DSRRM og GDPR politik
EITCA Academys politik om håndtering af anmodninger om datasubjektrettigheder og generel databeskyttelsesforordning
Dette dokument specificerer det europæiske it-certificeringsinstituts politik for behandling af anmodninger om datasubjektrettigheder samt implementeringen af EU's generelle databeskyttelsesforordning, som regelmæssigt gennemgås og opdateres for at sikre dens effektivitet og relevans. Den seneste opdatering af EITCI's håndtering af anmodninger om datasubjektrettigheder og GDPR-politik blev foretaget den 10. januar 2023. Vores håndtering af anmodninger om datasubjektrettigheder og GDPR-politik er baseret på principperne i ISO 27701 Privacy Information Management System-udvidelsen til ISO 27001 Informationssikkerhed Systemstandard, samt om kravene i den generelle databeskyttelsesforordning (2016/679).
Del 1. Introduktion
Håndtering af anmodninger om registrerede rettigheder er en væsentlig del af at sikre overholdelse af databeskyttelsesforordninger, nemlig GDPR (General Data Protection Regulation of EU). Det Europæiske IT-certificeringsinstitut definerede følgende formelle procedurer for håndtering af anmodninger om registrerede rettigheder og implementering af kravene i GDPR:
1.1. Etablering af en proces til håndtering af anmodninger om registrerede rettigheder
Denne proces skitserer de trin, som Det Europæiske IT-certificeringsinstitut følger ved håndtering af anmodninger om registrerede rettigheder, herunder identifikation og autentificering af den registrerede, verifikationen af den registreredes anmodning og svaret på anmodningen.
1.2. Udpegning af en databeskyttelsesansvarlig (DPO)
Det Europæiske IT-certificeringsinstitut udpeger en DPO, som er ansvarlig for at føre tilsyn med håndteringen af anmodninger om registreredes rettigheder, herunder gennemgang af anmodninger, svar på anmodninger og sikring af overholdelse af databeskyttelsesforskrifter.
1.3. Vedligeholdelse af en ajourført registrering af personlige data
Det Europæiske IT-certificeringsinstitut fører en ajourført fortegnelse over personlige data, det opbevarer, og de formål, hvortil de behandles. Dette vil gøre det muligt for det europæiske it-certificeringsinstitut hurtigt og præcist at svare på anmodninger om registreredes rettigheder.
1.4. Give klare og præcise oplysninger til registrerede
Ved indsamling af personoplysninger giver European IT Certification Institute klare og præcise oplysninger til registrerede om deres rettigheder, herunder retten til at få adgang til, berigtige, slette og gøre indsigelse mod behandlingen af deres personoplysninger.
1.5. Etablering af en standard svartid
European IT Certification Institute opretholder en standardsvartid for anmodninger om registrerede rettigheder og sikrer, at anmodninger besvares inden for denne tidsramme.
1.6. Bekræftelse af den registreredes identitet
Det Europæiske IT-certificeringsinstitut verificerer identiteten på den registrerede, der fremsætter anmodningen, for at sikre, at personoplysningerne kun gives til den korrekte person.
1.7. Reagerer straks på anmodninger om registreredes rettigheder
Det Europæiske IT-certificeringsinstitut reagerer omgående på anmodninger om registreredes rettigheder og giver den registrerede de oplysninger, de har anmodet om.
1.8. Dokumentation af anmodninger om registrerede rettigheder
Det Europæiske IT-certificeringsinstitut fører en fortegnelse over anmodninger om registreredes rettigheder, herunder datoen for anmodningen, arten af anmodningen og svaret på anmodningen.
1.9. Overvågning og gennemgang af processen
Det Europæiske IT-certificeringsinstitut overvåger og gennemgår regelmæssigt sin proces for håndtering af anmodninger om registrerede rettigheder for at sikre, at den forbliver effektiv og i overensstemmelse med relevante databeskyttelsesforskrifter.
1.10. Etablering af registrering af behandlingsaktiviteter
Det Europæiske IT-certificeringsinstitut vedligeholder journalen over behandlingsaktiviteter, som er et dokument, der skitserer behandlingen af personoplysninger udført af organisationen. Det er påkrævet i henhold til EU's generelle databeskyttelsesforordning (GDPR) og har til formål at understøtte forståelsen af databehandlingsaktiviteter og demonstrere overholdelse af GDPR.
Ved at følge disse formelle og procedurer kan det europæiske IT-certificeringsinstitut effektivt administrere anmodninger om registreredes rettigheder og sikre overholdelse af databeskyttelsesforordninger, herunder den generelle databeskyttelsesforordning i EU.
Del 2. Etablering af en proces til håndtering af anmodninger om registreredes rettigheder
Denne proces skitserer de trin, som Det Europæiske IT-certificeringsinstitut følger ved håndtering af anmodninger om registreredes rettigheder, herunder identifikation og autentificering af den registrerede, verifikationen af den registreredes anmodning og svaret på anmodningen:
2.1. Identifikation og autentificering af den registrerede
Det Europæiske IT-certificeringsinstitut opretholder en proces til at verificere identiteten på den registrerede, der fremsætter anmodningen. Dette kan omfatte at bede om et offentligt udstedt id, kontrollere i forhold til eksisterende optegnelser eller bruge andre godkendelsesmetoder.
2.2. Bekræftelse af den registreredes anmodning
Når den registreredes identitet er fastslået, skal European IT Certification Institute verificere, at anmodningen er gyldig og vedrører den registreredes personoplysninger. Anmodningen bør også omfatte den specifikke ret, der udøves, såsom retten til at få adgang til, berigtige eller slette personoplysninger.
2.3. Svar på anmodningen
Det Europæiske IT-certificeringsinstitut skal give et svar på den registreredes anmodning inden for den tidsramme, der er angivet af relevante databeskyttelseslove, dog ikke længere end 30 dage. Svaret bør indeholde en forklaring på, om anmodningen er blevet imødekommet eller afvist, og begrundelsen for afgørelsen.
2.4. Dokumentation af anmodning og svar
Det Europæiske IT-certificeringsinstitut fører en fortegnelse over alle anmodninger om og svar på registreredes rettigheder. Dette hjælper med at sikre overholdelse af relevante databeskyttelseslove, samt lette fremtidige revisioner eller undersøgelser.
2.5. Uddannelse af relevant personale
Det Europæiske IT-certificeringsinstitut vil tilbyde uddannelse til personale, der er ansvarligt for at håndtere anmodninger om registreredes rettigheder for at sikre, at de er bekendt med de relevante databeskyttelseslove og Det Europæiske IT-certificeringsinstituts procedurer for håndtering af sådanne anmodninger.
2.6. Overvågning og gennemgang af processen
Det Europæiske IT-certificeringsinstitut overvåger og gennemgår processen for håndtering af anmodninger om registreredes rettigheder på regelmæssig basis for at sikre, at den forbliver effektiv og i overensstemmelse med relevante databeskyttelseslove. Eventuelle problemer eller hændelser rapporteres og behandles rettidigt.
Del 3. Udpegning af en databeskyttelsesansvarlig (DPO)
Det Europæiske IT-certificeringsinstitut udpeger en DPO, som er ansvarlig for at føre tilsyn med håndteringen af anmodninger om registreredes rettigheder, herunder gennemgang af anmodninger, svar på anmodninger og sikring af overholdelse af databeskyttelsesforskrifter.
3.1. Udpegning af DPO
Det Europæiske IT-certificeringsinstitut udpeger en databeskyttelsesansvarlig (DPO) til at føre tilsyn med håndteringen af anmodninger om registreredes rettigheder og sikre overholdelse af databeskyttelsesforskrifterne. DPO'en vil være ansvarlig for at gennemgå anmodninger og sikre, at European IT Certification Institute opfylder sine juridiske forpligtelser i forhold til databeskyttelse.
3.2. DPO's kompetencekrav
DPO'en skal have ekspertviden om databeskyttelseslove og -praksis og have de nødvendige ressourcer til at opfylde deres ansvar. De bør have direkte adgang til den øverste ledelse og rapportere til det højeste ledelsesniveau i organisationen.
3.3. DPO's ansvar
DPO'ens ansvar omfatter, men er ikke begrænset til, følgende:
- Vejledning og rådgivning til European IT Certification Institute om databeskyttelsesspørgsmål, herunder håndtering af anmodninger om registreredes rettigheder.
- Overvågning af det europæiske IT-certificeringsinstituts overholdelse af databeskyttelsesforskrifter og interne politikker og procedurer.
- Besvarelse af henvendelser og klager fra registrerede vedrørende deres rettigheder i henhold til databeskyttelsesforordninger.
- Koordinering med andre afdelinger for at sikre, at kravene til databeskyttelse opfyldes i hele organisationen.
- Udførelse af periodiske gennemgange og vurderinger af European IT Certification Institutes databeskyttelsespraksis og give anbefalinger til forbedringer.
- Fungerer som kontaktpunkt for databeskyttelsesmyndigheder og samarbejder med dem i tilfælde af en undersøgelse eller revision.
- DPO'en er også involveret i udviklingen og implementeringen af Det Europæiske IT-certificeringsinstituts politikker og procedurer vedrørende databeskyttelse, herunder dem, der er relateret til håndtering af anmodninger om registreredes rettigheder.
3.4. DPO's uddannelse og kvalifikationsudvikling
Det Europæiske IT-certificeringsinstitut bør sikre, at DPO'en er tilstrækkeligt uddannet i databeskyttelsesforskrifter og holdes ajour med eventuelle ændringer eller opdateringer af disse regler.
3.5. DPO's kontaktoplysninger
DPO'ens kontaktoplysninger bør gøres tilgængelige for de registrerede og inkluderes i Det Europæiske IT-certificeringsinstituts fortrolighedserklæring eller -politik.
Del 4. Vedligeholdelse af en ajourført registrering af personoplysninger
Det Europæiske IT-certificeringsinstitut fører en ajourført fortegnelse over personlige data, det opbevarer, og de formål, hvortil de behandles. Dette vil gøre det muligt for det europæiske it-certificeringsinstitut hurtigt og præcist at svare på anmodninger om registreredes rettigheder.
4.1. Etablering af en proces til identifikation og registrering af personlige data
Det Europæiske IT-certificeringsinstitut etablerer en klar og standardiseret proces til identifikation og registrering af personoplysninger, herunder den registreredes navn, kontaktoplysninger og enhver anden relevant information. Denne proces sikrer, at personoplysninger kun indsamles til specifikke og legitime formål.
4.2. Kategorisering af personlige data
European IT Certification Institute kategoriserer personlige data for at gøre det nemmere at spore og administrere. Dette omfatter kategorisering af data efter type, såsom kontaktoplysninger, faktureringsoplysninger, kompetencer og kvalifikationer, økonomiske oplysninger eller ansættelseshistorik.
4.3. Implementering af et datastyringssystem
European IT Certification Institute implementerer et datastyringssystem for at sikre, at persondata er nøjagtige, opdaterede og tilgængelige. Datastyringssystemet inkluderer en database, der kan søges i og forespørges for at hjælpe med at svare på anmodninger om registreredes rettigheder.
4.4. Overdragelse af ansvar for at vedligeholde registreringen af personoplysninger
Det Europæiske IT-certificeringsinstitut bør tildele ansvaret for at vedligeholde registret over personoplysninger til specifikke personer eller afdelinger. Dette vil sikre, at journalen holdes opdateret og nøjagtig.
4.5. Regelmæssig gennemgang og opdatering af registreringen af personlige data
Det Europæiske IT-certificeringsinstitut bør regelmæssigt gennemgå og opdatere registreringen af personoplysninger for at sikre, at den forbliver nøjagtig og opdateret. Dette kan ske gennem periodiske audits eller gennem en kontinuerlig overvågningsproces.
4.6. Implementer passende sikkerhedsforanstaltninger
Det Europæiske IT-certificeringsinstitut implementerer passende sikkerhedsforanstaltninger for at beskytte de personlige data, det ligger inde med, herunder foranstaltninger til at forhindre uautoriseret adgang, utilsigtet tab eller ødelæggelse af personlige data, som en del af organisationens informationssikkerhedspolitik (ISP). Dette inkluderer blandt andet kryptering, firewalls og adgangskontrol. En detaljeret specifikation af processerne og foranstaltningerne til databeskyttelse er dækket af det dedikerede europæiske IT-certificeringsinstituts informationssikkerhedspolitik.
Del 5. Give klare og præcise oplysninger til registrerede
Ved indsamling af personoplysninger giver European IT Certification Institute klare og præcise oplysninger til registrerede om deres rettigheder, herunder retten til at få adgang til, berigtige, slette og gøre indsigelse mod behandlingen af deres personoplysninger.
5.1. Gennemsigtighed
Det Europæiske IT-certificeringsinstitut er gennemsigtigt i sin behandling af personoplysninger og giver kortfattede oplysninger til registrerede om, hvordan deres data bruges, behandles og opbevares.
5.2. Fortrolighedspolitik
Det Europæiske IT-certificeringsinstitut har en detaljeret privatlivspolitik, der beskriver dets databehandlingsaktiviteter, herunder hvordan registrerede kan udøve deres registrerede rettigheder.
5.3. Ret til adgang
Registrerede har ret til at anmode om adgang til de personoplysninger, som European IT Certification Institute opbevarer om dem. Det Europæiske IT-certificeringsinstitut giver klare og præcise oplysninger til registrerede om, hvordan man fremsender en anmodning om adgang, hvilke oplysninger der kræves for at verificere deres identitet, og hvor lang tid det vil tage for Det Europæiske IT-certificeringsinstitut at reagere på anmodningen.
5.4. Ret til at berigtige
Registrerede har ret til at anmode Det Europæiske IT-certificeringsinstitut om at berigtige alle unøjagtige eller ufuldstændige personoplysninger, som det har om dem. Det Europæiske IT-certificeringsinstitut giver klare og præcise oplysninger til de registrerede om, hvordan man fremsætter en anmodning om berigtigelse, hvilke oplysninger der kræves for at verificere deres identitet, og hvor lang tid det vil tage for Det Europæiske IT-certificeringsinstitut at reagere på anmodningen.
5.5. Ret til at slette
Registrerede har ret til at anmode om, at European IT Certification Institute sletter deres personoplysninger under visse omstændigheder. Det Europæiske IT-certificeringsinstitut giver klare og præcise oplysninger til de registrerede om, hvordan man fremsætter en anmodning om sletning, hvilke oplysninger der kræves for at verificere deres identitet, og hvor lang tid det vil tage for Det Europæiske IT-certificeringsinstitut at reagere på anmodningen.
5.6. Ret til at gøre indsigelse
Registrerede har ret til at gøre indsigelse mod behandlingen af deres personoplysninger under visse omstændigheder. Det Europæiske IT-certificeringsinstitut giver klare og præcise oplysninger til de registrerede om, hvordan man fremsender en anmodning om at gøre indsigelse, hvilke oplysninger der kræves for at verificere deres identitet, og hvor lang tid det tager for Det Europæiske IT-certificeringsinstitut at reagere på anmodningen.
5.7. Kontakt Information
Det Europæiske IT-certificeringsinstitut giver klare og præcise kontaktoplysninger, som registrerede kan bruge, hvis de har spørgsmål eller bekymringer om, hvordan deres personoplysninger behandles.
Del 6. Etablering af en standardsvartid
Det Europæiske IT-certificeringsinstitut etablerede en standardsvartid for anmodninger om registreredes rettigheder og sikrer, at anmodninger besvares inden for denne tidsramme.
6.1. Standard svartid
Det Europæiske IT-certificeringsinstitut fastsætter en standardsvartid på 30 dage for anmodninger om registreredes rettigheder. Standardsvartiden definerer en øvre tidsfrist for behandling og svar, og størstedelen af anmodninger behandles og besvares inden for en kortere tid.
6.2. Anmod om tidspunkt for kvittering for modtagelse
Efter modtagelse af en anmodning om rettigheder til registrerede rettigheder, vil DPO'en eller andre medarbejdere bekræfte modtagelsen af anmodningen inden for 5 arbejdsdage og give den registrerede en estimeret tidsramme for at give et svar.
6.3. Ekstraordinære forlængelser af standardsvartiden
Det Europæiske IT-certificeringsinstitut vil gøre en rimelig indsats for at svare på anmodninger om registreredes rettigheder inden for den fastsatte standardsvartid. Men hvis anmodningen er kompleks, eller hvis European IT Certification Institute modtager et stort antal forespørgsler, kan svartiden blive forlænget. I sådanne tilfælde vil DPO'en informere den registrerede om forlængelsen og årsagen til forsinkelsen.
6.4. Afvisning af at opfylde en anmodning om registrerede rettigheder
Hvis Det Europæiske IT-certificeringsinstitut ikke er i stand til at opfylde en anmodning om registrerede rettigheder, vil det give den registrerede en forklaring på afslaget og informere dem om deres ret til at klage til den relevante tilsynsmyndighed.
6.5. Registreringer af anmodninger og svar om registrerede rettigheder
Det Europæiske IT-certificeringsinstitut vil føre nøjagtige registre over anmodninger og svar om registreredes rettigheder, herunder datoen for modtagelsen af anmodningen, arten af anmodningen og datoen og måden for svaret.
6.6. Periodiske anmeldelser
DPO'en vil med jævne mellemrum gennemgå Det Europæiske IT-certificeringsinstituts svartider og opdatere dem efter behov for at sikre overholdelse af gældende databeskyttelsesforskrifter.
Del 7. Verifikation af den registreredes identitet
7.1. Krav til identitetsbekræftelse
Det Europæiske IT-certificeringsinstitut skal verificere identiteten på den registrerede, der fremsætter anmodningen, for at sikre, at personoplysningerne kun gives til den korrekte person.
7.2. Identitetsverifikationsmidler og metoder
Når en registreret fremsætter en anmodning om at udøve deres rettigheder i henhold til databeskyttelseslovgivningen, skal Det Europæiske IT-certificeringsinstitut verificere den registreredes identitet ved hjælp af passende foranstaltninger, såsom at anmode om identifikationsdokumenter.
7.3. Identitetsbekræftelse af en fuldmægtig
Hvis den registrerede fremsætter anmodningen på vegne af en anden, skal European IT Certification Institute verificere identiteten af både den registrerede og den person, på hvis vegne anmodningen fremsættes.
7.4. Tvivl om identitetsbekræftelse
Hvis Det Europæiske IT-certificeringsinstitut er i tvivl om den registreredes identitet eller gyldigheden af anmodningen, kan det anmode om yderligere oplysninger eller træffe andre passende foranstaltninger for at verificere den registreredes identitet.
7.5. Identitetsbekræftelsesposter
Det Europæiske IT-certificeringsinstitut bør føre et register over verifikationsprocessen og de foranstaltninger, der er truffet for at verificere den registreredes identitet. Denne registrering bør opbevares i et rimeligt tidsrum og bruges til at påvise overholdelse af databeskyttelseslovgivningen.
Del 8. Reaktion på anmodninger om registreredes rettigheder omgående
8.1. Hurtigt svar
Det Europæiske IT-certificeringsinstitut reagerer omgående på anmodninger om registreredes rettigheder og giver den registrerede de oplysninger, de har anmodet om.
8.2. Anmod om kvittering for modtagelse
Det Europæiske IT-certificeringsinstitut bekræfter modtagelsen af den registreredes anmodning hurtigst muligt, ideelt set inden for 5 arbejdsdage.
8.3. Anmod om gennemgang
Den udpegede DPO bør gennemgå anmodningen for at sikre, at den opfylder de nødvendige krav, og at alle nødvendige oplysninger er givet.
8.4. Verifikation af den registreredes identitet
Det Europæiske IT-certificeringsinstitut verificerer identiteten på den registrerede, der fremsætter anmodningen, for at sikre, at personoplysningerne kun gives til den korrekte person.
8.5. Indhentning af yderligere oplysninger om nødvendigt
Hvis anmodningen er uklar eller utilstrækkelig, bør Det Europæiske IT-certificeringsinstitut kontakte den registrerede for at få yderligere oplysninger.
8.5. Hentning af relevante data
European IT Certification Institute henter de relevante persondata og gennemgår dem for at sikre, at de er nøjagtige og opdaterede.
8.6. Levering af de ønskede oplysninger
Det Europæiske IT-certificeringsinstitut giver den registrerede de oplysninger, de har anmodet om, herunder en kopi af deres personoplysninger i et almindeligt anvendt elektronisk format, medmindre andet anmodes om.
8.7. Informer den registrerede om deres rettigheder
Det Europæiske IT-certificeringsinstitut informerer den registrerede om deres øvrige rettigheder, såsom retten til at berigtige eller slette deres personlige data, og giver dem nødvendige instruktioner.
8.8. Overholdelse af svartid
Det Europæiske IT-certificeringsinstitut svarer på anmodninger om registreredes rettigheder inden for den fastsatte svartid og sikrer, at der tages nødvendige skridt for at efterkomme anmodningen.
8.9. Dokumentation af svaret
Det Europæiske IT-certificeringsinstitut dokumenterer svaret på anmodningen om registreredes rettigheder, herunder eventuelle handlinger og responstiden, for at sikre, at den kan revideres og spores med henblik på overholdelse.
8.10. Underretning af den registrerede om eventuelle ændringer
Hvis der foretages ændringer i den registreredes personoplysninger som følge af dennes anmodning, underretter Det Europæiske IT-certificeringsinstitut den registrerede om disse ændringer.
Del 9. Dokumentation af anmodninger om registrerede rettigheder
Det Europæiske IT-certificeringsinstitut fører en fortegnelse over anmodninger om registreredes rettigheder, herunder datoen for anmodningen, arten af anmodningen og svaret på anmodningen. Dokumentation af anmodninger om registrerede rettigheder omfatter følgende aspekter:
9.1. Vedligeholdelse af register
Det Europæiske IT-certificeringsinstitut fører et register, der registrerer alle modtagne anmodninger om registrerede rettigheder. Dette register skal indeholde følgende detaljer:
- Dato for anmodningen
- Navn og kontaktoplysninger på den registrerede
- Beskrivelse af anmodningen
- Handling truffet som svar på anmodningen
- Eventuelle yderligere oplysninger, der er nødvendige for at behandle anmodningen
9.2. Standardiseret proces for dokumentation
European IT Certification Institute kører en standardiseret proces til at dokumentere anmodninger om registrerede rettigheder for at sikre konsistens og nøjagtighed i de indsamlede oplysninger.
9.3. Tilbageholdelsesperiode
Det Europæiske IT-certificeringsinstitut opbevarer disse optegnelser i en rimelig periode, som bestemt af gældende love og regler, ikke kortere end 2 år.
9.4. Opretholdelse af fortrolighed
Det Europæiske IT-certificeringsinstitut sikrer, at registreringerne af anmodninger om registrerede rettigheder kun er tilgængelige for autoriseret personale, der har behov for at få adgang til sådanne oplysninger under udførelsen af deres opgaver. Den implementerer også tekniske og organisatoriske foranstaltninger for at forhindre uautoriseret adgang, offentliggørelse, ændring eller ødelæggelse af personoplysninger indeholdt i registreringerne af anmodninger om registrerede rettigheder.
9.5. Rapportering
Det Europæiske IT-certificeringsinstitut genererer med jævne mellemrum rapporter om modtagne, behandlede og udestående anmodninger om registrerede rettigheder. Disse rapporter deles med relevante interessenter, herunder den øverste ledelse og DPO'en.
9.6. Analytics
European IT Certification Institute udfører trendanalyse af anmodninger om registreredes rettigheder for at identificere mønstre og grundlæggende årsager til anmodninger. Disse oplysninger bruges til at forbedre processer og procedurer for bedre at administrere sådanne anmodninger.
Del 10. Overvågning og gennemgang af processen
Det Europæiske IT-certificeringsinstitut overvåger og gennemgår regelmæssigt sin proces for håndtering af anmodninger om registrerede rettigheder for at sikre, at den forbliver effektiv og i overensstemmelse med GDPR.
10.1. Udførelse af periodiske gennemgange
Det Europæiske IT-certificeringsinstitut udfører periodiske gennemgange af sine datasubjekts rettigheder for anmodningshåndtering og GDPR-overholdelsespolitik for at sikre, at den er effektiv og i overensstemmelse med databeskyttelsesforskrifterne. Disse anmeldelser omfatter en analyse af antallet og typen af modtagne anmodninger, aktualitet og effektivitet af svar og eventuelle forbedringsområder.
10.2. Implementering af forbedringer
Baseret på resultaterne af anmeldelserne implementerer Det Europæiske IT-certificeringsinstitut alle nødvendige forbedringer af sin behandling af anmodninger om datasubjektrettigheder. Dette kan omfatte opdateringer af procedurer, yderligere træning af personalet eller ændringer i den måde, anmodninger verificeres og besvares på.
10.3. Sikring af løbende overholdelse
European IT Certification Institute sikrer løbende overholdelse af databeskyttelsesforskrifter ved regelmæssigt at gennemgå og opdatere sine politikker og procedurer i overensstemmelse med eventuelle ændringer af relevante love og regler.
10.4. Overvågning af personalepræstationer
Det Europæiske IT-certificeringsinstitut overvåger medarbejdernes præstationer i forhold til at håndtere anmodninger om registrerede rettigheder, herunder kvaliteten og aktualiteten af svar. Dette kan omfatte periodisk træning og præstationsgennemgange for at sikre, at personalet er vidende og kompetente på dette område.
10.5. Kommunikation med registrerede
Det Europæiske IT-certificeringsinstitut kommunikerer med registrerede under hele anmodningshåndteringsprocessen for at sikre, at de holdes orienteret om fremskridt og alle relevante oplysninger. Dette kan omfatte at give opdateringer om status for deres anmodning eller anmode om yderligere oplysninger efter behov.
10.6. Vedligeholdelse af optegnelser
Det Europæiske IT-certificeringsinstitut opbevarer fortegnelser over sine anmeldelser, herunder eventuelle ændringer, der er foretaget i dets behandlingsproces for datasubjektrettigheder, såvel som enhver feedback modtaget fra registrerede. Disse oplysninger kan bruges til at understøtte den løbende compliance-indsats og til at identificere områder for yderligere forbedringer.
Del 11. Etablering af registrering af behandlingsaktiviteter
Det Europæiske IT-certificeringsinstitut vedligeholder journalen over behandlingsaktiviteter, som er et dokument, der skitserer behandlingen af personoplysninger udført af organisationen. Det er påkrævet i henhold til EU's generelle databeskyttelsesforordning (GDPR) og har til formål at understøtte forståelsen af databehandlingsaktiviteter og demonstrere overholdelse af GDPR.
11.1. ROPA struktur
ROPA omfatter grundlæggende oplysninger om organisationens navn og kontaktoplysninger, formålene med databehandlingen, kategorierne af behandlede personoplysninger, modtagerne af personoplysningerne og opbevaringsperioderne for personoplysningerne. Det omfatter også oplysninger om eventuelle tredjepartsdatabehandlere, der behandler personoplysninger på vegne af organisationen.
11.2. ROPA regelmæssige opdateringer
ROPA opdateres regelmæssigt og er et levende dokument, der afspejler ændringer i European IT Certification Institutes databehandlingsaktiviteter, der understøtter opbygningen af tillid til de registrerede.
Det Europæiske IT-certificeringsinstitut er forpligtet til at opretholde de højeste standarder med hensyn til håndtering af anmodninger om datasubjektrettigheder og generelle databeskyttelsesforordninger, og sørger for at overholde alle gældende love og regler relateret til disse spørgsmål samt førende industristandarder og bedste praksis, herunder ISO 27701 Privacy Information Management System.