Politica DSRRM și GDPR
Politica Academiei EITCA privind gestionarea cererilor privind drepturile persoanelor vizate și Regulamentul general privind protecția datelor
Acest document specifică Politica Institutului European de Certificare IT privind gestionarea cererilor de drepturi ale persoanelor vizate, precum și implementarea Regulamentului general al UE privind protecția datelor, care este revizuit și actualizat în mod regulat pentru a asigura eficacitatea și relevanța acestuia. Ultima actualizare a EITCI privind gestionarea cererilor de drepturi ale persoanelor vizate și a politicii GDPR a fost făcută pe 10 ianuarie 2023. Politica noastră de gestionare a cererilor de drepturi ale persoanelor vizate și GDPR se bazează pe principiile extinderii sistemului de management al informațiilor de confidențialitate ISO 27701 la ISO 27001 de securitate a informațiilor. Standard de sistem, precum și cu privire la cerințele Regulamentului general privind protecția datelor (2016/679).
Partea 1. Introducere
Gestionarea solicitărilor privind drepturile persoanelor vizate este o parte esențială a asigurării conformității cu reglementările privind protecția datelor, și anume GDPR (Regulamentul general privind protecția datelor din UE). Institutul European de Certificare IT a definit următoarele proceduri formale pentru gestionarea solicitărilor privind drepturile persoanelor vizate și implementarea cerințelor GDPR:
1.1. Stabilirea unui proces de tratare a cererilor privind drepturile persoanelor vizate
Acest proces subliniază pașii pe care Institutul European de Certificare IT îi urmează atunci când gestionează solicitările privind drepturile persoanelor vizate, inclusiv identificarea și autentificarea persoanei vizate, verificarea solicitării persoanei vizate și răspunsul la cerere.
1.2. Desemnarea unui responsabil cu protecția datelor (DPO)
Institutul European de Certificare IT desemnează un DPO care este responsabil cu supravegherea gestionării solicitărilor privind drepturile persoanelor vizate, inclusiv examinarea solicitărilor, răspunsul la solicitări și asigurarea conformității cu reglementările privind protecția datelor.
1.3. Menținerea unei evidențe actualizate a datelor cu caracter personal
Institutul European de Certificare IT menține o evidență actualizată a datelor cu caracter personal pe care le deține și a scopurilor pentru care sunt prelucrate. Acest lucru va permite Institutului European de Certificare IT să răspundă rapid și precis la solicitările privind drepturile persoanelor vizate.
1.4. Furnizarea de informații clare și concise persoanelor vizate
Atunci când colectează date cu caracter personal, Institutul European de Certificare IT oferă persoanelor vizate informații clare și concise despre drepturile lor, inclusiv dreptul de a accesa, rectifica, șterge și obiecta la prelucrarea datelor lor personale.
1.5. Stabilirea unui timp de răspuns standard
Institutul European de Certificare IT menține un timp standard de răspuns pentru solicitările privind drepturile persoanelor vizate și se asigură că solicitările primesc răspuns în acest interval de timp.
1.6. Verificarea identității persoanei vizate
Institutul European de Certificare IT verifică identitatea persoanei vizate care face cererea pentru a se asigura că datele cu caracter personal sunt furnizate numai persoanei corecte.
1.7. Răspunsul prompt la solicitările privind drepturile persoanelor vizate
Institutul European de Certificare IT răspunde prompt solicitărilor privind drepturile persoanelor vizate și furnizează persoanei vizate informațiile pe care le-a solicitat.
1.8. Documentarea cererilor privind drepturile persoanelor vizate
Institutul European de Certificare IT păstrează o evidență a solicitărilor privind drepturile persoanelor vizate, inclusiv data solicitării, natura cererii și răspunsul la cerere.
1.9. Monitorizarea si revizuirea procesului
Institutul European de Certificare IT își monitorizează și revizuiește în mod regulat procesul de gestionare a solicitărilor privind drepturile persoanelor vizate pentru a se asigura că acesta rămâne eficient și în conformitate cu reglementările relevante privind protecția datelor.
1.10. Întocmirea Evidenței Activităților de Prelucrare
Institutul European de Certificare IT menține Evidența Activităților de Prelucrare care este un document care evidențiază prelucrarea datelor cu caracter personal efectuată de organizație. Este cerut în conformitate cu Regulamentul general al UE privind protecția datelor (GDPR) și este destinat să sprijine înțelegerea activităților de prelucrare a datelor și să demonstreze conformitatea cu GDPR.
Urmând aceste proceduri formale și proceduri, Institutul European de Certificare IT poate gestiona în mod eficient solicitările privind drepturile persoanelor vizate și poate asigura conformitatea cu reglementările privind protecția datelor, inclusiv Regulamentul general privind protecția datelor în Uniunea Europeană.
Partea 2. Stabilirea unui proces de tratare a cererilor privind drepturile persoanelor vizate
Acest proces prezintă pașii pe care Institutul European de Certificare IT îi urmează atunci când gestionează solicitările privind drepturile persoanelor vizate, inclusiv identificarea și autentificarea persoanei vizate, verificarea solicitării persoanei vizate și răspunsul la cerere:
2.1. Identificarea și autentificarea persoanei vizate
Institutul European de Certificare IT menține un proces de verificare a identității persoanei vizate care face cererea. Aceasta poate include solicitarea unui act de identitate emis de guvern, verificarea față de înregistrările existente sau utilizarea altor metode de autentificare.
2.2. Verificarea cererii persoanei vizate
Odată ce identitatea persoanei vizate a fost stabilită, Institutul European de Certificare IT trebuie să verifice dacă cererea este valabilă și se referă la datele personale ale persoanei vizate. Solicitarea ar trebui să includă, de asemenea, dreptul specific exercitat, cum ar fi dreptul de acces, rectificare sau ștergere a datelor cu caracter personal.
2.3. Răspunzând la cerere
Institutul European de Certificare IT trebuie să ofere un răspuns la cererea persoanei vizate în termenul specificat de legile relevante privind protecția datelor, dar nu mai mult de 30 de zile. Răspunsul ar trebui să includă o explicație a faptului dacă cererea a fost acceptată sau respinsă și motivele deciziei.
2.4. Documentarea cererii și a răspunsului
Institutul European de Certificare IT păstrează o evidență a tuturor solicitărilor și răspunsurilor privind drepturile persoanelor vizate. Acest lucru ajută la asigurarea conformității cu legile relevante privind protecția datelor, precum și la facilitarea auditurilor sau investigațiilor viitoare.
2.5. Instruirea personalului relevant
Institutul European de Certificare IT va oferi instruire personalului responsabil cu gestionarea cererilor privind drepturile persoanelor vizate pentru a se asigura că sunt familiarizați cu legile relevante privind protecția datelor și cu procedurile Institutului European de Certificare IT pentru gestionarea acestor cereri.
2.6. Monitorizarea si revizuirea procesului
Institutul European de Certificare IT monitorizează și revizuiește procesul de gestionare a solicitărilor privind drepturile persoanelor vizate în mod regulat pentru a se asigura că acesta rămâne eficient și în conformitate cu legile relevante privind protecția datelor. Orice probleme sau incidente sunt raportate și abordate în timp util.
Partea 3. Desemnarea unui responsabil cu protecția datelor (DPO)
Institutul European de Certificare IT desemnează un DPO care este responsabil cu supravegherea gestionării solicitărilor privind drepturile persoanelor vizate, inclusiv examinarea solicitărilor, răspunsul la solicitări și asigurarea conformității cu reglementările privind protecția datelor.
3.1. Desemnarea DPO
Institutul European de Certificare IT desemnează un responsabil cu protecția datelor (DPO) pentru a supraveghea gestionarea solicitărilor privind drepturile persoanelor vizate și pentru a asigura conformitatea cu reglementările privind protecția datelor. RPD va fi responsabil pentru examinarea cererilor și pentru a se asigura că Institutul European de Certificare IT își îndeplinește obligațiile legale în ceea ce privește protecția datelor.
3.2. Cerințele de competențe ale DPO
RPD trebuie să aibă cunoștințe de specialitate cu privire la legile și practicile privind protecția datelor și să i se asigure resursele necesare pentru a-și îndeplini responsabilitățile. Aceștia ar trebui să aibă acces direct la conducerea superioară și să raporteze la cel mai înalt nivel de conducere al organizației.
3.3. Responsabilitățile DPO
Responsabilitățile DPO includ, dar nu se limitează la, următoarele:
- Oferirea de îndrumare și consiliere Institutului European de Certificare IT în chestiuni de protecție a datelor, inclusiv gestionarea solicitărilor privind drepturile persoanelor vizate.
- Monitorizarea conformității Institutului European de Certificare IT cu reglementările privind protecția datelor și politicile și procedurile interne.
- Răspunsul la întrebările și reclamațiile persoanelor vizate cu privire la drepturile acestora în temeiul reglementărilor privind protecția datelor.
- Coordonarea cu alte departamente pentru a se asigura că cerințele de protecție a datelor sunt îndeplinite în întreaga organizație.
- Efectuarea de revizuiri și evaluări periodice ale practicilor de protecție a datelor ale Institutului European de Certificare IT și furnizarea de recomandări pentru îmbunătățire.
- Servirea ca punct de contact pentru autoritățile de protecție a datelor și cooperarea cu acestea în cazul unei investigații sau audit.
- RPD este, de asemenea, implicat în dezvoltarea și implementarea politicilor și procedurilor Institutului European de Certificare IT referitoare la protecția datelor, inclusiv cele legate de gestionarea solicitărilor privind drepturile persoanelor vizate.
3.4. Formarea și dezvoltarea calificărilor DPO
Institutul European de Certificare IT ar trebui să se asigure că DPO este instruit în mod adecvat cu privire la reglementările privind protecția datelor și este ținut la curent cu orice modificări sau actualizări ale acestor reglementări.
3.5. Informațiile de contact ale DPO
Informațiile de contact ale DPO ar trebui să fie puse la dispoziția persoanelor vizate și incluse în notificarea sau politica de confidențialitate a Institutului European de Certificare IT.
Partea 4. Menținerea unei evidențe actualizate a datelor cu caracter personal
Institutul European de Certificare IT menține o evidență actualizată a datelor cu caracter personal pe care le deține și a scopurilor pentru care sunt prelucrate. Acest lucru va permite Institutului European de Certificare IT să răspundă rapid și precis la solicitările privind drepturile persoanelor vizate.
4.1. Stabilirea unui proces de identificare și înregistrare a datelor cu caracter personal
Institutul European de Certificare IT stabilește un proces clar și standardizat pentru identificarea și înregistrarea datelor cu caracter personal, inclusiv numele persoanei vizate, informațiile de contact și orice alte informații relevante. Acest proces asigură că datele cu caracter personal sunt colectate numai în scopuri specifice și legitime.
4.2. Clasificarea datelor cu caracter personal
Institutul European de Certificare IT clasifică datele personale pentru a le face mai ușor de urmărit și gestionat. Aceasta include clasificarea datelor în funcție de tip, cum ar fi informații de contact, informații de facturare, competențe și calificare, informații financiare sau istoric de angajare.
4.3. Implementarea unui sistem de management al datelor
Institutul European de Certificare IT implementează un sistem de gestionare a datelor pentru a se asigura că datele personale sunt exacte, actualizate și accesibile. Sistemul de management al datelor include o bază de date care poate fi căutată și interogată pentru a ajuta la răspunsul la solicitările privind drepturile persoanelor vizate.
4.4. Atribuirea răspunderii pentru menținerea evidenței datelor cu caracter personal
Institutul European de Certificare IT ar trebui să atribuie responsabilitatea pentru menținerea evidenței datelor cu caracter personal anumitor persoane sau departamente. Acest lucru va asigura că înregistrarea este actualizată și exactă.
4.5. Revizuirea și actualizarea periodică a evidenței datelor cu caracter personal
Institutul European de Certificare IT ar trebui să examineze și să actualizeze în mod regulat înregistrarea datelor cu caracter personal pentru a se asigura că acestea rămân exacte și actualizate. Acest lucru se poate face prin audituri periodice sau printr-un proces continuu de monitorizare.
4.6. Implementați măsurile de securitate adecvate
Institutul European de Certificare IT implementează măsuri de securitate adecvate pentru a proteja datele personale pe care le deține, inclusiv măsuri pentru a preveni accesul neautorizat, pierderea accidentală sau distrugerea datelor cu caracter personal, ca parte a Politicii de securitate a informațiilor (ISP) a organizației. Aceasta include, de exemplu, criptarea, firewall-urile și controalele de acces. O specificație detaliată a proceselor și măsurilor pentru protecția datelor sunt acoperite de Politica de securitate a informațiilor a Institutului European de Certificare IT dedicată.
Partea 5. Furnizarea de informații clare și concise persoanelor vizate
Atunci când colectează date cu caracter personal, Institutul European de Certificare IT oferă persoanelor vizate informații clare și concise despre drepturile lor, inclusiv dreptul de a accesa, rectifica, șterge și obiecta la prelucrarea datelor lor personale.
5.1. Transparența
Institutul European de Certificare IT este transparent în prelucrarea datelor cu caracter personal și oferă persoanelor vizate informații concise despre modul în care datele lor sunt utilizate, procesate și stocate.
5.2. Politica de confidentialitate
Institutul European de Certificare IT are o politică detaliată de confidențialitate care prezintă activitățile sale de prelucrare a datelor, inclusiv modul în care persoanele vizate își pot exercita drepturile vizate.
5.3. Dreptul de acces
Persoanele vizate au dreptul de a solicita accesul la datele personale pe care le deține Institutul European de Certificare IT despre acestea. Institutul European de Certificare IT oferă persoanelor vizate informații clare și concise despre cum să facă o cerere de acces, ce informații vor fi necesare pentru a le verifica identitatea și cât timp va dura Institutul European de Certificare IT pentru a răspunde cererii.
5.4. Dreptul la rectificare
Persoanele vizate au dreptul de a solicita Institutului European de Certificare IT să rectifice orice date cu caracter personal inexacte sau incomplete pe care le deține despre acestea. Institutul European de Certificare IT oferă persoanelor vizate informații clare și concise despre cum să facă o cerere de rectificare, ce informații vor fi necesare pentru a le verifica identitatea și cât timp va dura Institutul European de Certificare IT pentru a răspunde cererii.
5.5. Dreptul la ștergere
Persoanele vizate au dreptul de a solicita ca Institutul European de Certificare IT să își ștergă datele personale în anumite circumstanțe. Institutul European de Certificare IT oferă persoanelor vizate informații clare și concise despre cum să facă o cerere de ștergere, ce informații vor fi necesare pentru a le verifica identitatea și cât timp va dura Institutul European de Certificare IT pentru a răspunde cererii.
5.6. Dreptul la opoziție
Persoanele vizate au dreptul de a se opune prelucrării datelor lor personale în anumite circumstanțe. Institutul European de Certificare IT oferă persoanelor vizate informații clare și concise despre cum să facă o cerere de opoziție, ce informații vor fi necesare pentru a le verifica identitatea și cât timp va dura Institutul European de Certificare IT pentru a răspunde cererii.
5.7. Informatii de contact
Institutul European de Certificare IT oferă informații de contact clare și concise pentru ca persoanele vizate să le folosească dacă au întrebări sau nelămuriri cu privire la modul în care sunt prelucrate datele lor personale.
Partea 6. Stabilirea unui timp de răspuns standard
Institutul European de Certificare IT a stabilit un timp standard de răspuns pentru solicitările privind drepturile persoanelor vizate și se asigură că solicitările primesc răspuns în acest interval de timp.
6.1. Timp de răspuns standard
Institutul European de Certificare IT stabilește un timp standard de răspuns de 30 de zile pentru solicitările privind drepturile persoanelor vizate. Timpul standard de răspuns definește o limită de timp superioară pentru procesare și răspuns, iar majoritatea cererilor sunt procesate și răspuns într-un timp mai scurt.
6.2. Solicitați ora de confirmare a primirii
La primirea unei solicitări privind drepturile persoanei vizate, RPD sau alți membri ai personalului vor confirma primirea cererii în termen de 5 zile lucrătoare și vor furniza persoanei vizate un interval de timp estimat pentru furnizarea unui răspuns.
6.3. Prelungiri excepționale ale timpului standard de răspuns
Institutul European de Certificare IT va depune eforturi rezonabile pentru a răspunde solicitărilor privind drepturile persoanelor vizate în timpul standard de răspuns stabilit. Cu toate acestea, dacă cererea este complexă sau dacă Institutul European de Certificare IT primește un volum mare de solicitări, timpul de răspuns poate fi prelungit. În astfel de cazuri, DPO va informa persoana vizată cu privire la prelungire și motivul întârzierii.
6.4. Refuzul de a îndeplini o solicitare privind drepturile persoanei vizate
În cazul în care Institutul European de Certificare IT nu poate îndeplini o solicitare privind drepturile persoanei vizate, acesta va oferi persoanei vizate o explicație pentru refuz și o va informa cu privire la dreptul său de a depune o plângere la autoritatea de supraveghere relevantă.
6.5. Înregistrări ale solicitărilor și răspunsurilor privind drepturile persoanelor vizate
Institutul European de Certificare IT va păstra înregistrări exacte ale solicitărilor și răspunsurilor privind drepturile persoanelor vizate, inclusiv data primirii cererii, natura cererii și data și modalitatea răspunsului.
6.6. Recenzii periodice
RPD va revizui periodic timpii de răspuns ale Institutului European de Certificare IT și le va actualiza după caz pentru a asigura conformitatea cu reglementările aplicabile privind protecția datelor.
Partea 7. Verificarea identității persoanei vizate
7.1. Cerința de verificare a identității
Institutul European de Certificare IT trebuie să verifice identitatea persoanei vizate care face cererea pentru a se asigura că datele cu caracter personal sunt furnizate numai persoanei corecte.
7.2. Mijloace și metode de verificare a identității
Atunci când o persoană vizată solicită să își exercite drepturile în temeiul legilor privind protecția datelor, Institutul European de Certificare IT trebuie să verifice identitatea persoanei vizate folosind măsuri adecvate, cum ar fi solicitarea documentelor de identificare.
7.3. Verificarea identității unui deținător de împuternicire
Dacă persoana vizată face cererea în numele altcuiva, Institutul European de Certificare IT trebuie să verifice atât identitatea persoanei vizate, cât și a persoanei în numele căreia se face cererea.
7.4. Îndoieli privind verificarea identității
Dacă Institutul European de Certificare IT are îndoieli cu privire la identitatea persoanei vizate sau la validitatea cererii, poate solicita informații suplimentare sau poate lua alte măsuri adecvate pentru a verifica identitatea persoanei vizate.
7.5. Înregistrările de verificare a identității
Institutul European de Certificare IT ar trebui să țină o evidență a procesului de verificare și a măsurilor luate pentru a verifica identitatea persoanei vizate. Această înregistrare ar trebui păstrată pentru o perioadă rezonabilă de timp și utilizată pentru a demonstra conformitatea cu legile privind protecția datelor.
Partea 8. Răspunsul prompt la solicitările privind drepturile persoanelor vizate
8.1. Raspuns prompt
Institutul European de Certificare IT răspunde prompt solicitărilor privind drepturile persoanelor vizate și furnizează persoanei vizate informațiile pe care le-a solicitat.
8.2. Solicitați confirmarea primirii
Institutul European de Certificare IT confirmă primirea solicitării persoanei vizate în cel mai scurt timp posibil, ideal în termen de 5 zile lucrătoare.
8.3. Solicitați revizuire
RPD desemnat ar trebui să examineze cererea pentru a se asigura că aceasta îndeplinește cerințele necesare și că au fost furnizate toate informațiile necesare.
8.4. Verificarea identității persoanei vizate
Institutul European de Certificare IT verifică identitatea persoanei vizate care face cererea pentru a se asigura că datele cu caracter personal sunt furnizate numai persoanei corecte.
8.5. Obținerea de informații suplimentare dacă este necesar
Dacă cererea este neclară sau insuficientă, Institutul European de Certificare IT ar trebui să contacteze persoana vizată pentru a obține informații suplimentare.
8.5. Recuperarea datelor relevante
Institutul European de Certificare IT preia datele personale relevante și le revizuiește pentru a se asigura că sunt exacte și actualizate.
8.6. Furnizarea informațiilor solicitate
Institutul European de Certificare IT furnizează persoanei vizate informațiile pe care le-a solicitat, inclusiv o copie a datelor sale personale într-un format electronic utilizat în mod obișnuit, cu excepția cazului în care se solicită altfel.
8.7. Informați persoana vizată cu privire la drepturile sale
Institutul European de Certificare IT informează persoana vizată cu privire la celelalte drepturi ale acestora, cum ar fi dreptul de a-și rectifica sau șterge datele personale, și le oferă instrucțiunile necesare.
8.8. Respectarea timpului de răspuns
Institutul European de Certificare IT răspunde solicitărilor privind drepturile persoanelor vizate în timpul de răspuns stabilit, asigurându-se că sunt luate măsurile necesare pentru a se conforma solicitării.
8.9. Documentarea răspunsului
Institutul European de Certificare IT documentează răspunsul la solicitarea privind drepturile persoanelor vizate, inclusiv orice acțiuni întreprinse și timpul de răspuns, pentru a se asigura că poate fi auditat și urmărit în scopuri de conformitate.
8.10. Notificarea persoanei vizate cu privire la orice modificare
În cazul în care datele cu caracter personal ale persoanei vizate sunt modificate ca urmare a solicitării acesteia, Institutul European de Certificare IT informează persoana vizată cu privire la aceste modificări.
Partea 9. Documentarea solicitărilor privind drepturile persoanelor vizate
Institutul European de Certificare IT păstrează o evidență a solicitărilor privind drepturile persoanelor vizate, inclusiv data solicitării, natura cererii și răspunsul la cerere. Documentarea cererilor privind drepturile persoanelor vizate include următoarele aspecte:
9.1. Mentinerea unui registru
Institutul European de Certificare IT menține un registru care înregistrează toate solicitările privind drepturile persoanelor vizate primite. Acest registru ar trebui să cuprindă următoarele detalii:
- Data cererii
- Numele și datele de contact ale persoanei vizate
- Descrierea cererii
- Măsuri luate ca răspuns la cerere
- Orice informații suplimentare necesare pentru procesarea cererii
9.2. Proces standardizat pentru documentare
Institutul European de Certificare IT derulează un proces standardizat de documentare a solicitărilor privind drepturile persoanelor vizate pentru a asigura coerența și acuratețea informațiilor capturate.
9.3. Perioada de retentie
Institutul European de Certificare IT păstrează aceste înregistrări pentru o perioadă rezonabilă de timp, așa cum este determinată de legile și reglementările aplicabile, nu mai scurt de 2 ani.
9.4. Păstrarea confidențialității
Institutul European de Certificare IT se asigură că înregistrările solicitărilor privind drepturile persoanelor vizate sunt accesibile numai personalului autorizat care are nevoie să acceseze astfel de informații în exercitarea atribuțiilor lor. De asemenea, implementează măsuri tehnice și organizatorice pentru a preveni accesul neautorizat, dezvăluirea, modificarea sau distrugerea datelor cu caracter personal conținute în înregistrările solicitărilor privind drepturile persoanelor vizate.
9.5. Raportarea
Institutul European de Certificare IT generează periodic rapoarte privind solicitările privind drepturile persoanelor vizate primite, procesate și restante. Aceste rapoarte sunt partajate părților interesate relevante, inclusiv managementului superior și DPO.
9.6. Google Analytics
Institutul European de Certificare IT efectuează o analiză a tendințelor privind solicitările privind drepturile persoanelor vizate pentru a identifica modelele și cauzele fundamentale ale solicitărilor. Aceste informații sunt folosite pentru a îmbunătăți procesele și procedurile pentru a gestiona mai bine astfel de solicitări.
Partea 10. Monitorizarea și revizuirea procesului
Institutul European de Certificare IT își monitorizează și revizuiește în mod regulat procesul de gestionare a solicitărilor privind drepturile persoanelor vizate pentru a se asigura că acesta rămâne eficient și în conformitate cu GDPR.
10.1. Efectuarea de revizuiri periodice
Institutul European de Certificare IT efectuează revizuiri periodice ale procesului de gestionare a cererilor privind drepturile persoanelor vizate și ale politicii de conformitate GDPR pentru a se asigura că este eficientă și conformă cu reglementările privind protecția datelor. Aceste analize includ o analiză a numărului și tipului de solicitări primite, a oportunității și eficacității răspunsurilor și a oricăror domenii de îmbunătățire.
10.2. Implementarea îmbunătățirilor
Pe baza constatărilor evaluărilor, Institutul European de Certificare IT implementează orice îmbunătățiri necesare procesului său de tratare a cererilor privind drepturile persoanelor vizate. Aceasta poate include actualizări ale procedurilor, instruire suplimentară pentru personal sau modificări ale modului în care solicitările sunt verificate și la care se răspunde.
10.3. Asigurarea conformității continue
Institutul European de Certificare IT asigură conformitatea continuă cu reglementările privind protecția datelor prin revizuirea și actualizarea periodică a politicilor și procedurilor sale în conformitate cu orice modificări aduse legilor și reglementărilor relevante.
10.4. Monitorizarea performantei personalului
Institutul European de Certificare IT monitorizează performanța personalului în ceea ce privește gestionarea solicitărilor privind drepturile persoanelor vizate, inclusiv calitatea și promptitudinea răspunsurilor. Aceasta poate include instruire periodică și evaluări ale performanței pentru a se asigura că personalul are cunoștințe și competențe în acest domeniu.
10.5. Comunicarea cu persoanele vizate
Institutul European de Certificare IT comunică cu persoanele vizate pe parcursul procesului de tratare a cererilor pentru a se asigura că acestea sunt ținute la curent cu progresul și despre orice informații relevante. Aceasta poate include furnizarea de actualizări cu privire la starea cererii lor sau solicitarea de informații suplimentare, după cum este necesar.
10.6. Mentinerea inregistrarilor
Institutul European de Certificare IT păstrează înregistrări ale analizelor sale, inclusiv ale oricăror modificări aduse procesului de tratare a cererilor privind drepturile persoanelor vizate, precum și orice feedback primit de la persoanele vizate. Aceste informații pot fi folosite pentru a sprijini eforturile continue de conformitate și pentru a identifica domeniile care necesită îmbunătățiri suplimentare.
Partea 11. Stabilirea evidenței activităților de prelucrare
Institutul European de Certificare IT menține Evidența Activităților de Prelucrare care este un document care evidențiază prelucrarea datelor cu caracter personal efectuată de organizație. Este cerut în conformitate cu Regulamentul general al UE privind protecția datelor (GDPR) și este destinat să sprijine înțelegerea activităților de prelucrare a datelor și să demonstreze conformitatea cu GDPR.
11.1. Structura ROPA
ROPA include informații de bază privind numele și datele de contact ale organizației, scopurile prelucrării datelor, categoriile de date cu caracter personal prelucrate, destinatarii datelor cu caracter personal și perioadele de păstrare a datelor cu caracter personal. De asemenea, include informații despre orice procesator terță parte care prelucrează date cu caracter personal în numele organizației.
11.2. Actualizări regulate ROPA
ROPA este actualizat în mod regulat și este un document viu care reflectă schimbările în activitățile de prelucrare a datelor ale Institutului European de Certificare IT, care sprijină construirea încrederii cu persoanele vizate.
Institutul European de Certificare IT se angajează să mențină cele mai înalte standarde în ceea ce privește gestionarea cererilor de drepturi ale persoanelor vizate și politica generală de reglementare privind protecția datelor, asigurându-se că respectă toate legile și reglementările aplicabile legate de aceste aspecte, precum și standardele de vârf din industrie. și cele mai bune practici, inclusiv Sistemul de management al informațiilor privind confidențialitatea ISO 27701.