Polityka DSRRM i RODO
Polityka Akademii EITCA dotycząca zarządzania wnioskami o prawa osób, których dane dotyczą, oraz Ogólne rozporządzenie o ochronie danych
Niniejszy dokument określa politykę Europejskiego Instytutu Certyfikacji IT w zakresie zarządzania wnioskami o prawa osób, których dane dotyczą, a także wdrażanie ogólnego rozporządzenia UE o ochronie danych, które jest regularnie przeglądane i aktualizowane w celu zapewnienia jego skuteczności i przydatności. Ostatnia aktualizacja Polityki EITCI dotyczącej zarządzania wnioskami o prawa osób, których dane dotyczą i RODO, została wprowadzona 10 stycznia 2023 r. Nasza polityka dotycząca zarządzania wnioskami o prawa osób, których dane dotyczą i RODO opiera się na zasadach ISO 27701 rozszerzenia Systemu zarządzania informacjami o prywatności ISO 27001 Bezpieczeństwo informacji Standard systemu, a także na wymagania ogólnego rozporządzenia o ochronie danych (2016/679).
Część 1. Wprowadzenie
Zarządzanie wnioskami o prawa osób, których dane dotyczą, jest istotną częścią zapewnienia zgodności z przepisami o ochronie danych, a mianowicie RODO (ogólne rozporządzenie UE o ochronie danych). Europejski Instytut Certyfikacji IT zdefiniował następujące formalne procedury zarządzania wnioskami o prawa osób, których dane dotyczą oraz wdrażania wymagań RODO:
1.1. Ustanowienie procesu obsługi wniosków o prawa osób, których dane dotyczą
Ten proces określa kroki, które wykonuje Europejski Instytut Certyfikacji IT podczas rozpatrywania wniosków dotyczących praw osób, których dane dotyczą, w tym identyfikację i uwierzytelnianie osoby, której dane dotyczą, weryfikację wniosku osoby, której dane dotyczą, oraz odpowiedź na wniosek.
1.2. Wyznaczenie inspektora ochrony danych (IOD)
Europejski Instytut Certyfikacji IT wyznacza inspektora ochrony danych, który jest odpowiedzialny za nadzorowanie zarządzania wnioskami osób, których dane dotyczą, w tym rozpatrywanie wniosków, odpowiadanie na wnioski i zapewnianie zgodności z przepisami o ochronie danych.
1.3. Prowadzenie aktualnego rejestru danych osobowych
Europejski Instytut Certyfikacji IT prowadzi aktualną ewidencję posiadanych danych osobowych oraz celów ich przetwarzania. Umożliwi to Europejskiemu Instytutowi Certyfikacji IT szybkie i dokładne reagowanie na wnioski dotyczące praw osób, których dane dotyczą.
1.4. Dostarczanie jasnych i zwięzłych informacji osobom, których dane dotyczą
Gromadząc dane osobowe, Europejski Instytut Certyfikacji IT udziela jasnych i zwięzłych informacji osobom, których dane dotyczą, o ich prawach, w tym prawie dostępu do swoich danych osobowych, ich sprostowania, usunięcia oraz wniesienia sprzeciwu wobec przetwarzania.
1.5. Ustalenie standardowego czasu reakcji
Europejski Instytut Certyfikacji IT utrzymuje standardowy czas odpowiedzi na wnioski dotyczące praw osób, których dane dotyczą, i zapewnia, że odpowiedzi są udzielane w tych ramach czasowych.
1.6. Weryfikacja tożsamości osoby, której dane dotyczą
Europejski Instytut Certyfikacji IT weryfikuje tożsamość osoby, której dane dotyczą, składającej wniosek, aby mieć pewność, że dane osobowe zostaną przekazane wyłącznie właściwej osobie.
1.7. Niezwłoczne odpowiadanie na wnioski dotyczące praw osób, których dane dotyczą
Europejski Instytut Certyfikacji IT niezwłocznie odpowiada na wnioski dotyczące praw osób, których dane dotyczą, i udziela osobom, których dane dotyczą, żądanych informacji.
1.8. Udokumentowanie żądań praw osób, których dane dotyczą
Europejski Instytut Certyfikacji IT prowadzi rejestr wniosków dotyczących praw osób, których dane dotyczą, w tym datę wniosku, charakter wniosku i odpowiedź na wniosek.
1.9. Monitorowanie i przegląd procesu
Europejski Instytut Certyfikacji IT regularnie monitoruje i przegląda swój proces rozpatrywania wniosków dotyczących praw osób, których dane dotyczą, aby zapewnić jego skuteczność i zgodność z odpowiednimi przepisami o ochronie danych.
1.10. Ustanowienie Rejestru Czynności Przetwarzania
Europejski Instytut Certyfikacji IT prowadzi Rejestr Czynności Przetwarzania, który jest dokumentem opisującym przetwarzanie danych osobowych przez organizację. Jest to wymagane na mocy unijnego ogólnego rozporządzenia o ochronie danych (RODO) i ma na celu wsparcie zrozumienia działań związanych z przetwarzaniem danych oraz wykazanie zgodności z RODO.
Postępując zgodnie z tymi formalnymi i procedurami, Europejski Instytut Certyfikacji IT może skutecznie zarządzać wnioskami o prawa osób, których dane dotyczą, i zapewnić zgodność z przepisami o ochronie danych, w tym z Ogólnym Rozporządzeniem o Ochronie Danych w Unii Europejskiej.
Część 2. Ustanowienie procesu obsługi wniosków o prawa osób, których dane dotyczą
Ten proces przedstawia kroki, które wykonuje Europejski Instytut Certyfikacji IT podczas rozpatrywania wniosków o prawa osób, których dane dotyczą, w tym identyfikację i uwierzytelnianie osoby, której dane dotyczą, weryfikację wniosku osoby, której dane dotyczą, oraz odpowiedź na wniosek:
2.1. Identyfikacja i uwierzytelnienie osoby, której dane dotyczą
Europejski Instytut Certyfikacji IT stosuje procedurę weryfikacji tożsamości osoby, której dane dotyczą, składającej wniosek. Może to obejmować prośbę o dokument tożsamości wydany przez organ państwowy, sprawdzenie istniejących rejestrów lub użycie innych metod uwierzytelniania.
2.2. Weryfikacja żądania osoby, której dane dotyczą
Po ustaleniu tożsamości osoby, której dane dotyczą, Europejski Instytut Certyfikacji IT musi zweryfikować, czy wniosek jest ważny i czy odnosi się do danych osobowych osoby, której dane dotyczą. Żądanie powinno również zawierać wskazanie konkretnego uprawnienia, z którego korzystasz, takiego jak prawo dostępu do danych osobowych, ich sprostowania lub usunięcia.
2.3. Odpowiadając na prośbę
Europejski Instytut Certyfikacji IT musi udzielić odpowiedzi na żądanie osoby, której dane dotyczą, w terminie określonym przez właściwe przepisy o ochronie danych, nie dłuższym jednak niż 30 dni. Odpowiedź powinna zawierać wyjaśnienie, czy wniosek został uwzględniony, czy odrzucony, oraz uzasadnienie takiej decyzji.
2.4. Dokumentowanie żądania i odpowiedzi
Europejski Instytut Certyfikacji IT prowadzi rejestr wszystkich wniosków i odpowiedzi dotyczących praw osób, których dane dotyczą. Pomaga to zapewnić zgodność z odpowiednimi przepisami o ochronie danych, a także ułatwia przyszłe audyty lub dochodzenia.
2.5. Szkolenie odpowiedniego personelu
Europejski Instytut Certyfikacji IT przeprowadzi szkolenia dla personelu odpowiedzialnego za rozpatrywanie wniosków dotyczących praw osób, których dane dotyczą, aby upewnić się, że znają oni odpowiednie przepisy dotyczące ochrony danych oraz procedury Europejskiego Instytutu Certyfikacji IT dotyczące rozpatrywania takich wniosków.
2.6. Monitorowanie i przegląd procesu
Europejski Instytut Certyfikacji IT regularnie monitoruje i przegląda proces rozpatrywania wniosków dotyczących praw osób, których dane dotyczą, aby zapewnić jego skuteczność i zgodność z odpowiednimi przepisami o ochronie danych. Wszelkie problemy lub incydenty są zgłaszane i rozwiązywane w odpowiednim czasie.
Część 3. Wyznaczenie inspektora ochrony danych (IOD)
Europejski Instytut Certyfikacji IT wyznacza inspektora ochrony danych, który jest odpowiedzialny za nadzorowanie zarządzania wnioskami osób, których dane dotyczą, w tym rozpatrywanie wniosków, odpowiadanie na wnioski i zapewnianie zgodności z przepisami o ochronie danych.
3.1. Wyznaczenie inspektora ochrony danych
Europejski Instytut Certyfikacji IT wyznacza inspektora ochrony danych (IOD), który nadzoruje zarządzanie wnioskami o prawa osób, których dane dotyczą, i zapewnia zgodność z przepisami o ochronie danych. Inspektor ochrony danych będzie odpowiedzialny za rozpatrywanie wniosków i upewnianie się, że Europejski Instytut Certyfikacji IT spełnia swoje zobowiązania prawne w zakresie ochrony danych.
3.2. Wymagania kompetencyjne DPO
Inspektor ochrony danych musi posiadać specjalistyczną wiedzę na temat przepisów i praktyk dotyczących ochrony danych oraz posiadać niezbędne zasoby do wypełniania swoich obowiązków. Powinni mieć bezpośredni dostęp do kierownictwa wyższego szczebla i podlegać najwyższemu kierownictwu organizacji.
3.3. obowiązki inspektora ochrony danych
Obowiązki inspektora ochrony danych obejmują między innymi:
- Udzielanie wskazówek i porad Europejskiemu Instytutowi Certyfikacji IT w kwestiach ochrony danych, w tym zarządzania wnioskami o prawa osób, których dane dotyczą.
- Monitorowanie przestrzegania przez Europejski Instytut Certyfikacji IT przepisów o ochronie danych oraz wewnętrznych polityk i procedur.
- Odpowiadanie na zapytania i skargi osób, których dane dotyczą, dotyczące ich praw wynikających z przepisów o ochronie danych.
- Koordynacja z innymi działami w celu zapewnienia spełnienia wymogów ochrony danych w całej organizacji.
- Przeprowadzanie okresowych przeglądów i ocen praktyk Europejskiego Instytutu Certyfikacji IT w zakresie ochrony danych oraz przedstawianie zaleceń dotyczących ulepszeń.
- Służenie jako punkt kontaktowy dla organów ochrony danych i współpraca z nimi w przypadku dochodzenia lub audytu.
- IOD jest również zaangażowany w opracowywanie i wdrażanie polityk i procedur Europejskiego Instytutu Certyfikacji IT związanych z ochroną danych, w tym związanych z obsługą wniosków o prawa osób, których dane dotyczą.
3.4. Szkolenia i podnoszenie kwalifikacji DPO
Europejski Instytut Certyfikacji IT powinien zapewnić odpowiednie przeszkolenie inspektora ochrony danych w zakresie przepisów o ochronie danych oraz informowanie go na bieżąco o wszelkich zmianach lub aktualizacjach tych przepisów.
3.5. Dane kontaktowe inspektora ochrony danych
Dane kontaktowe inspektora ochrony danych powinny być udostępniane osobom, których dane dotyczą, oraz zawarte w oświadczeniu o ochronie prywatności lub polityce Europejskiego Instytutu Certyfikacji IT.
Część 4. Prowadzenie aktualnego rejestru danych osobowych
Europejski Instytut Certyfikacji IT prowadzi aktualną ewidencję posiadanych danych osobowych oraz celów ich przetwarzania. Umożliwi to Europejskiemu Instytutowi Certyfikacji IT szybkie i dokładne reagowanie na wnioski dotyczące praw osób, których dane dotyczą.
4.1. Ustanowienie procesu identyfikacji i utrwalania danych osobowych
Europejski Instytut Certyfikacji IT ustanawia jasny i znormalizowany proces identyfikacji i rejestrowania danych osobowych, w tym imienia i nazwiska osoby, której dane dotyczą, danych kontaktowych i wszelkich innych istotnych informacji. Proces ten gwarantuje, że dane osobowe są gromadzone wyłącznie w określonych i zgodnych z prawem celach.
4.2. Kategoryzacja danych osobowych
Europejski Instytut Certyfikacji IT kategoryzuje dane osobowe, aby ułatwić ich śledzenie i zarządzanie. Obejmuje to kategoryzowanie danych według typu, takich jak informacje kontaktowe, informacje rozliczeniowe, kompetencje i kwalifikacje, informacje finansowe lub historia zatrudnienia.
4.3. Wdrożenie systemu zarządzania danymi
Europejski Instytut Certyfikacji IT wdraża system zarządzania danymi, aby zapewnić dokładność, aktualność i dostępność danych osobowych. System zarządzania danymi zawiera bazę danych, którą można przeszukiwać i przeszukiwać, aby pomóc odpowiedzieć na wnioski dotyczące praw osób, których dane dotyczą.
4.4. Przypisanie odpowiedzialności za prowadzenie ewidencji danych osobowych
Europejski Instytut Certyfikacji IT powinien przypisać odpowiedzialność za prowadzenie rejestru danych osobowych poszczególnym osobom lub działom. Zapewni to aktualność i dokładność zapisów.
4.5. Regularne przeglądanie i aktualizacja rejestru danych osobowych
Europejski Instytut Certyfikacji IT powinien regularnie przeglądać i aktualizować rejestr danych osobowych, aby zapewnić jego dokładność i aktualność. Można tego dokonać poprzez okresowe audyty lub ciągły proces monitorowania.
4.6. Wdrażaj odpowiednie środki bezpieczeństwa
Europejski Instytut Certyfikacji IT wdraża odpowiednie środki bezpieczeństwa w celu ochrony posiadanych danych osobowych, w tym środki zapobiegające nieautoryzowanemu dostępowi, przypadkowej utracie lub zniszczeniu danych osobowych, w ramach Polityki bezpieczeństwa informacji (ISP) organizacji. Obejmuje to m.in. szyfrowanie, zapory ogniowe i kontrolę dostępu. Szczegółową specyfikację procesów i środków ochrony danych zawiera dedykowana Polityka Bezpieczeństwa Informacji Europejskiego Instytutu Certyfikacji IT.
Część 5. Udzielanie jasnych i zwięzłych informacji osobom, których dane dotyczą
Gromadząc dane osobowe, Europejski Instytut Certyfikacji IT udziela jasnych i zwięzłych informacji osobom, których dane dotyczą, o ich prawach, w tym prawie dostępu do swoich danych osobowych, ich sprostowania, usunięcia oraz wniesienia sprzeciwu wobec przetwarzania.
5.1. Przezroczystość
Europejski Instytut Certyfikacji IT w sposób przejrzysty przetwarza dane osobowe i udziela osobom, których dane dotyczą, zwięzłych informacji o tym, w jaki sposób ich dane są wykorzystywane, przetwarzane i przechowywane.
5.2. Polityka prywatności
Europejski Instytut Certyfikacji IT posiada szczegółową politykę prywatności, która określa jego działania związane z przetwarzaniem danych, w tym sposób, w jaki osoby, których dane dotyczą, mogą wykonywać swoje prawa.
5.3. Prawo dostępu
Osoby, których dane dotyczą, mają prawo zażądać dostępu do danych osobowych przechowywanych przez Europejski Instytut Certyfikacji Informatycznej. Europejski Instytut Certyfikacji IT udziela jasnych i zwięzłych informacji osobom, których dane dotyczą, o tym, jak złożyć wniosek o dostęp, jakie informacje będą wymagane do zweryfikowania ich tożsamości oraz jak długo Europejski Instytut Certyfikacji IT zajmie się udzieleniem odpowiedzi.
5.4. Prawo do sprostowania
Osoby, których dane dotyczą, mają prawo zażądać od Europejskiego Instytutu Certyfikacji IT sprostowania wszelkich niedokładnych lub niekompletnych danych osobowych, które są w jego posiadaniu. Europejski Instytut Certyfikacji IT udziela jasnych i zwięzłych informacji osobom, których dane dotyczą, o tym, jak złożyć wniosek o sprostowanie, jakie informacje będą wymagane do zweryfikowania ich tożsamości oraz jak długo Europejski Instytut Certyfikacji IT zajmie się udzieleniem odpowiedzi na wniosek.
5.5. Prawo do usunięcia
Osoby, których dane dotyczą, mają prawo zażądać, aby Europejski Instytut Certyfikacji IT usunął ich dane osobowe w określonych okolicznościach. Europejski Instytut Certyfikacji IT udziela jasnych i zwięzłych informacji osobom, których dane dotyczą, o tym, jak złożyć wniosek o usunięcie danych, jakie informacje będą wymagane do zweryfikowania ich tożsamości oraz jak długo Europejski Instytut Certyfikacji IT zajmie się udzieleniem odpowiedzi na wniosek.
5.6. Prawo do sprzeciwu
Osoby, których dane dotyczą, mają prawo sprzeciwić się przetwarzaniu ich danych osobowych w określonych okolicznościach. Europejski Instytut Certyfikacji Informatycznej udziela osobom, których dane dotyczą, jasnych i zwięzłych informacji o tym, jak złożyć wniosek o sprzeciw, jakie informacje będą wymagane do zweryfikowania ich tożsamości oraz jak długo Europejski Instytut Certyfikacji IT zajmie się udzieleniem odpowiedzi na wniosek.
5.7. Informacje kontaktowe
Europejski Instytut Certyfikacji IT zapewnia jasne i zwięzłe informacje kontaktowe, z których osoby, których dane dotyczą, mogą skorzystać w przypadku pytań lub wątpliwości dotyczących sposobu przetwarzania ich danych osobowych.
Część 6. Ustalenie standardowego czasu reakcji
Europejski Instytut Certyfikacji IT ustalił standardowy czas odpowiedzi na wnioski dotyczące praw osób, których dane dotyczą, i zapewnia, że odpowiedzi są udzielane w tym terminie.
6.1. Standardowy czas reakcji
Europejski Instytut Certyfikacji IT ustanawia standardowy czas odpowiedzi wynoszący 30 dni na wnioski dotyczące praw osób, których dane dotyczą. Standardowy czas odpowiedzi określa górny limit czasu przetwarzania i odpowiedzi, a większość zapytań jest przetwarzana i udzielana w krótszym czasie.
6.2. Poproś o czas potwierdzenia odbioru
Po otrzymaniu wniosku o prawa osoby, której dane dotyczą, inspektor ochrony danych lub inni pracownicy potwierdzą otrzymanie wniosku w ciągu 5 dni roboczych i podają osobie, której dane dotyczą, szacunkowe ramy czasowe na udzielenie odpowiedzi.
6.3. Wyjątkowe wydłużenia standardowego czasu reakcji
Europejski Instytut Certyfikacji IT dołoży uzasadnionych starań, aby odpowiedzieć na wnioski dotyczące praw osób, których dane dotyczą, w ustalonym standardowym czasie odpowiedzi. Jeśli jednak wniosek jest złożony lub jeśli Europejski Instytut Certyfikacji IT otrzymuje dużą liczbę wniosków, czas odpowiedzi może ulec wydłużeniu. W takich przypadkach IOD poinformuje osobę, której dane dotyczą, o przedłużeniu i przyczynie opóźnienia.
6.4. Odmowa spełnienia żądania dotyczącego praw osoby, której dane dotyczą
Jeżeli Europejski Instytut Certyfikacji IT nie będzie w stanie spełnić żądania osoby, której dane dotyczą, przedstawi osobie, której dane dotyczą, wyjaśnienie odmowy oraz poinformuje ją o prawie do złożenia skargi do właściwego organu nadzorczego.
6.5. Rejestry wniosków i odpowiedzi dotyczących praw osób, których dane dotyczą
Europejski Instytut Certyfikacji IT będzie prowadził dokładny rejestr wniosków i odpowiedzi dotyczących praw osób, których dane dotyczą, w tym datę otrzymania wniosku, charakter wniosku oraz datę i sposób udzielenia odpowiedzi.
6.6. Przeglądy okresowe
Inspektor ochrony danych będzie okresowo przeglądał czasy odpowiedzi Europejskiego Instytutu Certyfikacji IT i aktualizował je w razie potrzeby, aby zapewnić zgodność z obowiązującymi przepisami o ochronie danych.
Część 7. Weryfikacja tożsamości osoby, której dane dotyczą
7.1. Wymóg weryfikacji tożsamości
Europejski Instytut Certyfikacji IT musi zweryfikować tożsamość osoby, której dane dotyczą, składającej wniosek, aby zapewnić, że dane osobowe są przekazywane wyłącznie właściwej osobie.
7.2. Środki i metody weryfikacji tożsamości
Gdy osoba, której dane dotyczą, złoży wniosek o skorzystanie z praw wynikających z przepisów o ochronie danych, Europejski Instytut Certyfikacji IT musi zweryfikować tożsamość osoby, której dane dotyczą, za pomocą odpowiednich środków, takich jak zażądanie dokumentów identyfikacyjnych.
7.3. Weryfikacja tożsamości pełnomocnika
Jeżeli osoba, której dane dotyczą, składa wniosek w imieniu innej osoby, Europejski Instytut Certyfikacji IT musi zweryfikować tożsamość zarówno osoby, której dane dotyczą, jak i osoby, w imieniu której składany jest wniosek.
7.4. Wątpliwości weryfikacji tożsamości
Jeżeli Europejski Instytut Certyfikacji IT ma wątpliwości co do tożsamości osoby, której dane dotyczą, lub zasadności wniosku, może zażądać dodatkowych informacji lub podjąć inne odpowiednie środki w celu zweryfikowania tożsamości osoby, której dane dotyczą.
7.5. Rekordy weryfikacji tożsamości
Europejski Instytut Certyfikacji IT powinien prowadzić rejestr procesu weryfikacji i środków podjętych w celu zweryfikowania tożsamości osoby, której dane dotyczą. Rejestr ten należy przechowywać przez rozsądny okres czasu i wykorzystywać do wykazania zgodności z przepisami o ochronie danych.
Część 8. Niezwłoczne odpowiadanie na żądania osób, których dane dotyczą, dotyczące praw
8.1. Szybka odpowiedź
Europejski Instytut Certyfikacji IT niezwłocznie odpowiada na żądania osób, których dane dotyczą, dotyczące praw i udziela osobom, których dane dotyczą, żądanych informacji.
8.2. Poproś o potwierdzenie odbioru
Europejski Instytut Certyfikacji IT potwierdza otrzymanie wniosku osoby, której dane dotyczą, tak szybko, jak to możliwe, najlepiej w ciągu 5 dni roboczych.
8.3. Poproś o sprawdzenie
Wyznaczony DPO powinien rozpatrzyć wniosek, aby upewnić się, że spełnia on niezbędne wymagania i że przedstawiono wszystkie niezbędne informacje.
8.4. Weryfikacja tożsamości osoby, której dane dotyczą
Europejski Instytut Certyfikacji IT weryfikuje tożsamość osoby, której dane dotyczą, składającej wniosek, aby mieć pewność, że dane osobowe zostaną przekazane wyłącznie właściwej osobie.
8.5. Uzyskanie dodatkowych informacji w razie potrzeby
Jeżeli żądanie jest niejasne lub niewystarczające, Europejski Instytut Certyfikacji IT powinien skontaktować się z osobą, której dane dotyczą, w celu uzyskania dodatkowych informacji.
8.5. Pobieranie odpowiednich danych
Europejski Instytut Certyfikacji IT pobiera odpowiednie dane osobowe i przegląda je, aby upewnić się, że są dokładne i aktualne.
8.6. Podanie żądanych informacji
Europejski Instytut Certyfikacji IT przekazuje osobie, której dane dotyczą, żądane przez nią informacje, w tym kopię jej danych osobowych w powszechnie używanym formacie elektronicznym, chyba że zażądano inaczej.
8.7. Poinformuj osobę, której dane dotyczą, o jej prawach
Europejski Instytut Certyfikacji Informatycznej informuje osobę, której dane dotyczą, o jej innych prawach, takich jak prawo do sprostowania lub usunięcia danych osobowych oraz udziela niezbędnych instrukcji.
8.8. Przestrzeganie czasu reakcji
Europejski Instytut Certyfikacji IT odpowiada na żądania osób, których dane dotyczą, w ustalonym czasie odpowiedzi, zapewniając podjęcie niezbędnych działań w celu spełnienia żądania.
8.9. Dokumentowanie odpowiedzi
Europejski Instytut Certyfikacji IT dokumentuje odpowiedź na wniosek dotyczący praw osoby, której dane dotyczą, w tym wszelkie podjęte działania i czas odpowiedzi, aby zapewnić możliwość audytu i śledzenia pod kątem zgodności.
8.10. Powiadomienie osoby, której dane dotyczą, o wszelkich zmianach
Jeżeli w wyniku żądania osoby, której dane dotyczą, zostaną wprowadzone jakiekolwiek zmiany w danych osobowych, Europejski Instytut Certyfikacji Informatycznej powiadamia osobę, której dane dotyczą, o tych zmianach.
Część 9. Dokumentowanie wniosków o prawa osób, których dane dotyczą
Europejski Instytut Certyfikacji IT prowadzi rejestr wniosków dotyczących praw osób, których dane dotyczą, w tym datę wniosku, charakter wniosku i odpowiedź na wniosek. Dokumentowanie wniosków o prawa osób, których dane dotyczą, obejmuje następujące aspekty:
9.1. Prowadzenie rejestru
Europejski Instytut Certyfikacji IT prowadzi rejestr, w którym rejestrowane są wszystkie otrzymane wnioski dotyczące praw osób, których dane dotyczą. Rejestr ten powinien zawierać następujące szczegóły:
- Data żądania
- Imię i nazwisko oraz dane kontaktowe osoby, której dane dotyczą
- Opis żądania
- Działania podjęte w odpowiedzi na żądanie
- Wszelkie dodatkowe informacje wymagane do przetworzenia żądania
9.2. Standaryzowany proces dokumentacji
Europejski Instytut Certyfikacji IT prowadzi znormalizowany proces dokumentowania wniosków o prawa osób, których dane dotyczą, w celu zapewnienia spójności i dokładności przechwytywanych informacji.
9.3. Okres przechowywania
Europejski Instytut Certyfikacji IT przechowuje te zapisy przez rozsądny okres czasu, określony przez obowiązujące przepisy prawa i regulacje, nie krótszy niż 2 lata.
9.4. Zachowanie poufności
Europejski Instytut Certyfikacji IT zapewnia, że zapisy wniosków dotyczących praw osób, których dane dotyczą, są dostępne tylko dla upoważnionego personelu, który potrzebuje dostępu do takich informacji w ramach wykonywania swoich obowiązków. Wdraża również środki techniczne i organizacyjne zapobiegające dostępowi osób nieupoważnionych, ujawnieniu, zmianie lub zniszczeniu danych osobowych zawartych w ewidencji wniosków o prawa osób, których dane dotyczą.
9.5. Raportowanie
Europejski Instytut Certyfikacji IT okresowo generuje raporty dotyczące otrzymanych, przetworzonych i rozpatrzonych wniosków o prawa osób, których dane dotyczą. Raporty te są udostępniane odpowiednim interesariuszom, w tym kierownictwu wyższego szczebla i inspektorowi ochrony danych.
9.6. Analityka
Europejski Instytut Certyfikacji IT przeprowadza analizę trendów w zakresie wniosków o prawa osób, których dane dotyczą, w celu zidentyfikowania wzorców i pierwotnych przyczyn wniosków. Informacje te są wykorzystywane do ulepszania procesów i procedur w celu lepszego zarządzania takimi żądaniami.
Część 10. Monitorowanie i przegląd procesu
Europejski Instytut Certyfikacji IT regularnie monitoruje i przegląda swój proces rozpatrywania wniosków dotyczących praw osób, których dane dotyczą, aby zapewnić jego skuteczność i zgodność z RODO.
10.1. Przeprowadzanie przeglądów okresowych
Europejski Instytut Certyfikacji IT przeprowadza okresowe przeglądy swojego procesu rozpatrywania wniosków o prawa osób, których dane dotyczą, oraz polityki zgodności z RODO, aby upewnić się, że jest on skuteczny i zgodny z przepisami o ochronie danych. Przeglądy te obejmują analizę liczby i rodzaju otrzymanych próśb, terminowości i skuteczności odpowiedzi oraz wszelkich obszarów wymagających poprawy.
10.2. Wdrażanie ulepszeń
Na podstawie wyników przeglądów Europejski Instytut Certyfikacji IT wdraża wszelkie niezbędne ulepszenia w swoim procesie obsługi wniosków o prawa osób, których dane dotyczą. Może to obejmować aktualizacje procedur, dodatkowe szkolenia dla personelu lub zmiany w sposobie weryfikacji wniosków i udzielania odpowiedzi.
10.3. Zapewnienie ciągłej zgodności
Europejski Instytut Certyfikacji IT zapewnia ciągłą zgodność z przepisami dotyczącymi ochrony danych poprzez regularne przeglądy i aktualizacje swoich zasad i procedur zgodnie z wszelkimi zmianami w odpowiednich przepisach i regulacjach.
10.4. Monitorowanie wydajności personelu
Europejski Instytut Certyfikacji IT monitoruje pracę personelu w zakresie obsługi wniosków o prawa osób, których dane dotyczą, w tym jakość i terminowość odpowiedzi. Może to obejmować okresowe szkolenia i przeglądy wyników, aby upewnić się, że personel posiada wiedzę i kompetencje w tej dziedzinie.
10.5. Komunikacja z osobami, których dane dotyczą
Europejski Instytut Certyfikacji IT komunikuje się z osobami, których dane dotyczą, podczas całego procesu rozpatrywania wniosku, aby zapewnić, że są one na bieżąco informowane o postępach i wszelkich istotnych informacjach. Może to obejmować dostarczanie aktualnych informacji o statusie ich prośby lub żądanie dodatkowych informacji w razie potrzeby.
10.6. Prowadzenie ewidencji
Europejski Instytut Certyfikacji IT prowadzi rejestry swoich przeglądów, w tym wszelkie zmiany wprowadzone w procesie obsługi wniosków o prawa osób, których dane dotyczą, a także wszelkie informacje zwrotne otrzymane od osób, których dane dotyczą. Informacje te mogą być wykorzystywane do wspierania bieżących wysiłków na rzecz zapewnienia zgodności oraz do identyfikowania obszarów wymagających dalszej poprawy.
Część 11. Ustanowienie Rejestru Czynności Przetwarzania
Europejski Instytut Certyfikacji IT prowadzi Rejestr Czynności Przetwarzania, który jest dokumentem opisującym przetwarzanie danych osobowych przez organizację. Jest to wymagane na mocy unijnego ogólnego rozporządzenia o ochronie danych (RODO) i ma na celu wsparcie zrozumienia działań związanych z przetwarzaniem danych oraz wykazanie zgodności z RODO.
11.1. Struktura ROPA
ROPA zawiera podstawowe informacje o nazwie i danych kontaktowych organizacji, celach przetwarzania danych, kategoriach przetwarzanych danych osobowych, odbiorcach danych osobowych oraz okresach przechowywania danych osobowych. Zawiera również informacje o zewnętrznych podmiotach przetwarzających, które przetwarzają dane osobowe w imieniu organizacji.
11.2. Regularne aktualizacje ROPA
ROPA jest regularnie aktualizowana i jest żywym dokumentem odzwierciedlającym zmiany w działaniach Europejskiego Instytutu Certyfikacji IT w zakresie przetwarzania danych, wspierających budowanie zaufania do osób, których dane dotyczą.
Europejski Instytut Certyfikacji IT zobowiązuje się do utrzymywania najwyższych standardów w zakresie zarządzania wnioskami o prawa osób, których dane dotyczą oraz Polityki ogólnego rozporządzenia o ochronie danych, upewniając się, że przestrzega wszystkich obowiązujących przepisów i regulacji związanych z tymi kwestiami, a także wiodących standardów branżowych i najlepsze praktyki, w tym system zarządzania informacjami o prywatności ISO 27701.