DSRRM ja GDPR poliitika

EITCA Akadeemia andmesubjektide õiguste taotluste haldamise poliitika ja andmekaitse üldmäärus

See dokument täpsustab Euroopa IT Sertifitseerimisinstituudi andmesubjektide õiguste taotluste haldamise poliitikat, samuti EL-i isikuandmete kaitse üldmääruse rakendamist, mida vaadatakse regulaarselt üle ja ajakohastatakse, et tagada selle tõhusus ja asjakohasus. EITCI andmesubjektide õiguste taotluste halduse ja GDPR poliitika viimane värskendus tehti 10. jaanuaril 2023. Meie andmesubjektide õiguste taotluste halduse ja GDPR-i eeskirjad põhinevad ISO 27701 privaatsusinfo haldussüsteemi laienduse ISO 27001 teabeturbe põhimõtetel. Süsteemistandardile, samuti isikuandmete kaitse üldmääruse (2016/679) nõuetele.

Osa 1. Sissejuhatus

Andmesubjektide õiguste taotluste haldamine on oluline osa andmekaitseeeskirjade, nimelt GDPR (ELi üldmäärus) järgimise tagamisel. Euroopa IT Sertifitseerimisinstituut määratles andmesubjektide õiguste taotluste haldamiseks ja GDPR-i nõuete rakendamiseks järgmised formaalsed protseduurid:

1.1. Andmesubjektide õiguste taotluste käsitlemise protsessi kehtestamine

See protsess kirjeldab samme, mida Euroopa IT Sertifitseerimisinstituut järgib andmesubjekti õiguste taotluste käsitlemisel, sealhulgas andmesubjekti tuvastamine ja autentimine, andmesubjekti taotluse kontrollimine ja päringule vastamine.

1.2. Andmekaitseametniku (DPO) määramine

Euroopa IT Sertifitseerimisinstituut määrab andmekaitseametniku, kes vastutab andmesubjektide õiguste taotluste haldamise järelevalve, sealhulgas taotluste läbivaatamise, päringutele vastamise ja andmekaitseeeskirjade järgimise eest.

1.3. Isikuandmete ajakohase arvestuse pidamine

Euroopa IT Sertifitseerimisinstituut peab ajakohastatud arvestust tema valduses olevate isikuandmete ja nende töötlemise eesmärkide kohta. See võimaldab Euroopa IT Sertifitseerimisinstituudil kiiresti ja täpselt vastata andmesubjekti õiguste päringutele.

1.4. Andmesubjektidele selge ja kokkuvõtliku teabe pakkumine

Isikuandmete kogumisel annab Euroopa IT Sertifitseerimise Instituut andmesubjektidele selget ja ülevaatlikku teavet nende õiguste kohta, sealhulgas õiguse kohta oma isikuandmetele juurde pääseda, neid parandada, kustutada ja nende töötlemist vaidlustada.

1.5. Standardse reageerimisaja kehtestamine

Euroopa IT Sertifitseerimisinstituut järgib andmesubjektide õiguste päringutele standardset reageerimisaega ja tagab, et päringutele vastatakse selle aja jooksul.

1.6. Andmesubjekti identiteedi kontrollimine

Euroopa IT Sertifitseerimisinstituut kontrollib päringu esitanud andmesubjekti isikut tagamaks, et isikuandmeid edastatakse ainult õigele isikule.

1.7. Andmesubjekti õiguste päringutele viivitamatu vastamine

Euroopa IT Sertifitseerimisinstituut vastab andmesubjektide õiguste päringutele viivitamatult ja edastab andmesubjektile tema küsitud teabe.

1.8. Andmesubjekti õiguste taotluste dokumenteerimine

Euroopa IT Sertifitseerimisinstituut säilitab andmesubjektide õiguste taotluste registrit, sealhulgas päringu kuupäeva, päringu olemuse ja päringu vastuse.

1.9. Protsessi jälgimine ja ülevaatamine

1.10. Töötlemistoimingute registri loomine

Euroopa IT Sertifitseerimisinstituut peab töötlemistoimingute registrit, mis on dokument, mis kirjeldab organisatsiooni poolt teostatavat isikuandmete töötlemist. See on nõutav EL-i isikuandmete kaitse üldmääruse (GDPR) alusel ning selle eesmärk on toetada andmetöötlustoimingute mõistmist ja tõendada GDPR-i järgimist.

Neid formaalsusi ja protseduure järgides saab Euroopa IT Sertifitseerimise Instituut tõhusalt hallata andmesubjektide õiguste taotlusi ja tagada vastavus andmekaitse eeskirjadele, sealhulgas Euroopa Liidu andmekaitse üldmäärusele.

2. osa. Andmesubjekti õiguste taotluste käsitlemise protsessi kehtestamine

2.1. Andmesubjekti tuvastamine ja autentimine

Euroopa IT Sertifitseerimise Instituut kasutab päringu esitanud andmesubjekti isikusamasuse kontrollimiseks protsessi. See võib hõlmata valitsuse väljastatud isikut tõendava dokumendi küsimist, olemasolevate kirjete võrdlemist või muude autentimismeetodite kasutamist.

2.2. Andmesubjekti taotluse kontrollimine

Kui andmesubjekti isik on kindlaks tehtud, peab Euroopa IT Sertifitseerimisinstituut kontrollima, kas taotlus on kehtiv ja seotud andmesubjekti isikuandmetega. Taotlus peaks sisaldama ka konkreetset kasutatavat õigust, näiteks õigust pääseda juurde isikuandmetele, neid parandada või kustutada.

2.3. Taotlusele vastamine

Euroopa IT Sertifitseerimisinstituut peab andmesubjekti päringule vastuse andma asjakohastes andmekaitseseadustes sätestatud tähtaja jooksul, kuid mitte kauem kui 30 päeva. Vastus peaks sisaldama selgitust selle kohta, kas taotlus on rahuldatud või rahuldamata jäetud, ja otsuse põhjuseid.

2.4. Taotluse ja vastuse dokumenteerimine

Euroopa IT Sertifitseerimisinstituut peab registrit kõigi andmesubjektide õiguste taotluste ja vastuste kohta. See aitab tagada asjakohaste andmekaitseseaduste järgimise ning hõlbustada tulevasi auditeid või uurimisi.

2.5. Asjaomaste töötajate koolitamine

Euroopa IT Sertifitseerimise Instituut pakub andmesubjektide õiguste taotluste käsitlemise eest vastutavatele töötajatele koolitust, tagamaks, et nad on kursis asjakohaste andmekaitseseadustega ja Euroopa IT Sertifitseerimisinstituudi menetlustega selliste taotluste käsitlemiseks.

2.6. Protsessi jälgimine ja ülevaatamine

Euroopa IT Sertifitseerimisinstituut jälgib ja vaatab regulaarselt üle andmesubjektide õiguste taotluste käsitlemise protsessi, et tagada selle tõhusus ja vastavus asjakohastele andmekaitseseadustele. Kõikidest probleemidest või intsidentidest teatatakse ja neid käsitletakse õigeaegselt.

3. osa. Andmekaitseametniku määramine

3.1. Andmekaitseametniku määramine

Euroopa IT Sertifitseerimisinstituut määrab andmekaitseametniku (DPO), kes jälgib andmesubjektide õiguste taotluste haldamist ja tagab andmekaitseeeskirjade järgimise. Andmekaitseametnik vastutab taotluste läbivaatamise ja selle eest, et Euroopa IT Sertifitseerimisinstituut täidaks oma andmekaitsega seotud juriidilisi kohustusi.

3.2. Andmekaitseametniku pädevusnõuded

Andmekaitseametnikul peavad olema andmekaitseseaduste ja -tavade ekspertteadmised ning talle peavad olema tagatud oma kohustuste täitmiseks vajalikud ressursid. Neil peaks olema otsene juurdepääs kõrgemale juhtkonnale ja nad peaksid aru andma organisatsiooni kõrgeimale juhtimistasandile.

3.3. Andmekaitseametniku kohustused

Andmekaitseametniku kohustused hõlmavad, kuid ei ole nendega piiratud, järgmist:

Andmekaitse küsimustes, sealhulgas andmesubjekti õiguste taotluste haldamisel, Euroopa IT Sertifitseerimisinstituudile juhiste ja nõuannete pakkumine.
Euroopa IT Sertifitseerimisinstituudi andmekaitseeeskirjade ning sisepoliitika ja protseduuride järgimise jälgimine.
Andmesubjektide päringutele ja kaebustele vastamine nende andmekaitsemäärustest tulenevate õiguste kohta.
Koordineerimine teiste osakondadega, et tagada andmekaitsenõuete täitmine kogu organisatsioonis.
Euroopa IT Sertifitseerimisinstituudi andmekaitsetavade perioodiliste ülevaatuste ja hindamiste läbiviimine ning parendussoovituste andmine.
Andmekaitseasutuste kontaktpunktina toimimine ja nendega koostöö tegemine uurimise või auditi korral.
Andmekaitseametnik tegeleb ka Euroopa IT Sertifitseerimisinstituudi andmekaitsega seotud poliitikate ja protseduuride väljatöötamisega ja rakendamisega, sealhulgas andmesubjekti õiguste taotluste käsitlemisega.

3.4. Andmekaitseametnike koolitus ja kvalifikatsiooni arendamine

Euroopa IT Sertifitseerimisinstituut peaks tagama, et andmekaitseametnik on andmekaitseeeskirjade osas piisavalt koolitatud ja et teda hoitakse kursis kõigi nende eeskirjade muudatuste või uuendustega.

3.5. Andmekaitseametniku kontaktandmed

Andmekaitseametniku kontaktteave tuleks teha andmesubjektidele kättesaadavaks ja lisada Euroopa IT-sertifitseerimisinstituudi privaatsusteatisesse või -poliitikasse.

4. osa. Isikuandmete ajakohase arvestuse pidamine

4.1. Isikuandmete tuvastamise ja salvestamise protsessi kehtestamine

Euroopa IT Sertifitseerimisinstituut loob selge ja standardiseeritud protsessi isikuandmete, sealhulgas andmesubjekti nime, kontaktteabe ja muu asjakohase teabe tuvastamiseks ja salvestamiseks. See protsess tagab, et isikuandmeid kogutakse ainult konkreetsetel ja seaduslikel eesmärkidel.

4.2. Isikuandmete kategoriseerimine

Euroopa IT Sertifitseerimisinstituut liigitab isikuandmed kategooriatesse, et neid oleks lihtsam jälgida ja hallata. See hõlmab andmete liigitamist tüübi järgi, näiteks kontaktteavet, arveldusteavet, pädevust ja kvalifikatsiooni, finantsteavet või tööajalugu.

4.3. Andmehaldussüsteemi juurutamine

Euroopa IT Sertifitseerimisinstituut rakendab andmehaldussüsteemi, mis aitab tagada isikuandmete täpsed, ajakohased ja juurdepääsetavad. Andmehaldussüsteem sisaldab andmebaasi, millest saab otsida ja teha päringuid, mis aitab vastata andmesubjekti õiguste päringutele.

4.4. Isikuandmete arvestuse pidamise eest vastutuse määramine

Euroopa IT Sertifitseerimisinstituut peaks määrama vastutuse isikuandmete registri pidamise eest konkreetsetele isikutele või osakondadele. See tagab, et arvestus on ajakohane ja täpne.

4.5. Isikuandmete registri regulaarne ülevaatamine ja ajakohastamine

Euroopa IT Sertifitseerimisinstituut peaks isikuandmete registrit regulaarselt üle vaatama ja ajakohastama, et tagada nende täpsus ja ajakohasus. Seda saab teha perioodiliste auditite või pideva seireprotsessi kaudu.

4.6. Rakendage asjakohaseid turvameetmeid

Euroopa IT Sertifitseerimisinstituut rakendab organisatsiooni infoturbepoliitika (ISP) osana asjakohaseid turvameetmeid, et kaitsta tema valduses olevaid isikuandmeid, sealhulgas meetmeid isikuandmete volitamata juurdepääsu, juhusliku kaotsimineku või hävimise vältimiseks. See hõlmab muu hulgas krüptimist, tulemüüre ja juurdepääsu juhtelemente. Andmekaitse protsesside ja meetmete üksikasjalik kirjeldus on hõlmatud spetsiaalse Euroopa IT Sertifitseerimisinstituudi infoturbepoliitikaga.

5. osa. Andmesubjektidele selge ja kokkuvõtliku teabe esitamine

5.1. Läbipaistvus

Euroopa IT Sertifitseerimisinstituut on isikuandmete töötlemisel läbipaistev ja annab andmesubjektidele kokkuvõtlikku teavet nende andmete kasutamise, töötlemise ja säilitamise kohta.

5.2. Privaatsuspoliitika

Euroopa IT-sertifitseerimisinstituudil on üksikasjalik privaatsuspoliitika, mis kirjeldab tema andmetöötlustoiminguid, sealhulgas seda, kuidas andmesubjektid saavad oma andmesubjekti õigusi kasutada.

5.3. Juurdepääsuõigus

Andmesubjektidel on õigus taotleda juurdepääsu isikuandmetele, mida Euroopa IT Sertifitseerimisinstituut nende kohta hoiab. Euroopa IT Sertifitseerimisinstituut annab andmesubjektidele selget ja ülevaatlikku teavet selle kohta, kuidas juurdepääsutaotlust esitada, millist teavet on vaja nende identiteedi kontrollimiseks ja kui kaua võtab Euroopa IT Sertifitseerimisinstituut taotlusele vastamiseks aega.

5.4. Õigus parandada

Andmesubjektidel on õigus nõuda, et Euroopa IT Sertifitseerimisinstituut parandaks tema valduses olevad ebatäpsed või mittetäielikud isikuandmed. Euroopa IT Sertifitseerimisinstituut annab andmesubjektidele selget ja ülevaatlikku teavet selle kohta, kuidas teha parandustaotlust, millist teavet on vaja nende identiteedi kontrollimiseks ja kui kaua kulub Euroopa IT Sertifitseerimisinstituudil taotlusele vastamiseks.

5.5. Õigus kustutada

Andmesubjektidel on teatud asjaoludel õigus nõuda, et Euroopa IT Sertifitseerimisinstituut kustutaks nende isikuandmed. Euroopa IT Sertifitseerimisinstituut annab andmesubjektidele selget ja ülevaatlikku teavet selle kohta, kuidas esitada kustutamistaotlus, millist teavet on vaja nende identiteedi kontrollimiseks ja kui kaua kulub Euroopa IT Sertifitseerimisinstituudil taotlusele vastamiseks.

5.6. Vastuväidete esitamise õigus

Andmesubjektidel on teatud asjaoludel õigus esitada vastuväiteid oma isikuandmete töötlemisele. Euroopa IT Sertifitseerimisinstituut annab andmesubjektidele selget ja ülevaatlikku teavet selle kohta, kuidas esitada vastuväitetaotlus, millist teavet on vaja nende identiteedi kontrollimiseks ja kui kaua kulub Euroopa IT Sertifitseerimisinstituudil päringule vastamiseks.

5.7. Kontakt

Euroopa IT Sertifitseerimisinstituut pakub andmesubjektidele selget ja kokkuvõtlikku kontaktteavet, kui neil on küsimusi või muresid seoses nende isikuandmete töötlemisega.

6. osa. Standardse reaktsiooniaja kehtestamine

Euroopa IT Sertifitseerimisinstituut kehtestas andmesubjektide õiguste päringutele standardse vastamisaja ja tagab, et taotlustele vastatakse selle aja jooksul.

6.1. Standardne reageerimisaeg

Euroopa IT Sertifitseerimisinstituut kehtestab andmesubjekti õiguste päringutele standardse 30-päevase vastamisaja. Standardne reageerimisaeg määrab töötlemise ja vastamise ülemise tähtaja ning enamik taotlusi töödeldakse ja neile vastatakse lühema aja jooksul.

6.2. Küsi kviitungi kinnitamise aega

Andmesubjekti õiguste taotluse saamisel kinnitab andmekaitseametnik või teised töötajad taotluse kättesaamist 5 tööpäeva jooksul ja teatab andmesubjektile hinnangulise vastuse andmise tähtaja.

6.3. Standardse reageerimisaja erakordne pikenemine

Euroopa IT Sertifitseerimisinstituut teeb mõistlikke jõupingutusi, et vastata andmesubjektide õiguste taotlustele kehtestatud standardse reageerimisaja jooksul. Kui päring on keeruline või kui Euroopa IT Sertifitseerimisinstituut saab palju päringuid, võib vastamisaega pikendada. Sellistel juhtudel teavitab andmekaitseametnik andmesubjekti pikendamisest ja viivituse põhjusest.

6.4. Andmesubjekti õiguste taotluse täitmisest keeldumine

Kui Euroopa IT Sertifitseerimisinstituut ei suuda andmesubjekti õiguste taotlust täita, esitab ta andmesubjektile keeldumise kohta selgituse ja teavitab teda tema õigusest esitada kaebus vastavale järelevalveasutusele.

6.5. Andmesubjektide õiguste taotluste ja vastuste kirjed

Euroopa IT Sertifitseerimisinstituut peab täpset arvestust andmesubjektide õiguste taotluste ja vastuste kohta, sealhulgas päringu kättesaamise kuupäeva, päringu olemuse ning vastuse kuupäeva ja viisi.

6.6. Perioodilised ülevaated

Andmekaitseametnik vaatab perioodiliselt üle Euroopa IT Sertifitseerimisinstituudi reageerimisajad ja ajakohastab neid vastavalt vajadusele, et tagada vastavus kohaldatavatele andmekaitseeeskirjadele.

Osa 7. Andmesubjekti identiteedi kontrollimine

7.1. Isiku tõendamise nõue

Euroopa IT Sertifitseerimisinstituut peab kontrollima taotluse esitanud andmesubjekti isikut, et tagada isikuandmete edastamine ainult õigele isikule.

7.2. Identiteedi kontrollimise vahendid ja meetodid

Kui andmesubjekt esitab taotluse oma andmekaitseseadustest tulenevate õiguste kasutamiseks, peab Euroopa IT-sertifitseerimisinstituut kontrollima andmesubjekti isikusamasust, kasutades asjakohaseid meetmeid, näiteks nõudes isikut tõendavaid dokumente.

7.3. Volikirja omaniku identiteedi kinnitamine

Kui andmesubjekt esitab päringu kellegi teise nimel, peab Euroopa IT Sertifitseerimisinstituut kontrollima nii andmesubjekti kui ka isiku, kelle nimel taotlus esitatakse, identiteeti.

7.4. Kahtlused isiku tuvastamisel

Kui Euroopa IT Sertifitseerimisinstituudil on kahtlusi andmesubjekti identiteedi või päringu kehtivuse suhtes, võib ta nõuda täiendavat teavet või võtta muid asjakohaseid meetmeid andmesubjekti isikusamasuse kontrollimiseks.

7.5. Isiku tõendamise kirjed

Euroopa IT Sertifitseerimisinstituut peaks pidama arvestust kontrolliprotsessi ja andmesubjekti isikusamasuse kontrollimiseks võetud meetmete kohta. Seda kirjet tuleks säilitada mõistliku aja jooksul ja seda tuleks kasutada andmekaitseseaduste järgimise tõendamiseks.

Osa 8. Andmesubjekti õiguste päringutele viivitamatu vastamine

8.1. Kiire vastus

Euroopa IT Sertifitseerimisinstituut vastab andmesubjektide õiguste päringutele viivitamatult ja edastab andmesubjektile tema küsitud teabe.

8.2. Taotlege kviitungit

Euroopa IT Sertifitseerimisinstituut kinnitab andmesubjekti taotluse kättesaamist esimesel võimalusel, ideaaljuhul 5 tööpäeva jooksul.

8.3. Taotlege ülevaatust

Määratud andmekaitseametnik peaks taotluse läbi vaatama ja veenduma, et see vastab vajalikele nõuetele ja et kogu vajalik teave on esitatud.

8.4. Andmesubjekti identiteedi kontrollimine

Euroopa IT Sertifitseerimisinstituut kontrollib päringu esitanud andmesubjekti isikut tagamaks, et isikuandmeid edastatakse ainult õigele isikule.

8.5. Vajadusel lisateabe hankimine

Kui taotlus on ebaselge või ebapiisav, peaks Euroopa IT Sertifitseerimisinstituut lisateabe saamiseks andmesubjektiga ühendust võtma.

8.5. Asjakohaste andmete hankimine

Euroopa IT Sertifitseerimisinstituut hangib välja asjakohased isikuandmed ja vaatab need üle, et tagada nende täpsus ja ajakohasus.

8.6. Nõutud teabe esitamine

Euroopa IT Sertifitseerimise Instituut annab andmesubjektile tema taotletud teabe, sealhulgas koopia tema isikuandmetest üldkasutatavas elektroonilises vormingus, kui ei ole taotletud teisiti.

8.7. Teavitage andmesubjekti tema õigustest

Euroopa IT Sertifitseerimisinstituut teavitab andmesubjekti tema muudest õigustest, näiteks õigusest oma isikuandmeid parandada või kustutada, ning annab neile vajalikke juhiseid.

8.8. Vastamisaja järgimine

Euroopa IT Sertifitseerimise Instituut vastab andmesubjektide õiguste päringutele kehtestatud vastamisaja jooksul, tagades päringu täitmiseks vajalike meetmete võtmise.

8.9. Vastuse dokumenteerimine

Euroopa IT Sertifitseerimisinstituut dokumenteerib andmesubjekti õiguste taotlusele antud vastuse, sealhulgas kõik võetud toimingud ja reageerimisaja, et tagada selle auditeerimine ja jälgimine vastavuse tagamiseks.

8.10. Andmesubjekti teavitamine muudatustest

Kui andmesubjekti isikuandmetes tehakse tema nõudmise tulemusena muudatusi, teavitab Euroopa IT Sertifitseerimisinstituut andmesubjekti nendest muudatustest.

Osa 9. Andmesubjekti õiguste taotluste dokumenteerimine

Euroopa IT Sertifitseerimisinstituut säilitab andmesubjektide õiguste taotluste registrit, sealhulgas päringu kuupäeva, päringu olemuse ja päringu vastuse. Andmesubjekti õiguste taotluste dokumenteerimine hõlmab järgmisi aspekte:

9.1. Registri pidamine

Euroopa IT Sertifitseerimisinstituut peab registrit, mis salvestab kõik saadud andmesubjekti õiguste taotlused. See register peaks sisaldama järgmisi üksikasju:

Taotluse kuupäev
Andmesubjekti nimi ja kontaktandmed
Taotluse kirjeldus
Taotlusele vastamiseks võetud meetmed
Taotluse töötlemiseks vajalik lisateave

9.2. Standardne dokumentatsiooniprotsess

Euroopa IT Sertifitseerimisinstituut kasutab andmesubjektide õiguste taotluste dokumenteerimiseks standardset protsessi, et tagada kogutud teabe järjepidevus ja täpsus.

9.3. Säilitusperiood

Euroopa IT Sertifitseerimisinstituut säilitab neid dokumente mõistliku aja jooksul, mis on määratud kohaldatavate seaduste ja määrustega, mitte lühema kui 2 aasta jooksul.

9.4. Konfidentsiaalsuse säilitamine

Euroopa IT Sertifitseerimise Instituut tagab, et andmesubjekti õiguste taotluste dokumentidele on juurdepääs ainult selleks volitatud töötajatel, kellel on oma tööülesannete täitmisel vajadus sellisele teabele juurde pääseda. Samuti rakendab ta tehnilisi ja korralduslikke meetmeid, et takistada andmesubjekti õiguste taotluste kirjetes sisalduvatele isikuandmetele volitamata juurdepääsu, nende avaldamist, muutmist või hävitamist.

9.5. Aruandlus

Euroopa IT Sertifitseerimisinstituut koostab perioodiliselt aruandeid saadud, töödeldud ja rahuldamata andmesubjektide õiguste taotluste kohta. Neid aruandeid jagatakse asjaomaste sidusrühmadega, sealhulgas tippjuhtkonna ja andmekaitseametnikuga.

9.6. Analytics

Euroopa IT Sertifitseerimisinstituut viib läbi andmesubjektide õiguste taotluste trendianalüüsi, et tuvastada taotluste mustrid ja algpõhjused. Seda teavet kasutatakse selliste taotluste paremaks haldamiseks vajalike protsesside ja protseduuride täiustamiseks.

Osa 10. Protsessi jälgimine ja ülevaatamine

Euroopa IT Sertifitseerimisinstituut jälgib ja vaatab regulaarselt üle andmesubjektide õiguste taotluste käsitlemise protsessi, et tagada selle tõhusus ja vastavus GDPR-ile.

10.1. Perioodiliste ülevaatuste läbiviimine

Euroopa IT Sertifitseerimisinstituut vaatab perioodiliselt üle oma andmesubjektide õiguste taotluste käsitlemise protsessi ja GDPR-i järgimise poliitika, et tagada selle tõhusus ja vastavus andmekaitseeeskirjadele. Need ülevaated hõlmavad saadud taotluste arvu ja tüüpide analüüsi, vastuste õigeaegsust ja tõhusust ning parandamist vajavaid valdkondi.

10.2. Parenduste rakendamine

Läbivaatuste tulemuste põhjal viib Euroopa IT Sertifitseerimisinstituut oma andmesubjektide õiguste taotluste käsitlemise protsessis vajalikke parandusi. See võib hõlmata protseduuride uuendusi, töötajate täiendavat koolitust või muudatusi taotluste kontrollimise ja neile vastamise viisis.

10.3. Pideva vastavuse tagamine

Euroopa IT Sertifitseerimisinstituut tagab pideva andmekaitseeeskirjade järgimise, vaadates regulaarselt üle ja ajakohastades oma põhimõtteid ja protseduure kooskõlas asjakohaste seaduste ja määruste muudatustega.

10.4. Personali töötulemuste jälgimine

Euroopa IT Sertifitseerimisinstituut jälgib andmesubjektide õiguste taotluste käsitlemisel töötajate tegevust, sealhulgas vastuste kvaliteeti ja õigeaegsust. See võib hõlmata perioodilist koolitust ja tulemuslikkuse ülevaatamist tagamaks, et töötajad on selles valdkonnas teadlikud ja pädevad.

10.5. Andmesubjektidega suhtlemine

Euroopa IT Sertifitseerimisinstituut suhtleb andmesubjektidega kogu päringu käsitlemise protsessi vältel, et tagada nende kursis edenemise ja kogu asjakohase teabega. See võib hõlmata taotluse oleku kohta värskenduste esitamist või vajaduse korral lisateabe taotlemist.

10.6. Arvestuste pidamine

Euroopa IT Sertifitseerimisinstituut säilitab oma ülevaatuste, sealhulgas andmesubjektide õiguste taotluste käsitlemise protsessis tehtud muudatuste ja andmesubjektidelt saadud tagasiside kohta arvestust. Seda teavet saab kasutada jätkuvate nõuete täitmise toetamiseks ja edasist täiustamist vajavate valdkondade tuvastamiseks.

Osa 11. Töötlemistoimingute registri loomine

11.1. ROPA struktuur

ROPA sisaldab põhiteavet organisatsiooni nime ja kontaktandmete, andmetöötluse eesmärkide, töödeldavate isikuandmete kategooriate, isikuandmete saajate ja isikuandmete säilitamise tähtaegade kohta. See sisaldab ka teavet kolmandatest osapooltest töötlejate kohta, kes töötlevad isikuandmeid organisatsiooni nimel.

11.2. ROPA regulaarsed uuendused

ROPA-d uuendatakse regulaarselt ja see on elav dokument, mis kajastab muutusi Euroopa IT Sertifitseerimisinstituudi andmetöötlustegevuses, mis toetab usalduse loomist andmesubjektide vastu.

Euroopa IT Sertifitseerimisinstituut on pühendunud kõrgeimate standardite säilitamisele andmesubjektide õiguste taotluste haldamise ja andmekaitse üldmääruse poliitika osas, järgides kindlasti kõiki nende küsimustega seotud kohaldatavaid seadusi ja määrusi, samuti juhtivaid tööstusharu standardeid. ja parimad tavad, sealhulgas ISO 27701 privaatsusteabe haldussüsteem.

EITCA Akadeemia

LOGI OMA KONTOLE SISSE

Liitu Unustasid parooli?

KONTOT LOOMA