Käsittelytoimintojen kirjaa

EITCA Academy Record of Processing Activity

European IT Certification Institute ylläpitää Processing Activity Record -rekisteriä, joka on asiakirja, joka kuvaa organisaation suorittamaa henkilötietojen käsittelyä. Se on EU:n yleisen tietosuoja-asetuksen (GDPR) edellyttämä, ja sen tarkoituksena on tukea tietojenkäsittelytoimintojen ymmärtämistä ja GDPR:n noudattamisen osoittamista.

ROPA sisältää perustiedot organisaation nimestä ja yhteystiedoista, tietojenkäsittelyn tarkoituksista, käsiteltävien henkilötietojen luokista, henkilötietojen vastaanottajista ja henkilötietojen säilytysajoista. Se sisältää myös tiedot kolmansista osapuolista, jotka käsittelevät henkilötietoja organisaation puolesta.

Euroopan IT-sertifiointiinstituutin ylläpitämä käsittelytoimintarekisteri on osa sen tietosuoja- ja GDPR-käytäntöä. ROPA päivitetään säännöllisesti, ja se on elävä dokumentti, joka heijastaa muutoksia Euroopan IT-sertifiointiinstituutin tietojenkäsittelytoiminnassa ja tukee luottamuksen rakentamista rekisteröityjen kanssa. Viimeisin päivitys EITCI:n käsittelytoimintoihin tehtiin 10. tammikuuta 2023.

1. Tietojen käsittelijä

1.1. Tietojen käsittelijän nimi

European Information Technologies Certificaiton Institute (lyhenne: EITCI)

1.2. Tietojen käsittelijän oikeudellinen tila

Voittoa tavoittelematon yhdistys (association sans but lucratif, ASBL) Belgiassa

1.3. Tietojen käsittelijän rekisteröintinumero

0807397811 Belgian KBO/BCE-rekisterissä

1.4. Tietojenkäsittelyn rooli

Sertifiointielin

1.5. Tietojen käsittelijä Rekisteröintipäivä

17th lokakuu 2008

1.6. Tietojen käsittelijän yhteystiedot

Euroopan IT-sertifiointiinstituutti
Avenue des Saisons 100-102
1050 Bryssel, Belgia
Puhelin: + 32 2 588 73 51
Sähköposti: [sähköposti suojattu]

1.7. Tietosuojavastaavan (DPO) yhteystiedot

Sähköposti: [sähköposti suojattu]

2. Henkilötietojen käsittelyn tarkoitus ja yksityiskohdat

2.1. Taitojen ja pätevyyden sertifiointi EITC/EITCA-sertifiointiohjelmissa

2.1.1. Henkilötietoja kerätty

Nimi, osoite, sähköpostiosoite, puhelinnumero, tehtävänimike, organisaation nimi, taitojen ja pätevyyden testaus ja arviointi, maksutiedot

2.1.2. Käsittelyn laillinen peruste

Sopimusvelvoite

2.1.3. Rekisteröityjen luokat

Asiakkaat, asiakkaiden työntekijät

2.1.4. Henkilötietojen vastaanottajat

Sisäinen henkilökunta, sääntelyelimet, isännöinti- ja pilvitietokeskusten operaattorit, asiakkaat, kolmannen osapuolen vero- ja tilitoimistot

2.2. Ratkaisujen, tuotteiden, palveluiden sertifiointi alan standardien mukaisiksi

2.2.1. Henkilötietoja kerätty

Nimi, osoite, sähköpostiosoite, puhelinnumero, tehtävänimike, organisaation nimi, maksutiedot, ratkaisun/tuotteen/palvelun tiedot

2.2.2. Käsittelyn laillinen peruste

Sopimusvelvoite

2.2.3. Rekisteröityjen luokat

Asiakkaat, asiakkaiden työntekijät

2.2.4. Henkilötietojen vastaanottajat

Sisäinen henkilökunta, sääntelyelimet, isännöinti- ja pilvitietokeskusten operaattorit, asiakkaat, kolmannen osapuolen vero- ja tilitoimistot

2.3. Sertifiointipalvelujen markkinointi ja edistäminen

2.3.1. Henkilötietoja kerätty

Nimi, osoite, sähköpostiosoite, puhelinnumero, tehtävänimike, organisaation nimi, ratkaisun/tuotteen/palvelun tiedot

2.3.2. Käsittelyn laillinen peruste

Suostumus

2.3.3. Rekisteröityjen luokat

Mahdolliset asiakkaat

2.3.4. Henkilötietojen vastaanottajat

Sisäinen henkilökunta, sääntelyelimet, isännöinti- ja pilvitietokeskusten operaattorit, kolmannen osapuolen markkinointiyritykset

2.4. Työntekijöiden johtaminen

2.3.1. Henkilötietoja kerätty

Nimi, osoite, sähköpostiosoite, puhelinnumero, tehtävänimike, palkkatiedot, suoritusarvioinnit, taitojen ja pätevyyden testaus ja arviointi

2.3.2. Käsittelyn laillinen peruste

Sopimusvelvoite

2.3.3. Rekisteröityjen luokat

Työntekijät

2.3.4. Henkilötietojen vastaanottajat

Sisäinen henkilökunta, sääntelyelimet, isännöinti- ja pilvitietokeskusten operaattorit, kolmannen osapuolen palkanlaskentayritykset, kolmannen osapuolen vero- ja kirjanpitoyritykset

3. Tiedonsiirrot

3.1. Henkilötietojen siirto datakeskuksiin (isännöinti, datapilvi) EU:n ulkopuolelle

Asianmukaiset suojatoimet: Vakiosopimuslausekkeet

3.2. Henkilötietojen siirto IT-, markkinointi-, vero- ja tilitoimistoille

Asianmukaiset suojatoimenpiteet: Käsittelijän sopimus vakiosopimuslausekkeilla

4. Säilytysajat

4.1. Sertifiointitiedot

Säilytetään 10 vuotta sertifioinnin päättymisen jälkeen.

4.2. Työntekijätiedot

Säilytetty 8 vuotta työsuhteen päättymisen jälkeen.

4.3. Markkinointitiedot

Säilytetään suostumuksen peruuttamiseen asti.

5. Turvatoimenpiteet

  • Pääsyn valvonta henkilötietojärjestelmiin.
  • Henkilötietojen salaus siirron aikana ja lepotilassa.
  • Säännöllinen turvallisuustietoisuuskoulutus työntekijöille.
  • Säännölliset turvallisuustarkastukset ja riskiarvioinnit.
  • EITCI:n tietoturvapolitiikan noudattaminen.

6. Tarkista ja päivitä

Tämä tietojenkäsittelytoimintojen pöytäkirja tarkistetaan ja päivitetään säännöllisesti, myös aina, kun Euroopan IT-sertifiointiinstituutin tietojenkäsittelytoiminnoissa tapahtuu merkittäviä muutoksia.

Euroopan IT-sertifiointiinstituutti on sitoutunut ylläpitämään korkeimpia standardeja henkilötietojen suojan ja yleisen tietosuoja-asetuksen noudattamisen suhteen ja varmistamaan, että se noudattaa kaikkia näihin asioihin liittyviä soveltuvia lakeja ja määräyksiä sekä alan johtavia standardeja ja parhaita käytäntöjä, mukaan lukien ISO 27701 -tietosuojatietojen hallintajärjestelmä.