DSRRM és GDPR szabályzat
Az EITCA Akadémia Adatalanyok Jogainak Kezelési Irányelve és Általános Adatvédelmi Szabályzat
Ez a dokumentum meghatározza az Európai Informatikai Tanúsító Intézet adatalanyok jogai iránti kérelmek kezelésére vonatkozó szabályzatát, valamint az EU általános adatvédelmi rendeletének végrehajtását, amelyet rendszeresen felülvizsgálnak és frissítenek hatékonyságának és relevanciájának biztosítása érdekében. Az EITCI adatalanyok jogaira vonatkozó kérelmek kezelésének és GDPR szabályzatának legutóbbi frissítése 10. január 2023-én történt. Adatalanyok jogaira vonatkozó kérelmek kezelésére és GDPR-szabályzatunk az ISO 27701 adatvédelmi információkezelési rendszer ISO 27001 információbiztonsági kiterjesztésének elvein alapul. Rendszerszabvány, valamint az Általános Adatvédelmi Rendelet (2016/679) követelményei alapján.
1. rész Bevezetés
Az érintettek jogaival kapcsolatos kérelmek kezelése elengedhetetlen része az adatvédelmi előírásoknak, nevezetesen a GDPR-nek (az EU általános adatvédelmi rendeletének) való megfelelés biztosításának. Az Európai IT Tanúsító Intézet az alábbi formális eljárásokat határozta meg az érintettek jogaira vonatkozó kérelmek kezelésére és a GDPR követelményeinek végrehajtására:
1.1. Az érintettek jogaival kapcsolatos kérelmek kezelési folyamatának kialakítása
Ez a folyamat felvázolja azokat a lépéseket, amelyeket az Európai Informatikai Tanúsító Intézet követ az érintettek jogaira vonatkozó kérelmek kezelése során, beleértve az érintett azonosítását és hitelesítését, az érintett kérelmének ellenőrzését, valamint a kérelemre adott választ.
1.2. Adatvédelmi tisztviselő (DPO) kijelölése
Az Európai Informatikai Tanúsító Intézet kijelöl egy adatvédelmi tisztviselőt, aki felelős az érintettek jogaival kapcsolatos kérelmek kezelésének felügyeletéért, beleértve a kérelmek áttekintését, a megkeresésekre adott válaszokat és az adatvédelmi előírások betartását.
1.3. A személyes adatok naprakész nyilvántartása
Az Európai Informatikai Tanúsító Intézet naprakész nyilvántartást vezet az általa tárolt személyes adatokról és a feldolgozás céljairól. Ez lehetővé teszi az Európai IT Tanúsító Intézet számára, hogy gyorsan és pontosan válaszoljon az érintettek jogaira vonatkozó kérésekre.
1.4. Világos és tömör tájékoztatás az érintettek számára
A személyes adatok gyűjtése során az Európai Informatikai Tanúsító Intézet világos és tömör tájékoztatást ad az érintettek jogairól, ideértve a személyes adataikhoz való hozzáféréshez, helyesbítéshez, törléshez és azok kezelése elleni tiltakozáshoz való jogot.
1.5. Szabványos válaszidő meghatározása
Az Európai Informatikai Tanúsító Intézet szabványos válaszidőt tart fenn az érintettek jogaira vonatkozó kérelmekre, és biztosítja, hogy a kérelmekre ezen a határidőn belül válaszoljanak.
1.6. Az érintett személyazonosságának ellenőrzése
Az Európai Informatikai Tanúsító Intézet ellenőrzi a kérelmet benyújtó érintett személyazonosságát annak biztosítása érdekében, hogy a személyes adatokat csak a megfelelő személynek adják át.
1.7. Az érintettek jogaira vonatkozó kérések azonnali megválaszolása
Az Európai Informatikai Tanúsító Intézet haladéktalanul válaszol az érintettek jogaira vonatkozó megkeresésekre, és megadja az érintettnek az általa kért információkat.
1.8. Az érintettek jogaira vonatkozó kérelmek dokumentálása
Az Európai Informatikai Tanúsító Intézet nyilvántartást vezet az érintettek jogaira vonatkozó kérelmekről, beleértve a kérelem dátumát, a kérelem jellegét és a kérelemre adott választ.
1.9. A folyamat nyomon követése és felülvizsgálata
Az Európai Informatikai Tanúsítási Intézet rendszeresen figyelemmel kíséri és felülvizsgálja az érintettek jogaira vonatkozó kérelmek kezelési folyamatát annak érdekében, hogy az hatékony maradjon és megfeleljen a vonatkozó adatvédelmi előírásoknak.
1.10. Feldolgozási tevékenységek nyilvántartásának felállítása
Az Európai Informatikai Tanúsító Intézet vezeti a Feldolgozási Tevékenységek Nyilvántartását, amely egy olyan dokumentum, amely felvázolja a szervezet által végzett személyes adatok feldolgozását. Az EU általános adatvédelmi rendelete (GDPR) előírja, és célja, hogy segítse az adatkezelési tevékenységek megértését és a GDPR-nak való megfelelés bizonyítását.
Ezen formák és eljárások betartásával az Európai Informatikai Tanúsító Intézet hatékonyan tudja kezelni az érintettek jogaira vonatkozó kérelmeket, és biztosítani tudja az adatvédelmi előírások betartását, beleértve az Európai Unió általános adatvédelmi rendeletét is.
2. rész Az érintettek jogaival kapcsolatos kérelmek kezelési folyamatának kialakítása
Ez a folyamat felvázolja azokat a lépéseket, amelyeket az Európai Informatikai Tanúsító Intézet követ az érintettek jogaira vonatkozó kérelmek kezelése során, ideértve az érintett azonosítását és hitelesítését, az érintett kérelmének ellenőrzését, valamint a kérelemre adott választ:
2.1. Az érintett azonosítása és hitelesítése
Az Európai IT Tanúsító Intézet folyamatot tart fenn a kérelmet benyújtó érintett személyazonosságának ellenőrzésére. Ez magában foglalhatja az államilag kibocsátott személyazonosító okmány kérését, a meglévő nyilvántartások összehasonlítását vagy más hitelesítési módszerek használatát.
2.2. Az érintett kérelmének ellenőrzése
Az érintett személyazonosságának megállapítását követően az Európai Informatikai Tanúsító Intézetnek meg kell győződnie arról, hogy a kérelem érvényes, és az érintett személyes adataira vonatkozik. A kérelemnek tartalmaznia kell a gyakorolt konkrét jogot is, például a személyes adatokhoz való hozzáféréshez, azok helyesbítéséhez vagy törléséhez való jogot.
2.3. Válasz a kérésre
Az Európai Informatikai Tanúsító Intézetnek a vonatkozó adatvédelmi jogszabályokban meghatározott határidőn belül, de legfeljebb 30 napon belül választ kell adnia az érintett kérelmére. A válasznak tartalmaznia kell annak magyarázatát, hogy a kérelmet helyt adták-e vagy elutasították, valamint a döntés indokait.
2.4. A kérelem és válasz dokumentálása
Az Európai Informatikai Tanúsító Intézet nyilvántartást vezet az érintettek jogaival kapcsolatos összes kérésről és válaszról. Ez segít biztosítani a vonatkozó adatvédelmi törvényeknek való megfelelést, valamint megkönnyíti a jövőbeni ellenőrzéseket vagy vizsgálatokat.
2.5. Az érintett személyzet képzése
Az Európai Informatikai Tanúsító Intézet képzést biztosít az érintettek jogaira vonatkozó kérelmek kezeléséért felelős munkatársaknak annak biztosítása érdekében, hogy ismerjék a vonatkozó adatvédelmi törvényeket és az Európai IT Tanúsító Intézet ilyen kérelmek kezelésére vonatkozó eljárásait.
2.6. A folyamat nyomon követése és felülvizsgálata
Az Európai Informatikai Tanúsítási Intézet rendszeresen figyelemmel kíséri és felülvizsgálja az érintettek jogaira vonatkozó kérelmek kezelésének folyamatát annak biztosítása érdekében, hogy az továbbra is hatékony és megfeleljen a vonatkozó adatvédelmi törvényeknek. Minden problémát vagy eseményt időben jelentenek és kezelnek.
3. rész: Adatvédelmi tisztviselő (DPO) kijelölése
Az Európai Informatikai Tanúsító Intézet kijelöl egy adatvédelmi tisztviselőt, aki felelős az érintettek jogaival kapcsolatos kérelmek kezelésének felügyeletéért, beleértve a kérelmek áttekintését, a megkeresésekre adott válaszokat és az adatvédelmi előírások betartását.
3.1. Az adatvédelmi tisztviselő kijelölése
Az Európai IT Tanúsító Intézet adatvédelmi tisztviselőt (DPO) jelöl ki, aki felügyeli az érintettek jogaival kapcsolatos kérelmek kezelését és biztosítja az adatvédelmi előírások betartását. Az adatvédelmi tisztviselő felel a kérelmek áttekintéséért és annak biztosításáért, hogy az Európai IT Tanúsító Intézet eleget tegyen az adatvédelemmel kapcsolatos jogi kötelezettségeinek.
3.2. az adatvédelmi tisztviselő kompetenciáira vonatkozó követelmények
Az adatvédelmi tisztviselőnek szakértői ismeretekkel kell rendelkeznie az adatvédelmi jogszabályokról és gyakorlatokról, és el kell látnia a feladatai ellátásához szükséges erőforrásokat. Közvetlen hozzáféréssel kell rendelkezniük a felső vezetéshez, és jelentést kell adniuk a szervezet legmagasabb vezetői szintjének.
3.3. az adatvédelmi tisztviselő felelőssége
Az adatvédelmi tisztviselő feladatai többek között a következőkre terjednek ki:
- Iránymutatás és tanácsadás az Európai IT Tanúsító Intézetnek adatvédelmi kérdésekben, beleértve az érintettek jogaival kapcsolatos kérelmek kezelését.
- Ellenőrzi, hogy az Európai IT Tanúsító Intézet megfelel-e az adatvédelmi előírásoknak, valamint a belső szabályzatoknak és eljárásoknak.
- Az érintettek megkereséseinek és panaszainak megválaszolása az adatvédelmi szabályozás szerinti jogaikkal kapcsolatban.
- Más részlegekkel való együttműködés annak biztosítása érdekében, hogy az adatvédelmi követelmények a szervezet egészében teljesüljenek.
- Az Európai IT Tanúsító Intézet adatvédelmi gyakorlatának időszakos felülvizsgálata és értékelése, valamint fejlesztési javaslatok megfogalmazása.
- Kapcsolattartási pontként szolgál az adatvédelmi hatóságok számára, és együttműködik velük vizsgálat vagy ellenőrzés esetén.
- Az adatvédelmi tisztviselő részt vesz továbbá az Európai IT Tanúsító Intézet adatvédelemmel kapcsolatos irányelveinek és eljárásainak kidolgozásában és végrehajtásában, beleértve az érintettek jogaival kapcsolatos kérelmek kezelésével kapcsolatosakat is.
3.4. Az adatvédelmi tisztviselő képzése és képesítéseinek fejlesztése
Az Európai Informatikai Tanúsító Intézetnek biztosítania kell, hogy az adatvédelmi tisztviselő megfelelő képzésben részesüljön az adatvédelmi előírásokkal kapcsolatban, és naprakész legyen az ezen előírások változásairól vagy frissítéseiről.
3.5. Az adatvédelmi tisztviselő elérhetőségei
Az adatvédelmi tisztviselő elérhetőségét az érintettek rendelkezésére kell bocsátani, és fel kell tüntetni az Európai IT Tanúsító Intézet adatvédelmi közleményében vagy szabályzatában.
4. rész A személyes adatok naprakész nyilvántartása
Az Európai Informatikai Tanúsító Intézet naprakész nyilvántartást vezet az általa tárolt személyes adatokról és a feldolgozás céljairól. Ez lehetővé teszi az Európai IT Tanúsító Intézet számára, hogy gyorsan és pontosan válaszoljon az érintettek jogaira vonatkozó kérésekre.
4.1. A személyes adatok azonosítására és rögzítésére szolgáló eljárás kialakítása
Az Európai Informatikai Tanúsító Intézet világos és szabványosított eljárást hoz létre a személyes adatok azonosítására és rögzítésére, beleértve az érintett nevét, elérhetőségét és minden egyéb lényeges információt. Ez az eljárás biztosítja, hogy a személyes adatokat csak meghatározott és törvényes célokra gyűjtsük.
4.2. A személyes adatok kategorizálása
Az Európai IT Tanúsító Intézet kategorizálja a személyes adatokat, hogy könnyebben nyomon követhető és kezelhető legyen. Ez magában foglalja az adatok típus szerinti kategorizálását, például kapcsolattartási adatok, számlázási információk, kompetenciák és képesítések, pénzügyi információk vagy foglalkoztatási előzmények.
4.3. Adatkezelő rendszer kiépítése
Az Európai IT Tanúsító Intézet olyan adatkezelési rendszert vezet be, amely biztosítja a személyes adatok pontosságát, naprakészségét és hozzáférhetőségét. Az adatkezelő rendszer tartalmaz egy kereshető és lekérdezhető adatbázist, amely segíti az érintettek jogaival kapcsolatos megkeresések megválaszolását.
4.4. Felelősség kijelölése a személyes adatok nyilvántartásáért
Az Európai Informatikai Tanúsító Intézetnek meghatározott személyekre vagy részlegekre kell ruháznia a személyes adatok nyilvántartásának vezetését. Ez biztosítja, hogy a nyilvántartás naprakész és pontos legyen.
4.5. A személyes adatok nyilvántartásának rendszeres felülvizsgálata és frissítése
Az Európai IT Tanúsító Intézetnek rendszeresen felül kell vizsgálnia és frissítenie kell a személyes adatok nyilvántartását annak biztosítása érdekében, hogy azok pontosak és naprakészek maradjanak. Ez történhet időszakos auditokkal vagy folyamatos ellenőrzési folyamattal.
4.6. Hajtsa végre a megfelelő biztonsági intézkedéseket
Az Európai IT Tanúsító Intézet megfelelő biztonsági intézkedéseket hajt végre a birtokában lévő személyes adatok védelme érdekében, ideértve a személyes adatok jogosulatlan hozzáférésének, véletlen elvesztésének vagy megsemmisülésének megakadályozását, a szervezet információbiztonsági szabályzatának (ISP) részeként. Ide tartozik többek között a titkosítás, a tűzfalak és a hozzáférés-vezérlés. Az adatvédelmi folyamatok és intézkedések részletes leírását az Európai IT Tanúsító Intézet információbiztonsági szabályzata tartalmazza.
5. rész: Világos és tömör tájékoztatás az érintettek számára
A személyes adatok gyűjtése során az Európai Informatikai Tanúsító Intézet világos és tömör tájékoztatást ad az érintettek jogairól, ideértve a személyes adataikhoz való hozzáféréshez, helyesbítéshez, törléshez és azok kezelése elleni tiltakozáshoz való jogot.
5.1. Átláthatóság
Az Európai Informatikai Tanúsító Intézet a személyes adatok feldolgozása során átlátható, és tömör tájékoztatást nyújt az érintettek számára adataik felhasználásáról, feldolgozásáról és tárolásáról.
5.2. Adatvédelem
Az Európai Informatikai Tanúsító Intézet részletes adatvédelmi szabályzattal rendelkezik, amely felvázolja adatkezelési tevékenységeit, beleértve azt is, hogy az érintettek hogyan gyakorolhatják az érintettek jogait.
5.3. Hozzáférési jog
Az érintettek jogosultak hozzáférést kérni az Európai Informatikai Tanúsító Intézet róluk tárolt személyes adataihoz. Az Európai Informatikai Tanúsító Intézet világos és tömör tájékoztatást nyújt az érintetteknek arról, hogyan kell hozzáférési kérelmet benyújtani, milyen információkra lesz szükség személyazonosságuk igazolásához, és mennyi idő alatt válaszol az Európai IT Tanúsító Intézet a kérésre.
5.4. Helyesbítés joga
Az érintettek jogosultak kérni, hogy az Európai Informatikai Tanúsító Intézet helyesbítse a rájuk vonatkozó pontatlan vagy hiányos személyes adatokat. Az Európai Informatikai Tanúsító Intézet világos és tömör tájékoztatást nyújt az érintetteknek arról, hogyan kell helyesbítést kérni, milyen adatokra lesz szükség a személyazonosságuk igazolásához, és mennyi idő alatt válaszol az Európai IT Tanúsító Intézet a kérésre.
5.5. Törlési jog
Az érintettek bizonyos körülmények között jogosultak arra, hogy kérjék az Európai Informatikai Tanúsító Intézettől személyes adataik törlését. Az Európai Informatikai Tanúsító Intézet világos és tömör tájékoztatást nyújt az érintetteknek arról, hogyan kérelmezhetik a törlést, milyen adatokra lesz szükség személyazonosságuk igazolásához, és mennyi idő alatt válaszol az Európai IT Tanúsító Intézet a kérésre.
5.6. Tiltakozáshoz való jog
Az érintettek bizonyos körülmények között jogosultak arra, hogy tiltakozzanak személyes adataik kezelése ellen. Az Európai Informatikai Tanúsító Intézet világos és tömör tájékoztatást nyújt az érintettek számára arról, hogyan nyújthatnak be tiltakozási kérelmet, milyen információkra lesz szükség a személyazonosságuk igazolásához, és mennyi idő alatt válaszol az Európai IT Tanúsító Intézet a kérésre.
5.7. Kapcsolattartási információ
Az Európai Informatikai Tanúsító Intézet világos és tömör elérhetőségi információkat biztosít az érintettek számára, amelyeket akkor használhatnak fel, ha kérdéseik vagy aggályaik vannak személyes adataik feldolgozásával kapcsolatban.
6. rész. Szabványos válaszidő meghatározása
Az Európai Informatikai Tanúsító Intézet szabványos válaszidőt határozott meg az érintettek jogaira vonatkozó kérelmekre, és biztosítja, hogy a kérelmekre ezen a határidőn belül válaszoljanak.
6.1. Normál válaszidő
Az Európai Informatikai Tanúsító Intézet 30 napos normál válaszidőt állapít meg az érintettek jogaival kapcsolatos kérelmekre. A szabványos válaszidő meghatározza a feldolgozás és a válaszadás felső határát, és a kérések többsége rövidebb időn belül feldolgozásra és válaszadásra kerül.
6.2. Kérje a nyugtázási időt
Az érintettek jogaira vonatkozó kérelem kézhezvételét követően az adatvédelmi tisztviselő vagy más munkatársak 5 munkanapon belül visszaigazolják a kérelem kézhezvételét, és megadják az érintett számára a válaszadás becsült időtartamát.
6.3. A standard válaszidő kivételes meghosszabbítása
Az Európai IT Tanúsító Intézet minden ésszerű erőfeszítést megtesz annak érdekében, hogy az érintettek jogaira vonatkozó kérésekre a megállapított normál válaszidőn belül válaszoljon. Ha azonban a kérés összetett, vagy ha az Európai IT Tanúsító Intézethez nagy mennyiségű kérés érkezik, a válaszidő meghosszabbodhat. Ilyen esetekben az adatvédelmi tisztviselő tájékoztatja az érintettet a meghosszabbításról és a késedelem okáról.
6.4. Az érintettek jogaira vonatkozó kérelem teljesítésének megtagadása
Ha az Európai Informatikai Tanúsító Intézet nem tud eleget tenni az érintettek jogaira vonatkozó kérésnek, az érintettnek magyarázatot ad az elutasításra, és tájékoztatja az érintett felügyeleti hatósághoz benyújtott panasztételi jogáról.
6.5. Az érintettek jogaival kapcsolatos kérelmek és válaszok nyilvántartása
Az Európai IT Tanúsító Intézet pontos nyilvántartást vezet az érintettek jogaira vonatkozó kérésekről és válaszokról, beleértve a kérelem beérkezésének dátumát, a kérelem jellegét, valamint a válasz dátumát és módját.
6.6. Időszakos felülvizsgálatok
Az adatvédelmi tisztviselő rendszeres időközönként felülvizsgálja az Európai IT Tanúsító Intézet válaszidejét, és szükség szerint frissíti azokat a vonatkozó adatvédelmi előírások betartása érdekében.
7. rész Az érintett személyazonosságának ellenőrzése
7.1. Személyazonosság-igazolási követelmény
Az Európai Informatikai Tanúsító Intézetnek ellenőriznie kell a kérelmet benyújtó érintett személyazonosságát annak biztosítása érdekében, hogy a személyes adatokat csak a megfelelő személynek adják át.
7.2. A személyazonosság-ellenőrzés eszközei és módszerei
Amikor az érintett az adatvédelmi törvények szerinti jogainak gyakorlására irányuló kérelmet nyújt be, az Európai Informatikai Tanúsító Intézetnek megfelelő intézkedésekkel – például személyazonosító okmányok kérésével – ellenőriznie kell az érintett személyazonosságát.
7.3. Meghatalmazott személyazonosságának ellenőrzése
Ha az érintett valaki más nevében nyújtja be a kérelmet, az Európai Informatikai Tanúsító Intézetnek ellenőriznie kell mind az érintett, mind annak a személyazonosságát, akinek a nevében a kérelmet benyújtják.
7.4. Személyazonosság-ellenőrzési kétségek
Ha az Európai Informatikai Tanúsító Intézetnek kétségei vannak az érintett személyazonosságával vagy a kérelem érvényességével kapcsolatban, további tájékoztatást kérhet, vagy egyéb megfelelő intézkedéseket tehet az érintett személyazonosságának ellenőrzésére.
7.5. Személyazonosság-ellenőrző nyilvántartások
Az Európai Informatikai Tanúsító Intézetnek nyilvántartást kell vezetnie az ellenőrzési folyamatról és az érintett személyazonosságának ellenőrzésére tett intézkedésekről. Ezt a nyilvántartást ésszerű ideig meg kell őrizni, és az adatvédelmi jogszabályok betartásának bizonyítására kell használni.
8. rész: Az érintettek jogaira vonatkozó kérések azonnali megválaszolása
8.1. Gyors reagálás
Az Európai Informatikai Tanúsító Intézet haladéktalanul válaszol az érintettekkel kapcsolatos megkeresésekre, és megadja az érintettnek az általa kért információkat.
8.2. Kérjen átvételi elismervényt
Az Európai IT Tanúsító Intézet a lehető leghamarabb, ideális esetben 5 munkanapon belül visszaigazolja az érintett kérelmének kézhezvételét.
8.3. Kérjen felülvizsgálatot
A kijelölt adatvédelmi tisztviselőnek felül kell vizsgálnia a kérelmet, hogy megbizonyosodjon arról, hogy az megfelel a szükséges követelményeknek, és minden szükséges információt megadtak.
8.4. Az érintett személyazonosságának ellenőrzése
Az Európai Informatikai Tanúsító Intézet ellenőrzi a kérelmet benyújtó érintett személyazonosságát annak biztosítása érdekében, hogy a személyes adatokat csak a megfelelő személynek adják át.
8.5. Igény esetén további információk beszerzése
Ha a kérelem nem egyértelmű vagy nem kielégítő, az Európai Informatikai Tanúsító Intézetnek fel kell vennie a kapcsolatot az érintettel további információk beszerzése érdekében.
8.5. A vonatkozó adatok lekérése
Az Európai IT Tanúsító Intézet lekéri a vonatkozó személyes adatokat, és felülvizsgálja azokat annak érdekében, hogy azok pontosak és naprakészek legyenek.
8.6. A kért információk megadása
Az Európai Informatikai Tanúsító Intézet az érintettek rendelkezésére bocsátja az általa kért információkat, ideértve személyes adatainak másolatát általánosan használt elektronikus formátumban, hacsak másként nem kérik.
8.7. Tájékoztassa az érintettet jogairól
Az Európai Informatikai Tanúsító Intézet tájékoztatja az érintettet egyéb jogairól, például a személyes adatai helyesbítéséhez vagy törléséhez való jogáról, és megadja a szükséges utasításokat.
8.8. A válaszidő betartása
Az Európai Informatikai Tanúsító Intézet a meghatározott válaszidőn belül válaszol az érintettekkel kapcsolatos megkeresésekre, biztosítva a kérés teljesítéséhez szükséges intézkedések megtételét.
8.9. A válasz dokumentálása
Az Európai Informatikai Tanúsítási Intézet dokumentálja az érintettek jogaira vonatkozó kérésre adott választ, beleértve a megtett intézkedéseket és a válaszidőt is, hogy biztosítsa annak ellenőrzését és nyomon követését a megfelelőségi célból.
8.10. Az érintett értesítése az esetleges változásokról
Ha az érintett személyes adataiban a kérés eredményeként változás történik, az Európai Informatikai Tanúsító Intézet értesíti az érintettet ezekről a változásokról.
9. rész Az érintettek jogai iránti kérelmek dokumentálása
Az Európai Informatikai Tanúsító Intézet nyilvántartást vezet az érintettek jogaira vonatkozó kérelmekről, beleértve a kérelem dátumát, a kérelem jellegét és a kérelemre adott választ. Az érintettek jogaira vonatkozó kérelmek dokumentálása a következő szempontokat foglalja magában:
9.1. Nyilvántartás vezetése
Az Európai Informatikai Tanúsítási Intézet nyilvántartást vezet, amely rögzíti az összes beérkezett érintett jogosultsági kérelmét. Ennek a nyilvántartásnak a következő adatokat kell rögzítenie:
- A kérelem kelte
- Az érintett neve és elérhetőségei
- A kérelem leírása
- A kérelemre válaszul tett intézkedés
- A kérelem feldolgozásához szükséges minden további információ
9.2. Szabványosított folyamat a dokumentációhoz
Az Európai Informatikai Tanúsító Intézet szabványosított eljárást folytat az érintettek jogaira vonatkozó kérelmek dokumentálására, hogy biztosítsa a rögzített információk következetességét és pontosságát.
9.3. Megtartási időszak
Az Európai Informatikai Tanúsító Intézet ezeket a nyilvántartásokat a vonatkozó törvények és rendeletek által meghatározott ésszerű ideig, de legfeljebb 2 évig megőrzi.
9.4. A titoktartás megőrzése
Az Európai Informatikai Tanúsító Intézet biztosítja, hogy az érintettek jogaira vonatkozó kérelmek nyilvántartásaihoz csak az arra feljogosított személyek férhessenek hozzá, akiknek feladataik ellátása során szükségük van az ilyen információkhoz való hozzáférésre. Technikai és szervezési intézkedéseket is végrehajt az érintettek jogai iránti kérelmek nyilvántartásában szereplő személyes adatok jogosulatlan hozzáférésének, nyilvánosságra hozatalának, megváltoztatásának vagy megsemmisítésének megakadályozása érdekében.
9.5. Jelentés
Az Európai Informatikai Tanúsító Intézet időszakonként jelentéseket készít a beérkezett, feldolgozott és függőben lévő érintettek jogaira vonatkozó kérelmekről. Ezeket a jelentéseket megosztják az érintett érdekelt felekkel, beleértve a felső vezetést és az adatvédelmi tisztviselőt.
9.6. analitika
Az Európai Informatikai Tanúsító Intézet trendelemzést végez az érintettek jogaira vonatkozó kérelmekkel kapcsolatban, hogy azonosítsa a kérések mintáit és kiváltó okait. Ezeket az információkat a folyamatok és eljárások javítására használják fel az ilyen kérések jobb kezelése érdekében.
10. rész A folyamat nyomon követése és felülvizsgálata
Az Európai IT Tanúsító Intézet rendszeresen figyelemmel kíséri és felülvizsgálja az érintettek jogaira vonatkozó kérelmek kezelési folyamatát annak érdekében, hogy az hatékony és megfeleljen a GDPR-nak.
10.1. Időszakos felülvizsgálatok lefolytatása
Az Európai IT Tanúsító Intézet időszakonként felülvizsgálja az érintettek jogai iránti kérelmek kezelési folyamatát és a GDPR megfelelőségi politikáját annak érdekében, hogy az hatékony és megfeleljen az adatvédelmi előírásoknak. Ezek a felülvizsgálatok magukban foglalják a beérkezett kérelmek számának és típusának, a válaszok időszerűségének és hatékonyságának, valamint a fejlesztendő területek elemzését.
10.2. Fejlesztések végrehajtása
A felülvizsgálatok megállapításai alapján az Európai Informatikai Tanúsító Intézet minden szükséges fejlesztést végrehajt az érintettek jogai iránti kérelmek kezelési folyamatában. Ez magában foglalhatja az eljárások frissítését, a személyzet további képzését, vagy a kérések ellenőrzésének és megválaszolásának módját érintő módosításokat.
10.3. A folyamatos megfelelés biztosítása
Az Európai IT Tanúsító Intézet az adatvédelmi előírásoknak való folyamatos megfelelést azáltal biztosítja, hogy rendszeresen felülvizsgálja és frissíti irányelveit és eljárásait a vonatkozó törvények és rendeletek változásaival összhangban.
10.4. A személyzet teljesítményének nyomon követése
Az Európai IT Tanúsító Intézet figyelemmel kíséri a személyzet teljesítményét az érintettek jogaira vonatkozó kérelmek kezelésével kapcsolatban, beleértve a válaszok minőségét és időszerűségét. Ez magában foglalhat időszakos képzést és teljesítmény-ellenőrzést annak biztosítására, hogy a személyzet megfelelő ismeretekkel és hozzáértéssel rendelkezzen ezen a területen.
10.5. Kommunikáció az érintettekkel
Az Európai IT Tanúsító Intézet a kéréskezelési folyamat során folyamatosan kommunikál az érintettekkel annak biztosítása érdekében, hogy tájékoztassák őket az előrehaladásról és minden lényeges információról. Ez magában foglalhatja kérésük állapotának frissítését, vagy szükség esetén további információk kérését.
10.6. Nyilvántartások vezetése
Az Európai Informatikai Tanúsító Intézet nyilvántartást vezet a felülvizsgálatairól, beleértve az érintettek jogai iránti kérelmek kezelési folyamatában végrehajtott változtatásokat, valamint az érintettektől kapott visszajelzéseket. Ez az információ felhasználható a folyamatos megfelelőségi erőfeszítések támogatására és a további fejlesztésre szoruló területek azonosítására.
11. rész A feldolgozási tevékenységek nyilvántartásának létrehozása
Az Európai Informatikai Tanúsító Intézet vezeti a Feldolgozási Tevékenységek Nyilvántartását, amely egy olyan dokumentum, amely felvázolja a szervezet által végzett személyes adatok feldolgozását. Az EU általános adatvédelmi rendelete (GDPR) előírja, és célja, hogy segítse az adatkezelési tevékenységek megértését és a GDPR-nak való megfelelés bizonyítását.
11.1. ROPA szerkezet
A ROPA alapvető információkat tartalmaz a szervezet nevéről és elérhetőségeiről, az adatkezelés céljairól, a kezelt személyes adatok kategóriáiról, a személyes adatok címzettjeiről, valamint a személyes adatok megőrzési időtartamáról. Tartalmazza továbbá a személyes adatokat a szervezet nevében feldolgozó harmadik fél adatfeldolgozóira vonatkozó információkat is.
11.2. ROPA rendszeres frissítések
A ROPA rendszeresen frissül, és egy élő dokumentum, amely tükrözi az Európai IT Tanúsító Intézet adatfeldolgozási tevékenységében bekövetkezett változásokat, és támogatja az érintettekkel szembeni bizalom építését.
Az Európai Informatikai Tanúsító Intézet elkötelezett amellett, hogy fenntartsa a legmagasabb szabványokat az adatalanyok jogai iránti kérelmek kezelésével és az általános adatvédelmi szabályozással kapcsolatos politikája tekintetében, ügyelve arra, hogy megfeleljen az ezekkel a kérdésekkel kapcsolatos összes vonatkozó törvénynek és előírásnak, valamint a vezető iparági szabványoknak. és a legjobb gyakorlatokat, beleértve az ISO 27701 adatvédelmi információkezelési rendszert.