DSRRM ja GDPR-käytäntö
EITCA-akatemian tietosuojakäytäntö ja tietosuoja-asetus
Tämä asiakirja määrittelee Euroopan IT-sertifiointiinstituutin tietosuojakäytännön tietosuojapyyntöjen hallinnasta sekä EU:n yleisen tietosuoja-asetuksen täytäntöönpanon, jota tarkistetaan ja päivitetään säännöllisesti sen tehokkuuden ja merkityksen varmistamiseksi. Viimeisin päivitys EITCI-tietosuojapyyntöjen hallinta- ja GDPR-käytäntöön tehtiin 10. tammikuuta 2023. Tietosuojapyyntöjen hallinta- ja GDPR-käytäntömme perustuvat ISO 27701 -tietosuojatietojen hallintajärjestelmän laajennuksen periaatteisiin ISO 27001 -tietoturvaan. Järjestelmästandardi sekä yleisen tietosuoja-asetuksen (2016/679) vaatimukset.
Osa 1. Johdanto
Rekisteröityjen oikeuksia koskevien pyyntöjen hallinta on olennainen osa tietosuojamääräysten, eli GDPR:n (EU:n yleisen tietosuoja-asetuksen) noudattamisen varmistamista. Euroopan IT-sertifiointiinstituutti määritteli seuraavat muodolliset menettelyt rekisteröityjen oikeuksia koskevien pyyntöjen hallinnoimiseksi ja GDPR:n vaatimusten toteuttamiseksi:
1.1. Perustetaan prosessi rekisteröityjen oikeuksia koskevien pyyntöjen käsittelemiseksi
Tässä prosessissa hahmotellaan vaiheet, joita Euroopan IT-sertifiointiinstituutti noudattaa käsitellessään rekisteröidyn oikeuksia koskevia pyyntöjä, mukaan lukien rekisteröidyn tunnistaminen ja todentaminen, rekisteröidyn pyynnön tarkistaminen ja vastaus pyyntöön.
1.2. Tietosuojavastaavan (DPO) nimeäminen
European IT Certification Institute nimeää tietosuojavastaavan, joka on vastuussa rekisteröidyn oikeuksia koskevien pyyntöjen käsittelyn valvonnasta, mukaan lukien pyyntöjen tarkastelu, pyyntöihin vastaaminen ja tietosuojamääräysten noudattamisen varmistaminen.
1.3. Ajantasaisen rekisterin ylläpitäminen henkilötiedoista
Euroopan IT-sertifiointiinstituutti pitää ajan tasalla olevaa rekisteriä hallussaan pitämistään henkilötiedoista ja niiden käsittelyn tarkoituksista. Näin Euroopan IT-sertifiointiinstituutti voi vastata nopeasti ja tarkasti rekisteröityjen oikeuksia koskeviin pyyntöihin.
1.4. Selkeiden ja ytimekkäiden tietojen antaminen rekisteröidyille
Kerääessään henkilötietoja Euroopan IT-sertifiointiinstituutti antaa rekisteröidyille selkeää ja ytimekkäästi tietoa heidän oikeuksistaan, mukaan lukien oikeus saada pääsy henkilötietoihinsa, oikaista, poistaa ja vastustaa niiden käsittelyä.
1.5. Normaalin vasteajan määrittäminen
Euroopan IT-sertifiointiinstituutti ylläpitää vakiovastausaikaa rekisteröityjen oikeuksia koskeville pyynnöille ja varmistaa, että pyyntöihin vastataan tässä ajassa.
1.6. Rekisteröidyn henkilöllisyyden tarkistaminen
Euroopan IT-sertifiointiinstituutti tarkistaa pyynnön tekevän rekisteröidyn henkilöllisyyden varmistaakseen, että henkilötiedot toimitetaan vain oikealle henkilölle.
1.7. Rekisteröityjen oikeuksia koskeviin pyyntöihin vastaaminen ripeästi
Euroopan IT-sertifiointiinstituutti vastaa rekisteröidyn oikeuksia koskeviin pyyntöihin viipymättä ja toimittaa rekisteröidylle tämän pyytämät tiedot.
1.8 Rekisteröidyn oikeuksia koskevien pyyntöjen dokumentointi
Euroopan IT-sertifiointiinstituutti ylläpitää rekisteriä rekisteröityjen oikeuksia koskevista pyynnöistä, mukaan lukien pyynnön päivämäärä, pyynnön luonne ja vastaus pyyntöön.
1.9. Prosessin seuranta ja arviointi
Euroopan IT-sertifiointiinstituutti seuraa ja arvioi säännöllisesti prosessiaan rekisteröityjen oikeuksia koskevien pyyntöjen käsittelyssä varmistaakseen, että se pysyy tehokkaana ja on asiaankuuluvien tietosuojamääräysten mukainen.
1.10. Käsittelytoimien rekisterin perustaminen
European IT Certification Institute ylläpitää Processing Activity Record -rekisteriä, joka on asiakirja, joka kuvaa organisaation suorittamaa henkilötietojen käsittelyä. Se on EU:n yleisen tietosuoja-asetuksen (GDPR) edellyttämä, ja sen tarkoituksena on tukea tietojenkäsittelytoimintojen ymmärtämistä ja GDPR:n noudattamisen osoittamista.
Näitä muotoja ja menettelyjä noudattamalla Euroopan IT-sertifiointiinstituutti voi tehokkaasti käsitellä rekisteröityjen oikeuksia koskevia pyyntöjä ja varmistaa tietosuojamääräysten, mukaan lukien Euroopan unionin yleisen tietosuoja-asetuksen, noudattamisen.
Osa 2. Prosessin luominen rekisteröityjen oikeuksia koskevien pyyntöjen käsittelyä varten
Tässä prosessissa hahmotellaan vaiheet, joita Euroopan IT-sertifiointiinstituutti noudattaa käsitellessään rekisteröidyn oikeuksia koskevia pyyntöjä, mukaan lukien rekisteröidyn tunnistaminen ja todennus, rekisteröidyn pyynnön tarkistaminen ja vastaus pyyntöön:
2.1. Rekisteröidyn tunnistaminen ja todentaminen
Euroopan IT-sertifiointiinstituutti ylläpitää prosessia, jolla varmistetaan pyynnön esittäneen rekisteröidyn henkilöllisyys. Tämä voi sisältää viranomaisen myöntämän henkilötodistuksen pyytämisen, olemassa olevien tietueiden tarkistamisen tai muiden todennusmenetelmien käyttämisen.
2.2. Rekisteröidyn pyynnön tarkistaminen
Kun rekisteröidyn henkilöllisyys on todettu, Euroopan IT-sertifiointiinstituutin on varmistettava, että pyyntö on pätevä ja liittyy rekisteröidyn henkilötietoihin. Pyynnön tulee sisältää myös käytettävä erityinen oikeus, kuten oikeus saada, oikaista tai poistaa henkilötietoja.
2.3. Pyyntöön vastaaminen
Euroopan IT-sertifiointiinstituutin on vastattava rekisteröidyn pyyntöön asiaankuuluvien tietosuojalakien määrittelemässä ajassa, kuitenkin enintään 30 päivän kuluessa. Vastauksessa tulee sisältää selvitys siitä, onko pyyntö hyväksytty vai hylätty, ja päätöksen syyt.
2.4. Pyynnön ja vastauksen dokumentointi
European IT Certification Institute ylläpitää rekisteriä kaikista rekisteröidyn oikeuksia koskevista pyynnöistä ja vastauksista. Tämä auttaa varmistamaan asiaankuuluvien tietosuojalakien noudattamisen sekä helpottamaan tulevia tarkastuksia tai tutkimuksia.
2.5. Asianmukaisen henkilöstön kouluttaminen
Euroopan IT-sertifiointiinstituutti kouluttaa rekisteröityjen oikeuksia koskevien pyyntöjen käsittelystä vastaavaa henkilöstöä varmistaakseen, että he tuntevat asiaa koskevat tietosuojalait ja Euroopan IT-sertifiointiinstituutin menettelyt tällaisten pyyntöjen käsittelyssä.
2.6. Prosessin seuranta ja arviointi
Euroopan IT-sertifiointiinstituutti valvoo ja tarkastelee rekisteröidyn oikeuksia koskevien pyyntöjen käsittelyprosessia säännöllisesti varmistaakseen, että se pysyy tehokkaana ja on asiaankuuluvien tietosuojalakien mukainen. Kaikista ongelmista tai tapahtumista ilmoitetaan ja ne käsitellään ajoissa.
Osa 3. Tietosuojavastaavan (DPO) nimeäminen
European IT Certification Institute nimeää tietosuojavastaavan, joka on vastuussa rekisteröidyn oikeuksia koskevien pyyntöjen käsittelyn valvonnasta, mukaan lukien pyyntöjen tarkastelu, pyyntöihin vastaaminen ja tietosuojamääräysten noudattamisen varmistaminen.
3.1. Tietosuojavastaavan nimeäminen
Euroopan IT-sertifiointiinstituutti nimeää tietosuojavastaavan (DPO), joka valvoo rekisteröityjen oikeuksia koskevien pyyntöjen käsittelyä ja varmistaa tietosuojamääräysten noudattamisen. Tietosuojavastaava on vastuussa pyyntöjen tarkastamisesta ja sen varmistamisesta, että Euroopan IT-sertifiointiinstituutti täyttää tietosuojaa koskevat lakisääteiset velvoitteensa.
3.2. DPO:n pätevyysvaatimukset
Tietosuojavastaavalla on oltava asiantuntemus tietosuojalaeista ja -käytännöistä, ja hänellä on oltava tarvittavat resurssit tehtäviensä hoitamiseksi. Heillä tulee olla suora yhteys ylimpään johtoon ja heillä tulee olla raportointi organisaation korkeimmalle johtotasolle.
3.3. DPO:n vastuut
Tietosuojavastaavan velvollisuuksiin kuuluvat seuraavat, mutta eivät rajoitu niihin:
- Ohjaus ja neuvonta Euroopan IT-sertifiointiinstituutille tietosuoja-asioissa, mukaan lukien rekisteröityjen oikeuksia koskevien pyyntöjen käsittely.
- Valvomme, että Euroopan IT-sertifiointiinstituutti noudattaa tietosuojamääräyksiä ja sisäisiä käytäntöjä ja menettelyjä.
- Rekisteröityjen tiedusteluihin ja valituksiin vastaaminen heidän tietosuojamääräysten mukaisista oikeuksistaan.
- Koordinointi muiden osastojen kanssa varmistaakseen, että tietosuojavaatimukset täyttyvät koko organisaatiossa.
- Suorittaa määräajoin Euroopan IT-sertifiointiinstituutin tietosuojakäytäntöjen katsauksia ja arviointeja sekä antaa parannussuosituksia.
- Toimii tietosuojaviranomaisten yhteyspisteenä ja tekee yhteistyötä heidän kanssaan tutkinnan tai auditoinnin yhteydessä.
- Tietosuojavastaava on myös mukana kehittämässä ja toteuttamassa Euroopan IT-sertifiointiinstituutin tietosuojakäytäntöjä ja menettelyjä, mukaan lukien rekisteröidyn oikeuksia koskevien pyyntöjen käsittelyyn liittyvät periaatteet ja menettelyt.
3.4. DPO:n koulutus ja pätevyyden kehittäminen
Euroopan IT-sertifiointiinstituutin olisi varmistettava, että tietosuojavastaava on asianmukaisesti koulutettu tietosuojasäännöksiin ja että hänet pidetään ajan tasalla näihin sääntöihin tehtävistä muutoksista tai päivityksistä.
3.5. DPO:n yhteystiedot
Tietosuojavastaavan yhteystiedot olisi asetettava rekisteröityjen saataville ja sisällytettävä Euroopan IT-sertifiointiinstituutin tietosuojailmoitukseen tai -käytäntöön.
Osa 4. Henkilötietojen ajantasainen kirjaaminen
Euroopan IT-sertifiointiinstituutti pitää ajan tasalla olevaa rekisteriä hallussaan pitämistään henkilötiedoista ja niiden käsittelyn tarkoituksista. Näin Euroopan IT-sertifiointiinstituutti voi vastata nopeasti ja tarkasti rekisteröityjen oikeuksia koskeviin pyyntöihin.
4.1. Prosessin luominen henkilötietojen tunnistamiseksi ja tallentamiseksi
Euroopan IT-sertifiointiinstituutti perustaa selkeän ja standardoidun prosessin henkilötietojen tunnistamiseksi ja tallentamiseksi, mukaan lukien rekisteröidyn nimi, yhteystiedot ja muut asiaankuuluvat tiedot. Tämä prosessi varmistaa, että henkilötietoja kerätään vain tiettyihin ja laillisiin tarkoituksiin.
4.2. Henkilötietojen luokittelu
European IT Certification Institute luokittelee henkilötiedot, jotta niitä olisi helpompi seurata ja hallita. Tämä sisältää tietojen luokittelun tyypin mukaan, kuten yhteystiedot, laskutustiedot, pätevyys ja pätevyys, taloudelliset tiedot tai työhistoria.
4.3. Tietojenhallintajärjestelmän käyttöönotto
European IT Certification Institute ottaa käyttöön tiedonhallintajärjestelmän, joka auttaa varmistamaan, että henkilötiedot ovat tarkkoja, ajan tasalla ja saatavilla. Tietojenhallintajärjestelmä sisältää tietokannan, josta voi tehdä hakuja ja kyselyitä, jotka auttavat vastaamaan rekisteröidyn oikeuspyyntöihin.
4.4. Vastuu henkilötietojen säilyttämisestä
Euroopan IT-sertifiointiinstituutin olisi annettava vastuu henkilötietojen säilyttämisestä tietyille henkilöille tai osastoille. Näin varmistetaan, että kirjaus pidetään ajan tasalla ja täsmällisesti.
4.5. Tarkistaa ja päivittää henkilötietoja säännöllisesti
Euroopan IT-sertifiointiinstituutin olisi säännöllisesti tarkasteltava ja päivitettävä henkilötietoja koskevat tiedot varmistaakseen, että ne pysyvät oikein ja ajan tasalla. Tämä voidaan tehdä säännöllisillä auditoinneilla tai jatkuvalla seurantaprosessilla.
4.6. Toteuta asianmukaiset turvatoimenpiteet
European IT Certification Institute toteuttaa asianmukaisia turvatoimenpiteitä hallussaan olevien henkilötietojen suojaamiseksi, mukaan lukien toimenpiteet henkilötietojen luvattoman käytön, vahingossa tapahtuvan katoamisen tai tuhoutumisen estämiseksi osana organisaation tietoturvapolitiikkaa (ISP). Tämä sisältää mm. salauksen, palomuurit ja pääsynhallinnan. Yksityiskohtaiset tietosuojaprosessit ja -toimenpiteet sisältyvät Euroopan IT-sertifiointiinstituutin tietoturvapolitiikkaan.
Osa 5. Selkeiden ja ytimekkäiden tietojen antaminen rekisteröidyille
Kerääessään henkilötietoja Euroopan IT-sertifiointiinstituutti antaa rekisteröidyille selkeää ja ytimekkäästi tietoa heidän oikeuksistaan, mukaan lukien oikeus saada pääsy henkilötietoihinsa, oikaista, poistaa ja vastustaa niiden käsittelyä.
5.1. läpinäkyvyys
Euroopan IT-sertifiointiinstituutti käsittelee henkilötietoja läpinäkyvästi ja antaa rekisteröidyille ytimekkäästi tietoa siitä, miten heidän tietojaan käytetään, käsitellään ja säilytetään.
5.2. Tietosuojakäytäntö
Euroopan IT-sertifiointiinstituutilla on yksityiskohtainen tietosuojakäytäntö, jossa hahmotellaan sen tietojenkäsittelytoimia, mukaan lukien kuinka rekisteröidyt voivat käyttää rekisteröidyn oikeuksiaan.
5.3. Käyttöoikeus
Rekisteröidyillä on oikeus pyytää pääsyä Euroopan IT-sertifiointiinstituutin hallussaan oleviin henkilötietoihin. Euroopan IT-sertifiointiinstituutti antaa rekisteröidyille selkeät ja ytimekkäät tiedot siitä, kuinka he voivat tehdä pääsypyynnön, mitä tietoja heidän henkilöllisyytensä varmentamiseen tarvitaan ja kuinka kauan Euroopan IT-sertifiointiinstituutilla kestää vastata pyyntöön.
5.4. Oikeus oikaista
Rekisteröidyillä on oikeus pyytää Euroopan IT-sertifiointiinstituuttia oikaisemaan kaikki hallussaan olevat heistä epätarkat tai puutteelliset henkilötiedot. Euroopan IT-sertifiointiinstituutti antaa rekisteröidyille selkeää ja ytimekkäästi tietoa siitä, miten oikaisupyyntö tehdään, mitä tietoja tarvitaan heidän henkilöllisyytensä todentamiseksi ja kuinka kauan Euroopan IT-sertifiointiinstituutilla kestää vastata pyyntöön.
5.5. Oikeus poistaa
Rekisteröidyillä on tietyissä olosuhteissa oikeus pyytää Euroopan IT-sertifiointiinstituuttia poistamaan hänen henkilötietonsa. Euroopan IT-sertifiointiinstituutti antaa rekisteröidyille selkeää ja ytimekkäästi tietoa siitä, miten tietojen poistamista pyydetään, mitä tietoja tarvitaan heidän henkilöllisyytensä vahvistamiseksi ja kuinka kauan Euroopan IT-sertifiointiinstituutilla kestää vastata pyyntöön.
5.6. Oikeus vastustaa
Rekisteröidyillä on oikeus vastustaa henkilötietojensa käsittelyä tietyissä olosuhteissa. Euroopan IT-sertifiointiinstituutti antaa rekisteröidyille selkeät ja ytimekkäät tiedot siitä, kuinka vastustaa pyyntöä, mitä tietoja tarvitaan heidän henkilöllisyytensä todentamiseksi ja kuinka kauan Euroopan IT-sertifiointiinstituutilla kestää vastata pyyntöön.
5.7. Yhteystiedot
Euroopan IT-sertifiointiinstituutti tarjoaa rekisteröidyille selkeät ja ytimekkäät yhteystiedot, joita he voivat käyttää, jos heillä on kysymyksiä tai huolenaiheita henkilötietojensa käsittelystä.
Osa 6. Vakiovasteajan määrittäminen
Euroopan IT-sertifiointiinstituutti asetti rekisteröidyn oikeuksia koskeville pyynnöille vakiovastausajan ja varmistaa, että pyyntöihin vastataan tässä ajassa.
6.1. Normaali vasteaika
Euroopan IT-sertifiointiinstituutti asettaa rekisteröidyn oikeuksia koskeville pyynnöille vakiovastausajan 30 päivää. Vakiovastausaika määrittää ylemmän aikarajan käsittelylle ja vastaamiselle, ja suurin osa pyynnöistä käsitellään ja niihin vastataan lyhyemmässä ajassa.
6.2. Pyydä kuittausaikaa
Vastaanotettuaan rekisteröidyn oikeuksia koskevan pyynnön tietosuojavastaava tai muu henkilöstön jäsen ilmoittaa pyynnön vastaanottamisesta viiden työpäivän kuluessa ja antaa rekisteröidylle arvioitu määräaika vastauksen antamiseen.
6.3. Poikkeukselliset pidennykset vakiovasteajasta
Euroopan IT-sertifiointiinstituutti pyrkii kohtuullisin keinoin vastaamaan rekisteröityjen oikeuksia koskeviin pyyntöihin vahvistetun normaalin vastausajan kuluessa. Jos pyyntö on kuitenkin monimutkainen tai jos Euroopan IT-sertifiointiinstituutti saa paljon pyyntöjä, vastausaikaa voidaan pidentää. Tällaisissa tapauksissa tietosuojavastaava ilmoittaa rekisteröidylle pidennyksen ja viivästymisen syyn.
6.4 Kieltäytyminen rekisteröidyn oikeuksia koskevan pyynnön täyttämisestä
Jos Euroopan IT-sertifiointiinstituutti ei pysty täyttämään rekisteröidyn oikeuksia koskevaa pyyntöä, se antaa rekisteröidylle selityksen kieltäytymiselle ja ilmoittaa hänelle oikeudestaan tehdä valitus asianomaiselle valvontaviranomaiselle.
6.5. Rekisteröityjen oikeuksia koskevista pyynnöistä ja vastauksista tiedot
Euroopan IT-sertifiointiinstituutti ylläpitää tarkkaa rekisteriä rekisteröityjen oikeuksia koskevista pyynnöistä ja vastauksista, mukaan lukien pyynnön vastaanottopäivä, pyynnön luonne sekä vastauksen päivämäärä ja tapa.
6.6. Säännölliset arvostelut
Tietosuojavastaava tarkistaa säännöllisesti Euroopan IT-sertifiointiinstituutin vastausajat ja päivittää niitä tarpeen mukaan varmistaakseen sovellettavien tietosuojamääräysten noudattamisen.
Osa 7. Rekisteröidyn henkilöllisyyden tarkistaminen
7.1. Henkilöllisyyden vahvistusvaatimus
Euroopan IT-sertifiointiinstituutin on varmistettava pyynnön tekevän rekisteröidyn henkilöllisyys varmistaakseen, että henkilötiedot toimitetaan vain oikealle henkilölle.
7.2. Henkilöllisyyden todentamiskeinot ja -menetelmät
Kun rekisteröity tekee pyynnön käyttää tietosuojalakien mukaisia oikeuksiaan, Euroopan IT-sertifiointiinstituutin on varmistettava rekisteröidyn henkilöllisyys asianmukaisin toimenpitein, kuten pyytämällä henkilöllisyystodistuksia.
7.3. Valtakirjan haltijan henkilöllisyyden todentaminen
Jos rekisteröity tekee pyynnön jonkun muun puolesta, Euroopan IT-sertifiointiinstituutin on varmistettava sekä rekisteröidyn että sen henkilön henkilöllisyys, jonka puolesta pyyntö esitetään.
7.4 Epäilyksiä henkilöllisyyden vahvistamisesta
Jos Euroopan IT-sertifiointiinstituutilla on epäilyksiä rekisteröidyn henkilöllisyydestä tai pyynnön pätevyydestä, se voi pyytää lisätietoja tai ryhtyä muihin asianmukaisiin toimenpiteisiin rekisteröidyn henkilöllisyyden tarkistamiseksi.
7.5 Henkilöllisyyden varmistusasiakirjat
Euroopan IT-sertifiointiinstituutin olisi pidettävä kirjaa varmennusprosessista ja rekisteröidyn henkilöllisyyden tarkistamiseksi toteutetuista toimenpiteistä. Tämä tietue on säilytettävä kohtuullisen ajan ja sitä olisi käytettävä tietosuojalainsäädännön noudattamisen osoittamiseen.
Osa 8. Rekisteröityjen oikeuksia koskeviin pyyntöihin vastaaminen ripeästi
8.1. Nopea vastaus
Euroopan IT-sertifiointiinstituutti vastaa rekisteröidyn oikeuksia koskeviin pyyntöihin viipymättä ja toimittaa rekisteröidylle tämän pyytämät tiedot.
8.2. Pyydä kuittaus
Euroopan IT-sertifiointiinstituutti ilmoittaa vastaanottaneensa rekisteröidyn pyynnön mahdollisimman pian, mieluiten viiden työpäivän kuluessa.
8.3 Pyydä tarkistusta
Nimetyn tietosuojavastaavan tulee tarkistaa pyyntö varmistaakseen, että se täyttää tarvittavat vaatimukset ja että kaikki tarvittavat tiedot on toimitettu.
8.4 Rekisteröidyn henkilöllisyyden todentaminen
Euroopan IT-sertifiointiinstituutti tarkistaa pyynnön tekevän rekisteröidyn henkilöllisyyden varmistaakseen, että henkilötiedot toimitetaan vain oikealle henkilölle.
8.5 Lisätietojen saaminen tarvittaessa
Jos pyyntö on epäselvä tai riittämätön, Euroopan IT-sertifiointiinstituutin tulee ottaa yhteyttä rekisteröidyyn lisätietojen saamiseksi.
8.5 Haetaan asiaankuuluvat tiedot
European IT Certification Institute hakee asiaankuuluvat henkilötiedot ja tarkistaa ne varmistaakseen, että ne ovat tarkkoja ja ajan tasalla.
8.6. Pyydettyjen tietojen antaminen
Euroopan IT-sertifiointiinstituutti toimittaa rekisteröidylle tämän pyytämät tiedot, mukaan lukien kopion hänen henkilötiedoistaan yleisesti käytetyssä sähköisessä muodossa, ellei toisin pyydetä.
8.7 Ilmoita rekisteröidylle hänen oikeuksistaan
Euroopan IT-sertifiointiinstituutti tiedottaa rekisteröidylle hänen muista oikeuksistaan, kuten oikeudesta oikaista tai poistaa henkilötietonsa, ja antaa heille tarvittavat ohjeet.
8.8 Vastausajan noudattaminen
Euroopan IT-sertifiointiinstituutti vastaa rekisteröityjen oikeuksia koskeviin pyyntöihin asetetussa vastausajassa ja varmistaa, että pyynnön noudattamiseksi ryhdytään tarvittaviin toimiin.
8.9. Vastauksen dokumentointi
European IT Certification Institute dokumentoi vastauksen rekisteröidyn oikeuksia koskevaan pyyntöön, mukaan lukien kaikki suoritetut toimet ja vastausaika, jotta varmistetaan, että se voidaan tarkastaa ja seurata vaatimustenmukaisuustarkoituksiin.
8.10. Mahdollisista muutoksista ilmoittaminen rekisteröidylle
Jos rekisteröidyn henkilötietoihin tehdään muutoksia hänen pyynnöstään, Euroopan IT-sertifiointiinstituutti ilmoittaa näistä muutoksista rekisteröidylle.
Osa 9. Rekisteröidyn oikeuksia koskevien pyyntöjen dokumentointi
Euroopan IT-sertifiointiinstituutti ylläpitää rekisteriä rekisteröityjen oikeuksia koskevista pyynnöistä, mukaan lukien pyynnön päivämäärä, pyynnön luonne ja vastaus pyyntöön. Rekisteröidyn oikeuksia koskevien pyyntöjen dokumentointi sisältää seuraavat näkökohdat:
9.1. Rekisterin ylläpito
European IT Certification Institute ylläpitää rekisteriä, joka tallentaa kaikki vastaanotetut rekisteröidyn oikeuksia koskevat pyynnöt. Tämän rekisterin tulee sisältää seuraavat tiedot:
- Pyynnön päivämäärä
- Rekisteröidyn nimi ja yhteystiedot
- Pyynnön kuvaus
- Toimenpiteet pyynnön johdosta
- Pyynnön käsittelyyn tarvittavat lisätiedot
9.2. Standardoitu dokumentointiprosessi
European IT Certification Institute käyttää standardoitua prosessia rekisteröityjen oikeuksia koskevien pyyntöjen dokumentoimiseksi varmistaakseen kerättyjen tietojen johdonmukaisuuden ja tarkkuuden.
9.3. Säilytysaika
Euroopan IT-sertifiointiinstituutti säilyttää näitä tietueita sovellettavien lakien ja määräysten mukaisesti kohtuullisen ajan, vähintään 2 vuotta.
9.4 Luottamuksellisuuden säilyttäminen
Euroopan IT-sertifiointiinstituutti varmistaa, että rekisteröityjen oikeuksia koskevien pyyntöjen tietueet ovat vain valtuutettujen henkilöiden saatavilla, joilla on tarve päästä käsiksi kyseisiin tietoihin tehtäviään hoitaessaan. Se toteuttaa myös teknisiä ja organisatorisia toimenpiteitä estääkseen rekisteröityjen oikeuksia koskevien pyyntöjen rekisteriin sisältyvien henkilötietojen luvattoman pääsyn, paljastamisen, muuttamisen tai tuhoamisen.
9.5. raportointi
Euroopan IT-sertifiointiinstituutti tuottaa säännöllisesti raportteja vastaanotetuista, käsitellyistä ja keskeneräisistä rekisteröidyn oikeuksia koskevista pyynnöistä. Nämä raportit jaetaan asiaankuuluvien sidosryhmien, kuten ylimmän johdon ja tietosuojavastaavan, kanssa.
9.6. Analytics
Euroopan IT-sertifiointiinstituutti tekee rekisteröityjen oikeuksia koskevien pyyntöjen trendianalyysin tunnistaakseen pyyntöjen mallit ja perimmäiset syyt. Näitä tietoja käytetään parantamaan prosesseja ja menettelyjä tällaisten pyyntöjen hallitsemiseksi paremmin.
Osa 10. Prosessin seuranta ja tarkistaminen
Euroopan IT-sertifiointiinstituutti seuraa ja arvioi säännöllisesti prosessiaan rekisteröityjen oikeuksia koskevien pyyntöjen käsittelyssä varmistaakseen, että se pysyy tehokkaana ja GDPR:n mukaisena.
10.1. Suorittaa määräaikaistarkastuksia
Euroopan IT-sertifiointiinstituutti tarkastelee määräajoin rekisteröityjen oikeuksia koskevien pyyntöjen käsittelyprosessia ja GDPR-vaatimustenmukaisuuspolitiikkaa varmistaakseen, että se on tehokas ja tietosuojamääräysten mukainen. Nämä tarkastelut sisältävät analyysin vastaanotettujen pyyntöjen määrästä ja tyypistä, vastausten oikea-aikaisuudesta ja tehokkuudesta sekä mahdollisista parannuskohteista.
10.2. Parannusten toteuttaminen
Selvitysten tulosten perusteella Euroopan IT-sertifiointiinstituutti toteuttaa tarvittavat parannukset rekisteröityjen oikeuksien pyyntöjen käsittelyprosessiin. Tämä voi sisältää päivityksiä menettelyihin, henkilöstön lisäkoulutusta tai muutoksia tapaan, jolla pyynnöt tarkistetaan ja niihin vastataan.
10.3. Jatkuva vaatimustenmukaisuuden varmistaminen
Euroopan IT-sertifiointiinstituutti varmistaa tietosuojamääräysten jatkuvan noudattamisen tarkistamalla ja päivittämällä säännöllisesti toimintatapojaan ja menettelyjään asiaan liittyvien lakien ja määräysten muutosten mukaisesti.
10.4 Henkilökunnan suorituskyvyn seuranta
Euroopan IT-sertifiointiinstituutti seuraa henkilöstön suorituskykyä rekisteröityjen oikeuksia koskevien pyyntöjen käsittelyssä, mukaan lukien vastausten laatua ja oikea-aikaisuutta. Tämä voi sisältää määräaikaista koulutusta ja suoritusarviointia sen varmistamiseksi, että henkilökunta on asiantuntevaa ja pätevää tällä alalla.
10.5. Kommunikointi rekisteröityjen kanssa
Euroopan IT-sertifiointiinstituutti kommunikoi rekisteröityjen kanssa koko pyynnön käsittelyprosessin ajan varmistaakseen, että he ovat ajan tasalla edistymisestä ja kaikista asiaankuuluvista tiedoista. Tämä voi sisältää päivitysten toimittamista pyynnön tilasta tai lisätietojen pyytämistä tarvittaessa.
10.6. Rekisterin ylläpito
Euroopan IT-sertifiointiinstituutti säilyttää kirjaa tarkastuksistaan, mukaan lukien rekisteröidyn oikeuksien käsittelyprosessiin tehdyt muutokset sekä rekisteröidyiltä saamansa palautteet. Näitä tietoja voidaan käyttää tukemaan meneillään olevia vaatimustenmukaisuuspyrkimyksiä ja tunnistamaan alueita, joissa on parannettavaa.
Osa 11. Käsittelytoimintojen rekisterin luominen
European IT Certification Institute ylläpitää Processing Activity Record -rekisteriä, joka on asiakirja, joka kuvaa organisaation suorittamaa henkilötietojen käsittelyä. Se on EU:n yleisen tietosuoja-asetuksen (GDPR) edellyttämä, ja sen tarkoituksena on tukea tietojenkäsittelytoimintojen ymmärtämistä ja GDPR:n noudattamisen osoittamista.
11.1. ROPA-rakenne
ROPA sisältää perustiedot organisaation nimestä ja yhteystiedoista, tietojenkäsittelyn tarkoituksista, käsiteltävien henkilötietojen luokista, henkilötietojen vastaanottajista ja henkilötietojen säilytysajoista. Se sisältää myös tiedot kolmansista osapuolista, jotka käsittelevät henkilötietoja organisaation puolesta.
11.2. ROPA:n säännölliset päivitykset
ROPA päivitetään säännöllisesti ja on elävä dokumentti, joka heijastaa muutoksia Euroopan IT-sertifiointiinstituutin tietojenkäsittelytoiminnassa ja tukee luottamuksen rakentamista rekisteröityjen kanssa.
Euroopan IT-sertifiointiinstituutti on sitoutunut ylläpitämään korkeimpia standardeja koskien tietosuojapyyntöjen hallintaa ja yleistä tietosuoja-asetusta ja varmistamaan, että se noudattaa kaikkia näihin asioihin liittyviä soveltuvia lakeja ja määräyksiä sekä alan johtavia standardeja. ja parhaat käytännöt, mukaan lukien ISO 27701 -tietosuojatietojen hallintajärjestelmä.