Politika DSRRM in GDPR
Politika akademije EITCA o upravljanju zahtevkov za pravice subjektov, na katere se nanašajo osebni podatki, in splošna uredba o varstvu podatkov
Ta dokument določa politiko Evropskega certifikacijskega inštituta za IT o upravljanju zahtevkov za pravice subjektov, kot tudi izvajanje Splošne uredbe EU o varstvu podatkov, ki se redno pregleduje in posodablja, da se zagotovi njena učinkovitost in ustreznost. Zadnja posodobitev EITCI upravljanja zahtevkov za pravice subjektov, na katere se nanašajo osebni podatki, in pravilnika GDPR je bila izvedena 10. januarja 2023. Naš pravilnik o upravljanju zahtevkov za pravice subjektov, na katere se nanašajo osebni podatki, in pravilnik GDPR temelji na načelih razširitve sistema upravljanja zasebnosti informacij ISO 27701 na standard ISO 27001 informacijska varnost. Sistemski standard, kot tudi na zahteve Splošne uredbe o varstvu podatkov (2016/679).
1. del. Uvod
Upravljanje zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki, je bistveni del zagotavljanja skladnosti s predpisi o varstvu podatkov, in sicer GDPR (Splošna uredba EU o varstvu podatkov). Evropski certifikacijski inštitut za IT je opredelil naslednje formalne postopke za upravljanje zahtevkov za pravice posameznikov in izvajanje zahtev GDPR:
1.1. Vzpostavitev postopka za obravnavo zahtev glede pravic posameznikov, na katere se nanašajo osebni podatki
Ta postopek opisuje korake, ki jih Evropski certifikacijski inštitut za IT upošteva pri obravnavanju zahtevkov glede pravic posameznikov, vključno z identifikacijo in avtentikacijo posameznika, na katerega se nanašajo osebni podatki, preverjanjem zahteve posameznika, na katerega se nanašajo osebni podatki, in odgovorom na zahtevo.
1.2. Imenovanje pooblaščene osebe za varstvo podatkov (DPO)
Evropski certifikacijski inštitut za IT imenuje DPO, ki je odgovoren za nadzor nad upravljanjem zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki, vključno s pregledom zahtevkov, odgovorom na zahteve in zagotavljanjem skladnosti s predpisi o varstvu podatkov.
1.3. Vzdrževanje ažurne evidence osebnih podatkov
Evropski certifikacijski inštitut za IT vzdržuje posodobljeno evidenco osebnih podatkov, ki jih hrani, in namenov, za katere se obdelujejo. To bo Evropskemu inštitutu za certifikacijo IT omogočilo hiter in natančen odziv na zahteve glede pravic posameznikov, na katere se nanašajo osebni podatki.
1.4. Zagotavljanje jasnih in jedrnatih informacij posameznikom, na katere se nanašajo osebni podatki
Pri zbiranju osebnih podatkov Evropski certifikacijski inštitut za informacijsko tehnologijo posameznikom, na katere se nanašajo osebni podatki, zagotavlja jasne in jedrnate informacije o njihovih pravicah, vključno s pravico do dostopa, popravka, izbrisa in ugovora obdelavi njihovih osebnih podatkov.
1.5. Vzpostavitev standardnega odzivnega časa
Evropski certifikacijski inštitut za IT vzdržuje standardni odzivni čas za zahteve glede pravic posameznikov, na katere se nanašajo osebni podatki, in zagotavlja, da se na zahteve odgovori v tem časovnem okviru.
1.6. Preverjanje identitete posameznika, na katerega se nanašajo osebni podatki
Evropski certifikacijski inštitut za informacijsko tehnologijo preveri identiteto posameznika, na katerega se nanašajo osebni podatki, ki vloži zahtevo, da zagotovi, da so osebni podatki posredovani samo pravemu posamezniku.
1.7. Hitro odzivanje na zahteve glede pravic posameznikov
Evropski certifikacijski inštitut za informacijsko tehnologijo se nemudoma odzove na zahteve glede pravic posameznika in posamezniku zagotovi informacije, ki jih je zahteval.
1.8. Dokumentiranje zahtev glede pravic posameznikov
Evropski certifikacijski inštitut IT vodi evidenco zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki, vključno z datumom zahteve, naravo zahteve in odgovorom na zahtevo.
1.9. Spremljanje in pregledovanje procesa
Evropski certifikacijski inštitut za informacijsko tehnologijo redno spremlja in pregleduje svoj postopek za obravnavanje zahtevkov za pravice posameznikov, da se zagotovi, da ostaja učinkovit in skladen z ustreznimi predpisi o varstvu podatkov.
1.10. Vzpostavitev evidence predelovalnih dejavnosti
Evropski certifikacijski inštitut za IT vodi Evidenco dejavnosti obdelave, ki je dokument, ki opisuje obdelavo osebnih podatkov, ki jo izvaja organizacija. Zahteva ga Splošna uredba EU o varstvu podatkov (GDPR) in je namenjena podpiranju razumevanja dejavnosti obdelave podatkov in dokazovanju skladnosti z GDPR.
Z upoštevanjem teh formalnih postopkov in postopkov lahko Evropski certifikacijski inštitut za IT učinkovito upravlja zahteve za pravice posameznikov, na katere se nanašajo osebni podatki, in zagotavlja skladnost s predpisi o varstvu podatkov, vključno s Splošno uredbo o varstvu podatkov v Evropski uniji.
Del 2. Vzpostavitev postopka za obravnavo zahtev za pravice posameznikov, na katere se nanašajo osebni podatki
Ta postopek opisuje korake, ki jih Evropski certifikacijski inštitut za IT upošteva pri obravnavanju zahtev glede pravic posameznikov, vključno z identifikacijo in avtentikacijo posameznika, na katerega se nanašajo osebni podatki, preverjanjem zahteve posameznika, na katerega se nanašajo osebni podatki, in odgovorom na zahtevo:
2.1. Identifikacija in avtentikacija posameznika, na katerega se nanašajo osebni podatki
Evropski certifikacijski inštitut za IT vzdržuje vzpostavljen postopek za preverjanje identitete posameznika, na katerega se nanašajo osebni podatki, ki vloži zahtevo. To lahko vključuje zahtevo po osebni izkaznici, ki jo je izdal državni organ, preverjanje z obstoječimi zapisi ali uporabo drugih metod preverjanja pristnosti.
2.2. Preverjanje zahteve posameznika, na katerega se nanašajo osebni podatki
Ko je identiteta posameznika, na katerega se nanašajo osebni podatki, ugotovljena, mora Evropski certifikacijski inštitut za IT preveriti, ali je zahteva veljavna in se nanaša na osebne podatke posameznika, na katerega se nanašajo osebni podatki. Zahteva mora vsebovati tudi posebno pravico, ki se uveljavlja, kot je pravica do dostopa, popravka ali izbrisa osebnih podatkov.
2.3. Odgovor na zahtevo
Evropski certifikacijski inštitut za informacijsko tehnologijo mora odgovoriti na zahtevo posameznika, na katerega se nanašajo osebni podatki, v roku, določenem z ustreznimi zakoni o varstvu podatkov, vendar ne dlje kot 30 dni. Odgovor mora vključevati obrazložitev, ali je bila prošnja odobrena ali zavrnjena, in razloge za odločitev.
2.4. Dokumentiranje zahteve in odgovora
Evropski certifikacijski inštitut za informacijsko tehnologijo vodi evidenco vseh zahtev in odgovorov glede pravic posameznikov, na katere se nanašajo osebni podatki. To pomaga zagotoviti skladnost z ustreznimi zakoni o varstvu podatkov ter olajša prihodnje revizije ali preiskave.
2.5. Usposabljanje ustreznega osebja
Evropski certifikacijski inštitut IT bo zagotovil usposabljanje za osebje, ki je odgovorno za obravnavo zahtevkov za pravice posameznikov, da se zagotovi, da so seznanjeni z ustreznimi zakoni o varstvu podatkov in postopki Evropskega certifikacijskega inštituta za obravnavanje takšnih zahtev.
2.6. Spremljanje in pregledovanje procesa
Evropski certifikacijski inštitut za informacijsko tehnologijo redno spremlja in pregleduje postopek obravnave zahtevkov za pravice posameznikov, da zagotovi, da ostaja učinkovit in skladen z ustreznimi zakoni o varstvu podatkov. Vse težave ali incidenti so pravočasno prijavljeni in obravnavani.
Del 3. Imenovanje pooblaščene osebe za varstvo podatkov (DPO)
Evropski certifikacijski inštitut za IT imenuje DPO, ki je odgovoren za nadzor nad upravljanjem zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki, vključno s pregledom zahtevkov, odgovorom na zahteve in zagotavljanjem skladnosti s predpisi o varstvu podatkov.
3.1. Določitev DPO
Evropski certifikacijski inštitut za IT imenuje uradno osebo za varstvo podatkov (DPO), ki nadzoruje upravljanje zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki, in zagotavlja skladnost s predpisi o varstvu podatkov. DPO bo odgovoren za pregledovanje zahtevkov in zagotavljanje, da Evropski certifikacijski inštitut za informacijsko tehnologijo izpolnjuje svoje zakonske obveznosti v zvezi z varstvom podatkov.
3.2. Zahteve glede kompetenc DPO
Uradna oseba za varstvo podatkov mora imeti strokovno znanje o zakonih in praksah o varstvu podatkov ter imeti potrebna sredstva za izpolnjevanje svojih odgovornosti. Imeti morajo neposreden dostop do višjega vodstva in poročati najvišji vodstveni ravni organizacije.
3.3. Odgovornosti DPO
Odgovornosti DPO vključujejo, vendar niso omejene na naslednje:
- Zagotavljanje smernic in svetovanja Evropskemu certifikacijskemu inštitutu za IT o zadevah varstva podatkov, vključno z upravljanjem zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki.
- Spremljanje skladnosti Evropskega certifikacijskega inštituta za IT s predpisi o varstvu podatkov ter notranjimi politikami in postopki.
- Odgovarjanje na poizvedbe in pritožbe posameznikov, na katere se nanašajo osebni podatki, glede njihovih pravic v skladu s predpisi o varstvu podatkov.
- Usklajevanje z drugimi oddelki za zagotovitev, da so zahteve glede varstva podatkov izpolnjene v celotni organizaciji.
- Izvajanje rednih pregledov in ocen praks varstva podatkov Evropskega certifikacijskega inštituta za IT in zagotavljanje priporočil za izboljšave.
- Delovanje kot kontaktna točka za organe za varstvo podatkov in sodelovanje z njimi v primeru preiskave ali revizije.
- Uradna oseba za varstvo podatkov je vključena tudi v razvoj in izvajanje politik in postopkov Evropskega certifikacijskega inštituta za IT v zvezi z varstvom podatkov, vključno s tistimi, ki se nanašajo na obravnavanje zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki.
3.4. Usposabljanje DPO in razvoj kvalifikacij
Evropski certifikacijski inštitut za informacijsko tehnologijo bi moral zagotoviti, da je uradna oseba za varstvo podatkov ustrezno usposobljena za predpise o varstvu podatkov in obveščena o vseh spremembah ali posodobitvah teh predpisov.
3.5. Kontaktni podatki DPO
Kontaktni podatki uradne osebe za varstvo podatkov morajo biti na voljo posameznikom, na katere se nanašajo osebni podatki, in vključeni v obvestilo ali politiko zasebnosti Evropskega inštituta za certificiranje IT.
Del 4. Vzdrževanje ažurne evidence osebnih podatkov
Evropski certifikacijski inštitut za IT vzdržuje posodobljeno evidenco osebnih podatkov, ki jih hrani, in namenov, za katere se obdelujejo. To bo Evropskemu inštitutu za certifikacijo IT omogočilo hiter in natančen odziv na zahteve glede pravic posameznikov, na katere se nanašajo osebni podatki.
4.1. Vzpostavitev postopka identifikacije in evidentiranja osebnih podatkov
Evropski certifikacijski inštitut za IT vzpostavlja jasen in standardiziran postopek za identifikacijo in beleženje osebnih podatkov, vključno z imenom posameznika, na katerega se nanašajo osebni podatki, kontaktnimi informacijami in vsemi drugimi ustreznimi informacijami. Ta postopek zagotavlja, da se osebni podatki zbirajo samo za posebne in zakonite namene.
4.2. Kategorizacija osebnih podatkov
Evropski certifikacijski inštitut za informacijsko tehnologijo kategorizira osebne podatke za lažje sledenje in upravljanje. To vključuje kategorizacijo podatkov glede na vrsto, kot so kontaktni podatki, podatki za obračun, kompetence in kvalifikacije, finančni podatki ali zgodovina zaposlitve.
4.3. Implementacija sistema za upravljanje podatkov
Evropski certifikacijski inštitut za IT izvaja sistem za upravljanje podatkov, ki pomaga zagotoviti, da so osebni podatki točni, posodobljeni in dostopni. Sistem za upravljanje podatkov vključuje zbirko podatkov, po kateri je mogoče iskati in izvajati poizvedbe za pomoč pri odzivanju na zahteve glede pravic posameznikov, na katere se nanašajo osebni podatki.
4.4. Dodelitev odgovornosti za vodenje evidence osebnih podatkov
Evropski certifikacijski inštitut za IT bi moral odgovornost za vzdrževanje evidence osebnih podatkov dodeliti določenim posameznikom ali oddelkom. To bo zagotovilo, da bo evidenca posodobljena in točna.
4.5. Redno pregledovanje in ažuriranje evidence osebnih podatkov
Evropski certifikacijski inštitut za informacijsko tehnologijo bi moral redno pregledovati in posodabljati evidenco osebnih podatkov, da zagotovi, da ostaja točna in posodobljena. To je mogoče doseči z rednimi revizijami ali s postopkom stalnega spremljanja.
4.6. Izvedite ustrezne varnostne ukrepe
Evropski certifikacijski inštitut IT izvaja ustrezne varnostne ukrepe za zaščito osebnih podatkov, ki jih ima, vključno z ukrepi za preprečevanje nepooblaščenega dostopa, nenamerne izgube ali uničenja osebnih podatkov, kot del informacijske varnostne politike (ISP) organizacije. To vključuje šifriranje, požarne zidove in nadzor dostopa. Podrobne specifikacije postopkov in ukrepov za zaščito podatkov so zajete v politiki informacijske varnosti Evropskega inštituta za certificiranje IT.
Del 5. Zagotavljanje jasnih in jedrnatih informacij posameznikom, na katere se nanašajo osebni podatki
Pri zbiranju osebnih podatkov Evropski certifikacijski inštitut za informacijsko tehnologijo posameznikom, na katere se nanašajo osebni podatki, zagotavlja jasne in jedrnate informacije o njihovih pravicah, vključno s pravico do dostopa, popravka, izbrisa in ugovora obdelavi njihovih osebnih podatkov.
5.1. Preglednost
Evropski certifikacijski inštitut za IT je pregleden pri obdelavi osebnih podatkov in posameznikom, na katere se nanašajo osebni podatki, zagotavlja jedrnate informacije o tem, kako se njihovi podatki uporabljajo, obdelujejo in shranjujejo.
5.2. Pravilnik o zasebnosti
Evropski certifikacijski inštitut za IT ima podrobno politiko zasebnosti, ki opisuje njegove dejavnosti obdelave podatkov, vključno s tem, kako lahko posamezniki, na katere se nanašajo osebni podatki, uveljavljajo svoje pravice.
5.3. Pravica do dostopa
Posamezniki, na katere se nanašajo osebni podatki, imajo pravico zahtevati dostop do osebnih podatkov, ki jih o njih hrani Evropski certifikacijski inštitut za IT. Evropski certifikacijski inštitut IT posameznikom, na katere se nanašajo osebni podatki, zagotavlja jasne in jedrnate informacije o tem, kako vložiti zahtevo za dostop, katere informacije bodo potrebne za preverjanje njihove identitete in koliko časa bo Evropski certifikacijski inštitut potreboval, da odgovori na zahtevo.
5.4. Pravica do popravka
Posamezniki, na katere se nanašajo osebni podatki, imajo pravico zahtevati, da Evropski certifikacijski inštitut IT popravi vse netočne ali nepopolne osebne podatke, ki jih ima o njih. Evropski certifikacijski inštitut IT posameznikom, na katere se nanašajo osebni podatki, zagotavlja jasne in jedrnate informacije o tem, kako vložiti zahtevo za popravek, katere informacije bodo potrebne za preverjanje njihove identitete in koliko časa bo Evropski certifikacijski inštitut potreboval, da odgovori na zahtevo.
5.5. Pravica do izbrisa
Posamezniki, na katere se nanašajo osebni podatki, imajo v določenih okoliščinah pravico zahtevati, da Evropski certifikacijski inštitut za IT izbriše njihove osebne podatke. Evropski certifikacijski inštitut IT posameznikom, na katere se nanašajo osebni podatki, zagotavlja jasne in jedrnate informacije o tem, kako vložiti zahtevo za izbris, kateri podatki bodo potrebni za preverjanje njihove identitete in koliko časa bo Evropski certifikacijski inštitut potreboval, da odgovori na zahtevo.
5.6. Pravica do ugovora
Posamezniki, na katere se nanašajo osebni podatki, imajo v določenih okoliščinah pravico ugovarjati obdelavi svojih osebnih podatkov. Evropski certifikacijski inštitut IT posameznikom, na katere se nanašajo osebni podatki, zagotavlja jasne in jedrnate informacije o tem, kako vložiti zahtevo za ugovor, katere informacije bodo potrebne za preverjanje njihove identitete in koliko časa bo Evropski certifikacijski inštitut potreboval, da odgovori na zahtevo.
5.7. Kontaktni podatki
Evropski certifikacijski inštitut za IT zagotavlja jasne in jedrnate kontaktne podatke za posameznike, na katere se nanašajo osebni podatki, ki jih lahko uporabijo, če imajo vprašanja ali pomisleke o tem, kako se obdelujejo njihovi osebni podatki.
Del 6. Vzpostavitev standardnega odzivnega časa
Evropski certifikacijski inštitut za IT je določil standardni odzivni čas za zahteve glede pravic posameznikov, na katere se nanašajo osebni podatki, in zagotavlja, da se na zahteve odgovori v tem roku.
6.1. Standardni odzivni čas
Evropski certifikacijski inštitut za IT določa standardni odzivni čas 30 dni za zahteve glede pravic posameznikov, na katere se nanašajo osebni podatki. Standardni odzivni čas določa zgornjo časovno mejo za obdelavo in odgovor, večina zahtevkov pa je obdelanih in odgovorjenih v krajšem času.
6.2. Zahtevajte čas potrditve prejema
Po prejemu zahteve glede pravic posameznika, na katerega se nanašajo osebni podatki, bo uradna oseba za varstvo podatkov ali drugo osebje potrdilo prejem zahteve v 5 delovnih dneh in posamezniku, na katerega se nanašajo osebni podatki, posredovalo predviden časovni okvir za predložitev odgovora.
6.3. Izjemna podaljšanja standardnega odzivnega časa
Evropski certifikacijski inštitut za informacijsko tehnologijo si bo razumno prizadeval odgovoriti na zahteve glede pravic posameznikov, na katere se nanašajo osebni podatki, v določenem standardnem odzivnem času. Če pa je zahteva zapletena ali če Evropski certifikacijski inštitut za IT prejme veliko zahtev, se lahko odzivni čas podaljša. V takih primerih bo DPO osebo, na katero se nanašajo osebni podatki, obvestil o podaljšanju in razlogu za zamudo.
6.4. Zavrnitev izpolnitve zahteve glede pravic posameznika, na katerega se nanašajo osebni podatki
Če Evropski certifikacijski inštitut za informacijsko tehnologijo ne more izpolniti zahteve glede pravic posameznika, na katerega se nanašajo osebni podatki, bo posamezniku, na katerega se nanašajo osebni podatki, zagotovil pojasnilo za zavrnitev in ga obvestil o njegovi pravici do pritožbe pri ustreznem nadzornem organu.
6.5. Evidenca zahtev in odgovorov o pravicah posameznikov, na katere se nanašajo osebni podatki
Evropski certifikacijski inštitut za informacijsko tehnologijo bo vzdrževal natančne evidence zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki, in odgovorov, vključno z datumom prejema zahteve, naravo zahteve ter datumom in načinom odgovora.
6.6. Periodični pregledi
DPO bo redno pregledoval odzivne čase Evropskega certifikacijskega inštituta za informacijsko tehnologijo in jih po potrebi posodobil za zagotovitev skladnosti z veljavnimi predpisi o varstvu podatkov.
Del 7. Preverjanje identitete posameznika, na katerega se nanašajo osebni podatki
7.1. Zahteva po preverjanju identitete
Evropski certifikacijski inštitut za informacijsko tehnologijo mora preveriti identiteto posameznika, na katerega se nanašajo osebni podatki, ki vloži zahtevo, da zagotovi, da so osebni podatki posredovani samo pravemu posamezniku.
7.2. Sredstva in metode preverjanja identitete
Ko posameznik, na katerega se nanašajo osebni podatki, vloži zahtevo za uveljavljanje svojih pravic v skladu z zakonodajo o varstvu podatkov, mora Evropski certifikacijski inštitut za IT preveriti identiteto posameznika, na katerega se nanašajo osebni podatki, z ustreznimi ukrepi, kot je zahteva po identifikacijskih dokumentih.
7.3. Preverjanje identitete pooblaščenca
Če posameznik, na katerega se nanašajo osebni podatki, vloži zahtevo v imenu nekoga drugega, mora Evropski certifikacijski inštitut za IT preveriti istovetnost posameznika, na katerega se nanašajo osebni podatki, in posameznika, v imenu katerega je vložena zahteva.
7.4. Dvomi glede preverjanja identitete
Če Evropski certifikacijski inštitut IT dvomi o identiteti posameznika, na katerega se nanašajo osebni podatki, ali o veljavnosti zahteve, lahko zahteva dodatne informacije ali sprejme druge ustrezne ukrepe za preverjanje identitete posameznika, na katerega se nanašajo osebni podatki.
7.5. Zapisi o preverjanju identitete
Evropski certifikacijski inštitut za IT bi moral voditi evidenco o postopku preverjanja in ukrepih, sprejetih za preverjanje identitete posameznika, na katerega se nanašajo osebni podatki. To evidenco je treba hraniti razumno dolgo in uporabiti za dokazovanje skladnosti z zakoni o varstvu podatkov.
Del 8. Hitro odzivanje na zahteve glede pravic posameznika, na katerega se nanašajo osebni podatki
8.1. Hiter odziv
Evropski certifikacijski inštitut za informacijsko tehnologijo se nemudoma odzove na zahteve glede pravic posameznika in posamezniku zagotovi informacije, ki jih je zahteval.
8.2. Zahtevajte potrditev prejema
Evropski certifikacijski inštitut za informacijsko tehnologijo potrdi prejem zahteve posameznika, na katerega se nanašajo osebni podatki, čim prej, najbolje v 5 delovnih dneh.
8.3. Zahtevaj pregled
Imenovana uradna oseba za varstvo podatkov mora pregledati zahtevo, da zagotovi, da izpolnjuje potrebne zahteve in da so bile zagotovljene vse potrebne informacije.
8.4. Preverjanje identitete posameznika, na katerega se nanašajo osebni podatki
Evropski certifikacijski inštitut za informacijsko tehnologijo preveri identiteto posameznika, na katerega se nanašajo osebni podatki, ki vloži zahtevo, da zagotovi, da so osebni podatki posredovani samo pravemu posamezniku.
8.5. Po potrebi pridobitev dodatnih informacij
Če je zahteva nejasna ali nezadostna, mora Evropski certifikacijski inštitut za informacijsko tehnologijo stopiti v stik s posameznikom, na katerega se nanašajo osebni podatki, da pridobi dodatne informacije.
8.5. Pridobivanje ustreznih podatkov
Evropski certifikacijski inštitut za IT pridobi ustrezne osebne podatke in jih pregleda, da zagotovi, da so točni in ažurni.
8.6. Zagotavljanje zahtevanih informacij
Evropski certifikacijski inštitut za informacijsko tehnologijo posamezniku, na katerega se nanašajo osebni podatki, zagotovi informacije, ki jih je zahteval, vključno s kopijo njegovih osebnih podatkov v splošno uporabljeni elektronski obliki, razen če se zahteva drugače.
8.7. Obvestite posameznika, na katerega se nanašajo osebni podatki, o njegovih pravicah
Evropski certifikacijski inštitut za IT obvesti posameznika, na katerega se nanašajo osebni podatki, o njegovih drugih pravicah, kot je pravica do popravka ali izbrisa osebnih podatkov, in mu zagotovi potrebna navodila.
8.8. Upoštevanje odzivnega časa
Evropski certifikacijski inštitut za IT odgovarja na zahteve glede pravic posameznikov, na katere se nanašajo osebni podatki, v določenem odzivnem času in zagotavlja, da so sprejeti potrebni ukrepi za izpolnitev zahteve.
8.9. Dokumentiranje odgovora
Evropski certifikacijski inštitut za informacijsko tehnologijo dokumentira odgovor na zahtevo za pravice posameznika, na katerega se nanašajo osebni podatki, vključno z morebitnimi izvedenimi dejanji in odzivnim časom, da zagotovi, da ga je mogoče revidirati in slediti za namene skladnosti.
8.10. Obveščanje posameznika, na katerega se nanašajo osebni podatki, o vseh spremembah
Če se osebni podatki posameznika, na katerega se nanašajo osebni podatki, spremenijo zaradi njegove zahteve, Evropski certifikacijski inštitut za IT obvesti posameznika, na katerega se nanašajo osebni podatki, o teh spremembah.
Del 9. Dokumentiranje zahtev za pravice posameznikov, na katere se nanašajo osebni podatki
Evropski certifikacijski inštitut IT vodi evidenco zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki, vključno z datumom zahteve, naravo zahteve in odgovorom na zahtevo. Dokumentiranje zahtev za pravice posameznikov, na katere se nanašajo osebni podatki, vključuje naslednje vidike:
9.1. Vodenje registra
Evropski certifikacijski inštitut za IT vzdržuje register, ki zajema vse prejete zahteve za pravice posameznikov, na katere se nanašajo osebni podatki. Ta register mora zajemati naslednje podrobnosti:
- Datum zahteve
- Ime in kontaktni podatki posameznika, na katerega se nanašajo osebni podatki
- Opis zahteve
- Ukrepi, sprejeti kot odgovor na zahtevo
- Vse dodatne informacije, potrebne za obdelavo zahteve
9.2. Standardiziran postopek za dokumentacijo
Evropski certifikacijski inštitut za informacijsko tehnologijo vodi standardiziran postopek za dokumentiranje zahtev za pravice posameznikov, na katere se nanašajo osebni podatki, da zagotovi doslednost in točnost zajetih informacij.
9.3. Obdobje hrambe
Evropski certifikacijski inštitut za IT hrani te evidence v razumnem časovnem obdobju, kot je določeno z veljavnimi zakoni in predpisi, ki ni krajše od 2 let.
9.4. Ohranjanje zaupnosti
Evropski certifikacijski inštitut za informacijsko tehnologijo zagotavlja, da so evidence zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki, dostopne le pooblaščenemu osebju, ki mora pri opravljanju svojih nalog dostopati do takih informacij. Izvaja tudi tehnične in organizacijske ukrepe za preprečevanje nepooblaščenega dostopa, razkritja, spremembe ali uničenja osebnih podatkov, vsebovanih v evidenci zahtevkov za pravice posameznikov.
9.5. Poročanje
Evropski certifikacijski inštitut za informacijsko tehnologijo redno ustvarja poročila o prejetih, obdelanih in nerešenih zahtevah za pravice posameznikov, na katere se nanašajo osebni podatki. Ta poročila se delijo z ustreznimi zainteresiranimi stranmi, vključno z višjim vodstvom in DPO.
9.6 Analytics
Evropski certifikacijski inštitut za informacijsko tehnologijo izvaja analizo trendov pri zahtevah za pravice posameznikov, na katere se nanašajo osebni podatki, da ugotovi vzorce in temeljne vzroke zahtev. Te informacije se uporabljajo za izboljšanje procesov in postopkov za boljše upravljanje takšnih zahtev.
Del 10. Spremljanje in pregledovanje procesa
Evropski certifikacijski inštitut za informacijsko tehnologijo redno spremlja in pregleduje svoj postopek za obravnavanje zahtevkov za pravice posameznikov, da se zagotovi, da ostaja učinkovit in skladen z GDPR.
10.1. Izvajanje periodičnih pregledov
Evropski certifikacijski inštitut za informacijsko tehnologijo izvaja občasne preglede postopka obravnave zahtev glede pravic posameznika, na katerega se nanašajo osebni podatki, in politike skladnosti z GDPR, da zagotovi, da je učinkovit in skladen s predpisi o varstvu podatkov. Ti pregledi vključujejo analizo števila in vrste prejetih zahtevkov, pravočasnost in učinkovitost odgovorov ter vsa področja za izboljšave.
10.2. Implementacija izboljšav
Na podlagi ugotovitev pregledov Evropski certifikacijski inštitut za informacijsko tehnologijo izvaja vse potrebne izboljšave v procesu obravnave zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki. To lahko vključuje posodobitve postopkov, dodatno usposabljanje osebja ali spremembe načina preverjanja zahtev in odgovorov nanje.
10.3. Zagotavljanje stalne skladnosti
Evropski certifikacijski inštitut za IT zagotavlja stalno skladnost s predpisi o varstvu podatkov z rednim pregledovanjem in posodabljanjem svojih politik in postopkov v skladu z vsemi spremembami ustreznih zakonov in predpisov.
10.4. Spremljanje uspešnosti osebja
Evropski certifikacijski inštitut za informacijsko tehnologijo spremlja uspešnost osebja v zvezi z obravnavanjem zahtev glede pravic posameznikov, vključno s kakovostjo in pravočasnostjo odgovorov. To lahko vključuje redno usposabljanje in preglede uspešnosti, da se zagotovi, da je osebje dobro obveščeno in kompetentno na tem področju.
10.5. Komuniciranje s posamezniki, na katere se nanašajo osebni podatki
Evropski certifikacijski inštitut za informacijsko tehnologijo komunicira s posamezniki, na katere se nanašajo osebni podatki, v celotnem postopku obravnave zahtevkov, da zagotovi, da so obveščeni o napredku in vseh pomembnih informacijah. To lahko vključuje zagotavljanje posodobitev o statusu njihove zahteve ali zahtevanje dodatnih informacij, če so potrebne.
10.6. Vzdrževanje evidenc
Evropski certifikacijski inštitut za informacijsko tehnologijo vodi evidenco svojih pregledov, vključno z morebitnimi spremembami postopka obravnave zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki, ter morebitnimi povratnimi informacijami, ki jih prejme od posameznikov, na katere se nanašajo osebni podatki. Te informacije se lahko uporabijo za podporo nenehnih prizadevanj za skladnost in za identifikacijo področij za nadaljnje izboljšave.
Del 11. Vzpostavitev evidence dejavnosti obdelave
Evropski certifikacijski inštitut za IT vodi Evidenco dejavnosti obdelave, ki je dokument, ki opisuje obdelavo osebnih podatkov, ki jo izvaja organizacija. Zahteva ga Splošna uredba EU o varstvu podatkov (GDPR) in je namenjena podpiranju razumevanja dejavnosti obdelave podatkov in dokazovanju skladnosti z GDPR.
11.1. Struktura ROPA
ROPA vključuje osnovne informacije o imenu in kontaktnih podatkih organizacije, namenih obdelave podatkov, kategorijah obdelanih osebnih podatkov, prejemnikih osebnih podatkov in rokih hrambe osebnih podatkov. Vključuje tudi informacije o vseh obdelovalcih tretjih oseb, ki obdelujejo osebne podatke v imenu organizacije.
11.2. Redne posodobitve ROPA
ROPA se redno posodablja in je živi dokument, ki odraža spremembe v dejavnostih obdelave podatkov Evropskega certifikacijskega inštituta za informacijsko tehnologijo, ki podpirajo gradnjo zaupanja med posamezniki, na katere se nanašajo osebni podatki.
Evropski certifikacijski inštitut IT je zavezan ohranjanju najvišjih standardov v zvezi s svojo politiko upravljanja zahtevkov za pravice posameznikov, na katere se nanašajo osebni podatki, in splošne uredbe o varstvu podatkov, pri čemer zagotavlja skladnost z vsemi veljavnimi zakoni in predpisi, povezanimi s temi vprašanji, kot tudi z vodilnimi industrijskimi standardi in najboljše prakse, vključno s sistemom upravljanja informacij o zasebnosti ISO 27701.