DSRRM ja GDPR poliitika
EITCA Akadeemia andmesubjektide õiguste taotluste haldamise poliitika ja andmekaitse üldmäärus
See dokument täpsustab Euroopa IT Sertifitseerimisinstituudi andmesubjektide õiguste taotluste haldamise poliitikat, samuti EL-i isikuandmete kaitse üldmääruse rakendamist, mida vaadatakse regulaarselt üle ja ajakohastatakse, et tagada selle tõhusus ja asjakohasus. EITCI andmesubjektide õiguste taotluste halduse ja GDPR poliitika viimane värskendus tehti 10. jaanuaril 2023. Meie andmesubjektide õiguste taotluste halduse ja GDPR-i eeskirjad põhinevad ISO 27701 privaatsusinfo haldussüsteemi laienduse ISO 27001 teabeturbe põhimõtetel. Süsteemistandardile, samuti isikuandmete kaitse üldmääruse (2016/679) nõuetele.
Osa 1. Sissejuhatus
Andmesubjektide õiguste taotluste haldamine on oluline osa andmekaitseeeskirjade, nimelt GDPR (ELi üldmäärus) järgimise tagamisel. Euroopa IT Sertifitseerimisinstituut määratles andmesubjektide õiguste taotluste haldamiseks ja GDPR-i nõuete rakendamiseks järgmised formaalsed protseduurid:
1.1. Andmesubjektide õiguste taotluste käsitlemise protsessi kehtestamine
See protsess kirjeldab samme, mida Euroopa IT Sertifitseerimisinstituut järgib andmesubjekti õiguste taotluste käsitlemisel, sealhulgas andmesubjekti tuvastamine ja autentimine, andmesubjekti taotluse kontrollimine ja päringule vastamine.
1.2. Andmekaitseametniku (DPO) määramine
Euroopa IT Sertifitseerimisinstituut määrab andmekaitseametniku, kes vastutab andmesubjektide õiguste taotluste haldamise järelevalve, sealhulgas taotluste läbivaatamise, päringutele vastamise ja andmekaitseeeskirjade järgimise eest.
1.3. Isikuandmete ajakohase arvestuse pidamine
Euroopa IT Sertifitseerimisinstituut peab ajakohastatud arvestust tema valduses olevate isikuandmete ja nende töötlemise eesmärkide kohta. See võimaldab Euroopa IT Sertifitseerimisinstituudil kiiresti ja täpselt vastata andmesubjekti õiguste päringutele.
1.4. Andmesubjektidele selge ja kokkuvõtliku teabe pakkumine
Isikuandmete kogumisel annab Euroopa IT Sertifitseerimise Instituut andmesubjektidele selget ja ülevaatlikku teavet nende õiguste kohta, sealhulgas õiguse kohta oma isikuandmetele juurde pääseda, neid parandada, kustutada ja nende töötlemist vaidlustada.
1.5. Standardse reageerimisaja kehtestamine
Euroopa IT Sertifitseerimisinstituut järgib andmesubjektide õiguste päringutele standardset reageerimisaega ja tagab, et päringutele vastatakse selle aja jooksul.
1.6. Andmesubjekti identiteedi kontrollimine
Euroopa IT Sertifitseerimisinstituut kontrollib päringu esitanud andmesubjekti isikut tagamaks, et isikuandmeid edastatakse ainult õigele isikule.
1.7. Andmesubjekti õiguste päringutele viivitamatu vastamine
Euroopa IT Sertifitseerimisinstituut vastab andmesubjektide õiguste päringutele viivitamatult ja edastab andmesubjektile tema küsitud teabe.
1.8. Andmesubjekti õiguste taotluste dokumenteerimine
Euroopa IT Sertifitseerimisinstituut säilitab andmesubjektide õiguste taotluste registrit, sealhulgas päringu kuupäeva, päringu olemuse ja päringu vastuse.
1.9. Protsessi jälgimine ja ülevaatamine
Euroopa IT Sertifitseerimisinstituut jälgib ja vaatab regulaarselt üle andmesubjektide õiguste taotluste käsitlemise protsessi, et tagada selle tõhusus ja vastavus asjakohastele andmekaitseeeskirjadele.
1.10. Töötlemistoimingute registri loomine
Euroopa IT Sertifitseerimisinstituut peab töötlemistoimingute registrit, mis on dokument, mis kirjeldab organisatsiooni poolt teostatavat isikuandmete töötlemist. See on nõutav EL-i isikuandmete kaitse üldmääruse (GDPR) alusel ning selle eesmärk on toetada andmetöötlustoimingute mõistmist ja tõendada GDPR-i järgimist.
Neid formaalsusi ja protseduure järgides saab Euroopa IT Sertifitseerimise Instituut tõhusalt hallata andmesubjektide õiguste taotlusi ja tagada vastavus andmekaitse eeskirjadele, sealhulgas Euroopa Liidu andmekaitse üldmäärusele.
2. osa. Andmesubjekti õiguste taotluste käsitlemise protsessi kehtestamine
See protsess kirjeldab samme, mida Euroopa IT Sertifitseerimisinstituut järgib andmesubjekti õiguste taotluste käsitlemisel, sealhulgas andmesubjekti tuvastamine ja autentimine, andmesubjekti taotluse kontrollimine ja päringule vastamine:
2.1. Andmesubjekti tuvastamine ja autentimine
Euroopa IT Sertifitseerimise Instituut kasutab päringu esitanud andmesubjekti isikusamasuse kontrollimiseks protsessi. See võib hõlmata valitsuse väljastatud isikut tõendava dokumendi küsimist, olemasolevate kirjete võrdlemist või muude autentimismeetodite kasutamist.
2.2. Andmesubjekti taotluse kontrollimine
Kui andmesubjekti isik on kindlaks tehtud, peab Euroopa IT Sertifitseerimisinstituut kontrollima, kas taotlus on kehtiv ja seotud andmesubjekti isikuandmetega. Taotlus peaks sisaldama ka konkreetset kasutatavat õigust, näiteks õigust pääseda juurde isikuandmetele, neid parandada või kustutada.
2.3. Taotlusele vastamine
Euroopa IT Sertifitseerimisinstituut peab andmesubjekti päringule vastuse andma asjakohastes andmekaitseseadustes sätestatud tähtaja jooksul, kuid mitte kauem kui 30 päeva. Vastus peaks sisaldama selgitust selle kohta, kas taotlus on rahuldatud või rahuldamata jäetud, ja otsuse põhjuseid.
2.4. Taotluse ja vastuse dokumenteerimine
Euroopa IT Sertifitseerimisinstituut peab registrit kõigi andmesubjektide õiguste taotluste ja vastuste kohta. See aitab tagada asjakohaste andmekaitseseaduste järgimise ning hõlbustada tulevasi auditeid või uurimisi.
2.5. Asjaomaste töötajate koolitamine
Euroopa IT Sertifitseerimise Instituut pakub andmesubjektide õiguste taotluste käsitlemise eest vastutavatele töötajatele koolitust, tagamaks, et nad on kursis asjakohaste andmekaitseseadustega ja Euroopa IT Sertifitseerimisinstituudi menetlustega selliste taotluste käsitlemiseks.
2.6. Protsessi jälgimine ja ülevaatamine
Euroopa IT Sertifitseerimisinstituut jälgib ja vaatab regulaarselt üle andmesubjektide õiguste taotluste käsitlemise protsessi, et tagada selle tõhusus ja vastavus asjakohastele andmekaitseseadustele. Kõikidest probleemidest või intsidentidest teatatakse ja neid käsitletakse õigeaegselt.
3. osa. Andmekaitseametniku määramine
Euroopa IT Sertifitseerimisinstituut määrab andmekaitseametniku, kes vastutab andmesubjektide õiguste taotluste haldamise järelevalve, sealhulgas taotluste läbivaatamise, päringutele vastamise ja andmekaitseeeskirjade järgimise eest.
3.1. Andmekaitseametniku määramine
Euroopa IT Sertifitseerimisinstituut määrab andmekaitseametniku (DPO), kes jälgib andmesubjektide õiguste taotluste haldamist ja tagab andmekaitseeeskirjade järgimise. Andmekaitseametnik vastutab taotluste läbivaatamise ja selle eest, et Euroopa IT Sertifitseerimisinstituut täidaks oma andmekaitsega seotud juriidilisi kohustusi.
3.2. Andmekaitseametniku pädevusnõuded
Andmekaitseametnikul peavad olema andmekaitseseaduste ja -tavade ekspertteadmised ning talle peavad olema tagatud oma kohustuste täitmiseks vajalikud ressursid. Neil peaks olema otsene juurdepääs kõrgemale juhtkonnale ja nad peaksid aru andma organisatsiooni kõrgeimale juhtimistasandile.
3.3. Andmekaitseametniku kohustused
Andmekaitseametniku kohustused hõlmavad, kuid ei ole nendega piiratud, järgmist:
- Andmekaitse küsimustes, sealhulgas andmesubjekti õiguste taotluste haldamisel, Euroopa IT Sertifitseerimisinstituudile juhiste ja nõuannete pakkumine.
- Euroopa IT Sertifitseerimisinstituudi andmekaitseeeskirjade ning sisepoliitika ja protseduuride järgimise jälgimine.
- Andmesubjektide päringutele ja kaebustele vastamine nende andmekaitsemäärustest tulenevate õiguste kohta.
- Koordineerimine teiste osakondadega, et tagada andmekaitsenõuete täitmine kogu organisatsioonis.
- Euroopa IT Sertifitseerimisinstituudi andmekaitsetavade perioodiliste ülevaatuste ja hindamiste läbiviimine ning parendussoovituste andmine.
- Andmekaitseasutuste kontaktpunktina toimimine ja nendega koostöö tegemine uurimise või auditi korral.
- Andmekaitseametnik tegeleb ka Euroopa IT Sertifitseerimisinstituudi andmekaitsega seotud poliitikate ja protseduuride väljatöötamisega ja rakendamisega, sealhulgas andmesubjekti õiguste taotluste käsitlemisega.
3.4. Andmekaitseametnike koolitus ja kvalifikatsiooni arendamine
Euroopa IT Sertifitseerimisinstituut peaks tagama, et andmekaitseametnik on andmekaitseeeskirjade osas piisavalt koolitatud ja et teda hoitakse kursis kõigi nende eeskirjade muudatuste või uuendustega.
3.5. Andmekaitseametniku kontaktandmed
Andmekaitseametniku kontaktteave tuleks teha andmesubjektidele kättesaadavaks ja lisada Euroopa IT-sertifitseerimisinstituudi privaatsusteatisesse või -poliitikasse.
4. osa. Isikuandmete ajakohase arvestuse pidamine
Euroopa IT Sertifitseerimisinstituut peab ajakohastatud arvestust tema valduses olevate isikuandmete ja nende töötlemise eesmärkide kohta. See võimaldab Euroopa IT Sertifitseerimisinstituudil kiiresti ja täpselt vastata andmesubjekti õiguste päringutele.
4.1. Isikuandmete tuvastamise ja salvestamise protsessi kehtestamine
Euroopa IT Sertifitseerimisinstituut loob selge ja standardiseeritud protsessi isikuandmete, sealhulgas andmesubjekti nime, kontaktteabe ja muu asjakohase teabe tuvastamiseks ja salvestamiseks. See protsess tagab, et isikuandmeid kogutakse ainult konkreetsetel ja seaduslikel eesmärkidel.
4.2. Isikuandmete kategoriseerimine
Euroopa IT Sertifitseerimisinstituut liigitab isikuandmed kategooriatesse, et neid oleks lihtsam jälgida ja hallata. See hõlmab andmete liigitamist tüübi järgi, näiteks kontaktteavet, arveldusteavet, pädevust ja kvalifikatsiooni, finantsteavet või tööajalugu.
4.3. Andmehaldussüsteemi juurutamine
Euroopa IT Sertifitseerimisinstituut rakendab andmehaldussüsteemi, mis aitab tagada isikuandmete täpsed, ajakohased ja juurdepääsetavad. Andmehaldussüsteem sisaldab andmebaasi, millest saab otsida ja teha päringuid, mis aitab vastata andmesubjekti õiguste päringutele.
4.4. Isikuandmete arvestuse pidamise eest vastutuse määramine
Euroopa IT Sertifitseerimisinstituut peaks määrama vastutuse isikuandmete registri pidamise eest konkreetsetele isikutele või osakondadele. See tagab, et arvestus on ajakohane ja täpne.
4.5. Isikuandmete registri regulaarne ülevaatamine ja ajakohastamine
Euroopa IT Sertifitseerimisinstituut peaks isikuandmete registrit regulaarselt üle vaatama ja ajakohastama, et tagada nende täpsus ja ajakohasus. Seda saab teha perioodiliste auditite või pideva seireprotsessi kaudu.
4.6. Rakendage asjakohaseid turvameetmeid
Euroopa IT Sertifitseerimisinstituut rakendab organisatsiooni infoturbepoliitika (ISP) osana asjakohaseid turvameetmeid, et kaitsta tema valduses olevaid isikuandmeid, sealhulgas meetmeid isikuandmete volitamata juurdepääsu, juhusliku kaotsimineku või hävimise vältimiseks. See hõlmab muu hulgas krüptimist, tulemüüre ja juurdepääsu juhtelemente. Andmekaitse protsesside ja meetmete üksikasjalik kirjeldus on hõlmatud spetsiaalse Euroopa IT Sertifitseerimisinstituudi infoturbepoliitikaga.
5. osa. Andmesubjektidele selge ja kokkuvõtliku teabe esitamine
Isikuandmete kogumisel annab Euroopa IT Sertifitseerimise Instituut andmesubjektidele selget ja ülevaatlikku teavet nende õiguste kohta, sealhulgas õiguse kohta oma isikuandmetele juurde pääseda, neid parandada, kustutada ja nende töötlemist vaidlustada.
5.1. Läbipaistvus
Euroopa IT Sertifitseerimisinstituut on isikuandmete töötlemisel läbipaistev ja annab andmesubjektidele kokkuvõtlikku teavet nende andmete kasutamise, töötlemise ja säilitamise kohta.
5.2. Privaatsuspoliitika
Euroopa IT-sertifitseerimisinstituudil on üksikasjalik privaatsuspoliitika, mis kirjeldab tema andmetöötlustoiminguid, sealhulgas seda, kuidas andmesubjektid saavad oma andmesubjekti õigusi kasutada.
5.3. Juurdepääsuõigus
Andmesubjektidel on õigus taotleda juurdepääsu isikuandmetele, mida Euroopa IT Sertifitseerimisinstituut nende kohta hoiab. Euroopa IT Sertifitseerimisinstituut annab andmesubjektidele selget ja ülevaatlikku teavet selle kohta, kuidas juurdepääsutaotlust esitada, millist teavet on vaja nende identiteedi kontrollimiseks ja kui kaua võtab Euroopa IT Sertifitseerimisinstituut taotlusele vastamiseks aega.
5.4. Õigus parandada
Andmesubjektidel on õigus nõuda, et Euroopa IT Sertifitseerimisinstituut parandaks tema valduses olevad ebatäpsed või mittetäielikud isikuandmed. Euroopa IT Sertifitseerimisinstituut annab andmesubjektidele selget ja ülevaatlikku teavet selle kohta, kuidas teha parandustaotlust, millist teavet on vaja nende identiteedi kontrollimiseks ja kui kaua kulub Euroopa IT Sertifitseerimisinstituudil taotlusele vastamiseks.
5.5. Õigus kustutada
Andmesubjektidel on teatud asjaoludel õigus nõuda, et Euroopa IT Sertifitseerimisinstituut kustutaks nende isikuandmed. Euroopa IT Sertifitseerimisinstituut annab andmesubjektidele selget ja ülevaatlikku teavet selle kohta, kuidas esitada kustutamistaotlus, millist teavet on vaja nende identiteedi kontrollimiseks ja kui kaua kulub Euroopa IT Sertifitseerimisinstituudil taotlusele vastamiseks.
5.6. Vastuväidete esitamise õigus
Andmesubjektidel on teatud asjaoludel õigus esitada vastuväiteid oma isikuandmete töötlemisele. Euroopa IT Sertifitseerimisinstituut annab andmesubjektidele selget ja ülevaatlikku teavet selle kohta, kuidas esitada vastuväitetaotlus, millist teavet on vaja nende identiteedi kontrollimiseks ja kui kaua kulub Euroopa IT Sertifitseerimisinstituudil päringule vastamiseks.
5.7. Kontakt
Euroopa IT Sertifitseerimisinstituut pakub andmesubjektidele selget ja kokkuvõtlikku kontaktteavet, kui neil on küsimusi või muresid seoses nende isikuandmete töötlemisega.
6. osa. Standardse reaktsiooniaja kehtestamine
Euroopa IT Sertifitseerimisinstituut kehtestas andmesubjektide õiguste päringutele standardse vastamisaja ja tagab, et taotlustele vastatakse selle aja jooksul.
6.1. Standardne reageerimisaeg
Euroopa IT Sertifitseerimisinstituut kehtestab andmesubjekti õiguste päringutele standardse 30-päevase vastamisaja. Standardne reageerimisaeg määrab töötlemise ja vastamise ülemise tähtaja ning enamik taotlusi töödeldakse ja neile vastatakse lühema aja jooksul.
6.2. Küsi kviitungi kinnitamise aega
Andmesubjekti õiguste taotluse saamisel kinnitab andmekaitseametnik või teised töötajad taotluse kättesaamist 5 tööpäeva jooksul ja teatab andmesubjektile hinnangulise vastuse andmise tähtaja.
6.3. Standardse reageerimisaja erakordne pikenemine
Euroopa IT Sertifitseerimisinstituut teeb mõistlikke jõupingutusi, et vastata andmesubjektide õiguste taotlustele kehtestatud standardse reageerimisaja jooksul. Kui päring on keeruline või kui Euroopa IT Sertifitseerimisinstituut saab palju päringuid, võib vastamisaega pikendada. Sellistel juhtudel teavitab andmekaitseametnik andmesubjekti pikendamisest ja viivituse põhjusest.
6.4. Andmesubjekti õiguste taotluse täitmisest keeldumine
Kui Euroopa IT Sertifitseerimisinstituut ei suuda andmesubjekti õiguste taotlust täita, esitab ta andmesubjektile keeldumise kohta selgituse ja teavitab teda tema õigusest esitada kaebus vastavale järelevalveasutusele.
6.5. Andmesubjektide õiguste taotluste ja vastuste kirjed
Euroopa IT Sertifitseerimisinstituut peab täpset arvestust andmesubjektide õiguste taotluste ja vastuste kohta, sealhulgas päringu kättesaamise kuupäeva, päringu olemuse ning vastuse kuupäeva ja viisi.
6.6. Perioodilised ülevaated
Andmekaitseametnik vaatab perioodiliselt üle Euroopa IT Sertifitseerimisinstituudi reageerimisajad ja ajakohastab neid vastavalt vajadusele, et tagada vastavus kohaldatavatele andmekaitseeeskirjadele.
Osa 7. Andmesubjekti identiteedi kontrollimine
7.1. Isiku tõendamise nõue
Euroopa IT Sertifitseerimisinstituut peab kontrollima taotluse esitanud andmesubjekti isikut, et tagada isikuandmete edastamine ainult õigele isikule.
7.2. Identiteedi kontrollimise vahendid ja meetodid
Kui andmesubjekt esitab taotluse oma andmekaitseseadustest tulenevate õiguste kasutamiseks, peab Euroopa IT-sertifitseerimisinstituut kontrollima andmesubjekti isikusamasust, kasutades asjakohaseid meetmeid, näiteks nõudes isikut tõendavaid dokumente.
7.3. Volikirja omaniku identiteedi kinnitamine
Kui andmesubjekt esitab päringu kellegi teise nimel, peab Euroopa IT Sertifitseerimisinstituut kontrollima nii andmesubjekti kui ka isiku, kelle nimel taotlus esitatakse, identiteeti.
7.4. Kahtlused isiku tuvastamisel
Kui Euroopa IT Sertifitseerimisinstituudil on kahtlusi andmesubjekti identiteedi või päringu kehtivuse suhtes, võib ta nõuda täiendavat teavet või võtta muid asjakohaseid meetmeid andmesubjekti isikusamasuse kontrollimiseks.
7.5. Isiku tõendamise kirjed
Euroopa IT Sertifitseerimisinstituut peaks pidama arvestust kontrolliprotsessi ja andmesubjekti isikusamasuse kontrollimiseks võetud meetmete kohta. Seda kirjet tuleks säilitada mõistliku aja jooksul ja seda tuleks kasutada andmekaitseseaduste järgimise tõendamiseks.
Osa 8. Andmesubjekti õiguste päringutele viivitamatu vastamine
8.1. Kiire vastus
Euroopa IT Sertifitseerimisinstituut vastab andmesubjektide õiguste päringutele viivitamatult ja edastab andmesubjektile tema küsitud teabe.
8.2. Taotlege kviitungit
Euroopa IT Sertifitseerimisinstituut kinnitab andmesubjekti taotluse kättesaamist esimesel võimalusel, ideaaljuhul 5 tööpäeva jooksul.
8.3. Taotlege ülevaatust
Määratud andmekaitseametnik peaks taotluse läbi vaatama ja veenduma, et see vastab vajalikele nõuetele ja et kogu vajalik teave on esitatud.
8.4. Andmesubjekti identiteedi kontrollimine
Euroopa IT Sertifitseerimisinstituut kontrollib päringu esitanud andmesubjekti isikut tagamaks, et isikuandmeid edastatakse ainult õigele isikule.
8.5. Vajadusel lisateabe hankimine
Kui taotlus on ebaselge või ebapiisav, peaks Euroopa IT Sertifitseerimisinstituut lisateabe saamiseks andmesubjektiga ühendust võtma.
8.5. Asjakohaste andmete hankimine
Euroopa IT Sertifitseerimisinstituut hangib välja asjakohased isikuandmed ja vaatab need üle, et tagada nende täpsus ja ajakohasus.
8.6. Nõutud teabe esitamine
Euroopa IT Sertifitseerimise Instituut annab andmesubjektile tema taotletud teabe, sealhulgas koopia tema isikuandmetest üldkasutatavas elektroonilises vormingus, kui ei ole taotletud teisiti.
8.7. Teavitage andmesubjekti tema õigustest
Euroopa IT Sertifitseerimisinstituut teavitab andmesubjekti tema muudest õigustest, näiteks õigusest oma isikuandmeid parandada või kustutada, ning annab neile vajalikke juhiseid.
8.8. Vastamisaja järgimine
Euroopa IT Sertifitseerimise Instituut vastab andmesubjektide õiguste päringutele kehtestatud vastamisaja jooksul, tagades päringu täitmiseks vajalike meetmete võtmise.
8.9. Vastuse dokumenteerimine
Euroopa IT Sertifitseerimisinstituut dokumenteerib andmesubjekti õiguste taotlusele antud vastuse, sealhulgas kõik võetud toimingud ja reageerimisaja, et tagada selle auditeerimine ja jälgimine vastavuse tagamiseks.
8.10. Andmesubjekti teavitamine muudatustest
Kui andmesubjekti isikuandmetes tehakse tema nõudmise tulemusena muudatusi, teavitab Euroopa IT Sertifitseerimisinstituut andmesubjekti nendest muudatustest.
Osa 9. Andmesubjekti õiguste taotluste dokumenteerimine
Euroopa IT Sertifitseerimisinstituut säilitab andmesubjektide õiguste taotluste registrit, sealhulgas päringu kuupäeva, päringu olemuse ja päringu vastuse. Andmesubjekti õiguste taotluste dokumenteerimine hõlmab järgmisi aspekte:
9.1. Registri pidamine
Euroopa IT Sertifitseerimisinstituut peab registrit, mis salvestab kõik saadud andmesubjekti õiguste taotlused. See register peaks sisaldama järgmisi üksikasju:
- Taotluse kuupäev
- Andmesubjekti nimi ja kontaktandmed
- Taotluse kirjeldus
- Taotlusele vastamiseks võetud meetmed
- Taotluse töötlemiseks vajalik lisateave
9.2. Standardne dokumentatsiooniprotsess
Euroopa IT Sertifitseerimisinstituut kasutab andmesubjektide õiguste taotluste dokumenteerimiseks standardset protsessi, et tagada kogutud teabe järjepidevus ja täpsus.
9.3. Säilitusperiood
Euroopa IT Sertifitseerimisinstituut säilitab neid dokumente mõistliku aja jooksul, mis on määratud kohaldatavate seaduste ja määrustega, mitte lühema kui 2 aasta jooksul.
9.4. Konfidentsiaalsuse säilitamine
Euroopa IT Sertifitseerimise Instituut tagab, et andmesubjekti õiguste taotluste dokumentidele on juurdepääs ainult selleks volitatud töötajatel, kellel on oma tööülesannete täitmisel vajadus sellisele teabele juurde pääseda. Samuti rakendab ta tehnilisi ja korralduslikke meetmeid, et takistada andmesubjekti õiguste taotluste kirjetes sisalduvatele isikuandmetele volitamata juurdepääsu, nende avaldamist, muutmist või hävitamist.
9.5. Aruandlus
Euroopa IT Sertifitseerimisinstituut koostab perioodiliselt aruandeid saadud, töödeldud ja rahuldamata andmesubjektide õiguste taotluste kohta. Neid aruandeid jagatakse asjaomaste sidusrühmadega, sealhulgas tippjuhtkonna ja andmekaitseametnikuga.
9.6. Analytics
Euroopa IT Sertifitseerimisinstituut viib läbi andmesubjektide õiguste taotluste trendianalüüsi, et tuvastada taotluste mustrid ja algpõhjused. Seda teavet kasutatakse selliste taotluste paremaks haldamiseks vajalike protsesside ja protseduuride täiustamiseks.
Osa 10. Protsessi jälgimine ja ülevaatamine
Euroopa IT Sertifitseerimisinstituut jälgib ja vaatab regulaarselt üle andmesubjektide õiguste taotluste käsitlemise protsessi, et tagada selle tõhusus ja vastavus GDPR-ile.
10.1. Perioodiliste ülevaatuste läbiviimine
Euroopa IT Sertifitseerimisinstituut vaatab perioodiliselt üle oma andmesubjektide õiguste taotluste käsitlemise protsessi ja GDPR-i järgimise poliitika, et tagada selle tõhusus ja vastavus andmekaitseeeskirjadele. Need ülevaated hõlmavad saadud taotluste arvu ja tüüpide analüüsi, vastuste õigeaegsust ja tõhusust ning parandamist vajavaid valdkondi.
10.2. Parenduste rakendamine
Läbivaatuste tulemuste põhjal viib Euroopa IT Sertifitseerimisinstituut oma andmesubjektide õiguste taotluste käsitlemise protsessis vajalikke parandusi. See võib hõlmata protseduuride uuendusi, töötajate täiendavat koolitust või muudatusi taotluste kontrollimise ja neile vastamise viisis.
10.3. Pideva vastavuse tagamine
Euroopa IT Sertifitseerimisinstituut tagab pideva andmekaitseeeskirjade järgimise, vaadates regulaarselt üle ja ajakohastades oma põhimõtteid ja protseduure kooskõlas asjakohaste seaduste ja määruste muudatustega.
10.4. Personali töötulemuste jälgimine
Euroopa IT Sertifitseerimisinstituut jälgib andmesubjektide õiguste taotluste käsitlemisel töötajate tegevust, sealhulgas vastuste kvaliteeti ja õigeaegsust. See võib hõlmata perioodilist koolitust ja tulemuslikkuse ülevaatamist tagamaks, et töötajad on selles valdkonnas teadlikud ja pädevad.
10.5. Andmesubjektidega suhtlemine
Euroopa IT Sertifitseerimisinstituut suhtleb andmesubjektidega kogu päringu käsitlemise protsessi vältel, et tagada nende kursis edenemise ja kogu asjakohase teabega. See võib hõlmata taotluse oleku kohta värskenduste esitamist või vajaduse korral lisateabe taotlemist.
10.6. Arvestuste pidamine
Euroopa IT Sertifitseerimisinstituut säilitab oma ülevaatuste, sealhulgas andmesubjektide õiguste taotluste käsitlemise protsessis tehtud muudatuste ja andmesubjektidelt saadud tagasiside kohta arvestust. Seda teavet saab kasutada jätkuvate nõuete täitmise toetamiseks ja edasist täiustamist vajavate valdkondade tuvastamiseks.
Osa 11. Töötlemistoimingute registri loomine
Euroopa IT Sertifitseerimisinstituut peab töötlemistoimingute registrit, mis on dokument, mis kirjeldab organisatsiooni poolt teostatavat isikuandmete töötlemist. See on nõutav EL-i isikuandmete kaitse üldmääruse (GDPR) alusel ning selle eesmärk on toetada andmetöötlustoimingute mõistmist ja tõendada GDPR-i järgimist.
11.1. ROPA struktuur
ROPA sisaldab põhiteavet organisatsiooni nime ja kontaktandmete, andmetöötluse eesmärkide, töödeldavate isikuandmete kategooriate, isikuandmete saajate ja isikuandmete säilitamise tähtaegade kohta. See sisaldab ka teavet kolmandatest osapooltest töötlejate kohta, kes töötlevad isikuandmeid organisatsiooni nimel.
11.2. ROPA regulaarsed uuendused
ROPA-d uuendatakse regulaarselt ja see on elav dokument, mis kajastab muutusi Euroopa IT Sertifitseerimisinstituudi andmetöötlustegevuses, mis toetab usalduse loomist andmesubjektide vastu.
Euroopa IT Sertifitseerimisinstituut on pühendunud kõrgeimate standardite säilitamisele andmesubjektide õiguste taotluste haldamise ja andmekaitse üldmääruse poliitika osas, järgides kindlasti kõiki nende küsimustega seotud kohaldatavaid seadusi ja määrusi, samuti juhtivaid tööstusharu standardeid. ja parimad tavad, sealhulgas ISO 27701 privaatsusteabe haldussüsteem.