DSRRM i GDPR politika
Politika Akademije EITCA o upravljanju zahtjevima za prava subjekta podataka i Opća uredba o zaštiti podataka
Ovaj dokument specificira Politiku Europskog instituta za IT certifikaciju o upravljanju zahtjevima za prava subjekta podataka, kao i provedbu Opće uredbe EU o zaštiti podataka, koja se redovito pregledava i ažurira kako bi se osigurala njezina učinkovitost i relevantnost. Zadnje ažuriranje EITCI Politike upravljanja zahtjevima za prava subjekta podataka i GDPR-a napravljeno je 10. siječnja 2023. Naša politika upravljanja zahtjevima za prava subjekta podataka i GDPR-a temelji se na načelima ISO 27701 Privacy Information Management System proširenja na ISO 27001 Information Security standardu sustava, kao i o zahtjevima Opće uredbe o zaštiti podataka (2016/679).
Dio 1. Uvod
Upravljanje zahtjevima za prava nositelja podataka bitan je dio osiguravanja usklađenosti s propisima o zaštiti podataka, odnosno GDPR (Opća uredba o zaštiti podataka EU). Europski institut za IT certifikaciju definirao je sljedeće formalne postupke za upravljanje zahtjevima za prava nositelja podataka i provedbu zahtjeva GDPR-a:
1.1. Uspostavljanje procesa za obradu zahtjeva za prava ispitanika
Ovaj postupak opisuje korake koje Europski institut za informatičku certifikaciju slijedi kada obrađuje zahtjeve za prava ispitanika, uključujući identifikaciju i autentifikaciju subjekta podataka, provjeru zahtjeva subjekta podataka i odgovor na zahtjev.
1.2. Određivanje službenika za zaštitu podataka (DPO)
Europski institut za informatičku certifikaciju imenuje DPO-a koji je odgovoran za nadzor upravljanja zahtjevima za prava ispitanika, uključujući pregled zahtjeva, odgovor na zahtjeve i osiguravanje usklađenosti s propisima o zaštiti podataka.
1.3. Održavanje ažurne evidencije osobnih podataka
European IT Certification Institute vodi ažurnu evidenciju osobnih podataka koje posjeduje i svrhe u koje se obrađuju. To će omogućiti Europskom institutu za IT certifikaciju da brzo i točno odgovori na zahtjeve za prava ispitanika.
1.4. Pružanje jasnih i sažetih informacija subjektima podataka
Prilikom prikupljanja osobnih podataka, Europski institut za informatičku certifikaciju daje jasne i sažete informacije subjektima podataka o njihovim pravima, uključujući pravo na pristup, ispravak, brisanje i prigovor na obradu njihovih osobnih podataka.
1.5. Uspostavljanje standardnog vremena odgovora
Europski IT institut za certifikaciju održava standardno vrijeme odgovora za zahtjeve za prava ispitanika i osigurava da se na zahtjeve odgovori unutar tog vremenskog okvira.
1.6. Provjera identiteta nositelja podataka
Europski institut za informatičku certifikaciju provjerava identitet nositelja podataka koji podnosi zahtjev kako bi osigurao da se osobni podaci daju samo ispravnoj osobi.
1.7. Brzo odgovaranje na zahtjeve o pravima nositelja podataka
Europski institut za informatičku certifikaciju promptno odgovara na zahtjeve za prava nositelja podataka i pruža ispitaniku informacije koje je zatražio.
1.8. Dokumentiranje zahtjeva za prava ispitanika
Europski institut za IT certifikaciju vodi evidenciju zahtjeva za prava ispitanika, uključujući datum zahtjeva, prirodu zahtjeva i odgovor na zahtjev.
1.9. Praćenje i pregled procesa
Europski institut za informatičku certifikaciju redovito nadzire i preispituje svoj postupak za obradu zahtjeva za prava ispitanika kako bi osigurao da ostaje učinkovit i usklađen s relevantnim propisima o zaštiti podataka.
1.10. Uspostava evidencije aktivnosti obrade
Europski institut za informatičku certifikaciju vodi Zapisnik o aktivnostima obrade koji je dokument koji opisuje obradu osobnih podataka koju provodi organizacija. Zahtijeva se prema Općoj uredbi EU-a o zaštiti podataka (GDPR) i namijenjena je podršci razumijevanja aktivnosti obrade podataka i dokazivanja usklađenosti s GDPR-om.
Slijedeći ove formalne i procedure, Europski institut za IT certifikaciju može učinkovito upravljati zahtjevima za prava ispitanika i osigurati usklađenost s propisima o zaštiti podataka, uključujući Opću uredbu o zaštiti podataka u Europskoj uniji.
Dio 2. Uspostavljanje procesa za obradu zahtjeva za prava nositelja podataka
Ovaj postupak opisuje korake koje Europski institut za informatičku certifikaciju slijedi kada obrađuje zahtjeve za prava ispitanika, uključujući identifikaciju i autentifikaciju ispitanika, provjeru zahtjeva subjekta podataka i odgovor na zahtjev:
2.1. Identificiranje i autentifikacija subjekta podataka
Europski institut za informatičku certifikaciju održava postupak za provjeru identiteta nositelja podataka koji podnosi zahtjev. To može uključivati traženje službene osobne iskaznice, provjeru postojećih zapisa ili korištenje drugih metoda provjere autentičnosti.
2.2. Provjera zahtjeva nositelja podataka
Nakon utvrđivanja identiteta nositelja podataka, Europski institut za informatičku certifikaciju mora provjeriti je li zahtjev valjan i odnosi li se na osobne podatke ispitanika. Zahtjev također treba sadržavati konkretno pravo koje se ostvaruje, kao što je pravo na pristup, ispravak ili brisanje osobnih podataka.
2.3. Odgovarajući na zahtjev
Europski institut za informatičku certifikaciju mora dati odgovor na zahtjev nositelja podataka u roku određenom relevantnim zakonima o zaštiti podataka, ali ne dulje od 30 dana. Odgovor treba sadržavati objašnjenje je li zahtjev odobren ili odbijen te razloge odluke.
2.4. Dokumentiranje zahtjeva i odgovora
Europski institut za informatičku certifikaciju vodi evidenciju svih zahtjeva i odgovora na prava nositelja podataka. To pomaže u osiguravanju usklađenosti s relevantnim zakonima o zaštiti podataka, kao i olakšavanju budućih revizija ili istraga.
2.5. Obuka relevantnog osoblja
Europski institut za informatičku certifikaciju pružit će obuku osoblju odgovornom za obradu zahtjeva za prava ispitanika kako bi osigurao da su upoznati s relevantnim zakonima o zaštiti podataka i postupcima Europskog instituta za IT certifikaciju za rukovanje takvim zahtjevima.
2.6. Praćenje i pregled procesa
Europski institut za informatičku certifikaciju redovito nadzire i pregledava proces obrade zahtjeva za prava ispitanika kako bi osigurao da ostaje učinkovit i usklađen s relevantnim zakonima o zaštiti podataka. Svi problemi ili incidenti prijavljuju se i rješavaju na vrijeme.
Dio 3. Imenovanje službenika za zaštitu podataka (DPO)
Europski institut za informatičku certifikaciju imenuje DPO-a koji je odgovoran za nadzor upravljanja zahtjevima za prava ispitanika, uključujući pregled zahtjeva, odgovor na zahtjeve i osiguravanje usklađenosti s propisima o zaštiti podataka.
3.1. Određivanje DPO-a
Europski IT institut za certifikaciju imenuje službenika za zaštitu podataka (DPO) koji će nadzirati upravljanje zahtjevima za prava ispitanika i osigurati usklađenost s propisima o zaštiti podataka. DPO će biti odgovoran za pregled zahtjeva i osiguravanje da Europski institut za IT certifikaciju ispunjava svoje zakonske obveze u vezi sa zaštitom podataka.
3.2. Zahtjevi DPO-ovih kompetencija
DPO mora imati stručno znanje o zakonima i praksi o zaštiti podataka i mora imati potrebne resurse za ispunjavanje svojih odgovornosti. Oni bi trebali imati izravan pristup višem rukovodstvu i odgovarati najvišoj rukovodnoj razini organizacije.
3.3. Odgovornosti DPO-a
Odgovornosti DPO-a uključuju, ali nisu ograničene na sljedeće:
- Pružanje smjernica i savjeta Europskom institutu za IT certifikaciju o pitanjima zaštite podataka, uključujući upravljanje zahtjevima za prava ispitanika.
- Praćenje usklađenosti Europskog IT instituta za certifikaciju s propisima o zaštiti podataka te internim politikama i procedurama.
- Odgovaranje na upite i pritužbe nositelja podataka u vezi s njihovim pravima prema propisima o zaštiti podataka.
- Koordinacija s drugim odjelima kako bi se osiguralo da su zahtjevi za zaštitu podataka ispunjeni u cijeloj organizaciji.
- Provođenje periodičnih pregleda i procjena prakse zaštite podataka Europskog instituta za informatičku certifikaciju i davanje preporuka za poboljšanje.
- Služiti kao kontaktna točka za tijela za zaštitu podataka i surađivati s njima u slučaju istrage ili revizije.
- DPO je također uključen u razvoj i provedbu politika i postupaka Europskog instituta za informatičku certifikaciju koji se odnose na zaštitu podataka, uključujući one koji se odnose na obradu zahtjeva za pravima ispitanika.
3.4. Obuka DPO-a i razvoj kvalifikacija
Europski institut za informatičku certifikaciju trebao bi osigurati da DPO bude odgovarajuće obučen o propisima o zaštiti podataka i da bude u tijeku sa svim promjenama ili ažuriranjima tih propisa.
3.5. Kontakt podaci DPO-a
Podaci za kontakt DPO-a trebali bi biti dostupni subjektima podataka i uključeni u obavijest o privatnosti ili politiku Europskog instituta za informatičku certifikaciju.
Dio 4. Održavanje ažurne evidencije osobnih podataka
European IT Certification Institute vodi ažurnu evidenciju osobnih podataka koje posjeduje i svrhe u koje se obrađuju. To će omogućiti Europskom institutu za IT certifikaciju da brzo i točno odgovori na zahtjeve za prava ispitanika.
4.1. Uspostavljanje procesa identifikacije i evidentiranja osobnih podataka
Europski institut za informatičku certifikaciju uspostavlja jasan i standardiziran postupak za identifikaciju i bilježenje osobnih podataka, uključujući ime nositelja podataka, podatke za kontakt i sve druge relevantne informacije. Ovaj proces osigurava da se osobni podaci prikupljaju samo u posebne i legitimne svrhe.
4.2. Kategorizacija osobnih podataka
European IT Certification Institute kategorizira osobne podatke kako bi ih lakše pratili i upravljali njima. To uključuje kategoriziranje podataka prema vrsti, kao što su podaci za kontakt, podaci o naplati, kompetencije i kvalifikacije, financijski podaci ili povijest zaposlenja.
4.3. Implementacija sustava za upravljanje podacima
Europski institut za informatičku certifikaciju implementira sustav upravljanja podacima kako bi osigurao da su osobni podaci točni, ažurni i dostupni. Sustav za upravljanje podacima uključuje bazu podataka koja se može pretraživati i postavljati upite kako bi se odgovorilo na zahtjeve za prava nositelja podataka.
4.4. Dodjeljivanje odgovornosti za vođenje evidencije osobnih podataka
Europski institut za informatičku certifikaciju trebao bi dodijeliti odgovornost za održavanje evidencije osobnih podataka određenim pojedincima ili odjelima. To će osigurati da se evidencija održava ažurnom i točnom.
4.5. Redoviti pregled i ažuriranje evidencije osobnih podataka
Europski institut za informatičku certifikaciju trebao bi redovito pregledavati i ažurirati evidenciju osobnih podataka kako bi osigurao njihovu točnost i ažurnost. To se može učiniti kroz periodične revizije ili kroz proces kontinuiranog praćenja.
4.6. Provedite odgovarajuće sigurnosne mjere
European IT Certification Institute provodi odgovarajuće sigurnosne mjere za zaštitu osobnih podataka koje posjeduje, uključujući mjere za sprječavanje neovlaštenog pristupa, slučajnog gubitka ili uništavanja osobnih podataka, kao dio Politike informacijske sigurnosti (ISP) organizacije. To uključuje enkripciju, vatrozid i kontrolu pristupa. Detaljna specifikacija procesa i mjera za zaštitu podataka pokrivena je Politikom informacijske sigurnosti namjenskog Europskog instituta za IT certifikaciju.
Dio 5. Pružanje jasnih i sažetih informacija subjektima podataka
Prilikom prikupljanja osobnih podataka, Europski institut za informatičku certifikaciju daje jasne i sažete informacije subjektima podataka o njihovim pravima, uključujući pravo na pristup, ispravak, brisanje i prigovor na obradu njihovih osobnih podataka.
5.1. prozirnost
Europski institut za informatičku certifikaciju transparentan je u svojoj obradi osobnih podataka i pruža sažete informacije subjektima podataka o tome kako se njihovi podaci koriste, obrađuju i pohranjuju.
5.2. Izjava o privatnosti
Europski institut za informatičku certifikaciju ima detaljnu politiku privatnosti koja opisuje njegove aktivnosti obrade podataka, uključujući kako subjekti podataka mogu ostvariti svoja prava.
5.3. Pravo na pristup
Ispitanici imaju pravo zatražiti pristup osobnim podacima koje o njima ima Europski institut za informatičku certifikaciju. Europski institut za informatičku certifikaciju pruža jasne i sažete informacije subjektima podataka o tome kako podnijeti zahtjev za pristup, koji će podaci biti potrebni za provjeru njihovog identiteta i koliko će vremena Europskom institutu za informatičku certifikaciju trebati da odgovori na zahtjev.
5.4. Pravo na ispravak
Ispitanici imaju pravo zahtijevati da Europski institut za informatičku certifikaciju ispravi sve netočne ili nepotpune osobne podatke koje ima o njima. Europski institut za IT certifikaciju pruža jasne i sažete informacije subjektima podataka o tome kako podnijeti zahtjev za ispravak, koji će podaci biti potrebni za provjeru njihovog identiteta i koliko će vremena Europskom institutu za IT certifikaciju trebati da odgovori na zahtjev.
5.5. Pravo na brisanje
Ispitanici imaju pravo zahtijevati da Europski institut za informatičku certifikaciju izbriše njihove osobne podatke u određenim okolnostima. Europski institut za informatičku certifikaciju pruža jasne i sažete informacije subjektima podataka o tome kako podnijeti zahtjev za brisanje, koji će podaci biti potrebni za provjeru njihovog identiteta i koliko će vremena Europskom institutu za informatičku certifikaciju trebati da odgovori na zahtjev.
5.6. Pravo na prigovor
Ispitanici imaju pravo prigovora na obradu svojih osobnih podataka u određenim okolnostima. Europski institut za IT certifikaciju pruža jasne i sažete informacije subjektima podataka o tome kako podnijeti zahtjev za prigovor, koji će podaci biti potrebni za provjeru njihovog identiteta i koliko će vremena Europskom institutu za IT certifikaciju trebati da odgovori na zahtjev.
5.7. Podaci za kontakt
Europski institut za informatičku certifikaciju pruža jasne i sažete podatke za kontakt za subjekte podataka koji se mogu koristiti ako imaju pitanja ili nedoumica o tome kako se njihovi osobni podaci obrađuju.
Dio 6. Uspostavljanje standardnog vremena odgovora
Europski institut za informatičku certifikaciju uspostavio je standardno vrijeme odgovora za zahtjeve za prava nositelja podataka i osigurava da se na zahtjeve odgovori unutar tog vremenskog okvira.
6.1. Standardno vrijeme odziva
Europski institut za IT certifikaciju utvrđuje standardno vrijeme odgovora od 30 dana za zahtjeve za prava ispitanika. Standardno vrijeme odgovora definira gornju vremensku granicu za obradu i odgovor te se većina zahtjeva obradi i odgovori u kraćem vremenu.
6.2. Vrijeme potvrde primitka zahtjeva
Po primitku zahtjeva za prava ispitanika, DPO ili drugi članovi osoblja potvrdit će primitak zahtjeva u roku od 5 radnih dana i dati subjektu podataka procijenjeni vremenski okvir za pružanje odgovora.
6.3. Iznimna produljenja standardnog vremena odziva
Europski institut za informatičku certifikaciju uložit će razumne napore kako bi odgovorio na zahtjeve za prava ispitanika unutar utvrđenog standardnog vremena odgovora. Međutim, ako je zahtjev složen ili ako Europski institut za informatičku certifikaciju primi veliki broj zahtjeva, vrijeme odgovora može se produžiti. U takvim slučajevima DPO će obavijestiti nositelja podataka o produženju i razlogu kašnjenja.
6.4. Odbijanje ispunjenja zahtjeva za prava subjekta podataka
Ako Europski institut za informatičku certifikaciju ne može ispuniti zahtjev za prava nositelja podataka, ispitaniku će pružiti objašnjenje odbijanja i obavijestiti ga o njegovom pravu na žalbu nadležnom nadzornom tijelu.
6.5. Evidencija zahtjeva i odgovora na prava nositelja podataka
Europski institut za informatičku certifikaciju vodit će točnu evidenciju zahtjeva i odgovora na prava nositelja podataka, uključujući datum primitka zahtjeva, prirodu zahtjeva te datum i način odgovora.
6.6. Periodični pregledi
DPO će povremeno pregledavati vremena odgovora Europskog instituta za informatičku certifikaciju i po potrebi ih ažurirati kako bi se osigurala usklađenost s primjenjivim propisima o zaštiti podataka.
Dio 7. Provjera identiteta subjekta podataka
7.1. Zahtjev za provjeru identiteta
Europski institut za informatičku certifikaciju mora potvrditi identitet nositelja podataka koji podnosi zahtjev kako bi osigurao da se osobni podaci daju samo ispravnoj osobi.
7.2. Sredstva i metode provjere identiteta
Kada ispitanik podnese zahtjev za ostvarivanje svojih prava prema zakonima o zaštiti podataka, Europski institut za informatičku certifikaciju mora potvrditi identitet subjekta podataka koristeći odgovarajuće mjere, kao što je traženje identifikacijskih dokumenata.
7.3. Provjera identiteta opunomoćenika
Ako nositelj podataka podnosi zahtjev u ime nekog drugog, Europski institut za informatičku certifikaciju mora provjeriti identitet i subjekta podataka i osobe u čije ime se podnosi zahtjev.
7.4. Sumnje u provjeru identiteta
Ako Europski IT certifikacijski institut sumnja u identitet ispitanika ili u valjanost zahtjeva, može zatražiti dodatne informacije ili poduzeti druge odgovarajuće mjere za provjeru identiteta ispitanika.
7.5. Evidencija provjere identiteta
Europski institut za informatičku certifikaciju trebao bi voditi evidenciju o postupku provjere i poduzetim mjerama za provjeru identiteta nositelja podataka. Ovu bi evidenciju trebalo čuvati razumno vremensko razdoblje i koristiti za dokazivanje usklađenosti sa zakonima o zaštiti podataka.
Dio 8. Brzo odgovaranje na zahtjeve za prava ispitanika
8.1. Brz odgovor
Europski institut za informatičku certifikaciju promptno odgovara na zahtjeve nositelja podataka i pruža subjektu podataka informacije koje je zatražio.
8.2. Zatražite potvrdu primitka
Europski institut za informatičku certifikaciju potvrđuje primitak zahtjeva subjekta podataka što je prije moguće, idealno unutar 5 radnih dana.
8.3. Zatraži pregled
Imenovani DPO trebao bi pregledati zahtjev kako bi osigurao da ispunjava potrebne zahtjeve i da su pružene sve potrebne informacije.
8.4. Provjera identiteta nositelja podataka
Europski institut za informatičku certifikaciju provjerava identitet nositelja podataka koji podnosi zahtjev kako bi osigurao da se osobni podaci daju samo ispravnoj osobi.
8.5. Dobivanje dodatnih informacija po potrebi
Ako je zahtjev nejasan ili nedostatan, Europski institut za informatičku certifikaciju treba kontaktirati nositelja podataka kako bi dobio dodatne informacije.
8.5. Dohvaćanje relevantnih podataka
Europski institut za IT certifikaciju dohvaća relevantne osobne podatke i pregledava ih kako bi osigurao da su točni i ažurni.
8.6. Davanje traženih podataka
Europski institut za informatičku certifikaciju pruža subjektu podataka informacije koje je zatražio, uključujući kopiju njegovih osobnih podataka u uobičajeno korištenom elektroničkom formatu, osim ako se ne zatraži drugačije.
8.7. Obavijestite nositelja podataka o njegovim pravima
Europski institut za informatičku certifikaciju obavještava nositelja podataka o njegovim drugim pravima, kao što je pravo na ispravak ili brisanje osobnih podataka, te mu daje potrebne upute.
8.8. Poštivanje vremena odziva
Europski institut za informatičku certifikaciju odgovara na zahtjeve za prava nositelja podataka unutar utvrđenog vremena odgovora, osiguravajući poduzimanje potrebnih radnji kako bi se udovoljilo zahtjevu.
8.9. Dokumentiranje odgovora
Europski IT certifikacijski institut dokumentira odgovor na zahtjev za prava nositelja podataka, uključujući sve poduzete radnje i vrijeme odgovora, kako bi se osiguralo da se može revidirati i pratiti u svrhu usklađenosti.
8.10. Obavještavanje nositelja podataka o svim promjenama
Ako dođe do bilo kakvih promjena osobnih podataka ispitanika kao rezultat njegovog zahtjeva, Europski institut za informatičku certifikaciju obavještava subjekta podataka o tim promjenama.
Dio 9. Dokumentiranje zahtjeva za prava nositelja podataka
Europski institut za IT certifikaciju vodi evidenciju zahtjeva za prava ispitanika, uključujući datum zahtjeva, prirodu zahtjeva i odgovor na zahtjev. Dokumentiranje zahtjeva za prava nositelja podataka uključuje sljedeće aspekte:
9.1. Održavanje registra
Europski institut za informatičku certifikaciju održava registar koji bilježi sve primljene zahtjeve za prava ispitanika. Ovaj bi registar trebao obuhvatiti sljedeće pojedinosti:
- Datum zahtjeva
- Ime i kontakt podaci subjekta podataka
- Opis zahtjeva
- Radnje poduzete kao odgovor na zahtjev
- Sve dodatne informacije potrebne za obradu zahtjeva
9.2. Standardizirani proces za dokumentaciju
Europski institut za informatičku certifikaciju vodi standardizirani postupak za dokumentiranje zahtjeva za prava nositelja podataka kako bi se osigurala dosljednost i točnost u prikupljenim informacijama.
9.3. Razdoblje zadržavanja
Europski institut za informatičku certifikaciju održava te zapise razumno vremensko razdoblje, kako je određeno primjenjivim zakonima i propisima, ne kraće od 2 godine.
9.4. Održavanje povjerljivosti
Europski institut za informatičku certifikaciju osigurava da evidencija zahtjeva za pravima nositelja podataka bude dostupna samo ovlaštenom osoblju koje ima potrebu pristupiti takvim informacijama u obavljanju svojih dužnosti. Također provodi tehničke i organizacijske mjere za sprječavanje neovlaštenog pristupa, otkrivanja, izmjene ili uništavanja osobnih podataka sadržanih u evidenciji zahtjeva za prava nositelja podataka.
9.5. Izvještavanje
Europski institut za informatičku certifikaciju povremeno generira izvješća o primljenim, obrađenim i neriješenim zahtjevima za prava ispitanika. Ta se izvješća dijele s relevantnim dionicima, uključujući viši menadžment i DPO.
9.6. analitika
Europski institut za informatičku certifikaciju provodi analizu trendova zahtjeva za prava subjekata podataka kako bi identificirao obrasce i temeljne uzroke zahtjeva. Ove se informacije koriste za poboljšanje procesa i procedura za bolje upravljanje takvim zahtjevima.
Dio 10. Praćenje i pregled procesa
Europski institut za informatičku certifikaciju redovito prati i preispituje svoj postupak za obradu zahtjeva za prava ispitanika kako bi osigurao da ostaje učinkovit i usklađen s GDPR-om.
10.1. Provođenje periodičnih pregleda
Europski institut za informatičku certifikaciju provodi periodičke preglede procesa obrade zahtjeva za prava ispitanika i politike usklađenosti s GDPR-om kako bi osigurao njihovu učinkovitost i usklađenost s propisima o zaštiti podataka. Ti pregledi uključuju analizu broja i vrste primljenih zahtjeva, pravovremenost i učinkovitost odgovora te sva područja za poboljšanje.
10.2. Implementacija poboljšanja
Na temelju nalaza pregleda, Europski institut za informatičku certifikaciju provodi sva potrebna poboljšanja u procesu obrade zahtjeva za prava ispitanika. To može uključivati ažuriranja procedura, dodatnu obuku za osoblje ili promjene u načinu na koji se zahtjevi provjeravaju i na koje se odgovara.
10.3. Osiguravanje stalne usklađenosti
Europski IT institut za certifikaciju osigurava stalnu usklađenost s propisima o zaštiti podataka redovitim pregledom i ažuriranjem svojih politika i procedura u skladu sa svim promjenama relevantnih zakona i propisa.
10.4. Praćenje učinka osoblja
Europski institut za informatičku certifikaciju nadzire učinak osoblja u odnosu na obradu zahtjeva za prava ispitanika, uključujući kvalitetu i pravodobnost odgovora. To može uključivati periodičnu obuku i preglede učinka kako bi se osiguralo da osoblje ima znanja i kompetentnost u ovom području.
10.5. Komunikacija s subjektima podataka
Europski institut za IT certifikaciju komunicira s subjektima podataka tijekom cijelog postupka obrade zahtjeva kako bi osigurao da budu obaviješteni o napretku i svim relevantnim informacijama. To može uključivati davanje ažuriranih informacija o statusu njihovog zahtjeva ili traženje dodatnih informacija prema potrebi.
10.6. Održavanje evidencije
Europski institut za informatičku certifikaciju vodi evidenciju o svojim pregledima, uključujući sve promjene u procesu obrade zahtjeva za prava nositelja podataka, kao i sve povratne informacije primljene od ispitanika. Ove informacije mogu se koristiti za potporu tekućim naporima za usklađivanje i za prepoznavanje područja za daljnje poboljšanje.
Dio 11. Uspostavljanje zapisa o aktivnostima obrade
Europski institut za informatičku certifikaciju vodi Zapisnik o aktivnostima obrade koji je dokument koji opisuje obradu osobnih podataka koju provodi organizacija. Zahtijeva se prema Općoj uredbi EU-a o zaštiti podataka (GDPR) i namijenjena je podršci razumijevanja aktivnosti obrade podataka i dokazivanja usklađenosti s GDPR-om.
11.1. ROPA struktura
ROPA uključuje osnovne informacije o nazivu i kontaktnim podacima organizacije, svrhe obrade podataka, kategorijama osobnih podataka koji se obrađuju, primateljima osobnih podataka i razdobljima čuvanja osobnih podataka. Također uključuje informacije o svim obrađivačima trećih strana koji obrađuju osobne podatke u ime organizacije.
11.2. ROPA redovita ažuriranja
ROPA se redovito ažurira i živi je dokument koji odražava promjene u aktivnostima obrade podataka Europskog instituta za informatičku certifikaciju podupirući izgradnju povjerenja s subjektima podataka.
Europski institut za IT certifikaciju predan je održavanju najviših standarda u pogledu upravljanja zahtjevima za prava subjekta podataka i Opće politike o zaštiti podataka, pazeći da se pridržava svih primjenjivih zakona i propisa koji se odnose na ova pitanja, kao i vodećih industrijskih standarda i najbolje prakse, uključujući ISO 27701 sustav upravljanja informacijama o privatnosti.