DSRRM og GDPR-policy
EITCA Academys retningslinjer for behandling av forespørsler om datasubjektrettigheter og generell databeskyttelsesforordning
Dette dokumentet spesifiserer det europeiske IT-sertifiseringsinstituttets retningslinjer for behandling av forespørsler om datasubjektrettigheter, samt implementeringen av EUs generelle databeskyttelsesforordning, som regelmessig gjennomgås og oppdateres for å sikre effektivitet og relevans. Den siste oppdateringen av EITCIs retningslinjer for forespørsler om datasubjektrettigheter og GDPR ble gjort 10. januar 2023. Våre retningslinjer for forespørsler om datasubjektrettigheter og GDPR-policy er basert på prinsippene for ISO 27701 Privacy Information Management System-utvidelsen til ISO 27001 Information Security Systemstandard, samt på kravene i den generelle databeskyttelsesforordningen (2016/679).
Del 1. Introduksjon
Håndtering av forespørsler om datasubjekts rettigheter er en viktig del av å sikre overholdelse av databeskyttelsesforskriften, nemlig GDPR (General Data Protection Regulation of EU). Det europeiske IT-sertifiseringsinstituttet definerte følgende formelle prosedyrer for å administrere forespørsler om datasubjekts rettigheter og implementere kravene i GDPR:
1.1. Etablere en prosess for håndtering av forespørsler om registrerte rettigheter
Denne prosessen skisserer trinnene som European IT Certification Institute følger når de håndterer forespørsler om registrerte rettigheter, inkludert identifikasjon og autentisering av den registrerte, verifiseringen av den registrertes forespørsel og svaret på forespørselen.
1.2. Utpeke en databeskyttelsesansvarlig (DPO)
European IT Certification Institute utpeker en DPO som er ansvarlig for å føre tilsyn med håndteringen av forespørsler om datasubjekts rettigheter, inkludert gjennomgang av forespørsler, svar på forespørsler og sikre overholdelse av databeskyttelsesforskrifter.
1.3. Opprettholde en oppdatert registrering av personopplysninger
Det europeiske IT-sertifiseringsinstituttet opprettholder en oppdatert oversikt over personopplysninger det har og formålene de behandles for. Dette vil gjøre det mulig for European IT Certification Institute å raskt og nøyaktig svare på forespørsler om datasubjekts rettigheter.
1.4. Gi klar og konsis informasjon til registrerte
Når det samles inn personopplysninger, gir European IT Certification Institute klar og konsis informasjon til de registrerte om deres rettigheter, inkludert retten til å få tilgang til, korrigere, slette og protestere mot behandlingen av personopplysningene deres.
1.5. Etablere en standard responstid
European IT Certification Institute opprettholder en standard svartid for forespørsler om registrerte rettigheter og sikrer at forespørsler blir besvart innen denne tidsrammen.
1.6. Bekrefte identiteten til den registrerte
Det europeiske IT-sertifiseringsinstituttet bekrefter identiteten til den registrerte som sender forespørselen for å sikre at personopplysningene kun gis til riktig person.
1.7. Å svare på forespørsler om rettigheter til registrerte rettigheter umiddelbart
European IT Certification Institute svarer umiddelbart på forespørsler om datasubjekts rettigheter og gir den registrerte informasjonen de har bedt om.
1.8. Dokumentere forespørsler om registrerte rettigheter
Det europeiske IT-sertifiseringsinstituttet fører en oversikt over forespørsler om registrerte rettigheter, inkludert datoen for forespørselen, arten av forespørselen og svaret på forespørselen.
1.9. Overvåking og gjennomgang av prosessen
European IT Certification Institute overvåker og gjennomgår regelmessig prosessen for håndtering av forespørsler om datasubjekts rettigheter for å sikre at den forblir effektiv og i samsvar med relevante databeskyttelsesbestemmelser.
1.10. Etablere journal over behandlingsaktiviteter
Det europeiske IT-sertifiseringsinstituttet opprettholder registreringen av behandlingsaktiviteter, som er et dokument som skisserer behandlingen av personopplysninger utført av organisasjonen. Det er påkrevd under EUs generelle databeskyttelsesforordning (GDPR) og er ment å støtte forståelsen av databehandlingsaktiviteter og demonstrere samsvar med GDPR.
Ved å følge disse formelle og prosedyrene kan European IT Certification Institute effektivt administrere forespørsler om datasubjekts rettigheter og sikre overholdelse av databeskyttelsesforskriftene, inkludert den generelle databeskyttelsesforordningen i EU.
Del 2. Etablere en prosess for håndtering av forespørsler om registrerte rettigheter
Denne prosessen skisserer trinnene som European IT Certification Institute følger når de håndterer forespørsler om registrerte rettigheter, inkludert identifikasjon og autentisering av den registrerte, verifiseringen av den registrertes forespørsel og svaret på forespørselen:
2.1. Identifisering og autentisering av den registrerte
European IT Certification Institute opprettholder en prosess for å bekrefte identiteten til den registrerte som sender forespørselen. Dette kan inkludere å be om en offentlig utstedt ID, sjekke mot eksisterende poster eller bruke andre autentiseringsmetoder.
2.2. Verifisering av den registrertes forespørsel
Når identiteten til den registrerte er etablert, må European IT Certification Institute bekrefte at forespørselen er gyldig og gjelder den registrertes personopplysninger. Forespørselen bør også inkludere den spesifikke rettigheten som utøves, for eksempel retten til å få tilgang til, korrigere eller slette personopplysninger.
2.3. Svarer på forespørselen
Det europeiske IT-sertifiseringsinstituttet må gi et svar på den registrertes forespørsel innen tidsrammen spesifisert av relevante databeskyttelseslover, men ikke lenger enn 30 dager. Svaret bør inneholde en forklaring på om anmodningen er innvilget eller avslått, og begrunnelsen for vedtaket.
2.4. Dokumentere forespørselen og svaret
Det europeiske IT-sertifiseringsinstituttet fører en oversikt over alle forespørsler og svar på registrerte rettigheter. Dette bidrar til å sikre overholdelse av relevante databeskyttelseslover, samt lette fremtidige revisjoner eller undersøkelser.
2.5. Opplæring av relevant personale
Det europeiske IT-sertifiseringsinstituttet vil gi opplæring til ansatte som er ansvarlige for å håndtere forespørsler om datasubjekts rettigheter for å sikre at de er kjent med relevante databeskyttelseslover og det europeiske IT-sertifiseringsinstitutts prosedyrer for å håndtere slike forespørsler.
2.6. Overvåking og gjennomgang av prosessen
European IT Certification Institute overvåker og vurderer prosessen for å håndtere forespørsler om datasubjekts rettigheter med jevne mellomrom for å sikre at den forblir effektiv og i samsvar med relevante databeskyttelseslover. Eventuelle problemer eller hendelser blir rapportert og behandlet i tide.
Del 3. Utpeke en databeskyttelsesansvarlig (DPO)
European IT Certification Institute utpeker en DPO som er ansvarlig for å føre tilsyn med håndteringen av forespørsler om datasubjekts rettigheter, inkludert gjennomgang av forespørsler, svar på forespørsler og sikre overholdelse av databeskyttelsesforskrifter.
3.1. Utpeke DPO
European IT Certification Institute utpeker en databeskyttelsesansvarlig (DPO) for å føre tilsyn med håndteringen av forespørsler om datasubjekts rettigheter og sikre overholdelse av databeskyttelsesforskriftene. DPOen vil være ansvarlig for å gjennomgå forespørsler og sikre at European IT Certification Institute oppfyller sine juridiske forpliktelser i forhold til databeskyttelse.
3.2. DPOs kompetansekrav
Databeskyttelsesansvarlig må ha ekspertkunnskap om databeskyttelseslover og -praksis og ha de nødvendige ressursene for å oppfylle sitt ansvar. De bør ha direkte tilgang til toppledelsen og rapportere til det høyeste ledernivået i organisasjonen.
3.3. DPOs ansvar
Databeskyttelsesansvarligs ansvar inkluderer, men er ikke begrenset til, følgende:
- Gi veiledning og råd til European IT Certification Institute i forhold til databeskyttelse, inkludert håndtering av forespørsler om datasubjekts rettigheter.
- Overvåking av det europeiske IT-sertifiseringsinstituttets overholdelse av databeskyttelsesforskrifter og interne retningslinjer og prosedyrer.
- Svare på henvendelser og klager fra registrerte om deres rettigheter i henhold til databeskyttelsesforskriften.
- Koordinere med andre avdelinger for å sikre at databeskyttelseskrav oppfylles i hele organisasjonen.
- Gjennomføre periodiske gjennomganger og vurderinger av European IT Certification Institutes databeskyttelsespraksis og gi anbefalinger for forbedringer.
- Fungerer som kontaktpunkt for databeskyttelsesmyndighetene og samarbeider med dem i tilfelle etterforskning eller revisjon.
- Databeskyttelsesansvarlig er også involvert i utviklingen og implementeringen av European IT Certification Institutes retningslinjer og prosedyrer knyttet til databeskyttelse, inkludert de som er knyttet til håndtering av forespørsler om datasubjekts rettigheter.
3.4. DPOs opplæring og kvalifikasjonsutvikling
Det europeiske IT-sertifiseringsinstituttet bør sikre at databeskyttelsesansvarlig er tilstrekkelig opplært i databeskyttelsesforskrifter og holdes oppdatert om eventuelle endringer eller oppdateringer av disse forskriftene.
3.5. DPOs kontaktinformasjon
Databeskyttelsesansvarligs kontaktinformasjon bør gjøres tilgjengelig for registrerte og inkluderes i European IT Certification Institutes personvernerklæring eller retningslinjer.
Del 4. Opprettholde en oppdatert registrering av personopplysninger
Det europeiske IT-sertifiseringsinstituttet opprettholder en oppdatert oversikt over personopplysninger det har og formålene de behandles for. Dette vil gjøre det mulig for European IT Certification Institute å raskt og nøyaktig svare på forespørsler om datasubjekts rettigheter.
4.1. Etablere en prosess for å identifisere og registrere personopplysninger
European IT Certification Institute etablerer en klar og standardisert prosess for å identifisere og registrere personopplysninger, inkludert den registrertes navn, kontaktinformasjon og annen relevant informasjon. Denne prosessen sikrer at personopplysninger kun samles inn for spesifikke og legitime formål.
4.2. Kategorisering av personopplysninger
European IT Certification Institute kategoriserer personopplysninger for å gjøre det enklere å spore og administrere. Dette inkluderer kategorisering av data etter type, for eksempel kontaktinformasjon, faktureringsinformasjon, kompetanse og kvalifikasjoner, finansiell informasjon eller ansettelseshistorikk.
4.3. Implementere et datastyringssystem
European IT Certification Institute implementerer et databehandlingssystem for å sikre at personopplysninger er nøyaktige, oppdaterte og tilgjengelige. Databehandlingssystemet inkluderer en database som kan søkes og spørres for å hjelpe deg med å svare på forespørsler om registrerte rettigheter.
4.4. Tildele ansvar for å holde registret over personopplysninger
Det europeiske IT-sertifiseringsinstituttet bør tildele ansvaret for å opprettholde registret over personopplysninger til bestemte individer eller avdelinger. Dette vil sikre at journalen holdes oppdatert og nøyaktig.
4.5. Regelmessig gjennomgang og oppdatering av registreringen av personopplysninger
Det europeiske IT-sertifiseringsinstituttet bør regelmessig gjennomgå og oppdatere registreringen av personopplysninger for å sikre at den forblir nøyaktig og oppdatert. Dette kan gjøres gjennom periodiske revisjoner eller gjennom en kontinuerlig overvåkingsprosess.
4.6. Iverksette passende sikkerhetstiltak
European IT Certification Institute implementerer passende sikkerhetstiltak for å beskytte personopplysningene den har, inkludert tiltak for å forhindre uautorisert tilgang, utilsiktet tap eller ødeleggelse av personopplysninger, som en del av organisasjonens informasjonssikkerhetspolicy (ISP). Dette inkluderer blant annet kryptering, brannmurer og tilgangskontroller. En detaljert spesifikasjon av prosessene og tiltakene for databeskyttelse er dekket av det dedikerte europeiske IT-sertifiseringsinstituttets retningslinjer for informasjonssikkerhet.
Del 5. Gi klar og konsis informasjon til registrerte
Når det samles inn personopplysninger, gir European IT Certification Institute klar og konsis informasjon til de registrerte om deres rettigheter, inkludert retten til å få tilgang til, korrigere, slette og protestere mot behandlingen av personopplysningene deres.
5.1. åpenhet
European IT Certification Institute er transparent i sin behandling av personopplysninger og gir kortfattet informasjon til registrerte om hvordan deres data brukes, behandles og lagres.
5.2. XNUMX. Privacy Policy Personvern
European IT Certification Institute har en detaljert personvernpolicy som skisserer databehandlingsaktiviteter, inkludert hvordan registrerte kan utøve sine registrerte rettigheter.
5.3. Rett til tilgang
Registrerte har rett til å be om tilgang til personopplysningene som European IT Certification Institute har om dem. Det europeiske IT-sertifiseringsinstituttet gir klar og kortfattet informasjon til registrerte om hvordan de skal sende inn en forespørsel om tilgang, hvilken informasjon som kreves for å bekrefte identiteten deres, og hvor lang tid det vil ta for European IT-sertifiseringsinstituttet å svare på forespørselen.
5.4. Rett til å rette opp
Registrerte har rett til å be om at det europeiske IT-sertifiseringsinstituttet retter opp eventuelle unøyaktige eller ufullstendige personopplysninger det har om dem. Det europeiske IT-sertifiseringsinstituttet gir klar og kortfattet informasjon til registrerte om hvordan de skal fremsette en forespørsel om retting, hvilken informasjon som kreves for å bekrefte identiteten deres, og hvor lang tid det vil ta for European IT-sertifiseringsinstituttet å svare på forespørselen.
5.5. Rett til å slette
Registrerte har rett til å be om at European IT Certification Institute sletter personopplysningene deres under visse omstendigheter. Det europeiske IT-sertifiseringsinstituttet gir klar og konsis informasjon til registrerte personer om hvordan de skal sende en forespørsel om sletting, hvilken informasjon som kreves for å bekrefte identiteten deres, og hvor lang tid det vil ta for European IT-sertifiseringsinstituttet å svare på forespørselen.
5.6. Rett til å protestere
Registrerte har rett til å protestere mot behandlingen av deres personopplysninger under visse omstendigheter. Det europeiske IT-sertifiseringsinstituttet gir klar og konsis informasjon til registrerte om hvordan de skal sende inn en forespørsel om å protestere, hvilken informasjon som kreves for å bekrefte identiteten deres, og hvor lang tid det vil ta for European IT-sertifiseringsinstituttet å svare på forespørselen.
5.7. Kontaktinformasjon
European IT Certification Institute gir klar og kortfattet kontaktinformasjon som registrerte kan bruke hvis de har spørsmål eller bekymringer om hvordan personopplysningene deres behandles.
Del 6. Etablering av standard responstid
European IT Certification Institute etablerte en standard svartid for forespørsler om registrerte rettigheter og sørger for at forespørsler blir besvart innen denne tidsrammen.
6.1. Standard responstid
European IT Certification Institute fastsetter en standardsvartid på 30 dager for forespørsler om registrerte rettigheter. Standardsvartiden definerer en øvre tidsgrense for behandling og svar, og flertallet av forespørsler behandles og besvares innen kortere tid.
6.2. Be om mottaksbekreftelsestid
Ved mottak av en forespørsel om datasubjekts rettigheter, vil DPO eller andre ansatte bekrefte mottak av forespørselen innen 5 virkedager og gi den registrerte en estimert tidsramme for å gi et svar.
6.3. Eksepsjonelle utvidelser av standard responstid
Det europeiske IT-sertifiseringsinstituttet vil bruke rimelige anstrengelser for å svare på forespørsler om registrerte rettigheter innen den fastsatte standardsvartiden. Men hvis forespørselen er kompleks eller hvis European IT Certification Institute mottar et stort antall forespørsler, kan svartiden bli forlenget. I slike tilfeller vil databeskyttelsesansvarlig informere den registrerte om forlengelsen og årsaken til forsinkelsen.
6.4. Avslag på å oppfylle en forespørsel om registrerte rettigheter
Hvis European IT Certification Institute ikke er i stand til å oppfylle en forespørsel om rettigheter for registrerte, vil det gi den registrerte en forklaring på avslaget og informere dem om deres rett til å klage til den relevante tilsynsmyndigheten.
6.5. Registrering av forespørsler og svar om registrerte rettigheter
Det europeiske IT-sertifiseringsinstituttet vil føre nøyaktige registre over forespørsler og svar om registrerte rettigheter, inkludert datoen for mottak av forespørselen, arten av forespørselen, og datoen og måten svaret på.
6.6. Periodiske vurderinger
Databeskyttelsesansvarlig vil med jevne mellomrom gjennomgå European IT Certification Institutes responstider og oppdatere dem etter behov for å sikre samsvar med gjeldende databeskyttelsesforskrifter.
Del 7. Verifisering av den registrerte identiteten
7.1. Krav til identitetsbekreftelse
Det europeiske IT-sertifiseringsinstituttet må bekrefte identiteten til den registrerte som sender forespørselen for å sikre at personopplysningene kun gis til riktig person.
7.2. Identitetsverifiseringsmidler og metoder
Når en registrert person ber om å utøve sine rettigheter i henhold til databeskyttelseslover, må European IT Certification Institute bekrefte identiteten til den registrerte ved å bruke passende tiltak, for eksempel å be om identifikasjonsdokumenter.
7.3. Identitetsbekreftelse av en fullmaktshaver
Hvis den registrerte sender forespørselen på vegne av noen andre, må European IT Certification Institute bekrefte identiteten til både den registrerte og personen på vegne av forespørselen.
7.4. Tviler på identitetsbekreftelse
Hvis det europeiske IT-sertifiseringsinstituttet er i tvil om identiteten til den registrerte eller gyldigheten av forespørselen, kan det be om ytterligere informasjon eller iverksette andre passende tiltak for å bekrefte identiteten til den registrerte.
7.5. Identitetsverifiseringsposter
Det europeiske IT-sertifiseringsinstituttet bør føre en oversikt over verifiseringsprosessen og tiltakene som er tatt for å verifisere identiteten til den registrerte. Denne registreringen bør oppbevares i en rimelig periode og brukes til å demonstrere overholdelse av databeskyttelseslover.
Del 8. Svare på forespørsler om rettigheter til registrerte rettigheter umiddelbart
8.1. Raskt svar
Det europeiske IT-sertifiseringsinstituttet svarer umiddelbart på forespørsler om registrerte rettigheter og gir den registrerte informasjonen de har bedt om.
8.2. Be om mottaksbekreftelse
European IT Certification Institute bekrefter mottak av den registrertes forespørsel så snart som mulig, helst innen 5 virkedager.
8.3. Be om gjennomgang
Den utpekte DPOen bør gjennomgå forespørselen for å sikre at den oppfyller de nødvendige kravene og at all nødvendig informasjon er gitt.
8.4. Bekreftelse av den registrertes identitet
Det europeiske IT-sertifiseringsinstituttet bekrefter identiteten til den registrerte som sender forespørselen for å sikre at personopplysningene kun gis til riktig person.
8.5. Innhenting av tilleggsinformasjon om nødvendig
Hvis forespørselen er uklar eller utilstrekkelig, bør European IT Certification Institute kontakte den registrerte for å få ytterligere informasjon.
8.5. Henter relevante data
European IT Certification Institute henter de relevante personopplysningene og gjennomgår dem for å sikre at de er nøyaktige og oppdaterte.
8.6. Oppgi den forespurte informasjonen
European IT Certification Institute gir den registrerte informasjonen de har bedt om, inkludert en kopi av personopplysningene deres i et vanlig brukt elektronisk format, med mindre annet er bedt om.
8.7. Informer den registrerte om deres rettigheter
Det europeiske IT-sertifiseringsinstituttet informerer den registrerte om deres andre rettigheter, for eksempel retten til å rette eller slette personopplysningene deres, og gi dem nødvendige instruksjoner.
8.8. Overholdelse av responstiden
European IT Certification Institute svarer på forespørsler om datasubjekts rettigheter innen den fastsatte responstiden, og sikrer at nødvendige tiltak blir iverksatt for å etterkomme forespørselen.
8.9. Dokumentere svaret
Det europeiske IT-sertifiseringsinstituttet dokumenterer svaret på forespørselen om datasubjekts rettigheter, inkludert eventuelle handlinger og responstiden, for å sikre at den kan revideres og spores for samsvarsformål.
8.10. Varsle den registrerte om eventuelle endringer
Hvis det gjøres endringer i den registrertes personopplysninger som følge av deres forespørsel, varsler European IT Certification Institute den registrerte om disse endringene.
Del 9. Dokumentere forespørsler om registrerte rettigheter
Det europeiske IT-sertifiseringsinstituttet fører en oversikt over forespørsler om registrerte rettigheter, inkludert datoen for forespørselen, arten av forespørselen og svaret på forespørselen. Dokumentering av forespørsler om registrerte rettigheter inkluderer følgende aspekter:
9.1. Opprettholde et register
European IT Certification Institute opprettholder et register som fanger opp alle mottatte forespørsler om registrerte rettigheter. Dette registeret skal fange opp følgende detaljer:
- Dato for forespørselen
- Navn og kontaktinformasjon til den registrerte
- Beskrivelse av forespørselen
- Handling iverksatt som svar på forespørselen
- Eventuell tilleggsinformasjon som kreves for å behandle forespørselen
9.2. Standardisert prosess for dokumentasjon
European IT Certification Institute kjører en standardisert prosess for å dokumentere forespørsler om registrerte rettigheter for å sikre konsistens og nøyaktighet i informasjonen som fanges opp.
9.3. Oppbevaringsperiode
Det europeiske IT-sertifiseringsinstituttet oppbevarer disse registreringene i en rimelig tidsperiode, som bestemt av gjeldende lover og forskrifter, ikke kortere enn 2 år.
9.4. Opprettholde konfidensialitet
Det europeiske IT-sertifiseringsinstituttet sikrer at registrene over forespørsler om registrerte rettigheter kun er tilgjengelig for autorisert personell som har behov for å få tilgang til slik informasjon i utførelsen av sine oppgaver. Den implementerer også tekniske og organisatoriske tiltak for å forhindre uautorisert tilgang, avsløring, endring eller ødeleggelse av personopplysninger i registrene over forespørsler om registrerte rettigheter.
9.5. rapportering
European IT Certification Institute genererer med jevne mellomrom rapporter om mottatte, behandlede og utestående forespørsler om registrerte rettigheter. Disse rapportene deles med relevante interessenter, inkludert toppledelsen og DPO.
9.6. Analytics
European IT Certification Institute gjennomfører trendanalyse av forespørsler om datasubjekts rettigheter for å identifisere mønstre og grunnårsaker til forespørsler. Denne informasjonen brukes til å forbedre prosesser og prosedyrer for å bedre administrere slike forespørsler.
Del 10. Overvåking og gjennomgang av prosessen
Det europeiske IT-sertifiseringsinstituttet overvåker og gjennomgår regelmessig prosessen for håndtering av forespørsler om registrerte rettigheter for å sikre at den forblir effektiv og i samsvar med GDPR.
10.1. Gjennomføre periodiske vurderinger
Det europeiske IT-sertifiseringsinstituttet gjennomfører periodiske gjennomganger av håndteringsprosessen for datasubjekts rettigheter og GDPR-samsvarspolicy for å sikre at den er effektiv og i samsvar med databeskyttelsesforskriftene. Disse vurderingene inkluderer en analyse av antall og type forespørsler som mottas, aktualitet og effektivitet av svar, og eventuelle forbedringsområder.
10.2. Implementering av forbedringer
Basert på funnene fra gjennomgangene, implementerer European IT Certification Institute eventuelle nødvendige forbedringer i sin behandlingsprosess for forespørsel om datasubjektrettigheter. Dette kan omfatte oppdateringer av prosedyrer, tilleggsopplæring for personalet eller endringer i måten forespørsler bekreftes og besvares på.
10.3. Sikre kontinuerlig etterlevelse
Det europeiske IT-sertifiseringsinstituttet sikrer kontinuerlig overholdelse av databeskyttelsesforskrifter ved å jevnlig gjennomgå og oppdatere sine retningslinjer og prosedyrer i tråd med eventuelle endringer i relevante lover og forskrifter.
10.4. Overvåking av ansattes ytelse
European IT Certification Institute overvåker ansattes ytelse i forhold til håndtering av forespørsler om registrerte rettigheter, inkludert kvaliteten og aktualiteten til svar. Dette kan inkludere periodisk opplæring og resultatgjennomganger for å sikre at personalet er kunnskapsrike og kompetente på dette området.
10.5. Kommunikasjon med registrerte
Det europeiske IT-sertifiseringsinstituttet kommuniserer med registrerte under hele forespørselsbehandlingsprosessen for å sikre at de holdes informert om fremdriften og all relevant informasjon. Dette kan inkludere å gi oppdateringer om statusen til forespørselen deres eller be om ytterligere informasjon etter behov.
10.6. Opprettholde poster
Det europeiske IT-sertifiseringsinstituttet opprettholder registre over sine vurderinger, inkludert eventuelle endringer som er gjort i håndteringsprosessen for forespørsel om registrerte rettigheter, samt eventuelle tilbakemeldinger mottatt fra registrerte. Denne informasjonen kan brukes til å støtte pågående overholdelsesarbeid og for å identifisere områder for ytterligere forbedring.
Del 11. Etablering av journal over behandlingsaktiviteter
Det europeiske IT-sertifiseringsinstituttet opprettholder registreringen av behandlingsaktiviteter, som er et dokument som skisserer behandlingen av personopplysninger utført av organisasjonen. Det er påkrevd under EUs generelle databeskyttelsesforordning (GDPR) og er ment å støtte forståelsen av databehandlingsaktiviteter og demonstrere samsvar med GDPR.
11.1. ROPA struktur
ROPA inkluderer grunnleggende informasjon om navn og kontaktinformasjon til organisasjonen, formålene med databehandlingen, kategoriene av personopplysninger som behandles, mottakerne av personopplysningene og oppbevaringsperioder for personopplysningene. Den inkluderer også informasjon om eventuelle tredjepartsbehandlere som behandler personopplysninger på vegne av organisasjonen.
11.2. ROPA regelmessige oppdateringer
ROPA oppdateres jevnlig og er et levende dokument som gjenspeiler endringer i European IT Certification Institutes databehandlingsaktiviteter som støtter oppbygging av tillit hos registrerte.
Det europeiske IT-sertifiseringsinstituttet er forpliktet til å opprettholde de høyeste standardene med hensyn til håndtering av forespørsler om datasubjektrettigheter og generelle retningslinjer for databeskyttelse, og sørger for å overholde alle gjeldende lover og forskrifter knyttet til disse problemene, samt ledende industristandarder. og beste praksis, inkludert ISO 27701 Privacy Information Management System.