DSRRM un GDPR politika
EITCA akadēmijas politika par datu subjektu tiesību pieprasījumu pārvaldību un Vispārīgā datu aizsardzības regula
Šis dokuments precizē Eiropas IT sertifikācijas institūta politiku par datu subjektu tiesību pieprasījumu pārvaldību, kā arī ES Vispārīgās datu aizsardzības regulas ieviešanu, kas tiek regulāri pārskatīta un atjaunināta, lai nodrošinātu tās efektivitāti un atbilstību. Pēdējais EITCI datu subjektu tiesību pieprasījumu pārvaldības un GDPR politikas atjauninājums tika veikts 10. gada 2023. janvārī. Mūsu datu subjektu tiesību pieprasījumu pārvaldības un VDAR politika ir balstīta uz ISO 27701 Privātuma informācijas pārvaldības sistēmas paplašinājuma ISO 27001 informācijas drošības principiem. Sistēmas standarts, kā arī uz Vispārīgās datu aizsardzības regulas (2016/679) prasībām.
1. daļa. Ievads
Datu subjektu tiesību pieprasījumu pārvaldība ir būtiska daļa, lai nodrošinātu atbilstību datu aizsardzības noteikumiem, proti, GDPR (ES Vispārīgā datu aizsardzības regula). Eiropas IT sertifikācijas institūts noteica šādas formālās procedūras datu subjektu tiesību pieprasījumu pārvaldībai un GDPR prasību ieviešanai:
1.1. Datu subjektu tiesību pieprasījumu apstrādes procesa izveide
Šajā procesā ir izklāstītas darbības, kuras Eiropas IT sertifikācijas institūts veic, apstrādājot datu subjekta tiesību pieprasījumus, tostarp datu subjekta identifikāciju un autentifikāciju, datu subjekta pieprasījuma pārbaudi un atbildi uz pieprasījumu.
1.2. Datu aizsardzības inspektora (DPO) iecelšana
Eiropas IT sertifikācijas institūts ieceļ DAI, kas ir atbildīgs par datu subjektu tiesību pieprasījumu pārraudzību, tostarp par pieprasījumu izskatīšanu, atbildēm uz pieprasījumiem un datu aizsardzības noteikumu ievērošanas nodrošināšanu.
1.3. Atjauninātas personas datu uzskaites uzturēšana
Eiropas IT sertifikācijas institūts uztur atjauninātu uzskaiti par tā rīcībā esošajiem personas datiem un mērķiem, kādiem tie tiek apstrādāti. Tas ļaus Eiropas IT sertifikācijas institūtam ātri un precīzi atbildēt uz datu subjekta tiesību pieprasījumiem.
1.4. Skaidras un kodolīgas informācijas sniegšana datu subjektiem
Vācot personas datus, Eiropas IT sertifikācijas institūts sniedz skaidru un kodolīgu informāciju datu subjektiem par viņu tiesībām, tostarp tiesībām piekļūt saviem personas datiem, tos labot, dzēst un iebilst pret to apstrādi.
1.5. Standarta reakcijas laika noteikšana
Eiropas IT sertifikācijas institūts uztur standarta atbildes laiku datu subjektu tiesību pieprasījumiem un nodrošina, ka uz pieprasījumiem tiek atbildēts šajā termiņā.
1.6. Datu subjekta identitātes pārbaude
Eiropas IT sertifikācijas institūts pārbauda datu subjekta identitāti, kas iesniedz pieprasījumu, lai nodrošinātu, ka personas dati tiek sniegti tikai pareizajai personai.
1.7. Ātra atbilde uz datu subjekta tiesību pieprasījumiem
Eiropas IT sertifikācijas institūts nekavējoties atbild uz datu subjekta tiesību pieprasījumiem un sniedz datu subjektam viņa pieprasīto informāciju.
1.8. Datu subjektu tiesību pieprasījumu dokumentēšana
Eiropas IT sertifikācijas institūts uztur datu subjektu tiesību pieprasījumu uzskaiti, tostarp pieprasījuma datumu, pieprasījuma veidu un atbildi uz pieprasījumu.
1.9. Procesa uzraudzība un pārskatīšana
Eiropas IT sertifikācijas institūts regulāri uzrauga un pārskata datu subjektu tiesību pieprasījumu apstrādes procesu, lai nodrošinātu, ka tas joprojām ir efektīvs un atbilst attiecīgajiem datu aizsardzības noteikumiem.
1.10. Apstrādes darbību uzskaites izveide
Eiropas IT sertifikācijas institūts uztur apstrādes darbību uzskaiti, kas ir dokuments, kas raksturo organizācijas veikto personas datu apstrādi. Tas ir nepieciešams saskaņā ar ES Vispārīgo datu aizsardzības regulu (VDAR), un tas ir paredzēts, lai atbalstītu izpratni par datu apstrādes darbībām un pierādītu atbilstību GDPR.
Ievērojot šīs formālas un procedūras, Eiropas IT sertifikācijas institūts var efektīvi pārvaldīt datu subjektu tiesību pieprasījumus un nodrošināt atbilstību datu aizsardzības noteikumiem, tostarp Vispārīgajai datu aizsardzības regulai Eiropas Savienībā.
2. daļa. Datu subjektu tiesību pieprasījumu apstrādes procesa noteikšana
Šajā procesā ir izklāstītas darbības, kuras Eiropas IT sertifikācijas institūts veic, apstrādājot datu subjekta tiesību pieprasījumus, tostarp datu subjekta identifikāciju un autentifikāciju, datu subjekta pieprasījuma pārbaudi un atbildi uz pieprasījumu:
2.1. Datu subjekta identificēšana un autentifikācija
Eiropas IT sertifikācijas institūts uztur procesu, lai pārbaudītu tā datu subjekta identitāti, kas iesniedz pieprasījumu. Tas var ietvert valsts izdota identifikācijas dokumenta pieprasīšanu, esošo ierakstu pārbaudi vai citu autentifikācijas metožu izmantošanu.
2.2. Datu subjekta pieprasījuma pārbaude
Kad datu subjekta identitāte ir noskaidrota, Eiropas IT sertifikācijas institūtam ir jāpārbauda, vai pieprasījums ir derīgs un attiecas uz datu subjekta personas datiem. Pieprasījumā jāiekļauj arī konkrētās izmantotās tiesības, piemēram, tiesības piekļūt personas datiem, tos labot vai dzēst.
2.3. Atbildot uz pieprasījumu
Eiropas IT sertifikācijas institūtam ir jāsniedz atbilde uz datu subjekta pieprasījumu attiecīgajos datu aizsardzības likumos noteiktajā termiņā, bet ne ilgāk kā 30 dienu laikā. Atbildē jāiekļauj paskaidrojums par to, vai pieprasījums ir apmierināts vai noraidīts, un lēmuma iemesli.
2.4. Pieprasījuma un atbildes dokumentēšana
Eiropas IT sertifikācijas institūts reģistrē visus datu subjektu tiesību pieprasījumus un atbildes. Tas palīdz nodrošināt atbilstību attiecīgajiem datu aizsardzības likumiem, kā arī atvieglo turpmākas revīzijas vai izmeklēšanas.
2.5. Attiecīgo darbinieku apmācība
Eiropas IT sertifikācijas institūts nodrošinās apmācību darbiniekiem, kas ir atbildīgi par datu subjektu tiesību pieprasījumu apstrādi, lai nodrošinātu, ka viņi ir iepazinušies ar attiecīgajiem datu aizsardzības tiesību aktiem un Eiropas IT sertifikācijas institūta procedūrām šādu pieprasījumu apstrādei.
2.6. Procesa uzraudzība un pārskatīšana
Eiropas IT sertifikācijas institūts regulāri uzrauga un pārskata datu subjektu tiesību pieprasījumu apstrādes procesu, lai nodrošinātu, ka tas joprojām ir efektīvs un atbilst attiecīgajiem datu aizsardzības tiesību aktiem. Par visām problēmām vai incidentiem tiek ziņots un tie tiek risināti savlaicīgi.
3. daļa. Datu aizsardzības inspektora (DPO) iecelšana
Eiropas IT sertifikācijas institūts ieceļ DAI, kas ir atbildīgs par datu subjektu tiesību pieprasījumu pārraudzību, tostarp par pieprasījumu izskatīšanu, atbildēm uz pieprasījumiem un datu aizsardzības noteikumu ievērošanas nodrošināšanu.
3.1. DAI iecelšana
Eiropas IT sertifikācijas institūts ieceļ datu aizsardzības inspektoru (DPO), kas pārrauga datu subjektu tiesību pieprasījumu pārvaldību un nodrošina datu aizsardzības noteikumu ievērošanu. DAI būs atbildīgs par pieprasījumu izskatīšanu un nodrošinās, ka Eiropas IT sertifikācijas institūts pilda savas juridiskās saistības attiecībā uz datu aizsardzību.
3.2. DAI kompetences prasības
DAI ir jābūt ekspertu zināšanām par datu aizsardzības tiesību aktiem un praksi, un tam ir jābūt nodrošinātam ar nepieciešamajiem resursiem, lai pildītu savus pienākumus. Viņiem jābūt tiešai piekļuvei augstākajai vadībai un jāatskaitās organizācijas augstākajam vadības līmenim.
3.3. DPO pienākumi
DAI pienākumos ietilpst, bet ne tikai, šādi:
- Norādījumu un konsultāciju sniegšana Eiropas IT sertifikācijas institūtam datu aizsardzības jautājumos, tostarp datu subjekta tiesību pieprasījumu pārvaldībā.
- Eiropas IT sertifikācijas institūta atbilstības datu aizsardzības noteikumiem un iekšējās politikas un procedūru uzraudzība.
- Atbildēšana uz datu subjektu jautājumiem un sūdzībām par viņu tiesībām saskaņā ar datu aizsardzības noteikumiem.
- Saskaņošana ar citiem departamentiem, lai nodrošinātu datu aizsardzības prasību ievērošanu visā organizācijā.
- Eiropas IT sertifikācijas institūta datu aizsardzības prakses periodisku pārskatu un novērtējumu veikšana un ieteikumu sniegšana uzlabojumiem.
- Darbojas kā kontaktpunkts datu aizsardzības iestādēm un sadarbojas ar tām izmeklēšanas vai audita gadījumā.
- DAI ir iesaistīts arī Eiropas IT sertifikācijas institūta politikas un procedūru izstrādē un ieviešanā saistībā ar datu aizsardzību, tostarp to, kas saistītas ar datu subjektu tiesību pieprasījumu apstrādi.
3.4. DPO apmācība un kvalifikācijas celšana
Eiropas IT sertifikācijas institūtam būtu jānodrošina, ka DAI ir atbilstoši apmācīts par datu aizsardzības noteikumiem un tiek informēts par jebkādām izmaiņām vai atjauninājumiem šajos noteikumos.
3.5. DAI kontaktinformācija
DAI kontaktinformācijai jābūt pieejamai datu subjektiem un jāiekļauj Eiropas IT sertifikācijas institūta paziņojumā par konfidencialitāti vai politikā.
4.daļa. Personas datu aktuālās uzskaites uzturēšana
Eiropas IT sertifikācijas institūts uztur atjauninātu uzskaiti par tā rīcībā esošajiem personas datiem un mērķiem, kādiem tie tiek apstrādāti. Tas ļaus Eiropas IT sertifikācijas institūtam ātri un precīzi atbildēt uz datu subjekta tiesību pieprasījumiem.
4.1. Personas datu identificēšanas un reģistrēšanas procesa izveide
Eiropas IT sertifikācijas institūts izveido skaidru un standartizētu procesu, lai identificētu un reģistrētu personas datus, tostarp datu subjekta vārdu, kontaktinformāciju un jebkuru citu būtisku informāciju. Šis process nodrošina, ka personas dati tiek vākti tikai konkrētiem un likumīgiem mērķiem.
4.2. Personas datu klasificēšana kategorijās
Eiropas IT sertifikācijas institūts iedala personas datus kategorijās, lai atvieglotu to izsekošanu un pārvaldību. Tas ietver datu klasificēšanu pēc veida, piemēram, kontaktinformāciju, norēķinu informāciju, kompetenci un kvalifikāciju, finanšu informāciju vai nodarbinātības vēsturi.
4.3. Datu pārvaldības sistēmas ieviešana
Eiropas IT sertifikācijas institūts ievieš datu pārvaldības sistēmu, lai palīdzētu nodrošināt, ka personas dati ir precīzi, atjaunināti un pieejami. Datu pārvaldības sistēmā ir iekļauta datubāze, kurā var veikt meklēšanu un veikt vaicājumus, lai palīdzētu atbildēt uz datu subjekta tiesību pieprasījumiem.
4.4. Uzdot atbildību par personas datu uzskaiti
Eiropas IT sertifikācijas institūtam atbildība par personas datu uzskaiti būtu jāuztic konkrētām personām vai departamentiem. Tas nodrošinās, ka ieraksts tiek atjaunināts un precīzs.
4.5. Regulāri pārskatīt un atjaunināt personas datu ierakstu
Eiropas IT sertifikācijas institūtam būtu regulāri jāpārskata un jāatjaunina personas datu ieraksts, lai nodrošinātu, ka tie joprojām ir precīzi un atjaunināti. To var izdarīt, veicot periodiskas revīzijas vai nepārtrauktu uzraudzības procesu.
4.6. Ieviesiet atbilstošus drošības pasākumus
Eiropas IT sertifikācijas institūts īsteno atbilstošus drošības pasākumus, lai aizsargātu tā rīcībā esošos personas datus, tostarp pasākumus, lai novērstu nesankcionētu piekļuvi, nejaušu personas datu nozaudēšanu vai iznīcināšanu, kā daļu no organizācijas Informācijas drošības politikas (ISP). Tas ietver, piemēram, šifrēšanu, ugunsmūrus un piekļuves vadīklas. Detalizēta datu aizsardzības procesu un pasākumu specifikācija ir ietverta īpašā Eiropas IT sertifikācijas institūta Informācijas drošības politikā.
5. daļa. Skaidras un kodolīgas informācijas sniegšana datu subjektiem
Vācot personas datus, Eiropas IT sertifikācijas institūts sniedz skaidru un kodolīgu informāciju datu subjektiem par viņu tiesībām, tostarp tiesībām piekļūt saviem personas datiem, tos labot, dzēst un iebilst pret to apstrādi.
5.1. Pārredzamība
Eiropas IT sertifikācijas institūts ir pārredzams personas datu apstrādē un sniedz īsu informāciju datu subjektiem par to, kā viņu dati tiek izmantoti, apstrādāti un uzglabāti.
5.2. Privātuma politika
Eiropas IT sertifikācijas institūtam ir detalizēta privātuma politika, kurā ir izklāstītas tā datu apstrādes darbības, tostarp tas, kā datu subjekti var īstenot savas datu subjekta tiesības.
5.3. Piekļuves tiesības
Datu subjektiem ir tiesības pieprasīt piekļuvi personas datiem, ko par tiem glabā Eiropas IT sertifikācijas institūts. Eiropas IT sertifikācijas institūts sniedz skaidru un kodolīgu informāciju datu subjektiem par to, kā iesniegt piekļuves pieprasījumu, kāda informācija būs nepieciešama, lai pārbaudītu viņu identitāti un cik ilgā laikā Eiropas IT sertifikācijas institūts atbildēs uz pieprasījumu.
5.4. Tiesības labot
Datu subjektiem ir tiesības pieprasīt, lai Eiropas IT sertifikācijas institūts izlabo visus tā rīcībā esošos neprecīzos vai nepilnīgos personas datus. Eiropas IT sertifikācijas institūts sniedz skaidru un kodolīgu informāciju datu subjektiem par to, kā iesniegt pieprasījumu veikt labojumus, kāda informācija būs nepieciešama, lai pārbaudītu viņu identitāti un cik ilgā laikā Eiropas IT sertifikācijas institūts atbildēs uz pieprasījumu.
5.5. Tiesības dzēst
Datu subjektiem noteiktos apstākļos ir tiesības pieprasīt, lai Eiropas IT sertifikācijas institūts dzēstu viņu personas datus. Eiropas IT sertifikācijas institūts sniedz skaidru un kodolīgu informāciju datu subjektiem par to, kā iesniegt datu dzēšanas pieprasījumu, kāda informācija būs nepieciešama, lai pārbaudītu viņu identitāti un cik ilgā laikā Eiropas IT sertifikācijas institūts atbildēs uz pieprasījumu.
5.6. Tiesības iebilst
Datu subjektiem noteiktos apstākļos ir tiesības iebilst pret savu personas datu apstrādi. Eiropas IT sertifikācijas institūts sniedz skaidru un kodolīgu informāciju datu subjektiem par to, kā iesniegt pieprasījumu iebilst, kāda informācija būs nepieciešama, lai pārbaudītu viņu identitāti un cik ilgā laikā Eiropas IT sertifikācijas institūts atbildēs uz pieprasījumu.
5.7. Kontaktinformācija
Eiropas IT sertifikācijas institūts sniedz skaidru un kodolīgu kontaktinformāciju datu subjektiem, ko izmantot, ja viņiem ir jautājumi vai bažas par to, kā tiek apstrādāti viņu personas dati.
6. daļa. Standarta reakcijas laika noteikšana
Eiropas IT sertifikācijas institūts noteica standarta atbildes laiku datu subjektu tiesību pieprasījumiem un nodrošina, ka uz pieprasījumiem tiek atbildēts šajā termiņā.
6.1. Standarta reakcijas laiks
Eiropas IT sertifikācijas institūts nosaka standarta atbildes laiku 30 dienu datu subjekta tiesību pieprasījumiem. Standarta atbildes laiks nosaka maksimālo apstrādes un atbildes termiņu, un lielākā daļa pieprasījumu tiek apstrādāti un atbildēti īsākā laikā.
6.2. Pieprasīt saņemšanas apstiprinājuma laiku
Saņemot datu subjekta tiesību pieprasījumu, DAI vai citi darbinieki 5 darbdienu laikā apstiprina pieprasījuma saņemšanu un sniedz datu subjektam paredzamo atbildes sniegšanas termiņu.
6.3. Standarta reakcijas laika izcili pagarinājumi
Eiropas IT sertifikācijas institūts pieliks saprātīgas pūles, lai atbildētu uz datu subjekta tiesību pieprasījumiem noteiktajā standarta atbildes laikā. Tomēr, ja pieprasījums ir sarežģīts vai ja Eiropas IT sertifikācijas institūts saņem lielu pieprasījumu skaitu, atbildes laiks var tikt pagarināts. Šādos gadījumos DAI informēs datu subjektu par pagarinājumu un kavēšanās iemeslu.
6.4. Atteikums izpildīt datu subjekta tiesību pieprasījumu
Ja Eiropas IT sertifikācijas institūts nevar izpildīt datu subjekta tiesību pieprasījumu, tas sniegs datu subjektam paskaidrojumu par atteikumu un informēs viņu par tiesībām iesniegt sūdzību attiecīgajai uzraudzības iestādei.
6.5. Datu subjektu tiesību pieprasījumu un atbilžu ieraksti
Eiropas IT sertifikācijas institūts veiks precīzu datu subjekta tiesību pieprasījumu un atbilžu uzskaiti, tostarp pieprasījuma saņemšanas datumu, pieprasījuma veidu un atbildes datumu un veidu.
6.6. Periodiskas apskates
DAI periodiski pārskatīs Eiropas IT sertifikācijas institūta atbildes laikus un vajadzības gadījumā tos atjauninās, lai nodrošinātu atbilstību piemērojamajiem datu aizsardzības noteikumiem.
7. daļa. Datu subjekta identitātes pārbaude
7.1. Identitātes verifikācijas prasība
Eiropas IT sertifikācijas institūtam ir jāpārbauda tā datu subjekta identitāte, kas iesniedz pieprasījumu, lai nodrošinātu, ka personas dati tiek sniegti tikai pareizajai personai.
7.2. Identitātes pārbaudes līdzekļi un metodes
Kad datu subjekts iesniedz pieprasījumu īstenot savas tiesības saskaņā ar datu aizsardzības tiesību aktiem, Eiropas IT sertifikācijas institūtam ir jāpārbauda datu subjekta identitāte, izmantojot atbilstošus pasākumus, piemēram, pieprasot identifikācijas dokumentus.
7.3. Pilnvaras turētāja identitātes pārbaude
Ja datu subjekts pieprasījumu iesniedz kādas citas personas vārdā, Eiropas IT sertifikācijas institūtam ir jāpārbauda gan datu subjekta, gan tās personas identitāte, kuras vārdā tiek iesniegts pieprasījums.
7.4. Identitātes pārbaudes šaubas
Ja Eiropas IT sertifikācijas institūtam ir šaubas par datu subjekta identitāti vai pieprasījuma pamatotību, tas var pieprasīt papildu informāciju vai veikt citus atbilstošus pasākumus, lai pārbaudītu datu subjekta identitāti.
7.5. Identitātes pārbaudes ieraksti
Eiropas IT sertifikācijas institūtam būtu jāreģistrē verifikācijas process un pasākumi, kas veikti, lai pārbaudītu datu subjekta identitāti. Šis ieraksts ir jāglabā saprātīgu laiku un jāizmanto, lai pierādītu atbilstību datu aizsardzības tiesību aktiem.
8. daļa. Ātra atbilde uz datu subjekta tiesību pieprasījumiem
8.1. Ātra atbilde
Eiropas IT sertifikācijas institūts nekavējoties atbild uz datu subjekta tiesību pieprasījumiem un sniedz datu subjektam viņa pieprasīto informāciju.
8.2. Pieprasiet saņemšanas apstiprinājumu
Eiropas IT sertifikācijas institūts apstiprina datu subjekta pieprasījuma saņemšanu pēc iespējas ātrāk, ideālā gadījumā 5 darba dienu laikā.
8.3. Pieprasīt pārskatīšanu
Izraudzītajam DAI ir jāpārskata pieprasījums, lai pārliecinātos, ka tas atbilst nepieciešamajām prasībām un ka ir sniegta visa vajadzīgā informācija.
8.4. Datu subjekta identitātes pārbaude
Eiropas IT sertifikācijas institūts pārbauda datu subjekta identitāti, kas iesniedz pieprasījumu, lai nodrošinātu, ka personas dati tiek sniegti tikai pareizajai personai.
8.5. Nepieciešamības gadījumā iegūt papildu informāciju
Ja pieprasījums ir neskaidrs vai nepietiekams, Eiropas IT sertifikācijas institūtam ir jāsazinās ar datu subjektu, lai iegūtu papildu informāciju.
8.5. Attiecīgo datu izgūšana
Eiropas IT sertifikācijas institūts izgūst attiecīgos personas datus un pārskata tos, lai pārliecinātos, ka tie ir precīzi un atjaunināti.
8.6. Pieprasītās informācijas sniegšana
Eiropas IT sertifikācijas institūts sniedz datu subjektam viņa pieprasīto informāciju, tostarp viņa personas datu kopiju plaši izmantotā elektroniskā formātā, ja vien nav pieprasīts citādi.
8.7. Informēt datu subjektu par viņa tiesībām
Eiropas IT sertifikācijas institūts informē datu subjektu par citām viņa tiesībām, piemēram, tiesībām labot vai dzēst savus personas datus, un sniedz viņam nepieciešamos norādījumus.
8.8. Reakcijas laika ievērošana
Eiropas IT sertifikācijas institūts atbild uz datu subjektu tiesību pieprasījumiem noteiktajā atbildes laikā, nodrošinot, ka tiek veiktas nepieciešamās darbības, lai izpildītu pieprasījumu.
8.9. Atbildes dokumentēšana
Eiropas IT sertifikācijas institūts dokumentē atbildi uz datu subjekta tiesību pieprasījumu, tostarp visas veiktās darbības un atbildes laiku, lai nodrošinātu, ka to var pārbaudīt un izsekot atbilstības nolūkos.
8.10. Paziņojot datu subjektam par jebkādām izmaiņām
Ja datu subjekta personas datos tiek veiktas jebkādas izmaiņas viņa pieprasījuma rezultātā, Eiropas IT sertifikācijas institūts informē datu subjektu par šīm izmaiņām.
9. daļa. Datu subjektu tiesību pieprasījumu dokumentēšana
Eiropas IT sertifikācijas institūts uztur datu subjektu tiesību pieprasījumu uzskaiti, tostarp pieprasījuma datumu, pieprasījuma veidu un atbildi uz pieprasījumu. Datu subjektu tiesību pieprasījumu dokumentēšana ietver šādus aspektus:
9.1. Reģistra uzturēšana
Eiropas IT sertifikācijas institūts uztur reģistru, kurā apkopoti visi saņemtie datu subjekta tiesību pieprasījumi. Šajā reģistrā jāiekļauj šāda informācija:
- Pieprasījuma datums
- Datu subjekta vārds un kontaktinformācija
- Pieprasījuma apraksts
- Darbības, kas veiktas, atbildot uz pieprasījumu
- Jebkura papildu informācija, kas nepieciešama pieprasījuma apstrādei
9.2. Standartizēts dokumentācijas process
Eiropas IT sertifikācijas institūts vada standartizētu procesu datu subjektu tiesību pieprasījumu dokumentēšanai, lai nodrošinātu iegūtās informācijas konsekvenci un precizitāti.
9.3. Uzglabāšanas periods
Eiropas IT sertifikācijas institūts šos ierakstus glabā saprātīgu laika periodu, ko nosaka piemērojamie tiesību akti un noteikumi, ne mazāk kā 2 gadus.
9.4. Konfidencialitātes saglabāšana
Eiropas IT sertifikācijas institūts nodrošina, ka datu subjekta tiesību pieprasījumu ieraksti ir pieejami tikai pilnvarotam personālam, kam, pildot savus pienākumus, ir nepieciešama piekļuve šādai informācijai. Tā arī īsteno tehniskos un organizatoriskos pasākumus, lai novērstu nesankcionētu piekļuvi, izpaušanu, grozīšanu vai iznīcināšanu personas datiem, kas ietverti datu subjekta tiesību pieprasījumu ierakstos.
9.5. Ziņošana
Eiropas IT sertifikācijas institūts periodiski ģenerē ziņojumus par saņemtajiem, apstrādātajiem un neapmaksātajiem datu subjektu tiesību pieprasījumiem. Šie ziņojumi tiek kopīgoti ar attiecīgajām ieinteresētajām personām, tostarp augstāko vadību un DAI.
9.6. Analytics
Eiropas IT sertifikācijas institūts veic datu subjektu tiesību pieprasījumu tendenču analīzi, lai noteiktu pieprasījumu modeļus un pamatcēloņus. Šī informācija tiek izmantota, lai uzlabotu procesus un procedūras, lai labāk pārvaldītu šādus pieprasījumus.
10. daļa. Procesa uzraudzība un pārskatīšana
Eiropas IT sertifikācijas institūts regulāri uzrauga un pārskata datu subjektu tiesību pieprasījumu apstrādes procesu, lai nodrošinātu, ka tas joprojām ir efektīvs un atbilst GDPR.
10.1. Periodisku pārskatu veikšana
Eiropas IT sertifikācijas institūts periodiski pārskata savu datu subjektu tiesību pieprasījumu apstrādes procesu un GDPR atbilstības politiku, lai nodrošinātu, ka tas ir efektīvs un atbilst datu aizsardzības noteikumiem. Šie pārskati ietver saņemto pieprasījumu skaita un veida analīzi, atbilžu savlaicīgumu un efektivitāti, kā arī visas jomas, kurās ir nepieciešami uzlabojumi.
10.2. Uzlabojumu ieviešana
Pamatojoties uz pārbaužu rezultātiem, Eiropas IT sertifikācijas institūts ievieš visus nepieciešamos uzlabojumus datu subjekta tiesību pieprasījumu apstrādes procesā. Tas var ietvert procedūru atjauninājumus, personāla papildu apmācību vai izmaiņas veidā, kā tiek pārbaudīti pieprasījumi un uz tiem tiek atbildēts.
10.3. Pastāvīgas atbilstības nodrošināšana
Eiropas IT sertifikācijas institūts nodrošina pastāvīgu datu aizsardzības noteikumu ievērošanu, regulāri pārskatot un atjauninot savas politikas un procedūras atbilstoši izmaiņām attiecīgajos likumos un noteikumos.
10.4. Personāla darbības uzraudzība
Eiropas IT sertifikācijas institūts uzrauga darbinieku sniegumu saistībā ar datu subjektu tiesību pieprasījumu apstrādi, tostarp atbilžu kvalitāti un savlaicīgumu. Tas var ietvert periodisku apmācību un darbības pārskatus, lai nodrošinātu, ka darbinieki ir zinoši un kompetenti šajā jomā.
10.5. Saziņa ar datu subjektiem
Eiropas IT sertifikācijas institūts sazinās ar datu subjektiem visa pieprasījuma apstrādes procesa laikā, lai nodrošinātu, ka viņi tiek informēti par norisi un visu attiecīgo informāciju. Tas var ietvert jaunāko informāciju par pieprasījuma statusu vai papildu informācijas pieprasīšanu pēc vajadzības.
10.6. Uzskaites uzturēšana
Eiropas IT sertifikācijas institūts reģistrē savus pārskatus, tostarp visas izmaiņas, kas veiktas tā datu subjekta tiesību pieprasījumu apstrādes procesā, kā arī visas atsauksmes, kas saņemtas no datu subjektiem. Šo informāciju var izmantot, lai atbalstītu pastāvīgos atbilstības centienus un noteiktu jomas, kurās nepieciešami turpmāki uzlabojumi.
11. daļa. Apstrādes darbību uzskaites izveide
Eiropas IT sertifikācijas institūts uztur apstrādes darbību uzskaiti, kas ir dokuments, kas raksturo organizācijas veikto personas datu apstrādi. Tas ir nepieciešams saskaņā ar ES Vispārīgo datu aizsardzības regulu (VDAR), un tas ir paredzēts, lai atbalstītu izpratni par datu apstrādes darbībām un pierādītu atbilstību GDPR.
11.1. ROPA struktūra
ROPA ietver pamatinformāciju par organizācijas nosaukumu un kontaktinformāciju, datu apstrādes mērķiem, apstrādāto personas datu kategorijām, personas datu saņēmējiem un personas datu glabāšanas termiņiem. Tajā ir iekļauta arī informācija par jebkuru trešo personu apstrādātāju, kas apstrādā personas datus organizācijas vārdā.
11.2. ROPA regulāri atjauninājumi
ROPA tiek regulāri atjaunināta un ir dzīvs dokuments, kas atspoguļo izmaiņas Eiropas IT sertifikācijas institūta datu apstrādes darbībās, atbalstot datu subjektu uzticības veidošanu.
Eiropas IT sertifikācijas institūts ir apņēmies uzturēt visaugstākos standartus attiecībā uz savu datu subjektu tiesību pieprasījumu pārvaldības un vispārīgās datu aizsardzības regulas politiku, nodrošinot atbilstību visiem piemērojamajiem tiesību aktiem un noteikumiem, kas saistīti ar šiem jautājumiem, kā arī vadošajiem nozares standartiem. un paraugprakse, tostarp ISO 27701 Privātuma informācijas pārvaldības sistēma.