Zásady DSRRM a GDPR
Zásady akadémie EITCA týkajúce sa správy žiadostí dotknutých osôb a všeobecného nariadenia o ochrane údajov
Tento dokument špecifikuje politiku Európskeho inštitútu pre certifikáciu IT týkajúcu sa správy žiadostí o práva dotknutých osôb, ako aj implementáciu všeobecného nariadenia EÚ o ochrane údajov, ktoré sa pravidelne reviduje a aktualizuje, aby sa zabezpečila jeho účinnosť a relevantnosť. Posledná aktualizácia EITCI Správa žiadostí dotknutých osôb a zásady GDPR bola vykonaná 10. januára 2023. Naša správa žiadostí dotknutých osôb a zásady GDPR sú založené na princípoch rozšírenia systému riadenia osobných informácií podľa normy ISO 27701 na bezpečnosť informácií ISO 27001 Systémový štandard, ako aj na požiadavky všeobecného nariadenia o ochrane údajov (2016/679).
Časť 1. Úvod
Správa žiadostí o práva dotknutých osôb je nevyhnutnou súčasťou zabezpečenia súladu s nariadeniami o ochrane osobných údajov, konkrétne GDPR (všeobecné nariadenie EÚ o ochrane osobných údajov). Európsky inštitút pre certifikáciu IT definoval nasledujúce formálne postupy na správu žiadostí o práva dotknutých osôb a implementáciu požiadaviek GDPR:
1.1. Stanovenie procesu na vybavovanie žiadostí o práva dotknutých osôb
Tento proces načrtáva kroky, ktoré Európsky inštitút pre certifikáciu IT dodržiava pri vybavovaní žiadostí o práva dotknutej osoby, vrátane identifikácie a autentifikácie dotknutej osoby, overenia žiadosti dotknutej osoby a odpovede na žiadosť.
1.2. Určenie úradníka pre ochranu údajov (DPO)
Európsky inštitút pre IT certifikáciu určuje DPO, ktorý je zodpovedný za dohľad nad riadením žiadostí o práva dotknutých osôb, vrátane kontroly žiadostí, odpovedí na žiadosti a zabezpečenia dodržiavania predpisov o ochrane údajov.
1.3. Vedenie aktuálnej evidencie osobných údajov
Európsky inštitút pre certifikáciu IT vedie aktuálnu evidenciu osobných údajov, ktoré uchováva, a účelov, na ktoré sa spracúvajú. To umožní Európskemu inštitútu pre certifikáciu IT rýchlo a presne reagovať na žiadosti o práva dotknutých osôb.
1.4. Poskytovanie jasných a stručných informácií dotknutým osobám
Pri zhromažďovaní osobných údajov poskytuje Európsky inštitút pre certifikáciu IT dotknutým osobám jasné a stručné informácie o ich právach vrátane práva na prístup k ich osobným údajom, ich opravu, vymazanie a namietanie proti ich spracúvaniu.
1.5. Stanovenie štandardného času odozvy
Európsky inštitút pre certifikáciu IT dodržiava štandardný čas odozvy na žiadosti o práva dotknutých osôb a zabezpečuje, aby sa na žiadosti odpovedalo v tomto časovom rámci.
1.6. Overenie totožnosti dotknutej osoby
Európsky inštitút pre certifikáciu IT overuje totožnosť dotknutej osoby, ktorá podáva žiadosť, aby sa zabezpečilo, že osobné údaje budú poskytnuté iba správnej fyzickej osobe.
1.7. Okamžité zodpovedanie žiadostí o práva dotknutých osôb
Európsky inštitút pre certifikáciu IT odpovedá na žiadosti o práva dotknutej osoby promptne a poskytuje dotknutej osobe požadované informácie.
1.8. Zdokumentovanie žiadostí o práva dotknutých osôb
Európsky inštitút pre certifikáciu IT vedie evidenciu žiadostí o práva dotknutej osoby vrátane dátumu žiadosti, charakteru žiadosti a odpovede na žiadosť.
1.9. Monitorovanie a kontrola procesu
Európsky inštitút pre certifikáciu IT pravidelne monitoruje a prehodnocuje svoj proces vybavovania žiadostí o práva dotknutých osôb, aby sa zabezpečilo, že zostane účinný a bude v súlade s príslušnými nariadeniami o ochrane údajov.
1.10. Založenie Záznamu o spracovateľských činnostiach
Európsky inštitút pre certifikáciu IT vedie Záznam o spracovateľských činnostiach, čo je dokument, ktorý popisuje spracovanie osobných údajov vykonávané organizáciou. Vyžaduje sa to podľa všeobecného nariadenia EÚ o ochrane údajov (GDPR) a je určené na podporu pochopenia činností spracovania údajov a preukázanie súladu s GDPR.
Dodržiavaním týchto formalít a postupov môže Európsky inštitút pre certifikáciu IT efektívne spravovať žiadosti o práva dotknutých osôb a zabezpečiť súlad s nariadeniami o ochrane údajov vrátane všeobecného nariadenia o ochrane údajov v Európskej únii.
Časť 2. Stanovenie procesu vybavovania žiadostí o práva dotknutej osoby
Tento proces popisuje kroky, ktoré Európsky inštitút pre certifikáciu IT dodržiava pri vybavovaní žiadostí o práva dotknutej osoby, vrátane identifikácie a autentifikácie dotknutej osoby, overenia žiadosti dotknutej osoby a odpovede na žiadosť:
2.1. Identifikácia a autentifikácia dotknutej osoby
Európsky inštitút pre certifikáciu IT udržiava zavedený proces na overenie totožnosti dotknutej osoby, ktorá podáva žiadosť. Môže to zahŕňať vyžiadanie vládou vydaného preukazu totožnosti, kontrolu podľa existujúcich záznamov alebo použitie iných metód overovania.
2.2. Overenie žiadosti dotknutej osoby
Po zistení totožnosti dotknutej osoby musí Európsky inštitút pre certifikáciu IT overiť, či je žiadosť platná a či sa týka osobných údajov dotknutej osoby. Žiadosť by mala obsahovať aj konkrétne uplatňované právo, ako napríklad právo na prístup k osobným údajom, ich opravu alebo vymazanie.
2.3. Reagovanie na žiadosť
Európsky inštitút pre certifikáciu IT musí poskytnúť odpoveď na žiadosť dotknutej osoby v lehote stanovenej príslušnými zákonmi o ochrane údajov, nie však dlhšie ako 30 dní. Odpoveď by mala obsahovať vysvetlenie, či bolo žiadosti vyhovené alebo zamietnuté, a dôvody rozhodnutia.
2.4. Zdokumentovanie žiadosti a odpovede
Európsky inštitút pre certifikáciu IT vedie záznamy o všetkých žiadostiach a odpovediach týkajúcich sa práv dotknutých osôb. Pomáha to zabezpečiť súlad s príslušnými zákonmi o ochrane údajov, ako aj uľahčiť budúce audity alebo vyšetrovania.
2.5. Školenie príslušného personálu
Európsky inštitút pre certifikáciu IT zabezpečí školenie zamestnancov zodpovedných za vybavovanie žiadostí o práva dotknutých osôb, aby sa ubezpečil, že sú oboznámení s príslušnými zákonmi o ochrane údajov a postupmi Európskeho inštitútu pre certifikáciu IT pri vybavovaní takýchto žiadostí.
2.6. Monitorovanie a kontrola procesu
Európsky inštitút pre certifikáciu IT pravidelne monitoruje a kontroluje proces vybavovania žiadostí o práva dotknutých osôb, aby sa zabezpečilo, že zostane účinný a bude v súlade s príslušnými zákonmi o ochrane údajov. Akékoľvek problémy alebo incidenty sú hlásené a riešené včas.
Časť 3. Určenie úradníka pre ochranu údajov (DPO)
Európsky inštitút pre IT certifikáciu určuje DPO, ktorý je zodpovedný za dohľad nad riadením žiadostí o práva dotknutých osôb, vrátane kontroly žiadostí, odpovedí na žiadosti a zabezpečenia dodržiavania predpisov o ochrane údajov.
3.1. Určenie DPO
Európsky inštitút pre certifikáciu IT menuje úradníka pre ochranu údajov (DPO), ktorý dohliada na správu žiadostí dotknutých osôb o práva a zabezpečuje súlad s nariadeniami o ochrane údajov. DPO bude zodpovedný za preskúmanie žiadostí a zabezpečenie toho, aby si Európsky inštitút pre certifikáciu IT plnil svoje zákonné povinnosti v súvislosti s ochranou údajov.
3.2. Požiadavky na kompetencie DPO
DPO musí mať odborné znalosti o zákonoch a postupoch ochrany údajov a musí mať k dispozícii potrebné zdroje na plnenie svojich povinností. Mali by mať priamy prístup k vrcholovému manažmentu a mali by byť podriadení najvyššej úrovni manažmentu organizácie.
3.3. zodpovednosti DPO
Povinnosti DPO zahŕňajú, ale nie sú obmedzené na, nasledovné:
- Poskytovanie usmernení a poradenstva Európskemu inštitútu pre certifikáciu IT v záležitostiach ochrany údajov vrátane správy žiadostí o práva dotknutých osôb.
- Monitorovanie súladu Európskeho inštitútu pre certifikáciu IT s nariadeniami o ochrane údajov a internými zásadami a postupmi.
- Odpovedanie na otázky a sťažnosti dotknutých osôb týkajúce sa ich práv podľa predpisov o ochrane údajov.
- Koordinácia s ostatnými oddeleniami, aby sa zabezpečilo splnenie požiadaviek na ochranu údajov v celej organizácii.
- Vykonávanie pravidelných kontrol a hodnotení postupov ochrany údajov Európskeho inštitútu pre certifikáciu IT a poskytovanie odporúčaní na zlepšenie.
- Slúži ako kontaktný bod pre orgány na ochranu údajov a spolupracuje s nimi v prípade vyšetrovania alebo auditu.
- DPO sa podieľa aj na vývoji a implementácii politík a postupov Európskeho inštitútu pre certifikáciu IT súvisiacich s ochranou údajov vrátane tých, ktoré sa týkajú vybavovania žiadostí o práva dotknutých osôb.
3.4. Školenie a rozvoj kvalifikácií DPO
Európsky inštitút pre certifikáciu IT by mal zabezpečiť, aby DPO bol primerane vyškolený v oblasti predpisov o ochrane údajov a aby bol informovaný o všetkých zmenách alebo aktualizáciách týchto predpisov.
3.5. Kontaktné informácie DPO
Kontaktné informácie DPO by mali byť sprístupnené dotknutým osobám a zahrnuté do oznámenia alebo zásad ochrany osobných údajov Európskeho inštitútu pre IT certifikáciu.
Časť 4. Vedenie aktuálnej evidencie osobných údajov
Európsky inštitút pre certifikáciu IT vedie aktuálnu evidenciu osobných údajov, ktoré uchováva, a účelov, na ktoré sa spracúvajú. To umožní Európskemu inštitútu pre certifikáciu IT rýchlo a presne reagovať na žiadosti o práva dotknutých osôb.
4.1. Zavedenie procesu identifikácie a zaznamenávania osobných údajov
Európsky inštitút pre certifikáciu IT zavádza jasný a štandardizovaný proces identifikácie a zaznamenávania osobných údajov vrátane mena dotknutej osoby, kontaktných informácií a akýchkoľvek ďalších relevantných informácií. Tento proces zabezpečuje, že osobné údaje sa zhromažďujú iba na konkrétne a legitímne účely.
4.2. Kategorizácia osobných údajov
Európsky inštitút pre certifikáciu IT kategorizuje osobné údaje, aby ich bolo možné ľahšie sledovať a spravovať. To zahŕňa kategorizáciu údajov podľa typu, ako sú kontaktné informácie, fakturačné údaje, kompetencie a kvalifikácia, finančné informácie alebo história zamestnania.
4.3. Implementácia systému správy údajov
Európsky inštitút pre certifikáciu IT implementuje systém správy údajov, ktorý pomáha zabezpečiť, aby osobné údaje boli presné, aktuálne a dostupné. Systém správy údajov obsahuje databázu, ktorú možno vyhľadávať a vyhľadávať, aby pomohla reagovať na žiadosti o práva dotknutých osôb.
4.4. Pridelenie zodpovednosti za vedenie evidencie osobných údajov
Európsky inštitút pre certifikáciu IT by mal prideliť zodpovednosť za vedenie záznamov o osobných údajoch konkrétnym jednotlivcom alebo oddeleniam. Tým sa zabezpečí, že záznam bude aktuálny a presný.
4.5. Pravidelná kontrola a aktualizácia záznamov o osobných údajoch
Európsky inštitút pre certifikáciu IT by mal pravidelne kontrolovať a aktualizovať záznamy o osobných údajoch, aby sa zabezpečilo, že budú naďalej presné a aktuálne. Môže sa to uskutočniť prostredníctvom pravidelných auditov alebo prostredníctvom procesu nepretržitého monitorovania.
4.6. Zaviesť vhodné bezpečnostné opatrenia
Európsky inštitút pre certifikáciu IT implementuje príslušné bezpečnostné opatrenia na ochranu osobných údajov, ktoré uchováva, vrátane opatrení na zabránenie neoprávnenému prístupu, náhodnej strate alebo zničeniu osobných údajov ako súčasť politiky informačnej bezpečnosti (ISP) organizácie. To zahŕňa okrem iného šifrovanie, brány firewall a riadenie prístupu. Podrobnú špecifikáciu procesov a opatrení na ochranu údajov pokrýva Politika informačnej bezpečnosti špecializovaného Európskeho inštitútu pre certifikáciu IT.
Časť 5. Poskytovanie jasných a stručných informácií dotknutým osobám
Pri zhromažďovaní osobných údajov poskytuje Európsky inštitút pre certifikáciu IT dotknutým osobám jasné a stručné informácie o ich právach vrátane práva na prístup k ich osobným údajom, ich opravu, vymazanie a namietanie proti ich spracúvaniu.
5.1. Transparentnosť
Európsky inštitút pre certifikáciu IT je pri spracúvaní osobných údajov transparentný a dotknutým osobám poskytuje stručné informácie o tom, ako sa ich údaje používajú, spracúvajú a uchovávajú.
5.2. Zásady ochrany osobných údajov
Európsky inštitút pre certifikáciu IT má podrobné zásady ochrany osobných údajov, ktoré opisujú jeho činnosti spracovania údajov vrátane toho, ako môžu dotknuté osoby uplatňovať svoje práva dotknutých osôb.
5.3. Právo na prístup
Dotknuté osoby majú právo požadovať prístup k osobným údajom, ktoré o nich Európsky inštitút pre certifikáciu IT uchováva. Európsky inštitút pre certifikáciu IT poskytuje dotknutým osobám jasné a stručné informácie o tom, ako podať žiadosť o prístup, aké informácie budú potrebné na overenie ich totožnosti a ako dlho bude Európskemu inštitútu pre certifikáciu IT trvať odpoveď na žiadosť.
5.4. Právo na opravu
Dotknuté osoby majú právo požadovať, aby Európsky inštitút pre certifikáciu IT opravil akékoľvek nepresné alebo neúplné osobné údaje, ktoré o nich uchováva. Európsky inštitút pre certifikáciu IT poskytuje dotknutým osobám jasné a stručné informácie o tom, ako podať žiadosť o opravu, aké informácie budú potrebné na overenie ich totožnosti a ako dlho bude Európskemu inštitútu pre certifikáciu IT trvať odpoveď na žiadosť.
5.5. Právo na vymazanie
Dotknuté osoby majú právo za určitých okolností požiadať Európsky inštitút pre certifikáciu IT vymazanie ich osobných údajov. Európsky inštitút pre certifikáciu IT poskytuje dotknutým osobám jasné a stručné informácie o tom, ako podať žiadosť o vymazanie, aké informácie budú potrebné na overenie ich totožnosti a ako dlho bude Európskemu inštitútu pre certifikáciu IT trvať odpoveď na žiadosť.
5.6. Právo namietať
Dotknuté osoby majú za určitých okolností právo namietať proti spracúvaniu ich osobných údajov. Európsky inštitút pre certifikáciu IT poskytuje dotknutým osobám jasné a stručné informácie o tom, ako podať žiadosť o vznesenie námietky, aké informácie budú potrebné na overenie ich totožnosti a ako dlho bude Európskemu inštitútu pre certifikáciu IT trvať odpoveď na žiadosť.
5.7. Kontaktné informácie
Európsky inštitút pre certifikáciu IT poskytuje dotknutým osobám jasné a stručné kontaktné informácie, ktoré môžu použiť, ak majú otázky alebo obavy týkajúce sa spôsobu spracúvania ich osobných údajov.
Časť 6. Stanovenie štandardného času odozvy
Európsky inštitút pre certifikáciu IT zaviedol štandardný čas odpovede na žiadosti o práva dotknutých osôb a zabezpečil, aby sa na žiadosti odpovedalo v tomto časovom rámci.
6.1. Štandardný čas odozvy
Európsky inštitút pre certifikáciu IT stanovuje štandardnú lehotu 30 dní na odpoveď na žiadosti dotknutých osôb. Štandardná doba odozvy definuje hornú lehotu na spracovanie a odpoveď a väčšina žiadostí je spracovaná a zodpovedaná v kratšom čase.
6.2. Požiadajte o čas potvrdenia prijatia
Po prijatí žiadosti o práva dotknutej osoby DPO alebo iní zamestnanci potvrdia prijatie žiadosti do 5 pracovných dní a dotknutej osobe poskytnú odhadovaný časový rámec na poskytnutie odpovede.
6.3. Výnimočné predĺženia štandardného času odozvy
Európsky inštitút pre certifikáciu IT vynaloží primerané úsilie, aby odpovedal na žiadosti dotknutých osôb o práva v rámci stanoveného štandardného času odozvy. Ak je však žiadosť zložitá alebo ak Európsky inštitút pre certifikáciu IT dostane veľké množstvo žiadostí, čas odpovede sa môže predĺžiť. V takýchto prípadoch DPO informuje dotknutú osobu o predĺžení lehoty a dôvode oneskorenia.
6.4. Odmietnutie splniť žiadosť o práva dotknutej osoby
Ak Európsky inštitút pre certifikáciu IT nemôže vyhovieť žiadosti dotknutej osoby o právach dotknutej osoby, poskytne dotknutej osobe vysvetlenie odmietnutia a informuje ju o jej práve podať sťažnosť príslušnému dozornému orgánu.
6.5. Záznamy žiadostí a odpovedí o právach dotknutých osôb
Európsky inštitút pre certifikáciu IT bude viesť presné záznamy o žiadostiach a odpovediach o právach dotknutých osôb vrátane dátumu prijatia žiadosti, povahy žiadosti a dátumu a spôsobu odpovede.
6.6. Pravidelné recenzie
DPO bude pravidelne kontrolovať reakčné časy Európskeho inštitútu pre certifikáciu IT a podľa potreby ich aktualizovať, aby sa zabezpečil súlad s platnými nariadeniami o ochrane údajov.
Časť 7. Overenie totožnosti dotknutej osoby
7.1. Požiadavka na overenie totožnosti
Európsky inštitút pre certifikáciu IT musí overiť totožnosť dotknutej osoby, ktorá podáva žiadosť, aby sa zabezpečilo, že osobné údaje budú poskytnuté len správnej fyzickej osobe.
7.2. Prostriedky a metódy overovania identity
Keď dotknutá osoba požiada o uplatnenie svojich práv podľa zákonov o ochrane údajov, Európsky inštitút pre certifikáciu IT musí overiť totožnosť dotknutej osoby pomocou vhodných opatrení, ako je napríklad vyžiadanie dokladov totožnosti.
7.3. Overenie totožnosti splnomocnenca
Ak dotknutá osoba podáva žiadosť v mene inej osoby, Európsky inštitút pre certifikáciu IT musí overiť totožnosť dotknutej osoby aj osoby, v mene ktorej sa žiadosť podáva.
7.4. Pochybnosti pri overovaní totožnosti
Ak má Európsky inštitút pre certifikáciu IT pochybnosti o totožnosti dotknutej osoby alebo oprávnenosti žiadosti, môže požiadať o doplňujúce informácie alebo prijať iné vhodné opatrenia na overenie totožnosti dotknutej osoby.
7.5. Záznamy o overení totožnosti
Európsky inštitút pre certifikáciu IT by mal viesť záznam o procese overovania a prijatých opatreniach na overenie totožnosti dotknutej osoby. Tento záznam by sa mal uchovávať počas primeraného obdobia a mal by sa použiť na preukázanie súladu so zákonmi o ochrane údajov.
Časť 8. Okamžité zodpovedanie žiadostí o práva dotknutých osôb
8.1. Rýchla odozva
Európsky inštitút pre certifikáciu IT odpovedá na žiadosti o práva dotknutej osoby promptne a poskytuje dotknutej osobe informácie, o ktoré požiadala.
8.2. Vyžiadajte si potvrdenie o prijatí
Európsky inštitút pre certifikáciu IT potvrdí prijatie žiadosti dotknutej osoby čo najskôr, ideálne do 5 pracovných dní.
8.3. Požiadať o kontrolu
Určený úradník pre ochranu údajov by mal žiadosť preskúmať, aby sa ubezpečil, že spĺňa potrebné požiadavky a že boli poskytnuté všetky potrebné informácie.
8.4. Overenie totožnosti dotknutej osoby
Európsky inštitút pre certifikáciu IT overuje totožnosť dotknutej osoby, ktorá podáva žiadosť, aby sa zabezpečilo, že osobné údaje budú poskytnuté iba správnej fyzickej osobe.
8.5. V prípade potreby získajte ďalšie informácie
Ak je žiadosť nejasná alebo nedostatočná, Európsky inštitút pre certifikáciu IT by mal dotknutú osobu kontaktovať a získať ďalšie informácie.
8.5. Načítanie relevantných údajov
Európsky inštitút pre certifikáciu IT získava príslušné osobné údaje a kontroluje ich, aby sa ubezpečil, že sú presné a aktuálne.
8.6. Poskytnutie požadovaných informácií
Európsky inštitút pre certifikáciu IT poskytuje dotknutej osobe informácie, o ktoré požiadala, vrátane kópie jej osobných údajov v bežne používanom elektronickom formáte, pokiaľ nie je požadované inak.
8.7. Informujte dotknutú osobu o jej právach
Európsky inštitút pre certifikáciu IT informuje dotknutú osobu o jej ďalších právach, ako je právo na opravu alebo vymazanie osobných údajov, a poskytuje im potrebné pokyny.
8.8. Dodržanie doby odozvy
Európsky inštitút pre certifikáciu IT odpovedá na žiadosti o práva dotknutých osôb v rámci stanoveného času odozvy a zabezpečuje, že sa prijmú potrebné opatrenia na splnenie žiadosti.
8.9. Zdokumentovanie odpovede
Európsky inštitút pre certifikáciu IT zdokumentuje odpoveď na žiadosť dotknutej osoby o právach vrátane všetkých prijatých opatrení a času odozvy, aby sa zabezpečilo, že ju možno kontrolovať a sledovať na účely súladu.
8.10. Informovanie dotknutej osoby o akýchkoľvek zmenách
Ak dôjde na základe žiadosti dotknutej osoby k akejkoľvek zmene osobných údajov dotknutej osoby, Európsky inštitút pre certifikáciu IT oznámi dotknutej osobe tieto zmeny.
Časť 9. Dokumentovanie žiadostí o práva dotknutých osôb
Európsky inštitút pre certifikáciu IT vedie evidenciu žiadostí o práva dotknutej osoby vrátane dátumu žiadosti, charakteru žiadosti a odpovede na žiadosť. Dokumentovanie žiadostí o práva dotknutých osôb zahŕňa tieto aspekty:
9.1. Vedenie registra
Európsky inštitút pre certifikáciu IT vedie register, ktorý zachytáva všetky prijaté žiadosti o práva dotknutých osôb. Tento register by mal obsahovať tieto podrobnosti:
- Dátum žiadosti
- Meno a kontaktné údaje dotknutej osoby
- Popis žiadosti
- Opatrenia prijaté v reakcii na žiadosť
- Akékoľvek ďalšie informácie potrebné na spracovanie žiadosti
9.2. Štandardizovaný proces dokumentácie
Európsky inštitút pre certifikáciu IT prevádzkuje štandardizovaný proces dokumentovania žiadostí dotknutých osôb o práva na zabezpečenie konzistentnosti a presnosti zachytených informácií.
9.3. Doba skladovania
Európsky inštitút pre certifikáciu IT uchováva tieto záznamy po primeranú dobu stanovenú platnými zákonmi a predpismi, ktorá nie je kratšia ako 2 roky.
9.4. Zachovanie dôvernosti
Európsky inštitút pre certifikáciu IT zabezpečuje, aby k záznamom žiadostí dotknutých osôb mali prístup len oprávnené osoby, ktoré potrebujú prístup k týmto informáciám pri výkone svojich povinností. Vykonáva tiež technické a organizačné opatrenia na zamedzenie neoprávneného prístupu, sprístupnenia, zmeny alebo zničenia osobných údajov obsiahnutých v evidencii žiadostí o práva dotknutých osôb.
9.5. hlásenie
Európsky inštitút pre certifikáciu IT pravidelne generuje správy o prijatých, spracovaných a nevybavených žiadostiach o práva dotknutých osôb. Tieto správy sa zdieľajú s príslušnými zainteresovanými stranami vrátane vrcholového manažmentu a DPO.
9.6. analytika
Európsky inštitút pre certifikáciu IT vykonáva analýzu trendov žiadostí o práva dotknutých osôb s cieľom identifikovať vzory a hlavné príčiny žiadostí. Tieto informácie sa používajú na zlepšenie procesov a postupov na lepšie riadenie takýchto požiadaviek.
Časť 10. Monitorovanie a kontrola procesu
Európsky inštitút pre certifikáciu IT pravidelne monitoruje a prehodnocuje svoj proces vybavovania žiadostí dotknutých osôb o práva, aby sa zabezpečilo, že zostane účinný a bude v súlade s GDPR.
10.1. Vykonávanie pravidelných kontrol
Európsky inštitút pre certifikáciu IT vykonáva pravidelné kontroly procesu vybavovania žiadostí o práva dotknutých osôb a zásad dodržiavania GDPR, aby sa zaistilo, že sú účinné a sú v súlade s nariadeniami o ochrane údajov. Tieto kontroly zahŕňajú analýzu počtu a typu prijatých žiadostí, včasnosť a účinnosť odpovedí a všetky oblasti, ktoré je potrebné zlepšiť.
10.2. Implementácia vylepšení
Na základe zistení preskúmaní Európsky inštitút pre certifikáciu IT implementuje všetky potrebné vylepšenia procesu vybavovania žiadostí o práva dotknutých osôb. To môže zahŕňať aktualizácie postupov, dodatočné školenia pre zamestnancov alebo zmeny v spôsobe overovania žiadostí a odpovedí na ne.
10.3. Zabezpečenie priebežného dodržiavania predpisov
Európsky inštitút pre certifikáciu IT zabezpečuje nepretržité dodržiavanie predpisov o ochrane údajov pravidelným prehodnocovaním a aktualizáciou svojich zásad a postupov v súlade s akýmikoľvek zmenami príslušných zákonov a nariadení.
10.4. Monitorovanie výkonu zamestnancov
Európsky inštitút pre certifikáciu IT monitoruje výkon zamestnancov v súvislosti s vybavovaním žiadostí o práva dotknutých osôb vrátane kvality a včasnosti odpovedí. To môže zahŕňať pravidelné školenia a kontroly výkonnosti, aby sa zabezpečilo, že zamestnanci sú v tejto oblasti informovaní a kompetentní.
10.5. Komunikácia s dotknutými osobami
Európsky inštitút pre certifikáciu IT komunikuje s dotknutými osobami počas celého procesu vybavovania žiadostí, aby zabezpečil, že budú informované o pokroku a akýchkoľvek relevantných informáciách. To môže zahŕňať poskytovanie aktualizácií o stave ich žiadosti alebo vyžiadanie dodatočných informácií podľa potreby.
10.6. Vedenie záznamov
Európsky inštitút pre certifikáciu IT uchováva záznamy o svojich kontrolách vrátane akýchkoľvek zmien vykonaných v procese vybavovania žiadostí dotknutých osôb, ako aj o akejkoľvek spätnej väzbe získanej od dotknutých osôb. Tieto informácie možno použiť na podporu prebiehajúceho úsilia o dodržiavanie predpisov a na identifikáciu oblastí pre ďalšie zlepšenie.
Časť 11. Zriadenie záznamu o spracovateľských činnostiach
Európsky inštitút pre certifikáciu IT vedie Záznam o spracovateľských činnostiach, čo je dokument, ktorý popisuje spracovanie osobných údajov vykonávané organizáciou. Vyžaduje sa to podľa všeobecného nariadenia EÚ o ochrane údajov (GDPR) a je určené na podporu pochopenia činností spracovania údajov a preukázanie súladu s GDPR.
11.1. Štruktúra ROPA
ROPA obsahuje základné informácie o názve a kontaktných údajoch organizácie, účeloch spracúvania údajov, kategóriách spracúvaných osobných údajov, príjemcoch osobných údajov a lehotách uchovávania osobných údajov. Zahŕňa tiež informácie o akýchkoľvek spracovateľoch tretích strán, ktorí spracúvajú osobné údaje v mene organizácie.
11.2. Pravidelné aktualizácie ROPA
ROPA sa pravidelne aktualizuje a je živým dokumentom, ktorý odráža zmeny v činnostiach spracovania údajov Európskeho inštitútu pre IT certifikáciu, ktoré podporujú budovanie dôvery s dotknutými osobami.
Európsky inštitút pre certifikáciu IT sa zaviazal dodržiavať najvyššie štandardy v súvislosti so správou žiadostí dotknutých osôb a všeobecnou politikou nariadenia o ochrane údajov, pričom dbá na dodržiavanie všetkých platných zákonov a nariadení súvisiacich s týmito otázkami, ako aj popredných priemyselných štandardov. a osvedčené postupy, vrátane systému riadenia osobných informácií podľa normy ISO 27701.