Registrering af behandlingsaktiviteter
EITCA Academy Record of Processing Activities
Det Europæiske IT-certificeringsinstitut vedligeholder journalen over behandlingsaktiviteter, som er et dokument, der skitserer behandlingen af personoplysninger udført af organisationen. Det er påkrævet i henhold til EU's generelle databeskyttelsesforordning (GDPR) og har til formål at understøtte forståelsen af databehandlingsaktiviteter og demonstrere overholdelse af GDPR.
ROPA omfatter grundlæggende oplysninger om organisationens navn og kontaktoplysninger, formålene med databehandlingen, kategorierne af behandlede personoplysninger, modtagerne af personoplysningerne og opbevaringsperioderne for personoplysningerne. Det omfatter også oplysninger om eventuelle tredjepartsdatabehandlere, der behandler personoplysninger på vegne af organisationen.
Vedligeholdelse af registret over behandlingsaktiviteter af European IT Certification Institute er en del af dets håndtering af anmodninger om datasubjektrettigheder og GDPR-politik. ROPA opdateres regelmæssigt og er et levende dokument, der afspejler ændringer i European IT Certification Institutes databehandlingsaktiviteter, der understøtter opbygningen af tillid til de registrerede. Den sidste opdatering af EITCI Record of Processing Activities blev foretaget den 10. januar 2023.
1. Databehandler
1.1. Databehandlernavn
European Information Technologies Certification Institute (forkortelse: EITCI)
1.2. Databehandlers juridiske status
Non-profit forening (foreningen sans but lucratif, ASBL) i Belgien
1.3. Databehandlerens registreringsnummer
0807397811 i det belgiske KBO/BCE-register
1.4. Databehandler rolle
Certificeringsorgan
1.5. Databehandler Dato for registrering
17th oktober 2008
1.6. Databehandlerens kontaktoplysninger
Europæisk IT-certificeringsinstitut
Avenue des Saisons 100-102
1050 Bruxelles, Belgien
Telefon: + 32 2 588 73 51
E-mail: info@eitci.org
1.7. Data Protection Officer (DPO) kontaktoplysninger
E-mail: data.protection.officer@eitci.org
2. Formål med og detaljer om behandling af personoplysninger
2.1. Certificering af færdigheder og kompetencer i EITC/EITCA-certificeringsprogrammerne
2.1.1. Personlige data indsamlet
Navn, adresse, e-mailadresse, telefonnummer, jobtitel, organisationsnavn, færdigheds- og kvalifikationstest og vurdering, betalingsoplysninger
2.1.2. Lovligt grundlag for behandling
Kontraktlig forpligtelse
2.1.3. Kategorier af registrerede
Kunder, medarbejdere hos kunder
2.1.4. Modtagere af personlige data
Internt personale, tilsynsorganer, hosting- og cloud-datacenteroperatører, kunder, tredjeparts skatte- og regnskabsvirksomheder
2.2. Certificering af løsninger, produkter, tjenester for overholdelse af industristandarder
2.2.1. Personlige data indsamlet
Navn, adresse, e-mailadresse, telefonnummer, stillingsbetegnelse, organisationsnavn, betalingsoplysninger, oplysninger om løsning/produkt/service
2.2.2. Lovligt grundlag for behandling
Kontraktlig forpligtelse
2.2.3. Kategorier af registrerede
Kunder, medarbejdere hos kunder
2.2.4. Modtagere af personlige data
Internt personale, tilsynsorganer, hosting- og cloud-datacenteroperatører, kunder, tredjeparts skatte- og regnskabsvirksomheder
2.3. Markedsføring og promovering af certificeringstjenester
2.3.1. Personlige data indsamlet
Navn, adresse, e-mailadresse, telefonnummer, stillingsbetegnelse, organisationsnavn, oplysninger om løsning/produkt/service
2.3.2. Lovligt grundlag for behandling
Samtykke
2.3.3. Kategorier af registrerede
Potentielle kunder
2.3.4. Modtagere af personlige data
Internt personale, tilsynsorganer, hosting- og cloud-datacenteroperatører, tredjeparts marketingvirksomheder
2.4. Medarbejderledelse
2.3.1. Personlige data indsamlet
Navn, adresse, e-mailadresse, telefonnummer, jobtitel, lønoplysninger, præstationsevalueringer, færdigheds- og kvalifikationstest og vurdering
2.3.2. Lovligt grundlag for behandling
Kontraktlig forpligtelse
2.3.3. Kategorier af registrerede
Medarbejdere
2.3.4. Modtagere af personlige data
Internt personale, tilsynsorganer, hosting- og cloud-datacenteroperatører, tredjepartslønvirksomheder, tredjepartsskatte- og regnskabsvirksomheder
3. Dataoverførsler
3.1. Overførsel af persondata til datacentre (hosting, datasky) uden for EU
Passende sikkerhedsforanstaltninger: Standardkontraktbestemmelser
3.2. Overførsel af persondata til IT-, marketing-, skatte- og regnskabsvirksomheder
Passende sikkerhedsforanstaltninger: Behandleraftale med standardkontraktklausuler
4. Opbevaringsperioder
4.1. Certificeringsdata
Opbevares i 10 år efter certificeringens udløb.
4.2. Medarbejderdata
Fastholdes i 8 år efter ansættelsens ophør.
4.3. Markedsføringsdata
Opbevares indtil tilbagekaldelse af samtykke.
5. Sikkerhedsforanstaltninger
- Adgangskontrol til persondatasystemer.
- Kryptering af personlige data under transit og hvile.
- Regelmæssig træning i sikkerhedsbevidsthed for medarbejdere.
- Regelmæssige sikkerhedsrevisioner og risikovurderinger.
- Overholdelse af EITCI's informationssikkerhedspolitik.
6. Gennemgå og opdater
Denne registrering af behandlingsaktiviteter gennemgås og opdateres med jævne mellemrum, såvel som når der er en væsentlig ændring af databehandlingsaktiviteterne i European IT Certification Institute.
Det Europæiske IT-certificeringsinstitut er forpligtet til at opretholde de højeste standarder med hensyn til beskyttelse af personoplysninger og overholdelse af den generelle databeskyttelsesforordning, og sørger for at overholde alle gældende love og regler relateret til disse spørgsmål, såvel som førende industristandarder og bedste praksis, herunder ISO 27701 Privacy Information Management System.