Zásady DSRRM a GDPR
Zásady Akademie EITCA týkající se správy požadavků subjektů údajů a obecného nařízení o ochraně údajů
Tento dokument specifikuje politiku Evropského institutu pro certifikaci IT pro správu žádostí o práva subjektů údajů a také implementaci obecného nařízení EU o ochraně osobních údajů, které je pravidelně revidováno a aktualizováno, aby byla zajištěna jeho účinnost a relevantnost. Poslední aktualizace EITCI správy požadavků na práva subjektů údajů a zásad GDPR byla provedena dne 10. ledna 2023. Naše správa žádostí o práva subjektů údajů a zásady GDPR jsou založeny na principech rozšíření systému řízení osobních údajů ISO 27701 na zabezpečení informací ISO 27001 Systémový standard, jakož i na požadavky obecného nařízení o ochraně osobních údajů (2016/679).
Část 1. Úvod
Správa žádostí o práva subjektů údajů je nezbytnou součástí zajištění souladu s předpisy o ochraně osobních údajů, konkrétně GDPR (obecné nařízení EU o ochraně osobních údajů). Evropský institut pro certifikaci IT definoval následující formální postupy pro správu žádostí o práva subjektů údajů a implementaci požadavků GDPR:
1.1. Zavedení procesu pro vyřizování žádostí o práva subjektů údajů
Tento proces popisuje kroky, které Evropský institut pro certifikaci IT dodržuje při vyřizování žádostí o práva subjektu údajů, včetně identifikace a autentizace subjektu údajů, ověření žádosti subjektu údajů a odpovědi na žádost.
1.2. Určení pověřence pro ochranu osobních údajů (DPO)
Evropský institut pro certifikaci IT jmenuje DPO, který je odpovědný za dohled nad správou žádostí o práva subjektů údajů, včetně kontroly žádostí, odpovědí na žádosti a zajištění souladu s předpisy o ochraně údajů.
1.3. Vedení aktuální evidence osobních údajů
Evropský institut pro certifikaci IT vede aktuální evidenci osobních údajů, které uchovává, a účelů, pro které jsou zpracovávány. To umožní Evropskému institutu pro certifikaci IT rychle a přesně reagovat na žádosti o práva subjektů údajů.
1.4. Poskytování jasných a stručných informací subjektům údajů
Při shromažďování osobních údajů poskytuje Evropský institut pro certifikaci IT subjektům údajů jasné a stručné informace o jejich právech, včetně práva na přístup k jejich osobním údajům, jejich opravu, výmaz a námitku proti zpracování.
1.5. Stanovení standardní doby odezvy
Evropský institut pro certifikaci IT dodržuje standardní dobu odezvy na žádosti o práva subjektů údajů a zajišťuje, aby byly žádosti vyřízeny v tomto časovém rámci.
1.6. Ověření totožnosti subjektu údajů
Evropský institut pro certifikaci IT ověřuje totožnost subjektu údajů, který podává žádost, aby zajistil, že osobní údaje budou poskytnuty pouze správné fyzické osobě.
1.7. Okamžitá reakce na žádosti o práva subjektu údajů
Evropský institut pro certifikaci IT reaguje na žádosti subjektů údajů neprodleně a poskytuje subjektu údajů informace, o které požádal.
1.8. Dokumentování žádostí o práva subjektu údajů
Evropský institut pro certifikaci IT vede evidenci žádostí o práva subjektů údajů, včetně data žádosti, povahy žádosti a odpovědi na žádost.
1.9. Sledování a kontrola procesu
Evropský institut pro certifikaci IT pravidelně monitoruje a přezkoumává svůj proces vyřizování žádostí o práva subjektů údajů, aby zajistil, že bude nadále účinný a v souladu s příslušnými předpisy o ochraně údajů.
1.10. Založení Záznamu o zpracovatelských činnostech
Evropský institut pro certifikaci IT vede Záznam o zpracovatelských činnostech, což je dokument, který popisuje zpracování osobních údajů prováděné organizací. Je vyžadováno podle obecného nařízení EU o ochraně osobních údajů (GDPR) a je určeno k podpoře porozumění činnostem zpracování údajů a prokázání souladu s GDPR.
Dodržováním těchto formalit a postupů může Evropský institut pro certifikaci IT efektivně spravovat žádosti o práva subjektů údajů a zajistit soulad s předpisy o ochraně údajů, včetně obecného nařízení o ochraně osobních údajů v Evropské unii.
Část 2. Stanovení procesu pro vyřizování žádostí o práva subjektu údajů
Tento proces popisuje kroky, kterými se Evropský institut pro certifikaci IT řídí při vyřizování žádostí o práva subjektu údajů, včetně identifikace a autentizace subjektu údajů, ověření žádosti subjektu údajů a odpovědi na žádost:
2.1. Identifikace a ověření subjektu údajů
Evropský institut pro certifikaci IT udržuje zavedený proces ověřování totožnosti subjektu údajů, který podává žádost. To může zahrnovat žádost o státem vydaný průkaz totožnosti, kontrolu se stávajícími záznamy nebo použití jiných metod ověřování.
2.2. Ověření žádosti subjektu údajů
Po zjištění totožnosti subjektu údajů musí Evropský institut pro certifikaci IT ověřit, zda je žádost platná a vztahuje se k osobním údajům subjektu údajů. Žádost by měla také obsahovat konkrétní uplatňované právo, jako je právo na přístup k osobním údajům, jejich opravu nebo výmaz.
2.3. Reakce na žádost
Evropský institut pro certifikaci IT musí poskytnout odpověď na žádost subjektu údajů ve lhůtě stanovené příslušnými zákony na ochranu údajů, ne však déle než 30 dnů. Odpověď by měla obsahovat vysvětlení, zda bylo žádosti vyhověno nebo zamítnuto, a důvody rozhodnutí.
2.4. Dokumentace žádosti a odpovědi
Evropský institut pro certifikaci IT vede záznamy o všech žádostech a odpovědích týkajících se práv subjektů údajů. To pomáhá zajistit soulad s příslušnými zákony na ochranu údajů a také usnadňuje budoucí audity nebo vyšetřování.
2.5. Školení příslušného personálu
Evropský institut pro certifikaci IT poskytne zaměstnancům odpovědným za vyřizování žádostí o práva subjektů údajů školení, aby bylo zajištěno, že jsou obeznámeni s příslušnými zákony na ochranu údajů a postupy Evropského institutu pro certifikaci IT pro vyřizování takových žádostí.
2.6. Sledování a kontrola procesu
Evropský institut pro certifikaci IT pravidelně monitoruje a přezkoumává proces vyřizování žádostí o práva subjektů údajů, aby zajistil, že zůstane účinný a bude v souladu s příslušnými zákony na ochranu údajů. Jakékoli problémy nebo incidenty jsou hlášeny a řešeny včas.
Část 3. Určení pověřence pro ochranu osobních údajů (DPO)
Evropský institut pro certifikaci IT jmenuje DPO, který je odpovědný za dohled nad správou žádostí o práva subjektů údajů, včetně kontroly žádostí, odpovědí na žádosti a zajištění souladu s předpisy o ochraně údajů.
3.1. Určení DPO
Evropský institut pro certifikaci IT jmenuje pověřence pro ochranu osobních údajů (DPO), který dohlíží na správu žádostí o práva subjektů údajů a zajišťuje dodržování předpisů o ochraně údajů. DPO bude odpovědný za přezkoumání žádostí a zajištění toho, že Evropský institut pro certifikaci IT plní své zákonné povinnosti týkající se ochrany údajů.
3.2. Požadavky na způsobilost DPO
Inspektor ochrany údajů musí mít odborné znalosti zákonů a postupů na ochranu údajů a musí mít k dispozici nezbytné zdroje k plnění svých povinností. Měli by mít přímý přístup k vrcholovému vedení a měli by být podřízeni nejvyššímu vedení organizace.
3.3. Povinnosti DPO
Povinnosti DPO zahrnují, ale nejsou omezeny na, následující:
- Poskytování pokynů a poradenství Evropskému institutu pro certifikaci IT v záležitostech ochrany údajů, včetně správy žádostí o práva subjektů údajů.
- Sledování souladu Evropského institutu pro certifikaci IT s předpisy o ochraně dat a interními zásadami a postupy.
- Odpovídání na dotazy a stížnosti subjektů údajů ohledně jejich práv podle předpisů o ochraně údajů.
- Koordinace s ostatními odděleními s cílem zajistit plnění požadavků na ochranu dat v celé organizaci.
- Provádění pravidelných kontrol a hodnocení postupů ochrany dat Evropského institutu pro certifikaci IT a poskytování doporučení pro zlepšení.
- Slouží jako kontaktní místo pro orgány pro ochranu údajů a spolupracuje s nimi v případě vyšetřování nebo auditu.
- DPO se rovněž podílí na vývoji a provádění zásad a postupů Evropského institutu pro certifikaci IT souvisejících s ochranou údajů, včetně těch, které se týkají vyřizování žádostí o práva subjektů údajů.
3.4. Školení a rozvoj kvalifikace DPO
Evropský institut pro certifikaci IT by měl zajistit, aby byl DPO náležitě proškolen o předpisech na ochranu údajů a aby byl informován o všech změnách nebo aktualizacích těchto předpisů.
3.5. Kontaktní údaje DPO
Kontaktní údaje inspektora ochrany údajů by měly být zpřístupněny subjektům údajů a zahrnuty do oznámení nebo zásad ochrany osobních údajů Evropského institutu pro certifikaci IT.
Část 4. Vedení aktuální evidence osobních údajů
Evropský institut pro certifikaci IT vede aktuální evidenci osobních údajů, které uchovává, a účelů, pro které jsou zpracovávány. To umožní Evropskému institutu pro certifikaci IT rychle a přesně reagovat na žádosti o práva subjektů údajů.
4.1. Zavedení procesu pro identifikaci a evidenci osobních údajů
Evropský institut pro certifikaci IT zavádí jasný a standardizovaný proces pro identifikaci a evidenci osobních údajů, včetně jména subjektu údajů, kontaktních údajů a jakýchkoli dalších relevantních informací. Tento proces zajišťuje, že osobní údaje jsou shromažďovány pouze pro konkrétní a legitimní účely.
4.2. Kategorizace osobních údajů
Evropský institut pro certifikaci IT kategorizuje osobní údaje, aby je bylo možné snáze sledovat a spravovat. To zahrnuje kategorizaci dat podle typu, jako jsou kontaktní údaje, fakturační údaje, kompetence a kvalifikace, finanční informace nebo historie zaměstnání.
4.3. Implementace systému správy dat
Evropský institut pro certifikaci IT implementuje systém správy dat, který pomáhá zajistit, aby osobní údaje byly přesné, aktuální a dostupné. Systém správy dat obsahuje databázi, kterou lze prohledávat a dotazovat, aby pomohla reagovat na žádosti o práva subjektů údajů.
4.4. Přidělení odpovědnosti za vedení evidence osobních údajů
Evropský institut pro certifikaci IT by měl přidělit odpovědnost za vedení záznamů osobních údajů konkrétním jednotlivcům nebo oddělením. To zajistí, že záznam bude aktuální a přesný.
4.5. Pravidelná kontrola a aktualizace evidence osobních údajů
Evropský institut pro certifikaci IT by měl pravidelně kontrolovat a aktualizovat záznamy osobních údajů, aby bylo zajištěno, že budou stále přesné a aktuální. Toho lze dosáhnout prostřednictvím pravidelných auditů nebo prostřednictvím procesu nepřetržitého monitorování.
4.6. Proveďte vhodná bezpečnostní opatření
Evropský institut pro certifikaci IT zavádí příslušná bezpečnostní opatření na ochranu osobních údajů, které má v držení, včetně opatření k zabránění neoprávněnému přístupu, náhodné ztrátě nebo zničení osobních údajů, jako součást Politiky bezpečnosti informací (ISP) organizace. To zahrnuje mj. šifrování, firewally a řízení přístupu. Podrobnou specifikaci procesů a opatření na ochranu dat pokrývá Politika bezpečnosti informací specializovaného Evropského institutu pro certifikaci IT.
Část 5. Poskytování jasných a stručných informací subjektům údajů
Při shromažďování osobních údajů poskytuje Evropský institut pro certifikaci IT subjektům údajů jasné a stručné informace o jejich právech, včetně práva na přístup k jejich osobním údajům, jejich opravu, výmaz a námitku proti zpracování.
5.1. Průhlednost
Evropský institut pro certifikaci IT je při zpracování osobních údajů transparentní a poskytuje subjektům údajů stručné informace o tom, jak jsou jejich údaje používány, zpracovávány a uchovávány.
5.2. Zásady ochrany osobních údajů
Evropský institut pro certifikaci IT má podrobné zásady ochrany osobních údajů, které nastiňují jeho činnosti související se zpracováním údajů, včetně toho, jak mohou subjekty údajů uplatňovat svá práva subjektu údajů.
5.3. Právo na přístup
Subjekty údajů mají právo požadovat přístup k osobním údajům, které o nich Evropský institut pro certifikaci IT uchovává. Evropský institut pro certifikaci IT poskytuje subjektům údajů jasné a stručné informace o tom, jak podat žádost o přístup, jaké informace budou vyžadovány k ověření jejich totožnosti a jak dlouho bude Evropskému institutu pro certifikaci IT trvat odpověď na žádost.
5.4. Právo na opravu
Subjekty údajů mají právo požadovat, aby Evropský institut pro certifikaci IT opravil jakékoli nepřesné nebo neúplné osobní údaje, které o nich uchovává. Evropský institut pro certifikaci IT poskytuje subjektům údajů jasné a stručné informace o tom, jak podat žádost o opravu, jaké informace budou vyžadovány k ověření jejich totožnosti a jak dlouho bude trvat, než Evropský institut pro certifikaci IT na žádost odpoví.
5.5. Právo na vymazání
Subjekty údajů mají právo za určitých okolností požadovat, aby Evropský institut pro certifikaci IT vymazal jejich osobní údaje. Evropský institut pro certifikaci IT poskytuje subjektům údajů jasné a stručné informace o tom, jak podat žádost o výmaz, jaké informace budou vyžadovány k ověření jejich totožnosti a jak dlouho bude Evropskému institutu pro certifikaci IT trvat odpověď na žádost.
5.6. Právo na námitku
Subjekty údajů mají za určitých okolností právo vznést námitku proti zpracování jejich osobních údajů. Evropský institut pro certifikaci IT poskytuje subjektům údajů jasné a stručné informace o tom, jak podat žádost o vznesení námitky, jaké informace budou vyžadovány k ověření jejich totožnosti a jak dlouho bude Evropskému institutu pro certifikaci IT trvat, než na žádost odpoví.
5.7. Kontaktní informace
Evropský institut pro certifikaci IT poskytuje subjektům údajů jasné a stručné kontaktní informace, které mohou použít v případě, že mají dotazy nebo obavy ohledně způsobu zpracování jejich osobních údajů.
Část 6. Stanovení standardní doby odezvy
Evropský institut pro certifikaci IT zavedl standardní dobu odezvy na žádosti o práva subjektů údajů a zajistil, aby byly žádosti vyřízeny v tomto časovém rámci.
6.1. Standardní doba odezvy
Evropský institut pro certifikaci IT zavádí standardní dobu odezvy na žádosti o práva subjektů údajů 30 dní. Standardní doba odezvy definuje horní časový limit pro zpracování a odpověď a většina požadavků je zpracována a zodpovězena v kratším čase.
6.2. Vyžádejte si čas potvrzení přijetí
Po obdržení žádosti o práva subjektu údajů inspektor ochrany údajů nebo jiní zaměstnanci potvrdí přijetí žádosti do 5 pracovních dnů a poskytnou subjektu údajů odhadovaný časový rámec pro poskytnutí odpovědi.
6.3. Výjimečné prodloužení standardní doby odezvy
Evropský institut pro certifikaci IT vynaloží přiměřené úsilí, aby reagoval na žádosti o práva subjektů údajů v rámci stanovené standardní doby odezvy. Pokud je však žádost složitá nebo pokud Evropský institut pro certifikaci IT obdrží velké množství žádostí, může se doba odezvy prodloužit. V takových případech bude inspektor ochrany údajů informovat subjekt údajů o prodloužení a důvodu prodlení.
6.4. Odmítnutí splnit žádost o práva subjektu údajů
Pokud Evropský institut pro certifikaci IT není schopen vyhovět žádosti o práva subjektu údajů, poskytne subjektu údajů vysvětlení zamítnutí a informuje jej o jeho právu podat stížnost u příslušného dozorového úřadu.
6.5. Záznamy žádostí a odpovědí na práva subjektů údajů
Evropský institut pro certifikaci IT bude vést přesné záznamy o žádostech a odpovědích týkajících se práv subjektu údajů, včetně data přijetí žádosti, povahy žádosti a data a způsobu odpovědi.
6.6. Pravidelné recenze
DPO bude pravidelně revidovat doby odezvy Evropského institutu pro certifikaci IT a podle potřeby je aktualizovat, aby byla zajištěna shoda s platnými předpisy o ochraně údajů.
Část 7. Ověření totožnosti subjektu údajů
7.1. Požadavek na ověření totožnosti
Evropský institut pro certifikaci IT musí ověřit totožnost subjektu údajů, který podává žádost, aby zajistil, že osobní údaje budou poskytnuty pouze správné fyzické osobě.
7.2. Prostředky a metody ověřování identity
Když subjekt údajů podá žádost o výkon svých práv podle zákonů o ochraně údajů, musí Evropský institut pro certifikaci IT ověřit totožnost subjektu údajů pomocí vhodných opatření, jako je například vyžádání identifikačních dokladů.
7.3. Ověření totožnosti zmocněnce
Pokud subjekt údajů podává žádost jménem někoho jiného, Evropský institut pro certifikaci IT musí ověřit totožnost subjektu údajů i osoby, jejímž jménem se žádost podává.
7.4. Pochybnosti o ověření identity
Pokud má Evropský institut pro certifikaci IT pochybnosti o totožnosti subjektu údajů nebo o oprávněnosti žádosti, může si vyžádat dodatečné informace nebo přijmout jiná vhodná opatření k ověření totožnosti subjektu údajů.
7.5. Záznamy o ověření identity
Evropský institut pro certifikaci IT by měl vést záznam o procesu ověřování a opatřeních přijatých k ověření totožnosti subjektu údajů. Tento záznam by měl být uchováván po přiměřenou dobu a používán k prokázání souladu se zákony na ochranu údajů.
Část 8. Okamžitá reakce na žádosti o práva subjektu údajů
8.1. Rychlá odezva
Evropský institut pro certifikaci IT reaguje na žádosti subjektu údajů neprodleně a poskytuje subjektu údajů informace, o které požádal.
8.2. Vyžádejte si potvrzení o přijetí
Evropský institut pro certifikaci IT potvrdí přijetí žádosti subjektu údajů co nejdříve, ideálně do 5 pracovních dnů.
8.3. Požádejte o kontrolu
Určený inspektor ochrany údajů by měl žádost přezkoumat, aby se ujistil, že splňuje nezbytné požadavky a že byly poskytnuty všechny potřebné informace.
8.4. Ověření identity subjektu údajů
Evropský institut pro certifikaci IT ověřuje totožnost subjektu údajů, který podává žádost, aby zajistil, že osobní údaje budou poskytnuty pouze správné fyzické osobě.
8.5. V případě potřeby získání dalších informací
Pokud je žádost nejasná nebo nedostatečná, měl by Evropský institut pro certifikaci IT kontaktovat subjekt údajů, aby získal další informace.
8.5. Získání příslušných dat
Evropský institut pro certifikaci IT získává příslušné osobní údaje a kontroluje je, aby se ujistil, že jsou přesné a aktuální.
8.6. Poskytování požadovaných informací
Evropský institut pro certifikaci IT poskytuje subjektu údajů informace, o které požádal, včetně kopie jeho osobních údajů v běžně používaném elektronickém formátu, pokud není požadováno jinak.
8.7. Informujte subjekt údajů o jeho právech
Evropský institut pro certifikaci IT informuje subjekt údajů o jeho dalších právech, jako je právo na opravu nebo výmaz jeho osobních údajů, a poskytuje mu potřebné pokyny.
8.8. Dodržení doby odezvy
Evropský institut pro certifikaci IT odpovídá na žádosti subjektů údajů v rámci stanovené doby odezvy a zajišťuje, že jsou přijata nezbytná opatření k vyhovění žádosti.
8.9. Dokumentování odpovědi
Evropský institut pro certifikaci IT zdokumentuje odpověď na žádost o práva subjektu údajů, včetně všech přijatých opatření a doby odezvy, aby bylo zajištěno, že může být auditována a sledována pro účely souladu.
8.10. Informování subjektu údajů o jakýchkoli změnách
Dojde-li na základě jeho žádosti k jakýmkoli změnám v osobních údajích subjektu údajů, Evropský institut pro certifikaci IT subjektu údajů tyto změny oznámí.
Část 9. Dokumentace žádostí o práva subjektu údajů
Evropský institut pro certifikaci IT vede evidenci žádostí o práva subjektů údajů, včetně data žádosti, povahy žádosti a odpovědi na žádost. Dokumentace žádostí o práva subjektu údajů zahrnuje následující aspekty:
9.1. Vedení registru
Evropský institut pro certifikaci IT vede registr, který zachycuje všechny obdržené žádosti o práva subjektů údajů. Tento registr by měl obsahovat následující podrobnosti:
- Datum žádosti
- Jméno a kontaktní údaje subjektu údajů
- Popis požadavku
- Opatření přijatá v reakci na žádost
- Jakékoli další informace potřebné ke zpracování žádosti
9.2. Standardizovaný proces dokumentace
Evropský institut pro certifikaci IT provozuje standardizovaný proces dokumentování žádostí o práva subjektů údajů, aby byla zajištěna konzistentnost a přesnost zachycených informací.
9.3. Doba uchování
Evropský institut pro certifikaci IT uchovává tyto záznamy po přiměřenou dobu stanovenou platnými zákony a předpisy, ne kratší než 2 roky.
9.4. Zachování důvěrnosti
Evropský institut pro certifikaci IT zajišťuje, aby záznamy žádostí o práva subjektů údajů byly přístupné pouze oprávněným pracovníkům, kteří k těmto informacím potřebují přístup při plnění svých povinností. Dále zavádí technická a organizační opatření k zamezení neoprávněného přístupu, zpřístupnění, pozměnění nebo zničení osobních údajů obsažených v evidenci žádostí o práva subjektu údajů.
9.5. Podávání zpráv
Evropský institut pro certifikaci IT pravidelně generuje zprávy o přijatých, zpracovaných a nevyřízených žádostech o práva subjektů údajů. Tyto zprávy jsou sdíleny s příslušnými zúčastněnými stranami včetně vrcholového vedení a DPO.
9.6 Analytics
Evropský institut pro certifikaci IT provádí analýzu trendů žádostí o práva subjektů údajů, aby identifikoval vzory a hlavní příčiny žádostí. Tyto informace se používají k vylepšení procesů a postupů pro lepší správu takových požadavků.
Část 10. Monitorování a kontrola procesu
Evropský institut pro certifikaci IT pravidelně monitoruje a reviduje svůj proces vyřizování žádostí o práva subjektů údajů, aby zajistil, že zůstane účinný a bude v souladu s GDPR.
10.1. Provádění pravidelných kontrol
Evropský institut pro certifikaci IT provádí pravidelné kontroly procesu vyřizování žádostí o práva subjektu údajů a zásad dodržování GDPR, aby zajistil, že je účinný a v souladu s předpisy o ochraně údajů. Tyto kontroly zahrnují analýzu počtu a typu obdržených žádostí, včasnost a účinnost odpovědí a případné oblasti ke zlepšení.
10.2. Implementace vylepšení
Na základě zjištění z přezkoumání zavádí Evropský institut pro certifikaci IT veškerá nezbytná vylepšení procesu vyřizování žádostí o práva subjektů údajů. To může zahrnovat aktualizace postupů, další školení pro zaměstnance nebo změny ve způsobu, jakým jsou požadavky ověřovány a odpovídá se na ně.
10.3. Zajištění průběžné shody
Evropský institut pro certifikaci IT zajišťuje průběžné dodržování předpisů o ochraně údajů tím, že pravidelně přezkoumává a aktualizuje své zásady a postupy v souladu s případnými změnami příslušných zákonů a předpisů.
10.4. Sledování výkonu zaměstnanců
Evropský institut pro certifikaci IT monitoruje výkon zaměstnanců ve vztahu k vyřizování žádostí o práva subjektů údajů, včetně kvality a včasnosti odpovědí. To může zahrnovat pravidelná školení a kontroly výkonnosti, aby se zajistilo, že zaměstnanci jsou v této oblasti znalí a kompetentní.
10.5. Komunikace se subjekty údajů
Evropský institut pro certifikaci IT komunikuje se subjekty údajů v průběhu celého procesu vyřizování žádostí, aby bylo zajištěno, že budou informováni o pokroku a veškerých relevantních informacích. To může zahrnovat poskytování aktualizací stavu jejich žádosti nebo vyžádání dalších informací podle potřeby.
10.6. Vedení záznamů
Evropský institut pro certifikaci IT uchovává záznamy o svých kontrolách, včetně jakýchkoli změn provedených v procesu vyřizování žádostí o práva subjektů údajů, jakož i o jakékoli zpětné vazbě obdržené od subjektů údajů. Tyto informace lze použít k podpoře probíhajících snah o dodržování předpisů a k identifikaci oblastí pro další zlepšení.
Část 11. Zřízení záznamu o zpracovatelských činnostech
Evropský institut pro certifikaci IT vede Záznam o zpracovatelských činnostech, což je dokument, který popisuje zpracování osobních údajů prováděné organizací. Je vyžadováno podle obecného nařízení EU o ochraně osobních údajů (GDPR) a je určeno k podpoře porozumění činnostem zpracování údajů a prokázání souladu s GDPR.
11.1. Struktura ROPA
ROPA obsahuje základní informace o názvu a kontaktních údajích organizace, účelech zpracování údajů, kategoriích zpracovávaných osobních údajů, příjemcích osobních údajů a dobách uchovávání osobních údajů. Zahrnuje také informace o jakýchkoli zpracovatelích třetích stran, kteří jménem organizace zpracovávají osobní údaje.
11.2. Pravidelné aktualizace ROPA
ROPA je pravidelně aktualizována a je živým dokumentem, který odráží změny v činnosti Evropského institutu pro certifikaci IT v oblasti zpracování dat podporujících budování důvěry se subjekty údajů.
Evropský institut pro certifikaci IT se zavázal udržovat ty nejvyšší standardy, pokud jde o jeho správu požadavků na práva subjektů údajů a obecnou politiku nařízení o ochraně osobních údajů, přičemž dbá na dodržování všech platných zákonů a nařízení souvisejících s těmito otázkami, jakož i předních průmyslových standardů. a osvědčené postupy, včetně systému správy osobních údajů ISO 27701.