indirizzo email registrato sul file
(mai a un indirizzo nuovo o non verificato).
- Includi questa istruzione:
"Si prega di scrivere il codice qui sotto nella casella 'Codice di verifica' sulla
allegato Data Soggetto [Delezione / Accesso] Forma, firma il modulo, e
rispondere dallo stesso indirizzo email."
- Chiamata opzionale (se numero sul file)
- Se un numero di telefono è sul file, effettuare una breve chiamata e chiedere al cliente di
leggere il codice che hanno ricevuto via e-mail. Non rivelare
dati personali fino a che la verifica non sia completa. Accedi alla chiamata per verifica
assegni.
- Modulo di restituzione del cliente
- Stampa e segni del cliente EN - GDPR REC 1.1 (DELETE) o EN -
GDPR REC 4.2 (RECORD), scrive il codice nel "Codice di verifica"
casella, e risposte dall'email registrata.
- Verifica & log
- Conferma: le partite di codice, il modulo è firmato, la risposta è venuta dal registrato
email.
- Esempio di nota ATP:
"GDPR alt-ID verificato tramite codice una volta. Codice: [xxxx-xxxx], abbinato su firmato
forma. L'email corrisponde al file. Procedere con [DELEZIONE/ACCESS]."
- Elaborare la richiesta
- Avanti al DPO e completo all'interno della timeline SAR impostata nel
SOP (30 giorni a meno che non prorogato ai sensi dell'articolo 12, paragrafo 3); confermare
completamento per iscritto.
Casi di bordo
- Solo via e-mail (non solo mobile o fisso): Procedere con codice e-mail +
modulo firmato (steps 2, 4, 5); la fase di chiamata è facoltativa.
- Dichiarazioni di Guardianship: Se il richiedente sostiene di essere un tutore legale, assicurarsi
il caso già dimostra la tutela o ottenere la prova richiesta per
procedure esistenti prima di procedere alla cancellazione/accesso. Se manca, escalate
a DPO.
- Segnali di impersonazione o incoerenza: Pausa ed escalate a DPO
a norma dell'articolo 12, paragrafo 6, della valutazione proporzionale.
Riduzione e conservazione dei dati
- Mantenere il modulo SAR firmato contenente il codice nel record SAR per il nostro
regole di conservazione; eliminare eventuali bozze transitorie una volta elaborate e seguire le
controlli di cancellazione esistenti per dati altamente sensibili (ATP, e-mail, unità condivise,
archivi di laboratorio).
B. Escalation (Quando il codice-Basato verifica fallisce o è rifiutato)
Se il richiedente rifiuta il metodo del codice o il dubbio materiale rimane dopo i controlli:
- Lavorazione della pausa, nota "determinazione ragionevole" ai sensi dell'articolo 12, paragrafo 6.
- Escalate il DPO per una valutazione di proporzionalità e i prossimi passi.
- Aggiornare il client: le linee temporali riprendono una volta ricevuta una verifica sufficiente, in
linea con la nostra procedura SAR.
C. Standard Wording (Email Snippets)
Offerta - Codice Metodo
Grazie per la vostra richiesta. In alternativa all'ID foto, possiamo verificare l'identità
con un codice di sicurezza una volta. Vi e-mailremo un codice unico. Per favore scrivi questo.
codice sull'interessato [Delezione/Accesso] Forma, firma e risponde da
lo stesso indirizzo email registrato. Una volta verificato, procederemo all'interno
tempi standard.
Rifiuto del metodo del codice
Comprendiamo la sua posizione. Perché trattiamo dati genetici altamente sensibili,
deve verificare l'identità del richiedente per evitare la cancellazione o la divulgazione non autorizzata. Se
non si desidera utilizzare il metodo di codice, si rinvia la richiesta ai nostri Dati
Responsabile della protezione per la valutazione ai sensi dell'articolo 12, paragrafo 6, UK GDPR e la aggiornerà
sui prossimi passi.
D. Record & Audit Trail
- Entrate obbligatorie ATP: generazione di codice, spedizione, risultato match, percorso
usato (codice), e qualsiasi escalation DPO.
- Il file SAR deve includere: il modulo SAR firmato che mostra il codice di verifica e
l'email di completamento finale.
- Applicare i controlli Retention & Deletion esistenti.
Proprietario: DPO, Gruppo EasyDNA
Data effettiva: ottobre 2025
Prossima recensione: Per Sezione 11 ciclo di revisione.