Política DSRRM i GDPR
Política de l'Acadèmia EITCA sobre la gestió de sol·licituds dels drets dels subjectes de dades i el Reglament general de protecció de dades
Aquest document especifica la Política de l'Institut Europeu de Certificació de TI sobre la gestió de les sol·licituds de drets dels subjectes de dades, així com l'aplicació del Reglament general de protecció de dades de la UE, que es revisa i s'actualitza periòdicament per garantir la seva eficàcia i rellevància. La darrera actualització de la política de gestió de sol·licituds de drets dels subjectes de dades i GDPR de l'EITCI es va fer el 10 de gener de 2023. La nostra política de gestió de sol·licituds de drets de subjectes de dades i la nostra política de GDPR es basa en els principis de l'extensió del sistema de gestió de la informació de privadesa ISO 27701 a la seguretat de la informació ISO 27001. Norma del sistema, així com sobre els requisits del Reglament General de Protecció de Dades (2016/679).
Part 1. Introducció
La gestió de les sol·licituds de drets dels interessats és una part essencial per garantir el compliment de la normativa de protecció de dades, concretament el GDPR (Reglament General de Protecció de Dades de la UE). L'Institut Europeu de Certificació de TI va definir els procediments formals següents per gestionar les sol·licituds de drets dels subjectes de dades i implementar els requisits del GDPR:
1.1. Establir un procés per atendre les sol·licituds de drets dels interessats
Aquest procés descriu els passos que segueix l'Institut Europeu de Certificació de TI a l'hora de gestionar les sol·licituds de drets de l'interessat, com ara la identificació i l'autenticació de l'interessat, la verificació de la sol·licitud de l'interessat i la resposta a la sol·licitud.
1.2. Designació d'un delegat de protecció de dades (DPO)
L'Institut Europeu de Certificació de TI designa un DPD que és responsable de supervisar la gestió de les sol·licituds de drets dels subjectes de dades, inclosa la revisió de les sol·licituds, la resposta a les sol·licituds i garantir el compliment de la normativa de protecció de dades.
1.3. Mantenir un registre actualitzat de les dades personals
L'Institut Europeu de Certificació de TI manté un registre actualitzat de les dades personals que té i de les finalitats per a les quals s'estan tractant. Això permetrà a l'Institut Europeu de Certificació de TI respondre de manera ràpida i precisa a les sol·licituds de drets dels subjectes de dades.
1.4. Proporcionar informació clara i concisa als interessats
En recopilar dades personals, l'Institut Europeu de Certificació de TI proporciona informació clara i concisa als interessats sobre els seus drets, inclòs el dret d'accés, rectificació, supressió i oposició al tractament de les seves dades personals.
1.5. Establir un temps de resposta estàndard
L'Institut Europeu de Certificació de TI manté un temps de resposta estàndard per a les sol·licituds de drets dels subjectes de dades i assegura que les sol·licituds es responguin dins d'aquest termini.
1.6. Verificació de la identitat de l'interessat
L'Institut Europeu de Certificació de TI verifica la identitat de l'interessat que fa la sol·licitud per assegurar-se que les dades personals només es proporcionen a la persona correcta.
1.7. Donar resposta a les sol·licituds de drets dels interessats amb prontitud
L'Institut Europeu de Certificació de TI respon ràpidament a les sol·licituds de drets de l'interessat i proporciona a l'interessat la informació que ha sol·licitat.
1.8. Documentació de les sol·licituds de drets dels interessats
L'Institut Europeu de Certificació de TI manté un registre de les sol·licituds de drets dels interessats, que inclou la data de la sol·licitud, la naturalesa de la sol·licitud i la resposta a la sol·licitud.
1.9. Seguiment i revisió del procés
L'Institut Europeu de Certificació de TI supervisa i revisa periòdicament el seu procés per gestionar les sol·licituds de drets dels subjectes de dades per garantir que segueix sent efectiu i compleix amb les normatives de protecció de dades rellevants.
1.10. Establiment del Registre d'Activitats de Tramitació
L'Institut Europeu de Certificació de TI manté el Registre d'Activitats de Tractament que és un document que descriu el tractament de dades personals que duu a terme l'organització. S'exigeix segons el Reglament General de Protecció de Dades (GDPR) de la UE i està pensat per ajudar a comprendre les activitats de tractament de dades i demostrar el compliment del GDPR.
Seguint aquests procediments i formalitats, l'Institut Europeu de Certificació de TI pot gestionar eficaçment les sol·licituds de drets dels interessats i garantir el compliment de la normativa de protecció de dades, inclòs el Reglament General de Protecció de Dades a la Unió Europea.
Part 2. Establiment d'un procés per a la gestió de les sol·licituds de drets dels interessats
Aquest procés descriu els passos que segueix l'Institut Europeu de Certificació de TI a l'hora de gestionar les sol·licituds de drets de l'interessat, incloses la identificació i l'autenticació de l'interessat, la verificació de la sol·licitud de l'interessat i la resposta a la sol·licitud:
2.1. Identificació i autenticació de l'interessat
L'Institut Europeu de Certificació de TI manté un procés per verificar la identitat de l'interessat que fa la sol·licitud. Això pot incloure demanar una identificació emesa pel govern, comprovar els registres existents o utilitzar altres mètodes d'autenticació.
2.2. Verificació de la sol·licitud de l'interessat
Un cop establerta la identitat de l'interessat, l'Institut Europeu de Certificació d'Informàtica ha de comprovar que la sol·licitud és vàlida i es refereix a les dades personals de l'interessat. La sol·licitud també ha d'incloure el dret específic que s'està exercint, com ara el dret d'accés, rectificació o supressió de dades personals.
2.3. Responent a la petició
L'Institut Europeu de Certificació de TI ha de respondre a la sol·licitud de l'interessat en el termini especificat per les lleis de protecció de dades pertinents, però no superior a 30 dies. La resposta ha d'incloure una explicació de si la sol·licitud ha estat acceptada o denegada i els motius de la decisió.
2.4. Documentació de la sol·licitud i resposta
L'Institut Europeu de Certificació de TI manté un registre de totes les sol·licituds i respostes dels drets dels subjectes de dades. Això ajuda a garantir el compliment de les lleis de protecció de dades rellevants, així com a facilitar futures auditories o investigacions.
2.5. Formació del personal rellevant
L'Institut Europeu de Certificació de TI oferirà formació al personal responsable de gestionar les sol·licituds de drets dels subjectes de dades per assegurar-se que està familiaritzat amb les lleis de protecció de dades rellevants i els procediments de l'Institut Europeu de Certificació de TI per gestionar aquestes sol·licituds.
2.6. Seguiment i revisió del procés
L'Institut Europeu de Certificació de TI supervisa i revisa el procés per gestionar les sol·licituds de drets dels subjectes de dades amb regularitat per garantir que segueix sent efectiu i compleix amb les lleis de protecció de dades rellevants. Qualsevol problema o incidència s'informa i s'aborda de manera oportuna.
Part 3. Designació d'un responsable de protecció de dades (DPO)
L'Institut Europeu de Certificació de TI designa un DPD que és responsable de supervisar la gestió de les sol·licituds de drets dels subjectes de dades, inclosa la revisió de les sol·licituds, la resposta a les sol·licituds i garantir el compliment de la normativa de protecció de dades.
3.1. Designació del DPO
L'Institut Europeu de Certificació de TI designa un Delegat de Protecció de Dades (DPO) per supervisar la gestió de les sol·licituds de drets dels subjectes de dades i garantir el compliment de la normativa de protecció de dades. El DPD serà responsable de revisar les sol·licituds i garantir que l'Institut Europeu de Certificació de TI compleix les seves obligacions legals en relació amb la protecció de dades.
3.2. Requisits de competències del DPO
El DPD ha de tenir coneixements experts de les lleis i pràctiques de protecció de dades i disposar dels recursos necessaris per complir amb les seves responsabilitats. Haurien de tenir accés directe a l'alta direcció i reportar-se al nivell directiu més alt de l'organització.
3.3. Responsabilitats del DPO
Les responsabilitats del DPD inclouen, però no es limiten a, les següents:
- Oferir orientació i assessorament a l'Institut Europeu de Certificació de TI en qüestions de protecció de dades, inclosa la gestió de les sol·licituds de drets dels interessats.
- Supervisar el compliment per part de l'Institut Europeu de Certificació de TI amb la normativa de protecció de dades i les polítiques i procediments interns.
- Atendre les consultes i queixes dels interessats sobre els seus drets en virtut de la normativa de protecció de dades.
- Coordinar-se amb altres departaments per garantir que es compleixen els requisits de protecció de dades a tota l'organització.
- Realització de revisions i avaluacions periòdiques de les pràctiques de protecció de dades de l'Institut Europeu de Certificació de TI i recomanacions de millora.
- Servir de punt de contacte per a les autoritats de protecció de dades i cooperar amb aquestes en cas d'una investigació o auditoria.
- El DPD també participa en el desenvolupament i la implementació de les polítiques i els procediments de l'Institut Europeu de Certificació de TI relacionats amb la protecció de dades, inclosos els relacionats amb la gestió de les sol·licituds de drets dels subjectes de dades.
3.4. Formació i desenvolupament de qualificacions de DPO
L'Institut Europeu de Certificació de TI ha d'assegurar-se que el DPD està adequadament format sobre la normativa de protecció de dades i es manté al dia de qualsevol canvi o actualització d'aquesta normativa.
3.5. Informació de contacte del DPO
La informació de contacte del DPD s'ha de posar a disposició dels interessats i incloure'l a l'avís o la política de privadesa de l'Institut Europeu de Certificació de TI.
Part 4. Mantenir un registre actualitzat de les dades personals
L'Institut Europeu de Certificació de TI manté un registre actualitzat de les dades personals que té i de les finalitats per a les quals s'estan tractant. Això permetrà a l'Institut Europeu de Certificació de TI respondre de manera ràpida i precisa a les sol·licituds de drets dels subjectes de dades.
4.1. Establir un procés d'identificació i registre de dades personals
L'Institut Europeu de Certificació de TI estableix un procés clar i estandarditzat per identificar i registrar dades personals, inclòs el nom de l'interessat, la informació de contacte i qualsevol altra informació rellevant. Aquest procés garanteix que les dades personals es recullin només per a finalitats específiques i legítimes.
4.2. Classificació de dades personals
L'Institut Europeu de Certificació de TI classifica les dades personals per facilitar-ne el seguiment i la gestió. Això inclou classificar les dades per tipus, com ara informació de contacte, informació de facturació, competències i qualificació, informació financera o historial laboral.
4.3. Implementació d'un sistema de gestió de dades
L'Institut Europeu de Certificació de TI implementa un sistema de gestió de dades per garantir que les dades personals siguin precises, actualitzades i accessibles. El sistema de gestió de dades inclou una base de dades que es pot cercar i consultar per ajudar a respondre a les sol·licituds de drets dels subjectes de dades.
4.4. Assignació de la responsabilitat del manteniment del registre de dades personals
L'Institut Europeu de Certificació de TI hauria d'assignar la responsabilitat de mantenir el registre de les dades personals a persones o departaments concrets. Això garantirà que el registre es mantingui actualitzat i precís.
4.5. Revisar i actualitzar periòdicament el registre de dades personals
L'Institut Europeu de Certificació de TI hauria de revisar i actualitzar periòdicament el registre de les dades personals per garantir que es mantingui exacte i actualitzat. Això es pot fer mitjançant auditories periòdiques o mitjançant un procés de seguiment continu.
4.6. Aplicar les mesures de seguretat adequades
L'Institut Europeu de Certificació de TI implementa mesures de seguretat adequades per protegir les dades personals que té, incloses mesures per evitar l'accés no autoritzat, la pèrdua accidental o la destrucció de dades personals, com a part de la Política de seguretat de la informació (ISP) de l'organització. Això inclou, entre altres, el xifratge, els tallafocs i els controls d'accés. Una especificació detallada dels processos i mesures de protecció de dades està coberta per la Política de seguretat de la informació de l'Institut Europeu de Certificació de TI.
Part 5. Proporcionar informació clara i concisa als interessats
En recopilar dades personals, l'Institut Europeu de Certificació de TI proporciona informació clara i concisa als interessats sobre els seus drets, inclòs el dret d'accés, rectificació, supressió i oposició al tractament de les seves dades personals.
5.1 Transparència
L'Institut Europeu de Certificació de TI és transparent en el tractament de les dades personals i proporciona informació concisa als interessats sobre com s'utilitzen, processen i emmagatzemen les seves dades.
5.2. Política de privacitat
L'Institut Europeu de Certificació de TI té una política de privadesa detallada que descriu les seves activitats de tractament de dades, inclosa com les persones interessades poden exercir els seus drets.
5.3. Dret d'accés
Els interessats tenen dret a sol·licitar l'accés a les dades personals que l'Institut Europeu de Certificació d'Informàtica tingui sobre ells. L'Institut Europeu de Certificació de TI proporciona informació clara i concisa als interessats sobre com fer una sol·licitud d'accés, quina informació es requerirà per verificar la seva identitat i quant de temps trigarà l'Institut Europeu de Certificació de TI a respondre a la sol·licitud.
5.4. Dret a rectificar
Les persones interessades tenen dret a sol·licitar que l'Institut Europeu de Certificació de TI rectifiqui les dades personals inexactes o incompletes que tingui sobre elles. L'Institut Europeu de Certificació de TI proporciona informació clara i concisa als interessats sobre com presentar una sol·licitud de rectificació, quina informació es requerirà per verificar la seva identitat i quant de temps trigarà l'Institut Europeu de Certificació de TI a respondre a la sol·licitud.
5.5. Dret a Esborrar
Els interessats tenen dret a sol·licitar que l'Institut Europeu de Certificació de TI esborri les seves dades personals en determinades circumstàncies. L'Institut Europeu de Certificació de TI proporciona informació clara i concisa als interessats sobre com fer una sol·licitud d'esborrament, quina informació es requerirà per verificar la seva identitat i quant de temps trigarà l'Institut Europeu de Certificació de TI a respondre a la sol·licitud.
5.6. Dret d'oposició
Els interessats tenen dret a oposar-se al tractament de les seves dades personals en determinades circumstàncies. L'Institut Europeu de Certificació de TI proporciona informació clara i concisa als interessats sobre com fer una sol·licitud d'oposició, quina informació es requerirà per verificar la seva identitat i quant de temps trigarà l'Institut Europeu de Certificació de TI a respondre a la sol·licitud.
5.7. Informació de Contacte
L'Institut Europeu de Certificació de TI proporciona informació de contacte clara i concisa perquè les persones interessades la facin servir si tenen preguntes o dubtes sobre com es processen les seves dades personals.
Part 6. Establiment d'un temps de resposta estàndard
L'Institut Europeu de Certificació de TI va establir un temps de resposta estàndard per a les sol·licituds de drets dels subjectes de dades i s'assegura que les sol·licituds es responguin dins d'aquest termini.
6.1. Temps de resposta estàndard
L'Institut Europeu de Certificació de TI estableix un temps de resposta estàndard de 30 dies per a les sol·licituds de drets dels subjectes de dades. El temps de resposta estàndard defineix un límit de temps superior per al processament i la resposta i la majoria de les sol·licituds es processen i responen en un temps més curt.
6.2. Sol·licitar hora de confirmació de recepció
Un cop rebuda una sol·licitud de drets de l'interessat, el DPD o altres membres del personal acusaran recepció de la sol·licitud en un termini de 5 dies hàbils i proporcionaran a l'interessat un termini estimat per respondre.
6.3. Extensions excepcionals del temps de resposta estàndard
L'Institut Europeu de Certificació de TI farà els esforços raonables per respondre a les sol·licituds de drets dels subjectes de dades dins del temps de resposta estàndard establert. No obstant això, si la sol·licitud és complexa o si l'Institut Europeu de Certificació de TI rep un gran volum de sol·licituds, el temps de resposta es pot allargar. En aquests casos, el DPD informarà a l'interessat de la pròrroga i del motiu del retard.
6.4. Negació a complir una sol·licitud de drets de l'interessat
Si l'Institut Europeu de Certificació de TI no pot atendre una sol·licitud de drets de l'interessat, proporcionarà a l'interessat una explicació de la negativa i l'informarà del seu dret a reclamar davant l'autoritat de control corresponent.
6.5. Registres de sol·licituds i respostes dels drets dels interessats
L'Institut Europeu de Certificació de TI mantindrà registres precisos de les sol·licituds i respostes dels drets dels subjectes de dades, inclosa la data de recepció de la sol·licitud, la naturalesa de la sol·licitud i la data i la forma de la resposta.
6.6. Revisions periòdiques
El DPO revisarà periòdicament els temps de resposta de l'Institut Europeu de Certificació de TI i els actualitzarà segons sigui necessari per garantir el compliment de la normativa de protecció de dades aplicable.
Part 7. Verificació de la identitat de l'interessat
7.1. Requisit de verificació d'identitat
L'Institut Europeu de Certificació de TI ha de verificar la identitat de l'interessat que fa la sol·licitud per garantir que les dades personals només es proporcionen a la persona correcta.
7.2. Mitjans i mètodes de verificació d'identitat
Quan l'interessat sol·licita l'exercici dels seus drets en virtut de les lleis de protecció de dades, l'Institut Europeu de Certificació de TI ha de verificar la identitat de l'interessat mitjançant les mesures adequades, com ara sol·licitar documents d'identificació.
7.3. Verificació d'identitat d'un apoderat
Si l'interessat fa la sol·licitud en nom d'una altra persona, l'Institut Europeu de Certificació de TI ha de verificar la identitat tant de l'interessat com de la persona en nom de la qual es fa la sol·licitud.
7.4. Dubtes de verificació d'identitat
Si l'Institut Europeu de Certificació Informàtica té dubtes sobre la identitat de l'interessat o la validesa de la sol·licitud, pot sol·licitar informació addicional o prendre altres mesures adequades per verificar la identitat de l'interessat.
7.5. Registres de verificació d'identitat
L'Institut Europeu de Certificació de TI hauria de mantenir un registre del procés de verificació i de les mesures adoptades per verificar la identitat de l'interessat. Aquest registre s'ha de conservar durant un període de temps raonable i s'ha d'utilitzar per demostrar el compliment de les lleis de protecció de dades.
Part 8. Respondre prompte a les sol·licituds de drets dels interessats
8.1. Resposta ràpida
L'Institut Europeu de Certificació d'Informàtica respon ràpidament a les sol·licituds de drets de l'interessat i proporciona a l'interessat la informació que ha sol·licitat.
8.2. Sol·liciteu el justificant de recepció
L'Institut Europeu de Certificació de TI confirma la recepció de la sol·licitud de l'interessat el més aviat possible, idealment en un termini de 5 dies hàbils.
8.3. Sol·licitar revisió
El DPD designat ha de revisar la sol·licitud per assegurar-se que compleix els requisits necessaris i que s'ha proporcionat tota la informació necessària.
8.4. Verificació de la identitat de l'interessat
L'Institut Europeu de Certificació de TI verifica la identitat de l'interessat que fa la sol·licitud per assegurar-se que les dades personals només es proporcionen a la persona correcta.
8.5. Obtenció d'informació addicional si cal
Si la sol·licitud no és clara o és insuficient, l'Institut Europeu de Certificació de TI hauria de contactar amb l'interessat per obtenir informació addicional.
8.5. Recuperació de les dades rellevants
L'Institut Europeu de Certificació de TI recupera les dades personals rellevants i les revisa per garantir que siguin exactes i actualitzades.
8.6. Facilitar la informació sol·licitada
L'Institut Europeu de Certificació de TI proporciona a l'interessat la informació que ha sol·licitat, inclosa una còpia de les seves dades personals en un format electrònic d'ús habitual, llevat que se sol·liciti el contrari.
8.7. Informar l'interessat dels seus drets
L'Institut Europeu de Certificació de TI informa a l'interessat dels seus altres drets, com ara el dret a rectificar o suprimir les seves dades personals, i li proporciona les instruccions necessàries.
8.8. Complint amb el temps de resposta
L'Institut Europeu de Certificació de TI respon a les sol·licituds de drets de l'interessat dins del temps de resposta establert, assegurant-se que es prenen les mesures necessàries per complir la sol·licitud.
8.9. Documentació de la resposta
L'Institut Europeu de Certificació de TI documenta la resposta a la sol·licitud de drets de l'interessat, incloses les accions realitzades i el temps de resposta, per assegurar-se que es pot auditar i fer un seguiment amb finalitats de compliment.
8.10. Notificació a l'interessat de qualsevol canvi
Si es produeixen canvis a les dades personals de l'interessat com a conseqüència de la seva sol·licitud, l'Institut Europeu de Certificació de TI notificarà aquests canvis a l'interessat.
Part 9. Documentació de les sol·licituds de drets dels interessats
L'Institut Europeu de Certificació de TI manté un registre de les sol·licituds de drets dels interessats, que inclou la data de la sol·licitud, la naturalesa de la sol·licitud i la resposta a la sol·licitud. La documentació de les sol·licituds de drets dels interessats inclou els aspectes següents:
9.1. Manteniment d'un registre
L'Institut Europeu de Certificació de TI manté un registre que recull totes les sol·licituds de drets dels subjectes de dades rebudes. Aquest registre hauria de contenir les dades següents:
- Data de la sol·licitud
- Nom i dades de contacte de l'interessat
- Descripció de la sol·licitud
- Acció realitzada en resposta a la sol·licitud
- Qualsevol informació addicional necessària per processar la sol·licitud
9.2. Procés normalitzat de documentació
L'Institut Europeu de Certificació de TI realitza un procés estandarditzat per documentar les sol·licituds de drets dels subjectes de dades per garantir la coherència i la precisió de la informació capturada.
9.3. Període de retenció
L'Institut Europeu de Certificació de TI manté aquests registres durant un període de temps raonable, tal com determinen les lleis i els reglaments aplicables, no inferior a 2 anys.
9.4. Manteniment de la confidencialitat
L'Institut Europeu de Certificació de TI garanteix que els registres de les sol·licituds de drets dels interessats només siguin accessibles per al personal autoritzat que tingui la necessitat d'accedir a aquesta informació en l'exercici de les seves funcions. També implementa mesures tècniques i organitzatives per evitar l'accés, la divulgació, l'alteració o la destrucció no autoritzats de les dades personals contingudes en els registres de sol·licituds de drets de l'interessat.
9.5. Informes
L'Institut Europeu de Certificació de TI genera informes periòdicament sobre les sol·licituds de drets dels subjectes de dades rebudes, processades i pendents. Aquests informes es comparteixen amb les parts interessades rellevants, com ara l'alta direcció i el DPD.
9.6. Analytics
L'Institut Europeu de Certificació de TI realitza una anàlisi de tendències de les sol·licituds de drets dels subjectes de dades per identificar els patrons i les causes arrels de les sol·licituds. Aquesta informació s'utilitza per millorar els processos i procediments per gestionar millor aquestes sol·licituds.
Part 10. Seguiment i revisió del procés
L'Institut Europeu de Certificació de TI supervisa i revisa periòdicament el seu procés per gestionar les sol·licituds de drets dels subjectes de dades per garantir que segueix sent efectiu i compleix amb el GDPR.
10.1. Realització de revisions periòdiques
L'Institut Europeu de Certificació de TI realitza revisions periòdiques del procés de gestió de sol·licituds de drets dels subjectes de dades i de la política de compliment del GDPR per garantir que és eficaç i compleix amb la normativa de protecció de dades. Aquestes revisions inclouen una anàlisi del nombre i el tipus de sol·licituds rebudes, l'oportunitat i l'eficàcia de les respostes i qualsevol àrea de millora.
10.2. Implementació de millores
A partir de les conclusions de les revisions, l'Institut Europeu de Certificació de TI implementa les millores necessàries en el seu procés de gestió de sol·licituds de drets dels subjectes de dades. Això pot incloure actualitzacions dels procediments, formació addicional per al personal o canvis en la manera de verificar i respondre les sol·licituds.
10.3. Garantir el compliment continuat
L'Institut Europeu de Certificació de TI garanteix el compliment constant de la normativa de protecció de dades mitjançant la revisió i actualització periòdica de les seves polítiques i procediments d'acord amb qualsevol canvi a les lleis i regulacions rellevants.
10.4. Seguiment del rendiment del personal
L'Institut Europeu de Certificació de TI supervisa el rendiment del personal en relació amb la gestió de les sol·licituds de drets dels subjectes de dades, inclosa la qualitat i l'oportunitat de les respostes. Això pot incloure formació periòdica i revisions del rendiment per assegurar-se que el personal té coneixements i capacitats en aquesta àrea.
10.5. Comunicació amb els interessats
L'Institut Europeu de Certificació de TI es comunica amb els interessats durant tot el procés de gestió de sol·licituds per garantir que es mantenen informats del progrés i de qualsevol informació rellevant. Això pot incloure proporcionar actualitzacions sobre l'estat de la seva sol·licitud o sol·licitar informació addicional segons sigui necessari.
10.6. Manteniment de registres
L'Institut Europeu de Certificació de TI manté registres de les seves revisions, inclosos els canvis fets en el procés de gestió de sol·licituds de drets dels subjectes de dades, així com qualsevol comentari rebut dels interessats. Aquesta informació es pot utilitzar per donar suport als esforços de compliment en curs i per identificar àrees per millorar.
Part 11. Establiment del registre d'activitats de tramitació
L'Institut Europeu de Certificació de TI manté el Registre d'Activitats de Tractament que és un document que descriu el tractament de dades personals que duu a terme l'organització. S'exigeix segons el Reglament General de Protecció de Dades (GDPR) de la UE i està pensat per ajudar a comprendre les activitats de tractament de dades i demostrar el compliment del GDPR.
11.1. Estructura ROPA
El ROPA inclou informació bàsica sobre el nom i les dades de contacte de l'organització, les finalitats del tractament de les dades, les categories de dades personals tractades, els destinataris de les dades personals i els períodes de conservació de les dades personals. També inclou informació sobre els processadors de tercers que processen dades personals en nom de l'organització.
11.2. Actualitzacions periòdiques de ROPA
El ROPA s'actualitza periòdicament i és un document viu que reflecteix els canvis en les activitats de tractament de dades de l'Institut Europeu de Certificació de TI que donen suport a la creació de confiança amb els interessats.
L'Institut Europeu de Certificació de TI es compromet a mantenir els estàndards més alts pel que fa a la seva Política de gestió de sol·licituds de drets dels subjectes de dades i de regulació general de protecció de dades, assegurant-se de complir totes les lleis i regulacions aplicables relacionades amb aquestes qüestions, així com els estàndards líders del sector. i bones pràctiques, inclòs el Sistema de gestió d'informació de privadesa ISO 27701.