Käsittelytoimintojen kirjaa
EITCA Academy Record of Processing Activity
European IT Certification Institute ylläpitää Processing Activity Record -rekisteriä, joka on asiakirja, joka kuvaa organisaation suorittamaa henkilötietojen käsittelyä. Se on EU:n yleisen tietosuoja-asetuksen (GDPR) edellyttämä, ja sen tarkoituksena on tukea tietojenkäsittelytoimintojen ymmärtämistä ja GDPR:n noudattamisen osoittamista.
ROPA sisältää perustiedot organisaation nimestä ja yhteystiedoista, tietojenkäsittelyn tarkoituksista, käsiteltävien henkilötietojen luokista, henkilötietojen vastaanottajista ja henkilötietojen säilytysajoista. Se sisältää myös tiedot kolmansista osapuolista, jotka käsittelevät henkilötietoja organisaation puolesta.
Euroopan IT-sertifiointiinstituutin ylläpitämä käsittelytoimintarekisteri on osa sen tietosuoja- ja GDPR-käytäntöä. ROPA päivitetään säännöllisesti, ja se on elävä dokumentti, joka heijastaa muutoksia Euroopan IT-sertifiointiinstituutin tietojenkäsittelytoiminnassa ja tukee luottamuksen rakentamista rekisteröityjen kanssa. Viimeisin päivitys EITCI:n käsittelytoimintoihin tehtiin 10. tammikuuta 2023.
1. Tietojen käsittelijä
1.1. Tietojen käsittelijän nimi
European Information Technologies Certificaiton Institute (lyhenne: EITCI)
1.2. Tietojen käsittelijän oikeudellinen tila
Voittoa tavoittelematon yhdistys (association sans but lucratif, ASBL) Belgiassa
1.3. Tietojen käsittelijän rekisteröintinumero
0807397811 Belgian KBO/BCE-rekisterissä
1.4. Tietojenkäsittelyn rooli
Sertifiointielin
1.5. Tietojen käsittelijä Rekisteröintipäivä
17th lokakuu 2008
1.6. Tietojen käsittelijän yhteystiedot
Euroopan IT-sertifiointiinstituutti
Avenue des Saisons 100-102
1050 Bryssel, Belgia
Puhelin: + 32 2 588 73 51
Sähköposti: info@eitci.org
1.7. Tietosuojavastaavan (DPO) yhteystiedot
Sähköposti: data.protection.officer@eitci.org
2. Henkilötietojen käsittelyn tarkoitus ja yksityiskohdat
2.1. Taitojen ja pätevyyden sertifiointi EITC/EITCA-sertifiointiohjelmissa
2.1.1. Henkilötietoja kerätty
Nimi, osoite, sähköpostiosoite, puhelinnumero, tehtävänimike, organisaation nimi, taitojen ja pätevyyden testaus ja arviointi, maksutiedot
2.1.2. Käsittelyn laillinen peruste
Sopimusvelvoite
2.1.3. Rekisteröityjen luokat
Asiakkaat, asiakkaiden työntekijät
2.1.4. Henkilötietojen vastaanottajat
Sisäinen henkilökunta, sääntelyelimet, isännöinti- ja pilvitietokeskusten operaattorit, asiakkaat, kolmannen osapuolen vero- ja tilitoimistot
2.2. Ratkaisujen, tuotteiden, palveluiden sertifiointi alan standardien mukaisiksi
2.2.1. Henkilötietoja kerätty
Nimi, osoite, sähköpostiosoite, puhelinnumero, tehtävänimike, organisaation nimi, maksutiedot, ratkaisun/tuotteen/palvelun tiedot
2.2.2. Käsittelyn laillinen peruste
Sopimusvelvoite
2.2.3. Rekisteröityjen luokat
Asiakkaat, asiakkaiden työntekijät
2.2.4. Henkilötietojen vastaanottajat
Sisäinen henkilökunta, sääntelyelimet, isännöinti- ja pilvitietokeskusten operaattorit, asiakkaat, kolmannen osapuolen vero- ja tilitoimistot
2.3. Sertifiointipalvelujen markkinointi ja edistäminen
2.3.1. Henkilötietoja kerätty
Nimi, osoite, sähköpostiosoite, puhelinnumero, tehtävänimike, organisaation nimi, ratkaisun/tuotteen/palvelun tiedot
2.3.2. Käsittelyn laillinen peruste
Suostumus
2.3.3. Rekisteröityjen luokat
Mahdolliset asiakkaat
2.3.4. Henkilötietojen vastaanottajat
Sisäinen henkilökunta, sääntelyelimet, isännöinti- ja pilvitietokeskusten operaattorit, kolmannen osapuolen markkinointiyritykset
2.4. Työntekijöiden johtaminen
2.3.1. Henkilötietoja kerätty
Nimi, osoite, sähköpostiosoite, puhelinnumero, tehtävänimike, palkkatiedot, suoritusarvioinnit, taitojen ja pätevyyden testaus ja arviointi
2.3.2. Käsittelyn laillinen peruste
Sopimusvelvoite
2.3.3. Rekisteröityjen luokat
Työntekijät
2.3.4. Henkilötietojen vastaanottajat
Sisäinen henkilökunta, sääntelyelimet, isännöinti- ja pilvitietokeskusten operaattorit, kolmannen osapuolen palkanlaskentayritykset, kolmannen osapuolen vero- ja kirjanpitoyritykset
3. Tiedonsiirrot
3.1. Henkilötietojen siirto datakeskuksiin (isännöinti, datapilvi) EU:n ulkopuolelle
Asianmukaiset suojatoimet: Vakiosopimuslausekkeet
3.2. Henkilötietojen siirto IT-, markkinointi-, vero- ja tilitoimistoille
Asianmukaiset suojatoimenpiteet: Käsittelijän sopimus vakiosopimuslausekkeilla
4. Säilytysajat
4.1. Sertifiointitiedot
Säilytetään 10 vuotta sertifioinnin päättymisen jälkeen.
4.2. Työntekijätiedot
Säilytetty 8 vuotta työsuhteen päättymisen jälkeen.
4.3. Markkinointitiedot
Säilytetään suostumuksen peruuttamiseen asti.
5. Turvatoimenpiteet
- Pääsyn valvonta henkilötietojärjestelmiin.
- Henkilötietojen salaus siirron aikana ja lepotilassa.
- Säännöllinen turvallisuustietoisuuskoulutus työntekijöille.
- Säännölliset turvallisuustarkastukset ja riskiarvioinnit.
- EITCI:n tietoturvapolitiikan noudattaminen.
6. Tarkista ja päivitä
Tämä tietojenkäsittelytoimintojen pöytäkirja tarkistetaan ja päivitetään säännöllisesti, myös aina, kun Euroopan IT-sertifiointiinstituutin tietojenkäsittelytoiminnoissa tapahtuu merkittäviä muutoksia.
Euroopan IT-sertifiointiinstituutti on sitoutunut ylläpitämään korkeimpia standardeja henkilötietojen suojan ja yleisen tietosuoja-asetuksen noudattamisen suhteen ja varmistamaan, että se noudattaa kaikkia näihin asioihin liittyviä soveltuvia lakeja ja määräyksiä sekä alan johtavia standardeja ja parhaita käytäntöjä, mukaan lukien ISO 27701 -tietosuojatietojen hallintajärjestelmä.