แหล่ง PDF: SOP_GDPR_Requests_Release_Deletion.pdf
SOP - GDPR การจําลองข้อมูล
วัตถุประสงค์
เพื่อให้แน่ใจว่า EasyDNA พนักงานเข้าใจและปฏิบัติตาม ในการป้องกันข้อมูลทั่วไป
ตั้งค่าใหม่ ( GDPR ) รวมถึงการจัดการส่วนบุคคล อ่อนไหว และระดับสูง
ข้อมูลสําคัญ และขั้นตอนการตรวจสอบ สําหรับลูกค้าที่มีอยู่
- ภาพรวม GDPR
โปรแกรมจําลองการป้องกันข้อมูลทั่วไป (PDF) Name GDPR ปกป้องสิทธิความเป็นส่วนตัวของ
ปัจเจก ชน และ ควบคุม วิธี เก็บ รวบ รวม, ใช้, และ เก็บ ข้อมูล ส่วน ตัว.
GDPR มี หลัก การ หก ข้อ ที่ ต้อง ปฏิบัติ ตาม ทุก เวลา:
- ความชอบด้วยกฎหมาย ความยุติธรรม และความโปร่งใส ต้องถูกต้องตามกฎหมาย
และชัดเจนกับแต่ละคน
- จํากัดวัตถุประสงค์ - ข้อมูลที่เก็บมา จะต้องใช้สําหรับที่ระบุไว้เท่านั้น
วัตถุประสงค์
- ข้อมูลจํากัด - เก็บข้อมูลที่จําเป็นเท่านั้น
- ความ น่า เชื่อ ถือ - รักษา ข้อมูล ให้ ถูก ต้อง และ ถูก ต้อง จน ถึง ปัจจุบัน.
- จํากัดการจัดเก็บข้อมูล - อย่าเก็บข้อมูลให้ยาวเกินความจําเป็น
- ความซื่อสัตย์และความมั่นใจ - ป้องกันข้อมูลจากการเข้าถึงที่ไม่ได้รับอนุญาต
การสูญเสีย หรือการทําลาย
ทั้งหมด EasyDNA พนักงานรับผิดชอบในการปกป้องข้อมูลลูกค้าภายใต้สิ่งเหล่านี้
หลักการ
- หมวดหมู่ข้อมูล
ข้อมูลส่วนตัว
ข้อมูล ใด ๆ ที่ ระบุ หรือ ระบุ ตัว บุคคล ได้ โดย ตรง หรือ โดย อ้อม.
ตัวอย่าง:
- ชื่อ, ที่อยู่, หมายเลขโทรศัพท์, อีเมล
- ลําดับหมายเลขที่เกี่ยวข้องกับไคลเอนต์
- หมายเลขที่อ้างถึงตัวพิมพ์ใหญ่
- รายละเอียดการชําระเงิน
ข้อมูลส่วนบุคคลที่อ่อนไหว
ข้อมูลเปิดเผยคุณลักษณะหรือความเชื่อส่วนบุคคล
ตัวอย่าง:
- เชื้อ ชาติ หรือ ชาติ พันธุ์
- ศาสนา หรือ ความ เห็น ทาง การ เมือง
- ข้อมูลสุขภาพ
- ข้อมูล
- ทิศทางทางเพศ
ข้อมูลเชิงลึก
ข้อมูลที่ต้องการการป้องกันสูงสุด จากอันตรายหรือ
การเหยียดเชื้อชาติถ้าถูกเปิดเผย
ตัวอย่าง:
- ข้อมูลพันธุกรรม (Description) DNA ผลลัพธ์, แฟ้มดิบ)
- ข้อมูลความผิดอาญา
- เอกสารการแสดงตัว (พอร์ต, ID)
- ข้อมูลความสัมพันธ์ก่อนกําหนดหรือหลังเสียชีวิต
การวิเคราะห์พันธุกรรมและความสัมพันธ์ทั้งหมด จัดการโดย EasyDNA หรือ ผู้ สนับสนุน DNA คือ
จัดเป็นข้อมูลระดับสูง
-
ประมวลผลข้อมูลและมาตรฐานทางกฎหมาย
การประมวลผลข้อมูลรวมถึงการดําเนินการใด ๆ ที่ทําบนข้อมูลส่วนบุคคล เช่น
การ เก็บ รวบ รวม, การ เก็บ รักษา, การ ใช้, การ แบ่ง ปัน, หรือ การ ลบ ล้าง.
การประมวลผลต้องมีอย่างน้อยหนึ่งพื้นฐานตามกฎหมายภายใต้มาตรา 6 ของ GDPR
ตัวอย่างมาตรฐานใน EasyDNA บริบท
ผู้ใช้ที่ไม่พอใจจะติ๊กการยินยอมเมื่อ
ส่งข้อมูลตัวอย่าง
การดําเนินการตามข้อตกลงที่จําเป็นในการทํา DNA
วิเคราะห์
การ ประสาน งาน ทาง กฎหมาย กับ การ เข้า เมือง หรือ ศาล
คําสั่ง
ความ สนใจ สําคัญ คดีนี้เกี่ยวข้องกับการแพทย์
ฉุกเฉิน
การ ป้องกัน การ ฉ้อ โกง ภาย ใน
ควบคุม
หมายเหตุ: ในความสัมพันธ์ของลูกจ้างหรือลูกค้า-ลูกค้า "ความเสมอภาค" แทบจะไม่ใช้ได้เนื่องจาก
ความไม่สมดุลของพลังงาน พึ่งพาสัญญาหรือตามกฏหมายแทน
-
ตรวจสอบสิทธิ์ด้วยไคลเอนต์ที่มีอยู่
วัตถุประสงค์
เพื่อปกป้องข้อมูลลูกค้า และป้องกันการเข้าถึงหรือเปิดเผย
การประมวลผล
-
ยืนยันการแสดงตัวของผู้เรียก:
- ถามหมายเลขอ้างอิงคดี, ชื่อเต็ม, และที่อยู่อีเมล
ใช้ในคําสั่ง
- ตรวจสอบการข้ามด้วย ATP หรือ CRM.
- ตรวจสอบข้อมูลความปลอดภัย:
- ยืนยัน วัน เกิด, ที่ อยู่, หรือ ชนิด ทดสอบ.
- อย่าเปิดเผยผลลัพธ์หรือข้อมูลที่ละเอียดอ่อนจนกว่าการตรวจสอบจะ
เสร็จสมบูรณ์
- ถ้าผู้โทรล้มเหลว
- ตามมารยาทแล้วปฏิเสธที่จะแบ่งปันข้อมูล
- ที่ปรึกษา: "ด้วยเหตุผลป้องกันข้อมูล เราไม่สามารถแบ่งปันข้อมูลนี้ได้
จนกว่าการตรวจสอบจะสมบูรณ์ กรุณาส่งอีเมลจากที่อยู่
ลงทะเบียนตามคดีของคุณ"
- การตรวจสอบบันทึกในบันทึกช่วยจํา:
- เพิ่ม ATP หมายเหตุ: "การตรวจสอบความถูกต้องภายใต้ GDPR ตรวจสอบ - ยืนยัน DOB +
ซีอาร์"
- การ ขอ เข้า ไป ใน บ้าน (ซาร์)
ชนิดของการร้องขอ
- การร้องขอเข้า - ลูกค้าต้องการสําเนาของข้อมูลส่วนตัวทั้งหมด
- ใช้เอ็นเอ็น- GDPR REC 4.2 (RECORD) ฟอร์ม.
- ร้องขอการลบทิ้ง ("ขวาที่จะลืม") - ลูกค้าร้องขอการลบ
ข้อมูลของพวกเขา
- ใช้เอ็นเอ็น- GDPR REC 1.1 (DELETE) รูป.
การประมวลผล
-
ตรวจสอบตัวตนของผู้ร้องขอ
-
บันทึกการร้องขอโดยใช้รูปแบบที่เหมาะสม
-
ส่งต่อไปยังเจ้าหน้าที่ป้องกันข้อมูล (DPO) เพื่อดําเนินการ
-
ต้องป้อนข้อมูลหรือลบทิ้งภายใน 30 วัน
มาตรา 12( 3) GDPR.
-
ยืนยันการทําให้สมบูรณ์กับไคลเอนต์ในการเขียน
-
แก้ไขข้อมูลและลบข้อมูล
- เก็บข้อมูลลูกค้าไว้เฉพาะเมื่อจําเป็น สําหรับการทดสอบ ผลการส่งมอบ
และปฏิบัติตามตามกฎหมาย
- เมื่อเข้าสู่ขอบเขตการบันทึกข้อมูลแล้ว ข้อมูลจะต้องถูกลบออกจากทั้งหมด
ระบบ (หรือระบบ) ATP อีเมล์ ไดรฟ์ร่วมกัน และข้อมูลในห้องแล็บ)
- สําหรับข้อมูลที่ละเอียดอ่อนและอ่อนไหวมาก เพื่อให้แน่ใจว่าห้องทดลองยังยืนยัน
การรื้อถอน
ไม่สนใจตัวอย่าง:
ช่วงเวลาบันทึกข้อมูล
เคสบันทึกเมื่อ 2 ปีก่อนหลังการเสียชีวิต
คดีนิติบัญญัติ/ คดี 7 ปี
พนักงาน บันทึก ผล งาน 5 ปี หลัง เลิก จ้าง
CCTU/ เรียกบันทึกเสียง 30-90 วัน
- การละเมิดข้อมูล
ข้อผิดพลาดของข้อมูลจะเกิดขึ้น เมื่อข้อมูลส่วนบุคคลถูกใช้งาน, เปิดเผย, หรือสูญหาย
ไม่ได้ตั้งใจหรือผิดกฎหมาย
ขั้น ตอน สุด ท้าย
- แจ้ง DPO ภายใน 24 ชั่วโมง
- บันทึกรายละเอียดเหตุการณ์ต่าง ๆ (ซึ่ง อะไร เมื่อไหร่, ที่ไหน, อย่างไร)
- The DPO ประเมิน หากการแจ้งต่อเจ้าหน้าที่บริหาร (เช่น ICO, O AI C)
จําเป็น ต้อง ทํา ภาย ใน 72 ชั่วโมง.
- บุคคลที่ได้รับผลกระทบจะต้องทราบ ถ้าการละเมิดมีความเสี่ยงสูง
- การ ป้องกัน ข้อมูล
ต้องมี DPIA เมื่อประมวลผลกิจกรรม มีแนวโน้มว่าจะเกิดความเสี่ยงสูง
สิทธิส่วนบุคคล (เช่น กระบวนการทางพันธุกรรมหรือสุขภาพ)
ควร พรรณนา ถึง จุด ประสงค์, การ ประเมิน ความ จําเป็น, และ ความ เสี่ยง ขั้น พื้น ฐาน
ขั้นตอน.
กดปุ่มพิมพ์สําหรับ DPI:
- การ ใช้ เทคโนโลยี ใหม่ ๆ (ค.ศ. AI อัตโนมัติ)
- ประมวลผลข้อมูลสําคัญขนาดใหญ่
- ติดตามพฤติกรรมของประชาชนหรือออนไลน์
- บทบาท และ ความ รับ ผิด ชอบ
ความ รับ ผิด ชอบ ใน เรื่อง บทบาท
ไม้เท้าทั้งหมดตาม GDPR หลัก การ; ทํา ให้ แน่ ใจ ว่า ปลอด ภัย
การจัดการส่วนตัวและอ่อนไหว
ข้อมูล
บริการลูกค้า / CSR ทําการตรวจสอบก่อนทําการถอดการแนบแฟ้มหรือ
ปรับปรุงข้อมูลลูกค้า
DPO โอเวอร์ดูปฏิบัติตาม จัดการกับซาร์
แนะนําการเจาะและ DPI AS
ผู้จัดการความเรียบร้อยของพนักงาน GDPR ฝึก
และปรับปรุงนโยบาย
- เอกสารอ้างอิงและที่อยู่เชื่อมโยง
- EasyDNA ข้อกําหนดการป้องกันข้อมูลของบริการ:
https://easydna.co.uk/terms-of-service/
- เอ็น- GDPR Rec 1. - การร้องขอใช้งานเรื่องเนื้อหา (ลบ)
- เอ็น- GDPR REC 4.2. - การร้องขอใช้งานเนื้อหา (Record)
- DPO Course Notes (Session 1-3)
- อียู GDPR (Regation (EU) 2016/679)
- ทบทวน และ ฝึก อบรม
- พนักงานทุกคนต้องเสร็จสมบูรณ์ GDPR ฝึกกันทุกปี
- ปรับปรุงเซสชันใหม่ ให้ถูกบันทึกในบันทึกการฝึกของ HR
- นี่ SOP The DPO จะสอบทุก 12 เดือนหรือตามนโยบายที่สําคัญ
เปลี่ยน
- Adendum - การตรวจสอบเมื่อไคลเอนต์ปฏิเสธที่จะระบุหมายเลข
วัตถุประสงค์
ให้กระบวนการตรวจสอบที่สอดคล้องกัน และตรวจสอบได้ เพื่อตรวจสอบการแสดงตัวของผู้ร้องขอสําหรับ SARs
เมื่อพวกเขาปฏิเสธที่จะใช้หมายเลขภาพร่วมกัน ตรงกับการตรวจสอบของเรา
ตรวจสอบและจัดการซาร์
ขอบเขต
การร้องขอเข้าถึงตัวเรื่องทั้งหมด โดยหมายเลขถูกปฏิเสธ แต่ต้องการตรวจสอบก่อน
ถึงธรรมชาติของข้อมูลของเรา (ข้อมูลพันธุกรรมที่อ่อนไหวมาก)
แก้ไขโครงการหลัก...
- ภายใต้มาตรา 12( 6) UK GDPR ที่มีความสงสัยที่เหมาะสมเกี่ยวกับ
เรา อาจ ขอ ข้อมูล เพิ่ม เติม ก่อน ดําเนิน การ. เส้นเวลา
เรียกใช้เมื่อ "สิ่งที่เราต้องการ" ได้รับในขั้นตอนของเรา SAR
A. code-basized accessized (หมายเลขภาพถ่ายที่ยืนยันแล้ว)
เมื่อใช้
- ผู้ร้องขอปฏิเสธที่จะให้หมายเลข แต่จะทําให้แบบฟอร์มของเราสมบูรณ์และยอมรับ
รหัสตรวจสอบครั้งเดียว
- เรามีจุดติดต่อที่เชื่อถือได้อยู่แล้วในแฟ้ม (อ้างอิงอีเมลและถ้า
เปิดได้ เบอร์โทร). คอมพลิเมนต์นี้มีการตรวจสอบความถูกต้องสําหรับ
มีลูกค้าอยู่แล้ว
การประมวลผล
- สร้างรหัสวัน
- สร้างรหัส อัลฟาโนนีริก 8-10
- ATP โน้ต: GDPR ระบบตรวจสอบ lt-ID สร้างขึ้น"
- ส่งรหัส
- ส่งผ่านทางอีเมล
(ไม่เคยกําหนดที่อยู่ใหม่หรือไม่มีการแก้ไข).
- รวมคําแนะนํานี้ด้วย:
"กรุณาเขียนรหัสด้านล่างนี้ ในกล่อง 'ประมวลกฎหมาย' บน
แนบข้อมูล [ลบ/ access] แบบฟอร์ม เซ็นแบบฟอร์ม และ
ตอบกลับจากอีเมลเดียวกัน"
- ตัวเลือกการเรียกกลับ (หากหมายเลขบนแฟ้ม)
- ถ้าหมายเลขอยู่ในไฟล์ ให้โทรสั้น ๆ และขอให้ลูกค้า
อ่านโค้ดที่พวกเขาได้รับทางอีเมล ไม่ต้องเปิดเผย
ข้อมูลส่วนบุคคลจนกว่าการตรวจสอบจะสมบูรณ์ บันทึกการเรียกต่อตรวจสอบ
เช็ค
- แบบฟอร์มลูกข่าย
- ลายนิ้วมือและป้าย GDPR RAC 1 (DELETE) หรือ EnN -
GDPR REC 4.2 (RECORD) เขียนรหัสใน "รหัสการจําแนก"
กล่องและตอบกลับจากอีเมลที่ลงทะเบียนไว้
- ตรวจสอบบันทึกการทํางาน
- ยืนยัน: ตรงกับรหัส, แบบฟอร์มมีการลงนาม, คําตอบมาจากลงทะเบียน
อีเมล์
- ATP ตัวอย่าง:
" GDPR allt-ID ได้รับการยืนยันผ่านรหัสครั้งเดียว รหัส: [xxxxxxxxxxxxx], ตรงกับลายเซ็น
ฟอร์ม อีเมลตรงกับไฟล์ ดําเนินการด้วย [DEELTL/ACS]
- ประมวลผลการร้องขอ
- ส่งต่อไปยัง DPO และเสร็จสมบูรณ์ภายในเวลา SAR ที่ตั้งค่าใน
SOP 30 วัน นอกจากจะขยายภายใต้มาตรา 12 (3); ยืนยัน
เขียนให้สมบูรณ์
ตัวพิมพ์ใหญ่
- ใช้เฉพาะอีเมล (ไม่มีมือถือหรือบรรทัดเชื่อมโยงเท่านั้น): ดําเนินการด้วยรหัสผ่านอีเมล +
รูป แบบ การ ลง นาม (ขั้นตอน 2, 4, 5); การ เรียก ขั้น ตอน นี้ เป็น ไป ได้.
- ผู้พิทักษ์อ้างว่า ถ้าผู้ร้องขออ้างว่าเป็นผู้รักษากฎหมาย รับประกัน
คดีได้พิสูจน์แล้วผู้คุ้มครอง หรือได้รับข้อพิสูจน์ที่จําเป็นต่อ
มีกระบวนการอยู่แล้ว ก่อนที่จะดําเนินการเพื่อยกเลิกการแจ้งเตือน/ การครอบคลุม ถ้าขาด จงเพิ่ม
แด่ ดีพีโอ
- สัญญาณของการเลียนแบบหรือความไม่สอดคล้อง: หยุดและเพิ่มขึ้นเป็น DPO
ภายใต้มาตรา 12(6) ประเมินสัดส่วน
ลดขนาดการใช้งานข้อมูล
- จําฟอร์ม SAR ลงนามบรรจุรหัสในบันทึก SAR ต่อ
ตั้งกฏใหม่; ลบร่างใด ๆ ชั่วคราวครั้งเดียวและทําตาม
ควบคุมการลบข้อมูลที่มีอยู่แล้ว สําหรับข้อมูลที่มีความไวสูง (Shelp) ATP อีเมล์ ไดรฟ์ร่วมกัน
ห้องแล็ป).
B. Excalation (เมื่อรหัสการตรวจสอบล้มเหลวหรือถูกปฏิเสธ)
หากผู้ร้องขอปฏิเสธวิธีการโค้ดหรือข้อกังขาทางวัตถุยังคงอยู่หลังจากการตรวจสอบ:
- หยุดการประมวลผล โปรดสังเกตว่า "สงสัย" ภายใต้มาตรา 12(6).
- ย้ายไปยัง DPO สําหรับการประเมินสัดส่วนและขั้นตอนต่อไป
- ปรับปรุงไคลเอนต์: ตารางเวลาทํางานต่อ เมื่อได้รับการตรวจสอบที่เพียงพอแล้ว ใน
ทําตามขั้นตอนของซาร์
คําย่อ C. Standard (อีเมล Snippts)
นําเสนอ - วิธีการใช้รหัส
ขอบคุณสําหรับคําขอ เพื่อเป็นทางเลือกอื่นในการถ่ายภาพ เราสามารถตรวจสอบอัตลักษณ์
ด้วยรหัสรักษาความปลอดภัย เราจะอีเมลรหัสเฉพาะให้คุณ กรุณาเขียนนี้
รหัสในหัวข้อข้อมูลที่แนบมา [delection/access] แบบฟอร์ม เซ็นแล้วตอบด้วย
ที่อยู่อีเมลที่ลงทะเบียนไว้เหมือนกัน เมื่อตรวจสอบแล้ว เราจะดําเนินการภายใน
กรอบเวลามาตรฐาน
วิธีการแก้รหัส
เราเข้าใจตําแหน่งของคุณ เพราะเราประมวลผลข้อมูลพันธุกรรมที่อ่อนไหวมาก
ต้องตรวจสอบการแสดงตัวของผู้ร้องขอเพื่อป้องกันไม่ให้มีการยกเลิกหรือเปิดเผย ถ้า
คุณไม่ต้องการที่จะใช้วิธีโค้ด เราจะอ้างอิงคําขอของคุณเพื่อข้อมูลของเรา
เจ้าหน้าที่ป้องกันการประเมินภายใต้มาตรา 12 (6) UK GDPR และจะแจ้งให้ทราบว่า
ก้าวต่อไป
เส้นต่อเนื่องแบบ D. บันทึกและ Audit
- มารยาท ATP รายการต่าง ๆ: รุ่นโค้ด, ส่ง, ผลที่ตรงกัน, เส้นทาง
ใช้ (รหัส), และระบบย่อยของ DPO
- แฟ้ม SAR ต้องรวมไว้ด้วย: รูปแบบ SAR ที่ลงนามในเอกสาร SAR แสดงรหัสตรวจสอบและ
ส่งอีเมลเสร็จสิ้น
- ปรับใช้การควบคุมการลดโทษที่มีอยู่แล้ว
เจ้าของ: ดีพีโอ EasyDNA กลุ่ม
วัน ที่ เกิด ผล: 20 ตุลาคม 25
การทบทวนครั้งต่อไป: Per parts 11 วงจรการทบทวน