DSRRM ir GDPR politika
EITCA akademijos duomenų subjektų teisių užklausų valdymo politika ir Bendrasis duomenų apsaugos reglamentas
Šiame dokumente nurodoma Europos IT sertifikavimo instituto Duomenų subjektų teisių užklausų valdymo politika, taip pat ES Bendrojo duomenų apsaugos reglamento įgyvendinimas, kuris reguliariai peržiūrimas ir atnaujinamas siekiant užtikrinti jo veiksmingumą ir aktualumą. Paskutinis EITCI duomenų subjektų teisių užklausų valdymo ir BDAR politikos atnaujinimas buvo atliktas 10 m. sausio 2023 d. Mūsų duomenų subjektų teisių užklausų valdymo ir BDAR politika grindžiama ISO 27701 privatumo informacijos valdymo sistemos pratęsimo ISO 27001 informacijos saugos principais. Sistemos standartą, taip pat pagal Bendrojo duomenų apsaugos reglamento (2016/679) reikalavimus.
1 dalis. Įvadas
Duomenų subjektų teisių užklausų tvarkymas yra esminė dalis užtikrinant, kad būtų laikomasi duomenų apsaugos reglamentų, būtent GDPR (ES Bendrasis duomenų apsaugos reglamentas). Europos IT sertifikavimo institutas nustatė šias formalias duomenų subjektų teisių užklausų tvarkymo ir BDAR reikalavimų įgyvendinimo procedūras:
1.1. Duomenų subjektų prašymų dėl teisių tvarkymo proceso nustatymas
Šiame procese aprašomi veiksmai, kurių Europos IT sertifikavimo institutas atlieka nagrinėdamas duomenų subjekto teisių prašymus, įskaitant duomenų subjekto identifikavimą ir autentifikavimą, duomenų subjekto prašymo patikrinimą ir atsakymą į užklausą.
1.2. Duomenų apsaugos pareigūno (DAP) paskyrimas
Europos IT sertifikavimo institutas paskiria DAP, kuris yra atsakingas už duomenų subjektų teisių užklausų tvarkymo priežiūrą, įskaitant užklausų peržiūrą, atsakymą į užklausas ir duomenų apsaugos taisyklių laikymosi užtikrinimą.
1.3. Atnaujinto asmens duomenų registravimo tvarkymas
Europos IT sertifikavimo institutas tvarko atnaujintą turimų asmens duomenų ir jų tvarkymo tikslų registrą. Tai leis Europos IT sertifikavimo institutui greitai ir tiksliai atsakyti į duomenų subjekto teisių užklausas.
1.4. Aiškios ir glaustos informacijos teikimas duomenų subjektams
Rinkdamas asmens duomenis Europos IT sertifikavimo institutas teikia aiškią ir glaustą informaciją duomenų subjektams apie jų teises, įskaitant teisę susipažinti su savo asmens duomenimis, juos ištaisyti, ištrinti ir nesutikti, kad būtų tvarkomi.
1.5. Standartinio atsako laiko nustatymas
Europos IT sertifikavimo institutas taiko standartinį atsakymo į duomenų subjektų teisių užklausas laiką ir užtikrina, kad į užklausas būtų atsakyta per šį laikotarpį.
1.6. Duomenų subjekto tapatybės patikrinimas
Europos IT sertifikavimo institutas patikrina prašymą pateikusio duomenų subjekto tapatybę, siekdamas užtikrinti, kad asmens duomenys būtų pateikti tik tinkamam asmeniui.
1.7. Greitas atsakymas į duomenų subjekto teisių prašymus
Europos IT sertifikavimo institutas operatyviai atsako į duomenų subjektų užklausas dėl teisių ir suteikia duomenų subjektui jo prašomą informaciją.
1.8. Duomenų subjektų teisių prašymų dokumentavimas
Europos IT sertifikavimo institutas tvarko duomenų subjektų teisių užklausų registrą, įskaitant prašymo datą, prašymo pobūdį ir atsakymą į užklausą.
1.9. Proceso stebėjimas ir peržiūra
Europos IT sertifikavimo institutas reguliariai stebi ir peržiūri savo duomenų subjektų teisių užklausų nagrinėjimo procesą, siekdamas užtikrinti, kad jis išliktų veiksmingas ir atitiktų atitinkamus duomenų apsaugos reglamentus.
1.10. Apdorojimo veiklos registro sudarymas
Europos IT sertifikavimo institutas tvarko Tvarkymo veiklos įrašą, kuris yra dokumentas, apibūdinantis organizacijos vykdomą asmens duomenų tvarkymą. Jis reikalingas pagal ES Bendrąjį duomenų apsaugos reglamentą (BDAR) ir yra skirtas padėti suprasti duomenų tvarkymo veiklą ir parodyti, kad laikomasi BDAR.
Laikydamasis šių formalumų ir procedūrų, Europos IT sertifikavimo institutas gali efektyviai tvarkyti duomenų subjektų teisių užklausas ir užtikrinti duomenų apsaugos reglamentų, įskaitant Bendrąjį duomenų apsaugos reglamentą Europos Sąjungoje, laikymąsi.
2 dalis. Duomenų subjektų prašymų dėl teisių tvarkymo proceso nustatymas
Šiame procese aprašomi veiksmai, kurių Europos IT sertifikavimo institutas laikosi nagrinėdamas duomenų subjekto teisių prašymus, įskaitant duomenų subjekto identifikavimą ir autentifikavimą, duomenų subjekto prašymo patikrinimą ir atsakymą į užklausą:
2.1. Duomenų subjekto identifikavimas ir autentifikavimas
Europos IT sertifikavimo institutas palaiko užklausą pateikiančio duomenų subjekto tapatybės patikrinimo procesą. Tai gali apimti vyriausybės išduoto asmens tapatybės dokumento paprašymą, esamų įrašų patikrinimą arba kitų autentifikavimo metodų naudojimą.
2.2. Duomenų subjekto prašymo tikrinimas
Nustačius duomenų subjekto tapatybę, Europos IT sertifikavimo institutas turi patikrinti, ar prašymas yra pagrįstas ir susijęs su duomenų subjekto asmens duomenimis. Prašyme taip pat turėtų būti nurodyta konkreti teisė, kuria pasinaudojama, pavyzdžiui, teisė susipažinti su asmens duomenimis, juos taisyti arba ištrinti.
2.3. Atsakymas į prašymą
Europos IT sertifikavimo institutas turi pateikti atsakymą į duomenų subjekto prašymą per atitinkamų duomenų apsaugos įstatymų nustatytą terminą, bet ne ilgiau kaip per 30 dienų. Atsakyme turėtų būti paaiškinta, ar prašymas buvo patenkintas, ar atmestas, ir tokio sprendimo priežastys.
2.4. Prašymo ir atsakymo dokumentavimas
Europos IT sertifikavimo institutas tvarko visų duomenų subjektų teisių prašymų ir atsakymų registrą. Tai padeda užtikrinti atitinkamų duomenų apsaugos įstatymų laikymąsi, taip pat palengvina būsimus auditus ar tyrimus.
2.5. Atitinkamų darbuotojų mokymas
Europos IT sertifikavimo institutas apmokys darbuotojus, atsakingus už duomenų subjektų teisių užklausų tvarkymą, siekdamas užtikrinti, kad jie būtų susipažinę su atitinkamais duomenų apsaugos įstatymais ir Europos IT sertifikavimo instituto tokių prašymų nagrinėjimo procedūromis.
2.6. Proceso stebėjimas ir peržiūra
Europos IT sertifikavimo institutas reguliariai stebi ir peržiūri duomenų subjektų užklausų dėl teisių tvarkymo procesą, siekdamas užtikrinti, kad jis išliktų veiksmingas ir atitiktų atitinkamus duomenų apsaugos įstatymus. Apie bet kokias problemas ar incidentus pranešama ir jie sprendžiami laiku.
3 dalis. Duomenų apsaugos pareigūno (DAP) paskyrimas
Europos IT sertifikavimo institutas paskiria DAP, kuris yra atsakingas už duomenų subjektų teisių užklausų tvarkymo priežiūrą, įskaitant užklausų peržiūrą, atsakymą į užklausas ir duomenų apsaugos taisyklių laikymosi užtikrinimą.
3.1. DAP paskyrimas
Europos IT sertifikavimo institutas paskiria duomenų apsaugos pareigūną (DAP), kuris prižiūrės duomenų subjektų teisių užklausų tvarkymą ir užtikrina duomenų apsaugos taisyklių laikymąsi. DAP bus atsakingas už prašymų peržiūrą ir užtikrinimą, kad Europos IT sertifikavimo institutas laikytųsi savo teisinių įsipareigojimų, susijusių su duomenų apsauga.
3.2. DAP kompetencijos reikalavimus
DAP turi turėti ekspertų žinių apie duomenų apsaugos įstatymus ir praktiką ir jam turi būti suteikti reikalingi ištekliai, kad galėtų vykdyti savo pareigas. Jie turėtų turėti tiesioginę prieigą prie vyresniosios vadovybės ir atsiskaityti aukščiausiam organizacijos vadovybės lygiui.
3.3. DAP pareigos
DAP pareigos apima šias pareigas, bet tuo neapsiriboja:
- Rekomendacijų ir patarimų teikimas Europos IT sertifikavimo institutui duomenų apsaugos klausimais, įskaitant duomenų subjekto teisių užklausų tvarkymą.
- Stebėti, kaip Europos IT sertifikavimo institutas laikosi duomenų apsaugos taisyklių ir vidaus politikos bei procedūrų.
- Atsakymas į duomenų subjektų paklausimus ir skundus dėl jų teisių pagal duomenų apsaugos reglamentus.
- Koordinavimas su kitais padaliniais, siekiant užtikrinti, kad visoje organizacijoje būtų laikomasi duomenų apsaugos reikalavimų.
- Periodinių Europos IT sertifikavimo instituto duomenų apsaugos praktikos peržiūrų ir vertinimų vykdymas bei tobulinimo rekomendacijų teikimas.
- Duomenų apsaugos institucijų kontaktinis punktas ir bendradarbiavimas su jomis tyrimo ar audito atveju.
- DAP taip pat dalyvauja kuriant ir įgyvendinant Europos IT sertifikavimo instituto politiką ir procedūras, susijusias su duomenų apsauga, įskaitant susijusias su duomenų subjektų teisių užklausų tvarkymu.
3.4. DAP mokymas ir kvalifikacijos tobulinimas
Europos IT sertifikavimo institutas turėtų užtikrinti, kad DAP būtų tinkamai apmokytas apie duomenų apsaugos taisykles ir būtų nuolat atnaujinamas apie visus šių taisyklių pakeitimus ar atnaujinimus.
3.5. DAP kontaktinė informacija
DAP kontaktinė informacija turėtų būti prieinama duomenų subjektams ir įtraukta į Europos IT sertifikavimo instituto privatumo pranešimą arba politiką.
4 dalis. Atnaujinto asmens duomenų registravimo tvarkymas
Europos IT sertifikavimo institutas tvarko atnaujintą turimų asmens duomenų ir jų tvarkymo tikslų registrą. Tai leis Europos IT sertifikavimo institutui greitai ir tiksliai atsakyti į duomenų subjekto teisių užklausas.
4.1. Asmens duomenų identifikavimo ir registravimo proceso nustatymas
Europos IT sertifikavimo institutas nustato aiškų ir standartizuotą asmens duomenų, įskaitant duomenų subjekto vardą, pavardę, kontaktinę informaciją ir bet kokią kitą svarbią informaciją, identifikavimo ir įrašymo procesą. Šiuo procesu užtikrinama, kad asmens duomenys būtų renkami tik konkrečiais ir teisėtais tikslais.
4.2. Asmens duomenų skirstymas į kategorijas
Europos IT sertifikavimo institutas suskirsto asmens duomenis į kategorijas, kad būtų lengviau juos sekti ir valdyti. Tai apima duomenų skirstymą į kategorijas pagal tipą, pvz., kontaktinę informaciją, atsiskaitymo informaciją, kompetencijas ir kvalifikaciją, finansinę informaciją arba darbo istoriją.
4.3. Duomenų valdymo sistemos diegimas
Europos IT sertifikavimo institutas diegia duomenų valdymo sistemą, padedančią užtikrinti, kad asmens duomenys būtų tikslūs, atnaujinami ir prieinami. Duomenų valdymo sistemoje yra duomenų bazė, kurioje galima atlikti paiešką ir pateikti užklausas, padedančias atsakyti į duomenų subjekto teisių užklausas.
4.4. Atsakomybės už asmens duomenų įrašo tvarkymą priskyrimas
Europos IT sertifikavimo institutas turėtų priskirti atsakomybę už asmens duomenų registravimą konkretiems asmenims arba skyriams. Taip bus užtikrinta, kad įrašas bus atnaujintas ir tikslus.
4.5. Reguliariai peržiūrėti ir atnaujinti asmens duomenų įrašą
Europos IT sertifikavimo institutas turėtų reguliariai peržiūrėti ir atnaujinti asmens duomenų įrašą, kad užtikrintų, jog jie išliktų tikslūs ir atnaujinami. Tai galima padaryti atliekant periodinius auditus arba vykdant nuolatinį stebėjimo procesą.
4.6. Įgyvendinti tinkamas saugumo priemones
Europos IT sertifikavimo institutas įgyvendina atitinkamas saugos priemones, skirtas apsaugoti jo turimus asmens duomenis, įskaitant priemones, skirtas užkirsti kelią neteisėtai prieigai, atsitiktiniam asmens duomenų praradimui ar sunaikinimui, kaip organizacijos informacijos saugumo politikos (ISP) dalį. Tai apima, pvz., šifravimą, ugniasienes ir prieigos valdiklius. Išsamios duomenų apsaugos procesų ir priemonių specifikacijos pateikiamos Europos IT sertifikavimo instituto informacijos saugumo politikoje.
5 dalis. Aiškios ir glaustos informacijos teikimas duomenų subjektams
Rinkdamas asmens duomenis Europos IT sertifikavimo institutas teikia aiškią ir glaustą informaciją duomenų subjektams apie jų teises, įskaitant teisę susipažinti su savo asmens duomenimis, juos ištaisyti, ištrinti ir nesutikti, kad būtų tvarkomi.
5.1. Skaidrumas
Europos IT sertifikavimo institutas skaidriai tvarko asmens duomenis ir pateikia duomenų subjektams glaustą informaciją apie tai, kaip naudojami, tvarkomi ir saugomi jų duomenys.
5.2. Privatumo politika
Europos IT sertifikavimo institutas turi išsamią privatumo politiką, kurioje nurodoma jo duomenų tvarkymo veikla, įskaitant tai, kaip duomenų subjektai gali pasinaudoti savo duomenų subjekto teisėmis.
5.3. Teisė prieiti
Duomenų subjektai turi teisę prašyti susipažinti su Europos IT sertifikavimo instituto apie juos turimais asmens duomenimis. Europos IT sertifikavimo institutas duomenų subjektams pateikia aiškią ir glaustą informaciją apie tai, kaip pateikti prieigos prašymą, kokios informacijos reikės jų tapatybei patikrinti ir kiek laiko Europos IT sertifikavimo institutas užtruks, kol atsakys į prašymą.
5.4. Teisė ištaisyti
Duomenų subjektai turi teisę reikalauti, kad Europos IT sertifikavimo institutas ištaisytų bet kokius jo turimus netikslius ar neišsamius asmens duomenis. Europos IT sertifikavimo institutas duomenų subjektams pateikia aiškią ir glaustą informaciją apie tai, kaip pateikti prašymą ištaisyti, kokios informacijos reikės jų tapatybei patikrinti ir kiek laiko Europos IT sertifikavimo institutas užtruks, kol atsakys į prašymą.
5.5. Teisė ištrinti
Duomenų subjektai tam tikromis aplinkybėmis turi teisę prašyti, kad Europos IT sertifikavimo institutas ištrintų jų asmens duomenis. Europos IT sertifikavimo institutas teikia aiškią ir glaustą informaciją duomenų subjektams apie tai, kaip pateikti prašymą ištrinti duomenis, kokios informacijos reikės norint patikrinti jų tapatybę ir kiek laiko Europos IT sertifikavimo institutas užtruks, kol atsakys į prašymą.
5.6. Teisė prieštarauti
Duomenų subjektai tam tikromis aplinkybėmis turi teisę nesutikti, kad būtų tvarkomi jų asmens duomenys. Europos IT sertifikavimo institutas duomenų subjektams pateikia aiškią ir glaustą informaciją apie tai, kaip pateikti prašymą prieštarauti, kokios informacijos reikės jų tapatybei patikrinti ir kiek laiko Europos IT sertifikavimo institutas užtruks, kol atsakys į prašymą.
5.7. Kontaktinė informacija
Europos IT sertifikavimo institutas pateikia aiškią ir glaustą kontaktinę informaciją duomenų subjektams, kuriais jie gali pasinaudoti, jei jiems kyla klausimų ar abejonių dėl to, kaip tvarkomi jų asmens duomenys.
6 dalis. Standartinio atsako laiko nustatymas
Europos IT sertifikavimo institutas nustatė standartinį atsakymo į duomenų subjektų teisių užklausas terminą ir užtikrina, kad į užklausas būtų atsakyta per šį laikotarpį.
6.1. Standartinis atsako laikas
Europos IT sertifikavimo institutas nustato standartinį 30 dienų atsakymo terminą duomenų subjekto teisių užklausoms. Standartinis atsakymo laikas apibrėžia viršutinį apdorojimo ir atsakymo terminą, o dauguma užklausų apdorojamos ir į juos atsakoma per trumpesnį laiką.
6.2. Prašyti gavimo patvirtinimo laiko
Gavęs prašymą dėl duomenų subjekto teisių, DAP ar kiti darbuotojai per 5 darbo dienas patvirtina prašymo gavimą ir nurodo numatomą terminą, per kurį duomenų subjektas turi pateikti atsakymą.
6.3. Išskirtinis standartinio atsako laiko pratęsimas
Europos IT sertifikavimo institutas dės pagrįstas pastangas, kad atsakytų į duomenų subjekto teisių užklausas per nustatytą standartinį atsakymo laiką. Tačiau jei užklausa sudėtinga arba jei Europos IT sertifikavimo institutas gauna daug užklausų, atsakymo laikas gali būti pratęstas. Tokiais atvejais DAP informuos duomenų subjektą apie pratęsimą ir delsimo priežastį.
6.4. Atsisakymas įvykdyti prašymą dėl duomenų subjekto teisių
Jei Europos IT sertifikavimo institutas negali įvykdyti duomenų subjekto teisių prašymo, jis pateiks duomenų subjektui atsisakymo paaiškinimą ir informuos apie teisę pateikti skundą atitinkamai priežiūros institucijai.
6.5. Duomenų subjektų teisių prašymų ir atsakymų įrašai
Europos IT sertifikavimo institutas tvarkys tikslius duomenų subjektų teisių prašymų ir atsakymų įrašus, įskaitant prašymo gavimo datą, prašymo pobūdį ir atsakymo datą bei būdą.
6.6. Periodinės peržiūros
DAP periodiškai peržiūrės Europos IT sertifikavimo instituto reagavimo laiką ir prireikus juos atnaujins, kad užtikrintų taikomų duomenų apsaugos taisyklių laikymąsi.
7 dalis. Duomenų subjekto tapatybės patikrinimas
7.1. Reikalavimas patvirtinti tapatybę
Europos IT sertifikavimo institutas turi patikrinti užklausą pateikiančio duomenų subjekto tapatybę, siekdamas užtikrinti, kad asmens duomenys būtų pateikti tik tinkamam asmeniui.
7.2. Tapatybės tikrinimo priemonės ir metodai
Kai duomenų subjektas pateikia prašymą pasinaudoti savo teisėmis pagal duomenų apsaugos įstatymus, Europos IT sertifikavimo institutas turi patikrinti duomenų subjekto tapatybę naudodamas atitinkamas priemones, pavyzdžiui, prašydamas asmens tapatybę patvirtinančių dokumentų.
7.3. Įgaliotinio asmens tapatybės patvirtinimas
Jei duomenų subjektas pateikia prašymą kito asmens vardu, Europos IT sertifikavimo institutas turi patikrinti ir duomenų subjekto, ir asmens, kurio vardu pateikiamas prašymas, tapatybę.
7.4. Abejonės dėl tapatybės patvirtinimo
Jeigu Europos IT sertifikavimo institutui kyla abejonių dėl duomenų subjekto tapatybės ar prašymo pagrįstumo, jis gali prašyti papildomos informacijos arba imtis kitų tinkamų priemonių duomenų subjekto tapatybei patikrinti.
7.5. Tapatybės patvirtinimo įrašai
Europos IT sertifikavimo institutas turėtų registruoti tikrinimo procesą ir priemones, kurių buvo imtasi siekiant patikrinti duomenų subjekto tapatybę. Šis įrašas turėtų būti saugomas pagrįstą laikotarpį ir naudojamas siekiant įrodyti, kad laikomasi duomenų apsaugos įstatymų.
8 dalis. Greitas atsakymas į duomenų subjekto teisių prašymus
8.1. Greitas atsakymas
Europos IT sertifikavimo institutas operatyviai atsako į duomenų subjektų užklausas dėl teisių ir suteikia duomenų subjektui jo prašomą informaciją.
8.2. Prašyti gavimo patvirtinimo
Europos IT sertifikavimo institutas patvirtina duomenų subjekto prašymo gavimą kuo greičiau, geriausia – per 5 darbo dienas.
8.3. Prašyti peržiūros
Paskirtasis DAP turėtų peržiūrėti prašymą, kad įsitikintų, jog jis atitinka būtinus reikalavimus ir ar buvo pateikta visa reikalinga informacija.
8.4. Duomenų subjekto tapatybės patikrinimas
Europos IT sertifikavimo institutas patikrina prašymą pateikusio duomenų subjekto tapatybę, siekdamas užtikrinti, kad asmens duomenys būtų pateikti tik tinkamam asmeniui.
8.5. Jei reikia, gauti papildomos informacijos
Jei prašymas yra neaiškus arba nepakankamas, Europos IT sertifikavimo institutas turėtų susisiekti su duomenų subjektu, kad gautų papildomos informacijos.
8.5. Atitinkamų duomenų gavimas
Europos IT sertifikavimo institutas nuskaito atitinkamus asmens duomenis ir juos peržiūri, siekdamas užtikrinti, kad jie būtų tikslūs ir atnaujinami.
8.6. Pateikti prašomą informaciją
Europos IT sertifikavimo institutas pateikia duomenų subjektui informaciją, kurios jis prašė, įskaitant jo asmens duomenų kopiją įprastai naudojamu elektroniniu formatu, nebent prašoma kitaip.
8.7. Informuokite duomenų subjektą apie jo teises
Europos IT sertifikavimo institutas informuoja duomenų subjektą apie kitas jo teises, pavyzdžiui, teisę ištaisyti arba ištrinti savo asmens duomenis, ir suteikia jiems būtinus nurodymus.
8.8. Reagavimo laiko laikymasis
Europos IT sertifikavimo institutas atsako į duomenų subjektų teisių užklausas per nustatytą atsakymo laiką, užtikrindamas, kad būtų imtasi reikalingų veiksmų prašymui įvykdyti.
8.9. Atsakymo dokumentavimas
Europos IT sertifikavimo institutas dokumentuoja atsakymą į duomenų subjekto teisių užklausą, įskaitant visus veiksmus, kurių buvo imtasi, ir atsakymo laiką, siekdamas užtikrinti, kad jį būtų galima patikrinti ir sekti atitikties tikslais.
8.10. Informuoti duomenų subjektą apie bet kokius pakeitimus
Jei dėl duomenų subjekto prašymo daromi bet kokie duomenų subjekto asmens duomenų pakeitimai, Europos IT sertifikavimo institutas apie šiuos pakeitimus praneša duomenų subjektui.
9 dalis. Duomenų subjektų teisių prašymų dokumentavimas
Europos IT sertifikavimo institutas tvarko duomenų subjektų teisių užklausų registrą, įskaitant prašymo datą, prašymo pobūdį ir atsakymą į užklausą. Duomenų subjekto teisių prašymų dokumentavimas apima šiuos aspektus:
9.1. Registro tvarkymas
Europos IT sertifikavimo institutas tvarko registrą, kuriame fiksuojami visi gauti prašymai dėl duomenų subjektų teisių. Šiame registre turėtų būti užfiksuota ši informacija:
- Prašymo data
- Duomenų subjekto vardas, pavardė ir kontaktiniai duomenys
- Prašymo aprašymas
- Veiksmai, kurių buvo imtasi atsakant į prašymą
- Bet kokia papildoma informacija, reikalinga užklausai apdoroti
9.2. Standartizuotas dokumentacijos procesas
Europos IT sertifikavimo institutas vykdo standartizuotą duomenų subjektų teisių užklausų dokumentavimo procesą, kad būtų užtikrintas renkamos informacijos nuoseklumas ir tikslumas.
9.3. Susilaikymo periodas
Europos IT sertifikavimo institutas saugo šiuos įrašus pagrįstą laikotarpį, kurį nustato taikomi įstatymai ir teisės aktai, ne trumpiau kaip 2 metus.
9.4. Konfidencialumo išlaikymas
Europos IT sertifikavimo institutas užtikrina, kad duomenų subjektų teisių užklausų įrašai būtų prieinami tik įgaliotiems darbuotojams, kuriems reikalinga prieiga prie tokios informacijos eidami savo pareigas. Ji taip pat įgyvendina technines ir organizacines priemones, skirtas užkirsti kelią neteisėtai prieigai prie asmens duomenų, esančių duomenų subjekto teisių prašymų įrašuose, atskleidimo, pakeitimo ar sunaikinimo.
9.5. Ataskaitos
Europos IT sertifikavimo institutas periodiškai rengia ataskaitas apie gautas, apdorotas ir neapmokėtas duomenų subjektų teisių užklausas. Šios ataskaitos dalijamasi su atitinkamomis suinteresuotosiomis šalimis, įskaitant vyresniąją vadovybę ir duomenų apsaugos pareigūną.
9.6. „Analytics“
Europos IT sertifikavimo institutas atlieka duomenų subjektų teisių užklausų tendencijų analizę, siekdamas nustatyti užklausų modelius ir pagrindines priežastis. Ši informacija naudojama siekiant pagerinti procesus ir procedūras, kad būtų galima geriau valdyti tokius prašymus.
10 dalis. Proceso stebėjimas ir peržiūra
Europos IT sertifikavimo institutas reguliariai stebi ir peržiūri savo duomenų subjektų teisių užklausų tvarkymo procesą, siekdamas užtikrinti, kad jis išliktų veiksmingas ir atitiktų BDAR.
10.1. Periodinių peržiūrų vykdymas
Europos IT sertifikavimo institutas periodiškai peržiūri savo duomenų subjektų teisių užklausų tvarkymo procesą ir BDAR atitikties politiką, siekdamas užtikrinti, kad jis būtų veiksmingas ir atitinka duomenų apsaugos reglamentus. Šiose peržiūrose analizuojamas gautų užklausų skaičius ir tipas, atsakymų savalaikiškumas ir veiksmingumas bei visos tobulintinos sritys.
10.2. Patobulinimų įgyvendinimas
Remdamasis peržiūrų išvadomis, Europos IT sertifikavimo institutas įgyvendina visus būtinus duomenų subjektų teisių prašymų nagrinėjimo proceso patobulinimus. Tai gali apimti procedūrų atnaujinimus, papildomus darbuotojų mokymus arba užklausų tikrinimo ir atsakymo į juos būdo pakeitimus.
10.3. Nuolatinio atitikties užtikrinimas
Europos IT sertifikavimo institutas užtikrina nuolatinį duomenų apsaugos taisyklių laikymąsi, reguliariai peržiūrėdamas ir atnaujindamas savo politiką ir procedūras, atsižvelgdamas į bet kokius atitinkamų įstatymų ir kitų teisės aktų pakeitimus.
10.4. Personalo veiklos stebėjimas
Europos IT sertifikavimo institutas stebi darbuotojų, susijusių su duomenų subjektų teisių užklausų nagrinėjimu, veiklą, įskaitant atsakymų kokybę ir savalaikiškumą. Tai gali apimti periodinius mokymus ir veiklos peržiūras, siekiant užtikrinti, kad darbuotojai būtų išmanantys ir kompetentingi šioje srityje.
10.5. Bendravimas su duomenų subjektais
Europos IT sertifikavimo institutas bendrauja su duomenų subjektais viso užklausų tvarkymo proceso metu, siekdamas užtikrinti, kad jie būtų informuojami apie eigą ir visą svarbią informaciją. Tai gali apimti naujienų apie užklausos būseną pateikimą arba papildomos informacijos, jei reikia, užklausą.
10.6. Įrašų tvarkymas
Europos IT sertifikavimo institutas saugo savo peržiūrų įrašus, įskaitant bet kokius duomenų subjekto teisių prašymų nagrinėjimo proceso pakeitimus, taip pat visus iš duomenų subjektų gautus atsiliepimus. Ši informacija gali būti naudojama siekiant palaikyti nuolatines atitikties pastangas ir nustatyti sritis, kurias reikia tobulinti.
11 dalis. Apdorojimo veiklos registro sudarymas
Europos IT sertifikavimo institutas tvarko Tvarkymo veiklos įrašą, kuris yra dokumentas, apibūdinantis organizacijos vykdomą asmens duomenų tvarkymą. Jis reikalingas pagal ES Bendrąjį duomenų apsaugos reglamentą (BDAR) ir yra skirtas padėti suprasti duomenų tvarkymo veiklą ir parodyti, kad laikomasi BDAR.
11.1. ROPA struktūra
ROPA apima pagrindinę informaciją apie organizacijos pavadinimą ir kontaktinius duomenis, duomenų tvarkymo tikslus, tvarkomų asmens duomenų kategorijas, asmens duomenų gavėjus ir asmens duomenų saugojimo terminus. Ji taip pat apima informaciją apie bet kokius trečiųjų šalių duomenų tvarkytojus, kurie tvarko asmens duomenis organizacijos vardu.
11.2. ROPA reguliarūs atnaujinimai
ROPA yra nuolat atnaujinamas ir yra gyvas dokumentas, atspindintis Europos IT sertifikavimo instituto duomenų apdorojimo veiklos pokyčius, skatinančius duomenų subjektų pasitikėjimo kūrimą.
Europos IT sertifikavimo institutas yra įsipareigojęs laikytis aukščiausių duomenų subjektų teisių užklausų valdymo ir bendrojo duomenų apsaugos reglamento politikos standartų, užtikrinti, kad būtų laikomasi visų galiojančių įstatymų ir reglamentų, susijusių su šiais klausimais, taip pat pirmaujančių pramonės standartų. ir geriausia praktika, įskaitant ISO 27701 privatumo informacijos valdymo sistemą.