Політика DSRRM і GDPR
Політика Академії EITCA щодо управління запитами щодо прав суб’єктів даних і Загальні правила захисту даних
Цей документ визначає Політику Європейського інституту сертифікації ІТ щодо управління запитами щодо прав суб’єктів даних, а також імплементацію Загального регламенту ЄС про захист даних, який регулярно переглядається та оновлюється для забезпечення його ефективності та відповідності. Останнє оновлення політики EITCI щодо керування запитами прав суб’єктів даних і GDPR було зроблено 10 січня 2023 року. Наша політика керування запитами прав суб’єктів даних і GDPR базується на принципах розширення системи керування конфіденційною інформацією ISO 27701 до ISO 27001 Безпека інформації Системний стандарт, а також щодо вимог Загального регламенту захисту даних (2016/679).
Частина 1. Вступ
Управління запитами щодо прав суб’єктів даних є важливою частиною забезпечення відповідності нормам захисту даних, а саме GDPR (Загальному регламенту захисту даних ЄС). Європейський інститут сертифікації інформаційних технологій визначив такі формальні процедури для управління запитами прав суб’єктів даних і виконання вимог GDPR:
1.1. Встановлення процесу обробки запитів щодо прав суб’єктів даних
Цей процес описує кроки, яких Європейський інститут сертифікації ІТ виконує під час обробки запитів щодо прав суб’єктів даних, включаючи ідентифікацію та автентифікацію суб’єкта даних, перевірку запиту суб’єкта даних і відповідь на запит.
1.2. Призначення спеціаліста із захисту даних (DPO)
Європейський інститут сертифікації ІТ призначає DPO, який відповідає за нагляд за керуванням запитами щодо прав суб’єктів даних, включаючи розгляд запитів, відповідь на запити та забезпечення дотримання правил захисту даних.
1.3. Ведення актуального обліку персональних даних
Європейський інститут сертифікації ІТ підтримує актуальний облік персональних даних, які він має, і цілей, для яких вони обробляються. Це дозволить Європейському інституту сертифікації ІТ швидко й точно відповідати на запити щодо прав суб’єктів даних.
1.4. Надання чіткої та стислої інформації суб’єктам даних
Збираючи персональні дані, Європейський інститут сертифікації ІТ надає чітку та стислу інформацію суб’єктам даних про їхні права, включаючи право на доступ, виправлення, видалення та заперечення проти обробки їхніх персональних даних.
1.5. Встановлення стандартного часу відповіді
Європейський інститут сертифікації ІТ підтримує стандартний час відповіді на запити щодо прав суб’єктів даних і гарантує, що відповіді на запити надходять протягом цього терміну.
1.6. Підтвердження особи суб'єкта даних
Європейський інститут сертифікації ІТ перевіряє особу суб’єкта даних, який надсилає запит, щоб переконатися, що персональні дані надаються лише правильній особі.
1.7. Швидке реагування на запити щодо прав суб’єктів даних
Європейський інститут сертифікації ІТ швидко відповідає на запити щодо прав суб’єктів даних і надає суб’єкту даних необхідну інформацію.
1.8. Документування запитів щодо прав суб’єктів даних
Європейський інститут сертифікації ІТ веде облік запитів щодо прав суб’єктів даних, включаючи дату запиту, характер запиту та відповідь на запит.
1.9. Моніторинг і перегляд процесу
Європейський інститут сертифікації ІТ регулярно відстежує та переглядає свій процес обробки запитів щодо прав суб’єктів даних, щоб переконатися, що він залишається ефективним і відповідає відповідним нормам захисту даних.
1.10. Створення запису операцій з обробки
Європейський інститут сертифікації ІТ веде Реєстр дій з обробки, який є документом, який описує обробку персональних даних, яку здійснює організація. Це вимагається відповідно до Загального регламенту захисту даних ЄС (GDPR) і призначене для підтримки розуміння діяльності з обробки даних і демонстрації відповідності GDPR.
Дотримуючись цих офіційних процедур, Європейський інститут сертифікації ІТ може ефективно керувати запитами щодо прав суб’єктів даних і забезпечувати дотримання правил захисту даних, зокрема Загального регламенту захисту даних у Європейському Союзі.
Частина 2. Встановлення процесу обробки запитів щодо прав суб’єктів даних
Цей процес описує кроки, яких Європейський інститут сертифікації ІТ виконує під час обробки запитів щодо прав суб’єктів даних, включаючи ідентифікацію та автентифікацію суб’єкта даних, перевірку запиту суб’єкта даних і відповідь на запит:
2.1. Ідентифікація та автентифікація суб'єкта даних
Європейський інститут сертифікації ІТ підтримує процес перевірки особи суб’єкта даних, який надсилає запит. Це може включати запит на офіційне посвідчення особи, перевірку існуючих записів або використання інших методів автентифікації.
2.2. Перевірка запиту суб'єкта даних
Після того, як особу суб’єкта даних буде встановлено, Європейський інститут сертифікації ІТ повинен перевірити, що запит дійсний і стосується персональних даних суб’єкта даних. Запит також має містити конкретне право, яке здійснюється, наприклад право на доступ, виправлення або видалення персональних даних.
2.3. Відповідь на запит
Європейський інститут сертифікації ІТ повинен надати відповідь на запит суб’єкта даних протягом терміну, визначеного відповідними законами про захист даних, але не більше 30 днів. Відповідь має включати пояснення того, чи було задоволено запит чи відхилено, а також причини такого рішення.
2.4. Документальне оформлення запиту та відповіді
Європейський інститут сертифікації ІТ веде облік усіх запитів і відповідей щодо прав суб’єктів даних. Це допомагає забезпечити дотримання відповідних законів про захист даних, а також полегшити майбутні перевірки чи розслідування.
2.5. Навчання відповідного персоналу
Європейський інститут сертифікації ІТ проведе навчання для персоналу, відповідального за обробку запитів щодо прав суб’єктів даних, щоб переконатися, що вони ознайомлені з відповідними законами про захист даних і процедурами Європейського інституту сертифікації ІТ щодо обробки таких запитів.
2.6. Моніторинг і перегляд процесу
Європейський інститут сертифікації ІТ регулярно відстежує та переглядає процес обробки запитів щодо прав суб’єктів даних, щоб переконатися, що він залишається ефективним і відповідає відповідним законам про захист даних. Про будь-які проблеми чи інциденти повідомляється та вирішується вчасно.
Частина 3. Призначення уповноваженого із захисту даних (DPO)
Європейський інститут сертифікації ІТ призначає DPO, який відповідає за нагляд за керуванням запитами щодо прав суб’єктів даних, включаючи розгляд запитів, відповідь на запити та забезпечення дотримання правил захисту даних.
3.1. Призначення DPO
Європейський інститут сертифікації ІТ призначає спеціаліста із захисту даних (DPO) для нагляду за керуванням запитами щодо прав суб’єктів даних і забезпечення дотримання норм захисту даних. DPO відповідатиме за розгляд запитів і забезпечення виконання Європейським інститутом сертифікації ІТ своїх юридичних зобов’язань щодо захисту даних.
3.2. Вимоги до компетентностей DPO
DPO повинен володіти експертними знаннями законів і практики захисту даних і мати необхідні ресурси для виконання своїх обов’язків. Вони повинні мати прямий доступ до вищого керівництва та звітувати перед найвищим керівництвом організації.
3.3. Обов'язки DPO
До обов’язків DPO входить, але не обмежується, таке:
- Надання вказівок і консультацій Європейському інституту сертифікації ІТ з питань захисту даних, включаючи управління запитами щодо прав суб’єктів даних.
- Контроль за дотриманням Європейським інститутом сертифікації ІТ норм щодо захисту даних, внутрішньої політики та процедур.
- Відповідь на запити та скарги суб’єктів даних щодо їхніх прав згідно з положеннями про захист даних.
- Координація з іншими відділами для забезпечення дотримання вимог захисту даних у всій організації.
- Проведення періодичних перевірок та оцінок практики захисту даних Європейського інституту сертифікації ІТ та надання рекомендацій щодо покращення.
- Виконання функції контактної точки для органів із захисту даних та співпраця з ними у разі розслідування чи аудиту.
- DPO також бере участь у розробці та впровадженні політики та процедур Європейського інституту сертифікації ІТ, пов’язаних із захистом даних, включно з обробкою запитів щодо прав суб’єктів даних.
3.4. Навчання та підвищення кваліфікації DPO
Європейський інститут сертифікації інформаційних технологій має переконатися, що DPO пройшов належну підготовку щодо правил захисту даних і був в курсі будь-яких змін або оновлень цих правил.
3.5. Контактна інформація DPO
Контактна інформація DPO повинна бути доступна для суб’єктів даних і включена до повідомлення або політики конфіденційності Європейського інституту сертифікації ІТ.
Частина 4. Ведення в актуальному стані обліку персональних даних
Європейський інститут сертифікації ІТ підтримує актуальний облік персональних даних, які він має, і цілей, для яких вони обробляються. Це дозволить Європейському інституту сертифікації ІТ швидко й точно відповідати на запити щодо прав суб’єктів даних.
4.1. Встановлення процесу ідентифікації та запису персональних даних
Європейський інститут сертифікації ІТ встановлює чіткий і стандартизований процес ідентифікації та запису персональних даних, включаючи ім’я суб’єкта даних, контактну інформацію та будь-яку іншу відповідну інформацію. Цей процес гарантує, що персональні дані збираються лише для конкретних і законних цілей.
4.2. Категоризація персональних даних
Європейський інститут сертифікації ІТ класифікує персональні дані, щоб полегшити їх відстеження та керування ними. Це включає класифікацію даних за типом, наприклад контактну інформацію, платіжну інформацію, компетенції та кваліфікацію, фінансову інформацію чи історію роботи.
4.3. Впровадження системи управління даними
Європейський інститут сертифікації ІТ впроваджує систему керування даними, щоб гарантувати, що персональні дані є точними, актуальними та доступними. Система керування даними включає базу даних, у якій можна здійснювати пошук і запити, щоб допомогти відповісти на запити прав суб’єктів даних.
4.4. Покладання відповідальності за ведення обліку персональних даних
Європейський інститут сертифікації інформаційних технологій має покласти відповідальність за збереження персональних даних на конкретних осіб або відділи. Це забезпечить актуальність і точність запису.
4.5. Регулярний перегляд та оновлення запису персональних даних
Європейський інститут сертифікації ІТ повинен регулярно переглядати та оновлювати записи персональних даних, щоб переконатися, що вони залишаються точними та актуальними. Це можна зробити за допомогою періодичних аудитів або шляхом постійного моніторингу.
4.6. Застосуйте відповідні заходи безпеки
Європейський інститут сертифікації ІТ впроваджує відповідні заходи безпеки для захисту особистих даних, які він зберігає, включаючи заходи для запобігання несанкціонованому доступу, випадковій втраті або знищенню персональних даних, як частину Політики інформаційної безпеки (ISP) організації. Це включає в себе шифрування, брандмауери та засоби контролю доступу. Детальна специфікація процесів і заходів захисту даних міститься в Політиці інформаційної безпеки спеціального Європейського інституту сертифікації ІТ.
Частина 5. Надання чіткої та стислої інформації суб’єктам даних
Збираючи персональні дані, Європейський інститут сертифікації ІТ надає чітку та стислу інформацію суб’єктам даних про їхні права, включаючи право на доступ, виправлення, видалення та заперечення проти обробки їхніх персональних даних.
5.1. Прозорість
Європейський інститут сертифікації ІТ є прозорим у своїй обробці персональних даних і надає стислу інформацію суб’єктам даних про те, як їхні дані використовуються, обробляються та зберігаються.
5.2. Політика конфіденційності
Європейський інститут сертифікації ІТ має детальну політику конфіденційності, яка описує його діяльність з обробки даних, зокрема те, як суб’єкти даних можуть використовувати свої права.
5.3. Право на доступ
Суб’єкти даних мають право вимагати доступу до персональних даних, якими володіє Європейський інститут сертифікації ІТ. Європейський інститут сертифікації інформаційних технологій надає суб’єктам даних чітку та лаконічну інформацію про те, як подати запит на доступ, яка інформація буде потрібна для підтвердження їхньої особи та скільки часу потрібно Європейському інституту сертифікації інформаційних технологій, щоб відповісти на запит.
5.4. Право на виправлення
Суб’єкти даних мають право вимагати від Європейського інституту сертифікації ІТ виправлення будь-яких неточних або неповних особистих даних, які він має про них. Європейський інститут сертифікації інформаційних технологій надає суб’єктам даних чітку та лаконічну інформацію про те, як подати запит на виправлення, яка інформація буде потрібна для підтвердження їх особи та скільки часу потрібно Європейському інституту сертифікації інформаційних технологій, щоб відповісти на запит.
5.5. Право на стирання
За певних обставин суб’єкти даних мають право вимагати від Європейського інституту сертифікації ІТ видалення їхніх персональних даних. Європейський інститут сертифікації ІТ надає суб’єктам даних чітку та лаконічну інформацію про те, як подати запит на видалення, яка інформація буде потрібна для підтвердження їх особи та скільки часу знадобиться Європейському інституту сертифікації ІТ, щоб відповісти на запит.
5.6. Право на заперечення
Суб’єкти даних мають право заперечити проти обробки своїх персональних даних за певних обставин. Європейський інститут сертифікації ІТ надає суб’єктам даних чітку та лаконічну інформацію про те, як подати запит на заперечення, яка інформація буде потрібна для підтвердження їх особи та скільки часу Європейському інституту сертифікації ІТ потрібно буде відповісти на запит.
5.7. Контактна інформація
Європейський інститут сертифікації інформаційних технологій надає чітку та стислу контактну інформацію для суб’єктів даних, якщо вони мають запитання чи сумніви щодо того, як обробляються їхні персональні дані.
Частина 6. Встановлення стандартного часу відгуку
Європейський інститут сертифікації ІТ встановив стандартний час відповіді на запити щодо прав суб’єктів даних і гарантує, що відповіді на запити надходять протягом цього терміну.
6.1. Стандартний час відповіді
Європейський інститут сертифікації ІТ встановлює стандартний час відповіді в 30 днів для запитів щодо прав суб’єктів даних. Стандартний час відповіді визначає верхню межу часу для обробки та відповіді, і більшість запитів обробляються та відповідають протягом коротшого часу.
6.2. Час підтвердження отримання запиту
Після отримання запиту щодо прав суб’єкта даних DPO або інші співробітники підтвердять отримання запиту протягом 5 робочих днів і нададуть суб’єкту даних приблизний термін для надання відповіді.
6.3. Виняткове розширення стандартного часу відповіді
Європейський інститут сертифікації ІТ докладатиме розумних зусиль, щоб відповісти на запити щодо прав суб’єктів даних протягом встановленого стандартного часу відповіді. Однак, якщо запит є складним або якщо Європейський інститут сертифікації ІТ отримує велику кількість запитів, час відповіді може бути продовжений. У таких випадках DPO повідомить суб’єкту даних про продовження та причину затримки.
6.4. Відмова у виконанні запиту щодо прав суб’єкта даних
Якщо Європейський інститут сертифікації ІТ не зможе задовольнити запит щодо прав суб’єкта даних, він надасть суб’єкту даних пояснення щодо відмови та повідомить його про його право подати скаргу до відповідного наглядового органу.
6.5. Записи запитів і відповідей щодо прав суб’єктів даних
Європейський інститут сертифікації ІТ буде вести точні записи про запити та відповіді щодо прав суб’єктів даних, включаючи дату отримання запиту, характер запиту, а також дату та спосіб відповіді.
6.6. Періодичні огляди
DPO періодично переглядатиме час відповіді Європейського інституту сертифікації інформаційних технологій і оновлюватиме його за потреби, щоб забезпечити відповідність чинним нормам захисту даних.
Частина 7. Підтвердження особи суб'єкта даних
7.1. Вимога підтвердження особи
Європейський інститут сертифікації ІТ повинен перевірити особу суб’єкта даних, який надсилає запит, щоб переконатися, що персональні дані надаються лише правильній особі.
7.2. Засоби та методи перевірки особи
Коли суб’єкт даних робить запит на реалізацію своїх прав відповідно до законодавства про захист даних, Європейський інститут сертифікації ІТ повинен перевірити особу суб’єкта даних, використовуючи відповідні заходи, наприклад запитуючи документи, що посвідчують особу.
7.3. Перевірка особи довіреності
Якщо суб’єкт даних робить запит від імені іншої особи, Європейський інститут сертифікації ІТ повинен перевірити особу як суб’єкта даних, так і особи, від імені якої робиться запит.
7.4. Сумніви підтвердження особи
Якщо Європейський інститут сертифікації ІТ має сумніви щодо особи суб’єкта даних або обґрунтованості запиту, він може запросити додаткову інформацію або вжити інших відповідних заходів для перевірки особистості суб’єкта даних.
7.5. Записи про підтвердження особи
Європейський інститут сертифікації ІТ повинен вести облік процесу перевірки та заходів, вжитих для перевірки особистості суб’єкта даних. Цей запис слід зберігати протягом розумного періоду часу та використовувати для демонстрації дотримання законів про захист даних.
Частина 8. Швидке реагування на запити щодо прав суб’єктів даних
8.1. Оперативне реагування
Європейський інститут сертифікації ІТ швидко відповідає на запити щодо прав суб’єктів даних і надає суб’єкту даних необхідну інформацію.
8.2. Запит на підтвердження отримання
Європейський інститут сертифікації ІТ підтверджує отримання запиту суб’єкта даних якомога швидше, в ідеалі протягом 5 робочих днів.
8.3. Запит на перевірку
Призначений DPO повинен переглянути запит, щоб переконатися, що він відповідає необхідним вимогам і що всю необхідну інформацію було надано.
8.4. Підтвердження особи суб'єкта даних
Європейський інститут сертифікації ІТ перевіряє особу суб’єкта даних, який надсилає запит, щоб переконатися, що персональні дані надаються лише правильній особі.
8.5. Отримання додаткової інформації при необхідності
Якщо запит незрозумілий або недостатній, Європейський інститут сертифікації ІТ повинен зв’язатися з суб’єктом даних, щоб отримати додаткову інформацію.
8.5. Отримання відповідних даних
Європейський інститут сертифікації ІТ отримує відповідні особисті дані та переглядає їх, щоб переконатися, що вони точні та актуальні.
8.6. Надання запитуваної інформації
Європейський інститут сертифікації ІТ надає суб’єкту даних інформацію, яку він запитував, включаючи копію його особистих даних у загальновживаному електронному форматі, якщо не вимагається інше.
8.7. Інформувати суб'єкта даних про його права
Європейський інститут сертифікації ІТ інформує суб’єкта даних про його інші права, такі як право виправляти або видаляти свої персональні дані, і надає йому необхідні інструкції.
8.8. Дотримання часу відповіді
Європейський інститут сертифікації інформаційних технологій відповідає на запити щодо прав суб’єктів даних протягом встановленого часу відповіді, забезпечуючи вжиття необхідних заходів для виконання запиту.
8.9. Документальне оформлення відповіді
Європейський інститут сертифікації ІТ документує відповідь на запит щодо прав суб’єкта даних, включно з будь-якими вжитими діями та часом відповіді, щоб забезпечити його перевірку та відстеження для цілей відповідності.
8.10. Повідомлення суб'єкта даних про будь-які зміни
У разі внесення будь-яких змін до персональних даних суб’єкта даних у результаті їх запиту Європейський інститут сертифікації ІТ повідомляє суб’єкта даних про ці зміни.
Частина 9. Документування запитів щодо прав суб’єктів даних
Європейський інститут сертифікації ІТ веде облік запитів щодо прав суб’єктів даних, включаючи дату запиту, характер запиту та відповідь на запит. Документування запитів щодо прав суб’єктів даних включає такі аспекти:
9.1. Ведення реєстру
Європейський інститут сертифікації ІТ веде реєстр, який фіксує всі отримані запити щодо прав суб’єктів даних. Цей реєстр повинен містити наступні деталі:
- Дата звернення
- Ім'я та контактні дані суб'єкта даних
- Опис запиту
- Дії, вжиті у відповідь на запит
- Будь-яка додаткова інформація, необхідна для обробки запиту
9.2. Стандартизований процес документації
Європейський інститут сертифікації ІТ проводить стандартизований процес документування запитів щодо прав суб’єктів даних, щоб забезпечити послідовність і точність зібраної інформації.
9.3. Термін зберігання
Європейський інститут сертифікації ІТ зберігає ці записи протягом розумного періоду часу, визначеного чинними законами та правилами, не менше 2 років.
9.4. Збереження конфіденційності
Європейський інститут сертифікації ІТ гарантує, що записи про запити щодо прав суб’єктів даних будуть доступні лише для уповноваженого персоналу, який потребує доступу до такої інформації під час виконання своїх обов’язків. Він також впроваджує технічні та організаційні заходи для запобігання несанкціонованому доступу, розголошенню, зміні або знищенню персональних даних, що містяться в записах запитів щодо прав суб’єктів даних.
9.5 Звітність
Європейський інститут сертифікації ІТ періодично створює звіти про отримані, оброблені та нерозглянуті запити щодо прав суб’єктів даних. Ці звіти надаються відповідним зацікавленим сторонам, включаючи вище керівництво та DPO.
9.6. Analytics
Європейський інститут сертифікації ІТ проводить аналіз тенденцій щодо запитів щодо прав суб’єктів даних, щоб визначити закономірності та основні причини запитів. Ця інформація використовується для покращення процесів і процедур для кращого керування такими запитами.
Частина 10. Моніторинг та перегляд процесу
Європейський інститут сертифікації ІТ регулярно відстежує та перевіряє свій процес обробки запитів щодо прав суб’єктів даних, щоб переконатися, що він залишається ефективним і відповідає GDPR.
10.1. Проведення періодичних оглядів
Європейський інститут сертифікації ІТ проводить періодичні перевірки процесу обробки запитів щодо прав суб’єктів даних і політики відповідності GDPR, щоб переконатися, що вони ефективні та відповідають нормам захисту даних. Ці перевірки включають аналіз кількості та типу отриманих запитів, своєчасність та ефективність відповідей, а також будь-які сфери, які потрібно вдосконалити.
10.2. Впровадження поліпшень
На основі результатів перевірок Європейський інститут сертифікації ІТ впроваджує будь-які необхідні вдосконалення в процес обробки запитів щодо прав суб’єктів даних. Це може включати оновлення процедур, додаткове навчання персоналу або зміни способу перевірки запитів і відповіді на них.
10.3. Забезпечення постійної відповідності
Європейський інститут сертифікації ІТ забезпечує постійне дотримання правил захисту даних шляхом регулярного перегляду та оновлення своїх політик і процедур відповідно до будь-яких змін у відповідних законах і постановах.
10.4. Контроль роботи персоналу
Європейський інститут сертифікації ІТ контролює ефективність роботи персоналу щодо обробки запитів щодо прав суб’єктів даних, включаючи якість і своєчасність відповідей. Це може включати періодичне навчання та перевірку продуктивності, щоб переконатися, що персонал обізнаний і компетентний у цій сфері.
10.5. Спілкування з суб’єктами даних
Європейський інститут сертифікації інформаційних технологій спілкується із суб’єктами даних протягом усього процесу обробки запитів, щоб переконатися, що вони інформовані про прогрес і будь-яку відповідну інформацію. Це може включати надання оновленої інформації про статус їхнього запиту або запит додаткової інформації за потреби.
10.6. Ведення записів
Європейський інститут сертифікації ІТ зберігає записи про свої перевірки, включаючи будь-які зміни, внесені в процес обробки запитів щодо прав суб’єктів даних, а також будь-які відгуки, отримані від суб’єктів даних. Ця інформація може бути використана для підтримки поточних зусиль щодо відповідності та для визначення областей для подальшого вдосконалення.
Частина 11. Встановлення обліку операцій з обробки
Європейський інститут сертифікації ІТ веде Реєстр дій з обробки, який є документом, який описує обробку персональних даних, яку здійснює організація. Це вимагається відповідно до Загального регламенту захисту даних ЄС (GDPR) і призначене для підтримки розуміння діяльності з обробки даних і демонстрації відповідності GDPR.
11.1. Структура ROPA
ROPA містить основну інформацію про назву та контактні дані організації, цілі обробки даних, категорії персональних даних, що обробляються, одержувачів персональних даних і періоди зберігання персональних даних. Він також містить інформацію про будь-яких сторонніх обробників, які обробляють персональні дані від імені організації.
11.2. Регулярні оновлення ROPA
ROPA регулярно оновлюється і є живим документом, який відображає зміни в діяльності Європейського інституту сертифікації ІТ щодо обробки даних, що сприяє зміцненню довіри між суб’єктами даних.
Європейський інститут сертифікації ІТ прагне підтримувати найвищі стандарти щодо керування запитами щодо прав суб’єктів даних і Загальної політики регулювання захисту даних, гарантуючи дотримання всіх чинних законів і нормативних актів, пов’язаних із цими питаннями, а також провідних галузевих стандартів і найкращі практики, включаючи систему управління конфіденційною інформацією ISO 27701.