Registrering av behandlingsaktiviteter
EITCA Academy Record of Processing Activities
Det europeiske IT-sertifiseringsinstituttet opprettholder registreringen av behandlingsaktiviteter, som er et dokument som skisserer behandlingen av personopplysninger utført av organisasjonen. Det er påkrevd under EUs generelle databeskyttelsesforordning (GDPR) og er ment å støtte forståelsen av databehandlingsaktiviteter og demonstrere samsvar med GDPR.
ROPA inkluderer grunnleggende informasjon om navn og kontaktinformasjon til organisasjonen, formålene med databehandlingen, kategoriene av personopplysninger som behandles, mottakerne av personopplysningene og oppbevaringsperioder for personopplysningene. Den inkluderer også informasjon om eventuelle tredjepartsbehandlere som behandler personopplysninger på vegne av organisasjonen.
Opprettholdelse av journal over behandlingsaktiviteter av European IT Certification Institute er en del av administrasjonen av datasubjektrettighetsforespørsler og GDPR-policy. ROPA oppdateres regelmessig og er et levende dokument som gjenspeiler endringer i European IT Certification Institutes databehandlingsaktiviteter som støtter oppbygging av tillit hos registrerte. Den siste oppdateringen av EITCI Record of Processing Activities ble gjort 10. januar 2023.
1. Databehandler
1.1. Databehandlernavn
European Information Technologies Certification Institute (forkortelse: EITCI)
1.2. Databehandlers juridiske status
Non-profit forening (association sans but lucratif, ASBL) i Belgia
1.3. Databehandlerens registreringsnummer
0807397811 i det belgiske KBO/BCE-registeret
1.4. Databehandlerrolle
Sertifiseringsorgan
1.5. Databehandler Dato for registrering
17th oktober 2008
1.6. Databehandler kontaktdetaljer
Europeisk IT-sertifiseringsinstitutt
Avenue des Saisons 100-102
1050 Brussel, Belgia
Telefon: + 32 2 588 73 51
E-post: info@eitci.org
1.7. Kontaktinformasjon for databeskyttelsesansvarlig (DPO).
E-post: data.protection.officer@eitci.org
2. Formålet med og detaljer om behandling av personopplysninger
2.1. Sertifisering av ferdigheter og kompetanser i EITC/EITCA-sertifiseringsprogrammene
2.1.1. Personlige data samlet inn
Navn, adresse, e-postadresse, telefonnummer, stillingstittel, organisasjonsnavn, ferdighets- og kvalifikasjonstesting og vurdering, betalingsinformasjon
2.1.2. Rettslig grunnlag for behandling
Kontraktsmessig forpliktelse
2.1.3. Kategorier av registrerte
Kunder, ansatte hos kunder
2.1.4. Mottakere av personopplysninger
Internt personale, reguleringsorganer, hosting- og skydatasenteroperatører, kunder, tredjeparts skatte- og regnskapsselskaper
2.2. Sertifisering av løsninger, produkter, tjenester for samsvar med industristandarder
2.2.1. Personlige data samlet inn
Navn, adresse, e-postadresse, telefonnummer, stillingstittel, organisasjonsnavn, betalingsinformasjon, informasjon om løsning/produkt/tjeneste
2.2.2. Rettslig grunnlag for behandling
Kontraktsmessig forpliktelse
2.2.3. Kategorier av registrerte
Kunder, ansatte hos kunder
2.2.4. Mottakere av personopplysninger
Internt personale, reguleringsorganer, hosting- og skydatasenteroperatører, kunder, tredjeparts skatte- og regnskapsselskaper
2.3. Markedsføring og promotering av sertifiseringstjenester
2.3.1. Personlige data samlet inn
Navn, adresse, e-postadresse, telefonnummer, stillingstittel, organisasjonsnavn, informasjon om løsning/produkt/tjeneste
2.3.2. Rettslig grunnlag for behandling
Samtykke
2.3.3. Kategorier av registrerte
Potensielle kunder
2.3.4. Mottakere av personopplysninger
Internt personale, reguleringsorganer, hosting- og skydatasenteroperatører, tredjeparts markedsføringsselskaper
2.4. Ledelse av ansatte
2.3.1. Personlige data samlet inn
Navn, adresse, e-postadresse, telefonnummer, stillingstittel, lønnsinformasjon, prestasjonsevalueringer, ferdighets- og kvalifikasjonstesting og vurdering
2.3.2. Rettslig grunnlag for behandling
Kontraktsmessig forpliktelse
2.3.3. Kategorier av registrerte
Ansatte
2.3.4. Mottakere av personopplysninger
Internt personale, reguleringsorganer, hosting- og skydatasenteroperatører, tredjeparts lønnsselskaper, tredjeparts skatte- og regnskapsselskaper
3. Dataoverføringer
3.1. Overføring av personopplysninger til datasentre (hosting, datasky) utenfor EU
Hensiktsmessige sikkerhetstiltak: Standard kontraktuelle klausuler
3.2. Overføring av personopplysninger til IT-, markedsførings-, skatte- og regnskapsselskaper
Hensiktsmessige sikkerhetstiltak: Behandleravtale med standard kontraktklausuler
4. Oppbevaringsperioder
4.1. Sertifiseringsdata
Oppbevares i 10 år etter sertifiseringens utløp.
4.2. Ansattes data
Beholdt i 8 år etter arbeidsavslutning.
4.3. Markedsføringsdata
Beholdes til tilbaketrekking av samtykke.
5. Sikkerhetstiltak
- Tilgangskontroller til persondatasystemer.
- Kryptering av personopplysninger under overføring og hvile.
- Regelmessig sikkerhetsopplæring for ansatte.
- Regelmessige sikkerhetsrevisjoner og risikovurderinger.
- Overholdelse av EITCIs retningslinjer for informasjonssikkerhet.
6. Gjennomgå og oppdater
Denne registreringen av behandlingsaktiviteter gjennomgås og oppdateres med jevne mellomrom, så vel som hver gang det er en betydelig endring i databehandlingsaktivitetene til European IT Certification Institute.
Det europeiske IT-sertifiseringsinstituttet er forpliktet til å opprettholde de høyeste standardene med hensyn til beskyttelse av personopplysninger og overholdelse av den generelle databeskyttelsesforordningen, og sørger for å overholde alle gjeldende lover og forskrifter knyttet til disse spørsmålene, samt til ledende industristandarder og beste praksis, inkludert ISO 27701 Privacy Information Management System.