Politika DSRRM in GDPR

Politika akademije EITCA o upravljanju zahtevkov za pravice subjektov, na katere se nanašajo osebni podatki, in splošna uredba o varstvu podatkov

Ta dokument določa politiko Evropskega certifikacijskega inštituta za IT o upravljanju zahtevkov za pravice subjektov, kot tudi izvajanje Splošne uredbe EU o varstvu podatkov, ki se redno pregleduje in posodablja, da se zagotovi njena učinkovitost in ustreznost. Zadnja posodobitev EITCI upravljanja zahtevkov za pravice subjektov, na katere se nanašajo osebni podatki, in pravilnika GDPR je bila izvedena 10. januarja 2023. Naš pravilnik o upravljanju zahtevkov za pravice subjektov, na katere se nanašajo osebni podatki, in pravilnik GDPR temelji na načelih razširitve sistema upravljanja zasebnosti informacij ISO 27701 na standard ISO 27001 informacijska varnost. Sistemski standard, kot tudi na zahteve Splošne uredbe o varstvu podatkov (2016/679).

1. del. Uvod

Upravljanje zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki, je bistveni del zagotavljanja skladnosti s predpisi o varstvu podatkov, in sicer GDPR (Splošna uredba EU o varstvu podatkov). Evropski certifikacijski inštitut za IT je opredelil naslednje formalne postopke za upravljanje zahtevkov za pravice posameznikov in izvajanje zahtev GDPR:

1.1. Vzpostavitev postopka za obravnavo zahtev glede pravic posameznikov, na katere se nanašajo osebni podatki

Ta postopek opisuje korake, ki jih Evropski certifikacijski inštitut za IT upošteva pri obravnavanju zahtevkov glede pravic posameznikov, vključno z identifikacijo in avtentikacijo posameznika, na katerega se nanašajo osebni podatki, preverjanjem zahteve posameznika, na katerega se nanašajo osebni podatki, in odgovorom na zahtevo.

1.2. Imenovanje pooblaščene osebe za varstvo podatkov (DPO)

Evropski certifikacijski inštitut za IT imenuje DPO, ki je odgovoren za nadzor nad upravljanjem zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki, vključno s pregledom zahtevkov, odgovorom na zahteve in zagotavljanjem skladnosti s predpisi o varstvu podatkov.

1.3. Vzdrževanje ažurne evidence osebnih podatkov

Evropski certifikacijski inštitut za IT vzdržuje posodobljeno evidenco osebnih podatkov, ki jih hrani, in namenov, za katere se obdelujejo. To bo Evropskemu inštitutu za certifikacijo IT omogočilo hiter in natančen odziv na zahteve glede pravic posameznikov, na katere se nanašajo osebni podatki.

1.4. Zagotavljanje jasnih in jedrnatih informacij posameznikom, na katere se nanašajo osebni podatki

Pri zbiranju osebnih podatkov Evropski certifikacijski inštitut za informacijsko tehnologijo posameznikom, na katere se nanašajo osebni podatki, zagotavlja jasne in jedrnate informacije o njihovih pravicah, vključno s pravico do dostopa, popravka, izbrisa in ugovora obdelavi njihovih osebnih podatkov.

1.5. Vzpostavitev standardnega odzivnega časa

Evropski certifikacijski inštitut za IT vzdržuje standardni odzivni čas za zahteve glede pravic posameznikov, na katere se nanašajo osebni podatki, in zagotavlja, da se na zahteve odgovori v tem časovnem okviru.

1.6. Preverjanje identitete posameznika, na katerega se nanašajo osebni podatki

Evropski certifikacijski inštitut za informacijsko tehnologijo preveri identiteto posameznika, na katerega se nanašajo osebni podatki, ki vloži zahtevo, da zagotovi, da so osebni podatki posredovani samo pravemu posamezniku.

1.7. Hitro odzivanje na zahteve glede pravic posameznikov

Evropski certifikacijski inštitut za informacijsko tehnologijo se nemudoma odzove na zahteve glede pravic posameznika in posamezniku zagotovi informacije, ki jih je zahteval.

1.8. Dokumentiranje zahtev glede pravic posameznikov

Evropski certifikacijski inštitut IT vodi evidenco zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki, vključno z datumom zahteve, naravo zahteve in odgovorom na zahtevo.

1.9. Spremljanje in pregledovanje procesa

Evropski certifikacijski inštitut za informacijsko tehnologijo redno spremlja in pregleduje svoj postopek za obravnavanje zahtevkov za pravice posameznikov, da se zagotovi, da ostaja učinkovit in skladen z ustreznimi predpisi o varstvu podatkov.

1.10. Vzpostavitev evidence predelovalnih dejavnosti

Evropski certifikacijski inštitut za IT vodi Evidenco dejavnosti obdelave, ki je dokument, ki opisuje obdelavo osebnih podatkov, ki jo izvaja organizacija. Zahteva ga Splošna uredba EU o varstvu podatkov (GDPR) in je namenjena podpiranju razumevanja dejavnosti obdelave podatkov in dokazovanju skladnosti z GDPR.

Z upoštevanjem teh formalnih postopkov in postopkov lahko Evropski certifikacijski inštitut za IT učinkovito upravlja zahteve za pravice posameznikov, na katere se nanašajo osebni podatki, in zagotavlja skladnost s predpisi o varstvu podatkov, vključno s Splošno uredbo o varstvu podatkov v Evropski uniji.

Del 2. Vzpostavitev postopka za obravnavo zahtev za pravice posameznikov, na katere se nanašajo osebni podatki

Ta postopek opisuje korake, ki jih Evropski certifikacijski inštitut za IT upošteva pri obravnavanju zahtev glede pravic posameznikov, vključno z identifikacijo in avtentikacijo posameznika, na katerega se nanašajo osebni podatki, preverjanjem zahteve posameznika, na katerega se nanašajo osebni podatki, in odgovorom na zahtevo:

2.1. Identifikacija in avtentikacija posameznika, na katerega se nanašajo osebni podatki

Evropski certifikacijski inštitut za IT vzdržuje vzpostavljen postopek za preverjanje identitete posameznika, na katerega se nanašajo osebni podatki, ki vloži zahtevo. To lahko vključuje zahtevo po osebni izkaznici, ki jo je izdal državni organ, preverjanje z obstoječimi zapisi ali uporabo drugih metod preverjanja pristnosti.

2.2. Preverjanje zahteve posameznika, na katerega se nanašajo osebni podatki

Ko je identiteta posameznika, na katerega se nanašajo osebni podatki, ugotovljena, mora Evropski certifikacijski inštitut za IT preveriti, ali je zahteva veljavna in se nanaša na osebne podatke posameznika, na katerega se nanašajo osebni podatki. Zahteva mora vsebovati tudi posebno pravico, ki se uveljavlja, kot je pravica do dostopa, popravka ali izbrisa osebnih podatkov.

2.3. Odgovor na zahtevo

Evropski certifikacijski inštitut za informacijsko tehnologijo mora odgovoriti na zahtevo posameznika, na katerega se nanašajo osebni podatki, v roku, določenem z ustreznimi zakoni o varstvu podatkov, vendar ne dlje kot 30 dni. Odgovor mora vključevati obrazložitev, ali je bila prošnja odobrena ali zavrnjena, in razloge za odločitev.

2.4. Dokumentiranje zahteve in odgovora

Evropski certifikacijski inštitut za informacijsko tehnologijo vodi evidenco vseh zahtev in odgovorov glede pravic posameznikov, na katere se nanašajo osebni podatki. To pomaga zagotoviti skladnost z ustreznimi zakoni o varstvu podatkov ter olajša prihodnje revizije ali preiskave.

2.5. Usposabljanje ustreznega osebja

Evropski certifikacijski inštitut IT bo zagotovil usposabljanje za osebje, ki je odgovorno za obravnavo zahtevkov za pravice posameznikov, da se zagotovi, da so seznanjeni z ustreznimi zakoni o varstvu podatkov in postopki Evropskega certifikacijskega inštituta za obravnavanje takšnih zahtev.

2.6. Spremljanje in pregledovanje procesa

Evropski certifikacijski inštitut za informacijsko tehnologijo redno spremlja in pregleduje postopek obravnave zahtevkov za pravice posameznikov, da zagotovi, da ostaja učinkovit in skladen z ustreznimi zakoni o varstvu podatkov. Vse težave ali incidenti so pravočasno prijavljeni in obravnavani.

Del 3. Imenovanje pooblaščene osebe za varstvo podatkov (DPO)

3.1. Določitev DPO

Evropski certifikacijski inštitut za IT imenuje uradno osebo za varstvo podatkov (DPO), ki nadzoruje upravljanje zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki, in zagotavlja skladnost s predpisi o varstvu podatkov. DPO bo odgovoren za pregledovanje zahtevkov in zagotavljanje, da Evropski certifikacijski inštitut za informacijsko tehnologijo izpolnjuje svoje zakonske obveznosti v zvezi z varstvom podatkov.

3.2. Zahteve glede kompetenc DPO

Uradna oseba za varstvo podatkov mora imeti strokovno znanje o zakonih in praksah o varstvu podatkov ter imeti potrebna sredstva za izpolnjevanje svojih odgovornosti. Imeti morajo neposreden dostop do višjega vodstva in poročati najvišji vodstveni ravni organizacije.

3.3. Odgovornosti DPO

Odgovornosti DPO vključujejo, vendar niso omejene na naslednje:

Zagotavljanje smernic in svetovanja Evropskemu certifikacijskemu inštitutu za IT o zadevah varstva podatkov, vključno z upravljanjem zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki.
Spremljanje skladnosti Evropskega certifikacijskega inštituta za IT s predpisi o varstvu podatkov ter notranjimi politikami in postopki.
Odgovarjanje na poizvedbe in pritožbe posameznikov, na katere se nanašajo osebni podatki, glede njihovih pravic v skladu s predpisi o varstvu podatkov.
Usklajevanje z drugimi oddelki za zagotovitev, da so zahteve glede varstva podatkov izpolnjene v celotni organizaciji.
Izvajanje rednih pregledov in ocen praks varstva podatkov Evropskega certifikacijskega inštituta za IT in zagotavljanje priporočil za izboljšave.
Delovanje kot kontaktna točka za organe za varstvo podatkov in sodelovanje z njimi v primeru preiskave ali revizije.
Uradna oseba za varstvo podatkov je vključena tudi v razvoj in izvajanje politik in postopkov Evropskega certifikacijskega inštituta za IT v zvezi z varstvom podatkov, vključno s tistimi, ki se nanašajo na obravnavanje zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki.

3.4. Usposabljanje DPO in razvoj kvalifikacij

Evropski certifikacijski inštitut za informacijsko tehnologijo bi moral zagotoviti, da je uradna oseba za varstvo podatkov ustrezno usposobljena za predpise o varstvu podatkov in obveščena o vseh spremembah ali posodobitvah teh predpisov.

3.5. Kontaktni podatki DPO

Kontaktni podatki uradne osebe za varstvo podatkov morajo biti na voljo posameznikom, na katere se nanašajo osebni podatki, in vključeni v obvestilo ali politiko zasebnosti Evropskega inštituta za certificiranje IT.

Del 4. Vzdrževanje ažurne evidence osebnih podatkov

4.1. Vzpostavitev postopka identifikacije in evidentiranja osebnih podatkov

Evropski certifikacijski inštitut za IT vzpostavlja jasen in standardiziran postopek za identifikacijo in beleženje osebnih podatkov, vključno z imenom posameznika, na katerega se nanašajo osebni podatki, kontaktnimi informacijami in vsemi drugimi ustreznimi informacijami. Ta postopek zagotavlja, da se osebni podatki zbirajo samo za posebne in zakonite namene.

4.2. Kategorizacija osebnih podatkov

Evropski certifikacijski inštitut za informacijsko tehnologijo kategorizira osebne podatke za lažje sledenje in upravljanje. To vključuje kategorizacijo podatkov glede na vrsto, kot so kontaktni podatki, podatki za obračun, kompetence in kvalifikacije, finančni podatki ali zgodovina zaposlitve.

4.3. Implementacija sistema za upravljanje podatkov

Evropski certifikacijski inštitut za IT izvaja sistem za upravljanje podatkov, ki pomaga zagotoviti, da so osebni podatki točni, posodobljeni in dostopni. Sistem za upravljanje podatkov vključuje zbirko podatkov, po kateri je mogoče iskati in izvajati poizvedbe za pomoč pri odzivanju na zahteve glede pravic posameznikov, na katere se nanašajo osebni podatki.

4.4. Dodelitev odgovornosti za vodenje evidence osebnih podatkov

Evropski certifikacijski inštitut za IT bi moral odgovornost za vzdrževanje evidence osebnih podatkov dodeliti določenim posameznikom ali oddelkom. To bo zagotovilo, da bo evidenca posodobljena in točna.

4.5. Redno pregledovanje in ažuriranje evidence osebnih podatkov

Evropski certifikacijski inštitut za informacijsko tehnologijo bi moral redno pregledovati in posodabljati evidenco osebnih podatkov, da zagotovi, da ostaja točna in posodobljena. To je mogoče doseči z rednimi revizijami ali s postopkom stalnega spremljanja.

4.6. Izvedite ustrezne varnostne ukrepe

Evropski certifikacijski inštitut IT izvaja ustrezne varnostne ukrepe za zaščito osebnih podatkov, ki jih ima, vključno z ukrepi za preprečevanje nepooblaščenega dostopa, nenamerne izgube ali uničenja osebnih podatkov, kot del informacijske varnostne politike (ISP) organizacije. To vključuje šifriranje, požarne zidove in nadzor dostopa. Podrobne specifikacije postopkov in ukrepov za zaščito podatkov so zajete v politiki informacijske varnosti Evropskega inštituta za certificiranje IT.

Del 5. Zagotavljanje jasnih in jedrnatih informacij posameznikom, na katere se nanašajo osebni podatki

5.1. Preglednost

Evropski certifikacijski inštitut za IT je pregleden pri obdelavi osebnih podatkov in posameznikom, na katere se nanašajo osebni podatki, zagotavlja jedrnate informacije o tem, kako se njihovi podatki uporabljajo, obdelujejo in shranjujejo.

5.2. Pravilnik o zasebnosti

Evropski certifikacijski inštitut za IT ima podrobno politiko zasebnosti, ki opisuje njegove dejavnosti obdelave podatkov, vključno s tem, kako lahko posamezniki, na katere se nanašajo osebni podatki, uveljavljajo svoje pravice.

5.3. Pravica do dostopa

Posamezniki, na katere se nanašajo osebni podatki, imajo pravico zahtevati dostop do osebnih podatkov, ki jih o njih hrani Evropski certifikacijski inštitut za IT. Evropski certifikacijski inštitut IT posameznikom, na katere se nanašajo osebni podatki, zagotavlja jasne in jedrnate informacije o tem, kako vložiti zahtevo za dostop, katere informacije bodo potrebne za preverjanje njihove identitete in koliko časa bo Evropski certifikacijski inštitut potreboval, da odgovori na zahtevo.

5.4. Pravica do popravka

Posamezniki, na katere se nanašajo osebni podatki, imajo pravico zahtevati, da Evropski certifikacijski inštitut IT popravi vse netočne ali nepopolne osebne podatke, ki jih ima o njih. Evropski certifikacijski inštitut IT posameznikom, na katere se nanašajo osebni podatki, zagotavlja jasne in jedrnate informacije o tem, kako vložiti zahtevo za popravek, katere informacije bodo potrebne za preverjanje njihove identitete in koliko časa bo Evropski certifikacijski inštitut potreboval, da odgovori na zahtevo.

5.5. Pravica do izbrisa

Posamezniki, na katere se nanašajo osebni podatki, imajo v določenih okoliščinah pravico zahtevati, da Evropski certifikacijski inštitut za IT izbriše njihove osebne podatke. Evropski certifikacijski inštitut IT posameznikom, na katere se nanašajo osebni podatki, zagotavlja jasne in jedrnate informacije o tem, kako vložiti zahtevo za izbris, kateri podatki bodo potrebni za preverjanje njihove identitete in koliko časa bo Evropski certifikacijski inštitut potreboval, da odgovori na zahtevo.

5.6. Pravica do ugovora

Posamezniki, na katere se nanašajo osebni podatki, imajo v določenih okoliščinah pravico ugovarjati obdelavi svojih osebnih podatkov. Evropski certifikacijski inštitut IT posameznikom, na katere se nanašajo osebni podatki, zagotavlja jasne in jedrnate informacije o tem, kako vložiti zahtevo za ugovor, katere informacije bodo potrebne za preverjanje njihove identitete in koliko časa bo Evropski certifikacijski inštitut potreboval, da odgovori na zahtevo.

5.7. Kontaktni podatki

Evropski certifikacijski inštitut za IT zagotavlja jasne in jedrnate kontaktne podatke za posameznike, na katere se nanašajo osebni podatki, ki jih lahko uporabijo, če imajo vprašanja ali pomisleke o tem, kako se obdelujejo njihovi osebni podatki.

Del 6. Vzpostavitev standardnega odzivnega časa

Evropski certifikacijski inštitut za IT je določil standardni odzivni čas za zahteve glede pravic posameznikov, na katere se nanašajo osebni podatki, in zagotavlja, da se na zahteve odgovori v tem roku.

6.1. Standardni odzivni čas

Evropski certifikacijski inštitut za IT določa standardni odzivni čas 30 dni za zahteve glede pravic posameznikov, na katere se nanašajo osebni podatki. Standardni odzivni čas določa zgornjo časovno mejo za obdelavo in odgovor, večina zahtevkov pa je obdelanih in odgovorjenih v krajšem času.

6.2. Zahtevajte čas potrditve prejema

Po prejemu zahteve glede pravic posameznika, na katerega se nanašajo osebni podatki, bo uradna oseba za varstvo podatkov ali drugo osebje potrdilo prejem zahteve v 5 delovnih dneh in posamezniku, na katerega se nanašajo osebni podatki, posredovalo predviden časovni okvir za predložitev odgovora.

6.3. Izjemna podaljšanja standardnega odzivnega časa

Evropski certifikacijski inštitut za informacijsko tehnologijo si bo razumno prizadeval odgovoriti na zahteve glede pravic posameznikov, na katere se nanašajo osebni podatki, v določenem standardnem odzivnem času. Če pa je zahteva zapletena ali če Evropski certifikacijski inštitut za IT prejme veliko zahtev, se lahko odzivni čas podaljša. V takih primerih bo DPO osebo, na katero se nanašajo osebni podatki, obvestil o podaljšanju in razlogu za zamudo.

6.4. Zavrnitev izpolnitve zahteve glede pravic posameznika, na katerega se nanašajo osebni podatki

Če Evropski certifikacijski inštitut za informacijsko tehnologijo ne more izpolniti zahteve glede pravic posameznika, na katerega se nanašajo osebni podatki, bo posamezniku, na katerega se nanašajo osebni podatki, zagotovil pojasnilo za zavrnitev in ga obvestil o njegovi pravici do pritožbe pri ustreznem nadzornem organu.

6.5. Evidenca zahtev in odgovorov o pravicah posameznikov, na katere se nanašajo osebni podatki

Evropski certifikacijski inštitut za informacijsko tehnologijo bo vzdrževal natančne evidence zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki, in odgovorov, vključno z datumom prejema zahteve, naravo zahteve ter datumom in načinom odgovora.

6.6. Periodični pregledi

DPO bo redno pregledoval odzivne čase Evropskega certifikacijskega inštituta za informacijsko tehnologijo in jih po potrebi posodobil za zagotovitev skladnosti z veljavnimi predpisi o varstvu podatkov.

Del 7. Preverjanje identitete posameznika, na katerega se nanašajo osebni podatki

7.1. Zahteva po preverjanju identitete

Evropski certifikacijski inštitut za informacijsko tehnologijo mora preveriti identiteto posameznika, na katerega se nanašajo osebni podatki, ki vloži zahtevo, da zagotovi, da so osebni podatki posredovani samo pravemu posamezniku.

7.2. Sredstva in metode preverjanja identitete

Ko posameznik, na katerega se nanašajo osebni podatki, vloži zahtevo za uveljavljanje svojih pravic v skladu z zakonodajo o varstvu podatkov, mora Evropski certifikacijski inštitut za IT preveriti identiteto posameznika, na katerega se nanašajo osebni podatki, z ustreznimi ukrepi, kot je zahteva po identifikacijskih dokumentih.

7.3. Preverjanje identitete pooblaščenca

Če posameznik, na katerega se nanašajo osebni podatki, vloži zahtevo v imenu nekoga drugega, mora Evropski certifikacijski inštitut za IT preveriti istovetnost posameznika, na katerega se nanašajo osebni podatki, in posameznika, v imenu katerega je vložena zahteva.

7.4. Dvomi glede preverjanja identitete

Če Evropski certifikacijski inštitut IT dvomi o identiteti posameznika, na katerega se nanašajo osebni podatki, ali o veljavnosti zahteve, lahko zahteva dodatne informacije ali sprejme druge ustrezne ukrepe za preverjanje identitete posameznika, na katerega se nanašajo osebni podatki.

7.5. Zapisi o preverjanju identitete

Evropski certifikacijski inštitut za IT bi moral voditi evidenco o postopku preverjanja in ukrepih, sprejetih za preverjanje identitete posameznika, na katerega se nanašajo osebni podatki. To evidenco je treba hraniti razumno dolgo in uporabiti za dokazovanje skladnosti z zakoni o varstvu podatkov.

Del 8. Hitro odzivanje na zahteve glede pravic posameznika, na katerega se nanašajo osebni podatki

8.1. Hiter odziv

Evropski certifikacijski inštitut za informacijsko tehnologijo se nemudoma odzove na zahteve glede pravic posameznika in posamezniku zagotovi informacije, ki jih je zahteval.

8.2. Zahtevajte potrditev prejema

Evropski certifikacijski inštitut za informacijsko tehnologijo potrdi prejem zahteve posameznika, na katerega se nanašajo osebni podatki, čim prej, najbolje v 5 delovnih dneh.

8.3. Zahtevaj pregled

Imenovana uradna oseba za varstvo podatkov mora pregledati zahtevo, da zagotovi, da izpolnjuje potrebne zahteve in da so bile zagotovljene vse potrebne informacije.

8.4. Preverjanje identitete posameznika, na katerega se nanašajo osebni podatki

8.5. Po potrebi pridobitev dodatnih informacij

Če je zahteva nejasna ali nezadostna, mora Evropski certifikacijski inštitut za informacijsko tehnologijo stopiti v stik s posameznikom, na katerega se nanašajo osebni podatki, da pridobi dodatne informacije.

8.5. Pridobivanje ustreznih podatkov

Evropski certifikacijski inštitut za IT pridobi ustrezne osebne podatke in jih pregleda, da zagotovi, da so točni in ažurni.

8.6. Zagotavljanje zahtevanih informacij

Evropski certifikacijski inštitut za informacijsko tehnologijo posamezniku, na katerega se nanašajo osebni podatki, zagotovi informacije, ki jih je zahteval, vključno s kopijo njegovih osebnih podatkov v splošno uporabljeni elektronski obliki, razen če se zahteva drugače.

8.7. Obvestite posameznika, na katerega se nanašajo osebni podatki, o njegovih pravicah

Evropski certifikacijski inštitut za IT obvesti posameznika, na katerega se nanašajo osebni podatki, o njegovih drugih pravicah, kot je pravica do popravka ali izbrisa osebnih podatkov, in mu zagotovi potrebna navodila.

8.8. Upoštevanje odzivnega časa

Evropski certifikacijski inštitut za IT odgovarja na zahteve glede pravic posameznikov, na katere se nanašajo osebni podatki, v določenem odzivnem času in zagotavlja, da so sprejeti potrebni ukrepi za izpolnitev zahteve.

8.9. Dokumentiranje odgovora

Evropski certifikacijski inštitut za informacijsko tehnologijo dokumentira odgovor na zahtevo za pravice posameznika, na katerega se nanašajo osebni podatki, vključno z morebitnimi izvedenimi dejanji in odzivnim časom, da zagotovi, da ga je mogoče revidirati in slediti za namene skladnosti.

8.10. Obveščanje posameznika, na katerega se nanašajo osebni podatki, o vseh spremembah

Če se osebni podatki posameznika, na katerega se nanašajo osebni podatki, spremenijo zaradi njegove zahteve, Evropski certifikacijski inštitut za IT obvesti posameznika, na katerega se nanašajo osebni podatki, o teh spremembah.

Del 9. Dokumentiranje zahtev za pravice posameznikov, na katere se nanašajo osebni podatki

Evropski certifikacijski inštitut IT vodi evidenco zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki, vključno z datumom zahteve, naravo zahteve in odgovorom na zahtevo. Dokumentiranje zahtev za pravice posameznikov, na katere se nanašajo osebni podatki, vključuje naslednje vidike:

9.1. Vodenje registra

Evropski certifikacijski inštitut za IT vzdržuje register, ki zajema vse prejete zahteve za pravice posameznikov, na katere se nanašajo osebni podatki. Ta register mora zajemati naslednje podrobnosti:

Datum zahteve
Ime in kontaktni podatki posameznika, na katerega se nanašajo osebni podatki
Opis zahteve
Ukrepi, sprejeti kot odgovor na zahtevo
Vse dodatne informacije, potrebne za obdelavo zahteve

9.2. Standardiziran postopek za dokumentacijo

Evropski certifikacijski inštitut za informacijsko tehnologijo vodi standardiziran postopek za dokumentiranje zahtev za pravice posameznikov, na katere se nanašajo osebni podatki, da zagotovi doslednost in točnost zajetih informacij.

9.3. Obdobje hrambe

Evropski certifikacijski inštitut za IT hrani te evidence v razumnem časovnem obdobju, kot je določeno z veljavnimi zakoni in predpisi, ki ni krajše od 2 let.

9.4. Ohranjanje zaupnosti

Evropski certifikacijski inštitut za informacijsko tehnologijo zagotavlja, da so evidence zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki, dostopne le pooblaščenemu osebju, ki mora pri opravljanju svojih nalog dostopati do takih informacij. Izvaja tudi tehnične in organizacijske ukrepe za preprečevanje nepooblaščenega dostopa, razkritja, spremembe ali uničenja osebnih podatkov, vsebovanih v evidenci zahtevkov za pravice posameznikov.

9.5. Poročanje

Evropski certifikacijski inštitut za informacijsko tehnologijo redno ustvarja poročila o prejetih, obdelanih in nerešenih zahtevah za pravice posameznikov, na katere se nanašajo osebni podatki. Ta poročila se delijo z ustreznimi zainteresiranimi stranmi, vključno z višjim vodstvom in DPO.

9.6 Analytics

Evropski certifikacijski inštitut za informacijsko tehnologijo izvaja analizo trendov pri zahtevah za pravice posameznikov, na katere se nanašajo osebni podatki, da ugotovi vzorce in temeljne vzroke zahtev. Te informacije se uporabljajo za izboljšanje procesov in postopkov za boljše upravljanje takšnih zahtev.

Del 10. Spremljanje in pregledovanje procesa

10.1. Izvajanje periodičnih pregledov

Evropski certifikacijski inštitut za informacijsko tehnologijo izvaja občasne preglede postopka obravnave zahtev glede pravic posameznika, na katerega se nanašajo osebni podatki, in politike skladnosti z GDPR, da zagotovi, da je učinkovit in skladen s predpisi o varstvu podatkov. Ti pregledi vključujejo analizo števila in vrste prejetih zahtevkov, pravočasnost in učinkovitost odgovorov ter vsa področja za izboljšave.

10.2. Implementacija izboljšav

Na podlagi ugotovitev pregledov Evropski certifikacijski inštitut za informacijsko tehnologijo izvaja vse potrebne izboljšave v procesu obravnave zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki. To lahko vključuje posodobitve postopkov, dodatno usposabljanje osebja ali spremembe načina preverjanja zahtev in odgovorov nanje.

10.3. Zagotavljanje stalne skladnosti

Evropski certifikacijski inštitut za IT zagotavlja stalno skladnost s predpisi o varstvu podatkov z rednim pregledovanjem in posodabljanjem svojih politik in postopkov v skladu z vsemi spremembami ustreznih zakonov in predpisov.

10.4. Spremljanje uspešnosti osebja

Evropski certifikacijski inštitut za informacijsko tehnologijo spremlja uspešnost osebja v zvezi z obravnavanjem zahtev glede pravic posameznikov, vključno s kakovostjo in pravočasnostjo odgovorov. To lahko vključuje redno usposabljanje in preglede uspešnosti, da se zagotovi, da je osebje dobro obveščeno in kompetentno na tem področju.

10.5. Komuniciranje s posamezniki, na katere se nanašajo osebni podatki

Evropski certifikacijski inštitut za informacijsko tehnologijo komunicira s posamezniki, na katere se nanašajo osebni podatki, v celotnem postopku obravnave zahtevkov, da zagotovi, da so obveščeni o napredku in vseh pomembnih informacijah. To lahko vključuje zagotavljanje posodobitev o statusu njihove zahteve ali zahtevanje dodatnih informacij, če so potrebne.

10.6. Vzdrževanje evidenc

Evropski certifikacijski inštitut za informacijsko tehnologijo vodi evidenco svojih pregledov, vključno z morebitnimi spremembami postopka obravnave zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki, ter morebitnimi povratnimi informacijami, ki jih prejme od posameznikov, na katere se nanašajo osebni podatki. Te informacije se lahko uporabijo za podporo nenehnih prizadevanj za skladnost in za identifikacijo področij za nadaljnje izboljšave.

Del 11. Vzpostavitev evidence dejavnosti obdelave

11.1. Struktura ROPA

ROPA vključuje osnovne informacije o imenu in kontaktnih podatkih organizacije, namenih obdelave podatkov, kategorijah obdelanih osebnih podatkov, prejemnikih osebnih podatkov in rokih hrambe osebnih podatkov. Vključuje tudi informacije o vseh obdelovalcih tretjih oseb, ki obdelujejo osebne podatke v imenu organizacije.

11.2. Redne posodobitve ROPA

ROPA se redno posodablja in je živi dokument, ki odraža spremembe v dejavnostih obdelave podatkov Evropskega certifikacijskega inštituta za informacijsko tehnologijo, ki podpirajo gradnjo zaupanja med posamezniki, na katere se nanašajo osebni podatki.

Evropski certifikacijski inštitut IT je zavezan ohranjanju najvišjih standardov v zvezi s svojo politiko upravljanja zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki, in splošne uredbe o varstvu podatkov, pri čemer zagotavlja skladnost z vsemi veljavnimi zakoni in predpisi, povezanimi s temi vprašanji, kot tudi z vodilnimi industrijskimi standardi in najboljše prakse, vključno s sistemom upravljanja informacij o zasebnosti ISO 27701.

Akademija EITCA

PRIJAVITE SE V SVOJ RAČUN

POZABLJEN GESLO?

USTVARI RAČUN