Fuente PDF: SOP_GDPR_Requests_Release_Deletion.pdf
SOP - GDPR Formación " Verificación de datos
Propósito
Para asegurar que todo el personal de EasyDNA entienda y cumpla con la Protección General de Datos
Regulación (GDPR), incluyendo el manejo adecuado de personal, sensible y altamente
datos confidenciales y procedimientos de verificación para los clientes existentes.
- Reseña de GDPR
El Reglamento General de Protección de Datos (GDPR) protege los derechos de privacidad
individuos y regula cómo las organizaciones recopilan, usan y almacenan datos personales.
GDPR se basa en seis principios básicos que deben ser seguidos en todo momento:
- La legalidad, la equidad y la transparencia - El procesamiento debe ser legal, justo,
y claro para el individuo.
- Limitación de propósito - Los datos recogidos sólo deben ser utilizados para el
propósito.
- Minimización de datos - Sólo recoge lo necesario.
- Precisión - Mantenga los datos exactos y actualizados.
- Limitación de almacenamiento - No guarde datos más largos de lo necesario.
- Integridad y Confidencialidad - Proteger datos contra el acceso no autorizado,
pérdida o destrucción.
Todo el personal de EasyDNA comparte la responsabilidad de proteger los datos de los clientes bajo estos
principios.
- Clasificación de datos
Datos personales
Cualquier información que identifique o pueda identificar a una persona, directa o indirectamente.
Ejemplos:
- Nombre, dirección, número de teléfono, correo electrónico
- Número de pedido vinculado a un cliente
- Número de referencia de casos
- Detalles del pago
Datos personales sensibles
Datos que revelan los atributos o creencias personales de un individuo.
Ejemplos:
- Raza o etnia
- Religión o opinión política
- Información sobre salud
- Datos biométricos
- Orientación sexual
Datos altamente sensibles
Information requiring the highest level of protection due to potential harm or
discriminación si está expuesta.
Ejemplos:
- Datos genéticos (DNA resultados, archivos crudos)
- Datos sobre condenas penales
- Documentos de identidad (pasaporte, tarjeta de identificación)
- Datos de relación prenatal o post mortem
Todos los análisis genéticos y de relación manejados por EasyDNA o Endeavor DNA son
clasificado como Datos altamente sensibles.
-
Procesamiento de datos y bases jurídicas
El procesamiento de datos incluye cualquier operación realizada en datos personales, como
colección, almacenamiento, uso, intercambio o eliminación.
El procesamiento debe tener al menos una base legal en virtud del artículo 6 de la GDPR
Ejemplo de base legal en EasyDNA Context
Consentido cliente marca la caja de consentimiento cuando
Envío de muestras
Procesamiento de contrato necesario para realizar DNA
análisis
Legal Obligation Compliance with immigration or court
órdenes
Intereseses vitales Casos graves relacionados con la atención médica
emergencias
Intereses legítimos Prevención interna del fraude o calidad
control
Nota: En relaciones laborales o de servicio cliente, el "consentimiento" rara vez es válido debido a
desequilibrio de poder; depende en cambio de obligaciones contractuales o jurídicas.
-
Comprobaciones de verificación con clientes existentes
Propósito
Para proteger los datos del cliente e impedir el acceso o la divulgación no autorizados.
Procedimiento
-
Confirme Identidad del Llamador:
- Solicitar el número de referencia del caso, nombre completo y dirección de correo electrónico
usado en la orden.
- Comprobación cruzada con ATP o CRM.
- Información de seguridad de verificación:
- Confirme fecha de nacimiento, dirección o tipo de prueba.
- No divulgar resultados ni información confidencial hasta que la verificación sea
completo.
- Si Caller falla la verificación:
- Rehúse políticamente a compartir datos.
- "Por razones de protección de datos, no podemos compartir esta información
hasta que la verificación esté completa. Por favor envíenos un correo electrónico desde la dirección
registrado en su caso."
- Verificación de registros en Notas:
- Añadir ATP nota: "Client verificado bajo GDPR cheque - confirmado DOB +
CR."
- Solicitudes de acceso a los interesados (SAR)
Tipos de solicitudes
- Solicitud de acceso - El cliente solicita una copia de todos los datos personales mantenidos.
- Use EN - GDPR REC 4.2 (RECORD) formulario.
- Solicitud de eliminación ("Derecho a ser olvidado") - Solicitudes de cliente eliminación de
sus datos.
- Use EN - GDPR REC 1.1 (DELETE) forma.
Procedimiento
-
Verifique la identidad del solicitante.
-
Grabar la solicitud utilizando el formulario apropiado.
-
Adelante con el Oficial de Protección de Datos (DPO) para su procesamiento.
-
Los datos deben ser proporcionados o eliminados dentro de 30 días a menos que se prorroguen bajo
Artículo 12 3) GDPR.
-
Confirme la terminación al cliente por escrito.
-
Retención y eliminación de datos
- Retener los datos del cliente sólo durante el tiempo necesario para la prueba, la entrega de resultados,
y cumplimiento legal.
- Una vez alcanzados los límites de retención, los datos deben eliminarse de forma segura de todos
sistemas (ATP, correo electrónico, unidades compartidas y archivos de laboratorio).
- Para datos sensibles y altamente sensibles, asegura que el laboratorio también confirma
Supresión.
Ejemplos de retención:
Tipo de datos Período de retención típico
Registros de casos 2 años después del análisis
Casos legales/inmigración 7 años
Registros de empleados 5 años después de que el empleo termine
CCTV/Call grabaciones 30-90 días
- Data Breaches
Una violación de datos ocurre cuando se accede, divulga o se pierde datos personales
involuntaria o ilegalmente.
Pasos inmediatos
- Notificar al DPO dentro de 24 horas.
- Recordar detalles de incidentes (quién, qué, cuándo, dónde, cómo).
- El DPO evalúa si la notificación a la autoridad supervisora (por ejemplo, ICO, OAIC)
se requiere dentro de 72 horas.
- Los individuos afectados deben ser informados si la violación es de alto riesgo.
- Evaluaciones de los efectos de la protección de datos (DPIA)
A DPIA is required when processing activities are likely to result in high risk to
derechos de las personas (por ejemplo, procesamiento genético o relacionado con la salud).
Debe describir el propósito, evaluar la necesidad y esbozar la mitigación del riesgo
pasos.
Dispositivos clave para DPIA:
- Uso de nuevas tecnologías (AI, automatización)
- Procesamiento a gran escala de datos sensibles
- Supervisión del comportamiento público o en línea
- Funciones y responsabilidades
Responsabilidad
Todo el personal sigue los principios de la GDPR; asegura seguridad
manejo de todo personal y sensible
datos.
Servicio al cliente / CSR Realizar verificación antes de revelar o
actualizar los datos del cliente.
DPO Oversee compliance, handle SARs,
asesorar sobre infracciones y DPIAs.
Gerentes Asegurar que el personal complete el entrenamiento GDPR
e implementar actualizaciones de políticas.
- Documentos de referencia y enlaces
- EasyDNA Condiciones de servicio Política de protección de datos:
https://easydna.co.uk/terms-of-service/
- EN - GDPR REC 1.1 - Solicitud de Acceso a Asunto (Delete)
- EN - GDPR REC 4.2 - Solicitud de Acceso al Asunto (Record)
- DPO Course Notes (Sessions 1-3)
- UE GDPR (Regulación (UE) 2016/679)
- Examen y capacitación
- Todos los empleados deben completar el entrenamiento GDPR anualmente.
- Rehabilitar las sesiones para ser registradas en los registros de capacitación de RRHH.
- Este SOP es revisado por el DPO cada 12 meses o sobre una política significativa
cambios.
- Adición - Verificación Cuando el Cliente se niega a proporcionar identificación
Propósito
Proveer un proceso consistente y auditable para verificar la identidad de un solicitante para SARs
(acceso/eratura) cuando se niegan a compartir el ID de foto, alineado con nuestra verificación
cheques y manejo de SAR.
Ámbito
All Subject Access Solicitudes cuando se rechaza el ID pero la verificación sigue siendo necesaria
a la naturaleza de nuestros datos (datos genéticos altamente sensibles).
Contexto jurídico (sumario)
- Según el artículo 12(6) "Reino Unido" GDPR, donde hay una duda razonable sobre
identidad, podemos solicitar información adicional antes del procesamiento. Timelines
ejecutar una vez que se recibe "lo que necesitamos", por nuestro procedimiento de SAR.
A. Verificación basada en el código (Aprobado Alternativa al ID de foto)
Cuándo utilizar
- El solicitante se niega a proporcionar ID pero completará nuestro formulario y aceptará un
Código de verificación de una sola vez.
- Tenemos un punto de contacto confiable ya en el archivo (email registrado y, si
disponible, número de teléfono). Esto complementa las comprobaciones de verificación existentes
clientes existentes.
Procedimiento
- Generar un código único
- Cree un código alfanumérico de 8-10 caracteres.
- Nota ATP: GDPR código de verificación alt-ID generado".
- Enviar el código
- Enviar por correo electrónico el caso a la dirección de correo electrónico registrada en el archivo
(nunca a una dirección nueva o no verificada).
- Incluya esta instrucción:
"Por favor escriba el siguiente código en el cuadro "Código de Verificación" en el
Asunto de datos adjuntos [Deletion/Access] Forma, firma el formulario y
respuesta de la misma dirección de correo electrónico."
- Opcional Call-Back (si número en el archivo)
- Si un número de teléfono está en el archivo, haga una llamada breve y pida al cliente
read back the code they received by email. No revelar
datos personales hasta que la verificación esté completa. Inicie la llamada por verificación
cheques.
- Formulario de devolución del cliente
- Impresión y signos del cliente EN - GDPR REC 1.1 (DELETE) o EN -
GDPR REC 4.2 (RECORD), escribe el código en el "Código de Verificación"
box, y respuestas del email registrado.
- Verificar " Log "
- Confirmación: cerillas de código, formulario firmado, respuesta procedente del registro
correo electrónico.
- Ejemplo de nota ATP:
GDPR alt-ID verificada mediante código de una sola vez. Código: [xxxxxxx], emparejado en firmado
forma. El correo electrónico coincide con el archivo. Proceeding with [DELETION/ACCESS]."
- Procesar la solicitud
- Hacia el DPO y completar dentro del plazo SAR establecido en el
SOP (30 días a menos que se prorrogue con arreglo al párrafo 3 del artículo 12); confirmar
finalización por escrito.
Casos de borde
- Solo por correo electrónico (sin teléfono móvil o fijo únicamente): Proceda con código de correo electrónico +
formulario firmado (pasos 2, 4, 5); el paso de llamada es opcional.
- Reclamaciones de tutela: If the requester claims to be a legal guardian, ensure
el caso ya evidencia la tutela o obtener la prueba requerida por
procedimientos existentes antes de proceder a la eliminación/acceso. Si falta, escalar
a DPO.
- Signals of impersonation or inconsistency: Pause and escalate to DPO
en virtud del artículo 12 6), evaluación de la proporcionalidad.
Minimización de datos y retención
- Retener el formulario SAR firmado que contiene el código en el registro SAR por nuestro
reglas de retención; eliminar cualquier borrador transitorio una vez procesado y seguir el
controles de eliminación existentes para datos altamente sensibles (ATP, correo electrónico, unidades compartidas,
archivos de laboratorio).
B. Escalación (cuando la verificación basada en el código falla o se rechaza)
Si el solicitante rechaza el método de código o la duda material permanece después de las comprobaciones:
- Procesamiento de la pausa, nota "discutible razonable" en virtud del artículo 12(6).
- Escalar a la Oficina para una evaluación de la proporcionalidad y los próximos pasos.
- Actualizar el cliente: los plazos reanudar una vez que se reciba la verificación suficiente, en
line with our SAR procedure.
C. Wording Standard (Email Snippets)
Oferta - Método de código
Gracias por su solicitud. Como alternativa al ID de foto, podemos verificar la identidad
con un código de seguridad único. Te enviaremos un código único. Por favor escriba esto
código sobre el Asunto de datos adjunto [Deletion/Access] Forma, firma y contesta desde
la misma dirección de correo electrónico registrada. Una vez verificados, procederemos dentro del
plazo estándar.
Refusal of Code Method
Comprendemos su posición. Porque procesamos datos genéticos altamente sensibles,
debe verificar la identidad del solicitante para evitar la supresión o revelación no autorizada. Si
no desea utilizar el método de código, vamos a referir su solicitud a nuestros datos
Oficial de Protección para la Evaluación conforme al Artículo 12(6) "Reino" GDPR y le actualizará
en los próximos pasos.
D. Registros de auditoría
- Entradas obligatorias ATP: generación de código, despacho, resultado del partido, ruta
utilizado (código), y cualquier escalada de DPO.
- El archivo SAR debe incluir: el formulario SAR firmado que muestra el código de verificación y
el email final de finalización.
- Aplicar controles de retención y eliminación existentes.
Propietario: DPO, Grupo EasyDNA
Fecha efectiva: octubre 2025
Siguiente revisión: Por Sección 11 ciclo de revisión.