DSRRM en GDPR-beleid
EITCA Akademie-beleid oor die bestuur van data-onderwerpregteversoeke en algemene regulering van databeskerming
Hierdie dokument spesifiseer die Europese IT-sertifiseringsinstituut se beleid oor die bestuur van datasubjekregteversoeke, sowel as die implementering van die EU Algemene Databeskermingsregulasie, wat gereeld hersien en bygewerk word om die doeltreffendheid en relevansie daarvan te verseker. Die laaste opdatering van die EITCI-bestuur vir data-onderwerpregte-versoeke en GDPR-beleid is op 10 Januarie 2023 gemaak. Ons bestuur van data-onderwerpregte-versoeke en GDPR-beleid is gebaseer op die beginsels van die ISO 27701 Privaatheidsinligtingbestuurstelsel-uitbreiding tot die ISO 27001 Inligtingsekuriteit Stelselstandaard, asook op die vereistes van die Algemene Databeskermingsregulasie (2016/679).
Deel 1. Inleiding
Die bestuur van datasubjekregteversoeke is 'n noodsaaklike deel van die versekering van voldoening aan databeskermingsregulasies, naamlik die GDPR (Algemene Databeskermingsregulasie van die EU). Die Europese IT-sertifiseringsinstituut het die volgende formele prosedures gedefinieer vir die bestuur van datasubjekregteversoeke en die implementering van die vereistes van die GDPR:
1.1. Vestiging van 'n proses vir die hantering van datasubjekregteversoeke
Hierdie proses gee 'n uiteensetting van die stappe wat die Europese IT-sertifiseringsinstituut volg wanneer datasubjekregteversoeke hanteer word, insluitend die identifikasie en verifikasie van die datasubjek, die verifikasie van die datasubjek se versoek en die reaksie op die versoek.
1.2. Aanwys van 'n Databeskermingsbeampte (DPO)
Die Europese IT-sertifiseringsinstituut wys 'n DPO aan wat verantwoordelik is om toesig te hou oor die bestuur van datasubjekregteversoeke, insluitend die hersiening van versoeke, reaksie op versoeke en die nakoming van databeskermingsregulasies.
1.3. Die handhawing van 'n bygewerkte rekord van persoonlike data
Die Europese IT-sertifiseringsinstituut hou 'n bygewerkte rekord van persoonlike data wat dit hou en die doeleindes waarvoor dit verwerk word. Dit sal die Europese IT-sertifiseringsinstituut in staat stel om vinnig en akkuraat op datasubjekregteversoeke te reageer.
1.4. Die verskaffing van duidelike en bondige inligting aan datasubjekte
Wanneer persoonlike data ingesamel word, verskaf die Europese IT-sertifiseringsinstituut duidelike en bondige inligting aan datasubjekte oor hul regte, insluitend die reg om toegang te verkry tot, reg te stel, uit te vee en beswaar teen die verwerking van hul persoonlike data.
1.5. Vestiging van 'n standaard reaksietyd
Die Europese IT-sertifiseringsinstituut handhaaf 'n standaardreaksietyd vir datasubjekregteversoeke en verseker dat versoeke binne hierdie tydraamwerk gereageer word.
1.6. Verifieer die identiteit van die datasubjek
Die Europese IT-sertifiseringsinstituut verifieer die identiteit van die datasubjek wat die versoek rig om te verseker dat die persoonlike data slegs aan die korrekte individu verskaf word.
1.7. Reageer dadelik op versoeke om datasubjekregte
Die Europese IT-sertifiseringsinstituut reageer stiptelik op versoeke vir datasubjekregte en voorsien die datasubjek van die inligting wat hulle versoek het.
1.8. Dokumentering van datasubjekregteversoeke
Die Europese IT-sertifiseringsinstituut hou 'n rekord van datasubjekregteversoeke, insluitend die datum van die versoek, die aard van die versoek en die reaksie op die versoek.
1.9. Monitering en hersiening van die proses
Die Europese IT-sertifiseringsinstituut monitor en hersien gereeld sy proses vir die hantering van datasubjekregteversoeke om te verseker dat dit doeltreffend bly en voldoen aan relevante databeskermingsregulasies.
1.10. Opstel van die rekord van verwerkingsaktiwiteite
Die Europese IT-sertifiseringsinstituut hou die rekord van verwerkingsaktiwiteite by, wat 'n dokument is wat die verwerking van persoonlike data wat deur die organisasie uitgevoer word, uiteensit. Dit word vereis onder die EU se Algemene Databeskermingsregulasie (GDPR) en is bedoel om begrip van dataverwerkingsaktiwiteite te ondersteun en voldoening aan die GDPR te demonstreer.
Deur hierdie formele en prosedures te volg, kan die Europese IT-sertifiseringsinstituut datasubjekregteversoeke effektief bestuur en voldoening aan databeskermingsregulasies verseker, insluitend die Algemene Databeskermingsregulasie in die Europese Unie.
Deel 2. Vestiging van 'n proses vir die hantering van datasubjekregteversoeke
Hierdie proses gee 'n uiteensetting van die stappe wat die Europese IT-sertifiseringsinstituut volg wanneer datasubjekregteversoeke hanteer word, insluitend die identifikasie en verifikasie van die datasubjek, die verifikasie van die datasubjek se versoek en die reaksie op die versoek:
2.1. Identifisering en stawing van die datasubjek
Die Europese IT-sertifiseringsinstituut hou 'n proses in plek om die identiteit van die datasubjek wat die versoek rig, te verifieer. Dit kan insluit die vra vir 'n staatsuitgereikte ID, kontrolering van bestaande rekords of die gebruik van ander stawingmetodes.
2.2. Verifieer die datasubjek se versoek
Sodra die identiteit van die datasubjek vasgestel is, moet die Europese IT-sertifiseringsinstituut verifieer dat die versoek geldig is en verband hou met die datasubjek se persoonlike data. Die versoek moet ook die spesifieke reg wat uitgeoefen word, insluit, soos die reg om toegang tot persoonlike data te verkry, reg te stel of uit te vee.
2.3. Reageer op die versoek
Die Europese IT-sertifiseringsinstituut moet 'n antwoord op die datasubjek se versoek verskaf binne die tydsraamwerk wat deur relevante databeskermingswette gespesifiseer word, maar nie langer as 30 dae nie. Die antwoord moet 'n verduideliking insluit of die versoek toegestaan of geweier is, en die redes vir die besluit.
2.4. Dokumenteer die versoek en reaksie
Die Europese IT-sertifiseringsinstituut hou 'n rekord van alle datasubjekregteversoeke en -antwoorde. Dit help om voldoening aan relevante databeskermingswette te verseker, asook om toekomstige oudits of ondersoeke te vergemaklik.
2.5. Opleiding van relevante personeel
Die Europese IT-sertifiseringsinstituut sal opleiding verskaf aan personeel wat verantwoordelik is vir die hantering van datasubjekregteversoeke om te verseker dat hulle vertroud is met die relevante databeskermingswette en die Europese IT-sertifiseringsinstituut se prosedures vir die hantering van sulke versoeke.
2.6. Monitering en hersiening van die proses
Die Europese IT-sertifiseringsinstituut monitor en hersien die proses vir die hantering van datasubjekregteversoeke op 'n gereelde basis om te verseker dat dit doeltreffend bly en voldoen aan relevante databeskermingswette. Enige kwessies of voorvalle word betyds aangemeld en aangespreek.
Deel 3. Aanwys van 'n Databeskermingsbeampte (DPO)
Die Europese IT-sertifiseringsinstituut wys 'n DPO aan wat verantwoordelik is om toesig te hou oor die bestuur van datasubjekregteversoeke, insluitend die hersiening van versoeke, reaksie op versoeke en die nakoming van databeskermingsregulasies.
3.1. Aanwysing van die DPO
Die Europese IT-sertifiseringsinstituut wys 'n Databeskermingsbeampte (DPO) aan om toesig te hou oor die bestuur van datasubjekregteversoeke en om nakoming van databeskermingsregulasies te verseker. Die DPO sal verantwoordelik wees om versoeke te hersien en te verseker dat die Europese IT-sertifiseringsinstituut sy wetlike verpligtinge met betrekking tot databeskerming nakom.
3.2. DPO se bevoegdheidsvereistes
Die DPO moet kundige kennis van databeskermingswette en -praktyke hê en van die nodige hulpbronne voorsien word om hul verantwoordelikhede na te kom. Hulle moet direkte toegang tot senior bestuur hê en aan die hoogste bestuursvlak van die organisasie rapporteer.
3.3. DPO se verantwoordelikhede
Die DPO se verantwoordelikhede sluit in, maar is nie beperk tot, die volgende:
- Voorsiening van leiding en advies aan die Europese IT-sertifiseringsinstituut oor databeskermingsake, insluitend die bestuur van datasubjekregteversoeke.
- Monitering van die Europese IT-sertifiseringsinstituut se nakoming van databeskermingsregulasies en interne beleide en prosedures.
- Reageer op navrae en klagtes van datasubjekte rakende hul regte kragtens databeskermingsregulasies.
- Koördineer met ander departemente om te verseker dat databeskermingsvereistes regdeur die organisasie nagekom word.
- Die uitvoering van periodieke oorsigte en assesserings van die Europese IT-sertifiseringsinstituut se databeskermingspraktyke en die verskaffing van aanbevelings vir verbetering.
- Dien as 'n kontakpunt vir databeskermingsowerhede en werk met hulle saam in die geval van 'n ondersoek of oudit.
- Die DPO is ook betrokke by die ontwikkeling en implementering van die Europese IT-sertifiseringsinstituut se beleide en prosedures wat verband hou met databeskerming, insluitend dié wat verband hou met die hantering van datasubjekregteversoeke.
3.4. DPO se opleiding en kwalifikasie-ontwikkeling
Die Europese IT-sertifiseringsinstituut moet verseker dat die DPO voldoende opgelei is oor databeskermingsregulasies en op hoogte gehou word van enige veranderinge of opdaterings aan hierdie regulasies.
3.5. DPO se kontakinligting
Die DPO se kontakinligting moet aan datasubjekte beskikbaar gestel word en ingesluit word in die Europese IT-sertifiseringsinstituut se privaatheidskennisgewing of -beleid.
Deel 4. Die handhawing van 'n bygewerkte rekord van persoonlike data
Die Europese IT-sertifiseringsinstituut hou 'n bygewerkte rekord van persoonlike data wat dit hou en die doeleindes waarvoor dit verwerk word. Dit sal die Europese IT-sertifiseringsinstituut in staat stel om vinnig en akkuraat op datasubjekregteversoeke te reageer.
4.1. Vestiging van 'n proses om persoonlike data te identifiseer en op te teken
Die Europese IT-sertifiseringsinstituut stel 'n duidelike en gestandaardiseerde proses in om persoonlike data te identifiseer en op te teken, insluitend die datasubjek se naam, kontakinligting en enige ander relevante inligting. Hierdie proses verseker dat persoonlike data slegs vir spesifieke en wettige doeleindes ingesamel word.
4.2. Kategorisering van persoonlike data
Die Europese IT-sertifiseringsinstituut kategoriseer persoonlike data om dit makliker te maak om op te spoor en te bestuur. Dit sluit in kategorisering van data volgens tipe, soos kontakinligting, faktuurinligting, bevoegdhede en kwalifikasie, finansiële inligting of diensgeskiedenis.
4.3. Implementering van 'n databestuurstelsel
Die Europese IT-sertifiseringsinstituut implementeer 'n databestuurstelsel om te verseker dat persoonlike data akkuraat, bygewerk en toeganklik is. Die databestuurstelsel sluit 'n databasis in wat deursoek en navraag gedoen kan word om te help reageer op datasubjekregteversoeke.
4.4. Toewysing van verantwoordelikheid vir die instandhouding van die rekord van persoonlike data
Die Europese IT-sertifiseringsinstituut moet verantwoordelikheid vir die instandhouding van die rekord van persoonlike data aan spesifieke individue of departemente toewys. Dit sal verseker dat die rekord op datum en akkuraat gehou word.
4.5. Gereelde hersiening en opdatering van die rekord van persoonlike data
Die Europese IT-sertifiseringsinstituut moet gereeld die rekord van persoonlike data hersien en bywerk om te verseker dat dit akkuraat en op datum bly. Dit kan gedoen word deur periodieke oudits of deur 'n deurlopende moniteringsproses.
4.6. Implementeer toepaslike veiligheidsmaatreëls
Die Europese IT-sertifiseringsinstituut implementeer toepaslike sekuriteitsmaatreëls om die persoonlike data wat dit hou te beskerm, insluitend maatreëls om ongemagtigde toegang, toevallige verlies of vernietiging van persoonlike data te voorkom, as deel van die organisasie se inligtingsekuriteitsbeleid (ISP). Dit sluit onder meer enkripsie, firewalls en toegangskontroles in. 'n Gedetailleerde spesifikasie van die prosesse en maatreëls vir databeskerming word gedek deur die toegewyde Europese IT-sertifiseringsinstituut se inligtingsekuriteitsbeleid.
Deel 5. Die verskaffing van duidelike en bondige inligting aan datasubjekte
Wanneer persoonlike data ingesamel word, verskaf die Europese IT-sertifiseringsinstituut duidelike en bondige inligting aan datasubjekte oor hul regte, insluitend die reg om toegang te verkry tot, reg te stel, uit te vee en beswaar teen die verwerking van hul persoonlike data.
5.1. transparency
Die Europese IT-sertifiseringsinstituut is deursigtig in sy verwerking van persoonlike data en verskaf bondige inligting aan datasubjekte oor hoe hul data gebruik, verwerk en gestoor word.
5.2. Privacy Policy
Die Europese IT-sertifiseringsinstituut het 'n gedetailleerde privaatheidsbeleid wat sy dataverwerkingsaktiwiteite uiteensit, insluitend hoe datasubjekte hul datasubjekregte kan uitoefen.
5.3. Reg op toegang
Datasubjekte het die reg om toegang te versoek tot die persoonlike data wat die Europese IT-sertifiseringsinstituut oor hulle hou. Die Europese IT-sertifiseringsinstituut verskaf duidelike en bondige inligting aan datasubjekte oor hoe om 'n versoek om toegang te rig, watter inligting benodig word om hul identiteit te verifieer, en hoe lank die Europese IT-sertifiseringsinstituut sal neem om op die versoek te reageer.
5.4. Reg om reg te stel
Datasubjekte het die reg om te versoek dat die Europese IT-sertifiseringsinstituut enige onakkurate of onvolledige persoonlike data wat dit oor hulle besit, regstel. Die Europese IT-sertifiseringsinstituut verskaf duidelike en bondige inligting aan datasubjekte oor hoe om 'n versoek vir regstelling te rig, watter inligting benodig word om hul identiteit te verifieer, en hoe lank die Europese IT-sertifiseringsinstituut sal neem om op die versoek te reageer.
5.5. Reg om uit te vee
Datasubjekte het die reg om te versoek dat die Europese IT-sertifiseringsinstituut hul persoonlike data in sekere omstandighede uitvee. Die Europese IT-sertifiseringsinstituut verskaf duidelike en bondige inligting aan datasubjekte oor hoe om 'n versoek vir uitvee te rig, watter inligting benodig word om hul identiteit te verifieer, en hoe lank die Europese IT-sertifiseringsinstituut sal neem om op die versoek te reageer.
5.6. Reg om te beswaar
Datasubjekte het die reg om in sekere omstandighede beswaar te maak teen die verwerking van hul persoonlike data. Die Europese IT-sertifiseringsinstituut verskaf duidelike en bondige inligting aan datasubjekte oor hoe om 'n versoek om beswaar te maak, watter inligting benodig word om hul identiteit te verifieer, en hoe lank die Europese IT-sertifiseringsinstituut sal neem om op die versoek te reageer.
5.7. Kontak Inligting
Die Europese IT-sertifiseringsinstituut verskaf duidelike en bondige kontakinligting vir datasubjekte om te gebruik as hulle vrae of bekommernisse het oor hoe hul persoonlike data verwerk word.
Deel 6. Vestiging van 'n standaard reaksietyd
Die Europese IT-sertifiseringsinstituut het 'n standaard reaksietyd vir datasubjekregteversoeke ingestel en verseker dat versoeke binne hierdie tydraamwerk gereageer word.
6.1. Standaard reaksie tyd
Die Europese IT-sertifiseringsinstituut stel 'n standaardreaksietyd van 30 dae vas vir versoeke vir datasubjekregte. Die standaard reaksietyd definieer 'n boonste tydsbeperking vir verwerking en reaksie en die meerderheid versoeke word binne 'n korter tyd verwerk en beantwoord.
6.2. Versoek ontvangserkenningstyd
By ontvangs van 'n datasubjekregteversoek, sal die DPO of ander personeellede ontvangs van die versoek binne 5 werksdae erken en die datasubjek voorsien van 'n beraamde tydraamwerk vir die verskaffing van 'n antwoord.
6.3. Uitsonderlike verlengings van die standaard reaksietyd
Die Europese IT-sertifiseringsinstituut sal redelike pogings aanwend om binne die vasgestelde standaardreaksietyd op versoeke vir datasubjekregte te reageer. As die versoek egter kompleks is of as die Europese IT-sertifiseringsinstituut 'n groot aantal versoeke ontvang, kan die reaksietyd verleng word. In sulke gevalle sal die DPO die datasubjek van die verlenging en die rede vir die vertraging in kennis stel.
6.4. Weiering om aan 'n datasubjekregteversoek te voldoen
As die Europese IT-sertifiseringsinstituut nie in staat is om 'n datasubjekregteversoek na te kom nie, sal dit die datasubjek 'n verduideliking vir die weiering verskaf en hulle inlig oor hul reg om by die betrokke toesighoudende owerheid te kla.
6.5. Rekords van datasubjekregteversoeke en -antwoorde
Die Europese IT-sertifiseringsinstituut sal akkurate rekords van datasubjekregteversoeke en -antwoorde byhou, insluitend die datum van ontvangs van die versoek, die aard van die versoek en die datum en wyse van die reaksie.
6.6. Periodieke resensies
Die DPO sal die Europese IT-sertifiseringsinstituut se reaksietye periodiek hersien en dit opdateer soos nodig om nakoming van toepaslike databeskermingsregulasies te verseker.
Deel 7. Verifiëring van die identiteit van die datasubjek
7.1. Identiteitsverifikasievereiste
Die Europese IT-sertifiseringsinstituut moet die identiteit van die datasubjek wat die versoek rig, verifieer om te verseker dat die persoonlike data slegs aan die korrekte individu verskaf word.
7.2. Identiteitsverifikasiemiddele en -metodes
Wanneer 'n datasubjek 'n versoek rig om hul regte kragtens databeskermingswette uit te oefen, moet die Europese IT-sertifiseringsinstituut die identiteit van die datasubjek verifieer deur toepaslike maatreëls te gebruik, soos om identifikasiedokumente aan te vra.
7.3. Identiteitsverifikasie van 'n volmaghouer
As die datasubjek die versoek namens iemand anders rig, moet die Europese IT-sertifiseringsinstituut die identiteit van beide die datasubjek en die individu namens wie die versoek gedoen word, verifieer.
7.4. Identiteitsverifikasie twyfel
As die Europese IT-sertifiseringsinstituut twyfel oor die identiteit van die datasubjek of die geldigheid van die versoek, kan dit bykomende inligting aanvra of ander toepaslike maatreëls tref om die identiteit van die datasubjek te verifieer.
7.5. Identiteitsverifikasierekords
Die Europese IT-sertifiseringsinstituut moet rekord hou van die verifikasieproses en die maatreëls wat getref is om die identiteit van die datasubjek te verifieer. Hierdie rekord moet vir 'n redelike tydperk gehou word en gebruik word om voldoening aan databeskermingswette te demonstreer.
Deel 8. Reageer onmiddellik op versoeke om datasubjekregte
8.1. Vinnige reaksie
Die Europese IT-sertifiseringsinstituut reageer stiptelik op versoeke vir datasubjekregte en voorsien die datasubjek van die inligting wat hulle versoek het.
8.2. Versoek ontvangserkenning
Die Europese IT-sertifiseringsinstituut erken so gou moontlik ontvangs van die datasubjek se versoek, ideaal binne 5 werksdae.
8.3. Versoek hersiening
Die aangewese DPO moet die versoek hersien om te verseker dat dit aan die nodige vereistes voldoen en dat al die nodige inligting verskaf is.
8.4. Verifikasie van die datasubjek-identiteit
Die Europese IT-sertifiseringsinstituut verifieer die identiteit van die datasubjek wat die versoek rig om te verseker dat die persoonlike data slegs aan die korrekte individu verskaf word.
8.5. Verkry bykomende inligting indien nodig
As die versoek onduidelik of onvoldoende is, moet die Europese IT-sertifiseringsinstituut die datasubjek kontak om bykomende inligting te bekom.
8.5. Herwinning van die relevante data
Die Europese IT-sertifiseringsinstituut haal die relevante persoonlike data op en hersien dit om te verseker dat dit akkuraat en op datum is.
8.6. Die verskaffing van die gevraagde inligting
Die Europese IT-sertifiseringsinstituut voorsien die datasubjek van die inligting wat hulle versoek het, insluitend 'n afskrif van hul persoonlike data in 'n algemeen gebruikte elektroniese formaat, tensy anders versoek.
8.7. Lig die datasubjek van hul regte in
Die Europese IT-sertifiseringsinstituut lig die datasubjek in oor hul ander regte, soos die reg om hul persoonlike data reg te stel of uit te vee, en voorsien hulle van die nodige instruksies.
8.8. Voldoening aan die reaksietyd
Die Europese IT-sertifiseringsinstituut reageer binne die vasgestelde reaksietyd op versoeke vir datasubjekregte en verseker dat die nodige stappe gedoen word om aan die versoek te voldoen.
8.9. Dokumenteer die reaksie
Die Europese IT-sertifiseringsinstituut dokumenteer die reaksie op die datasubjekregteversoek, insluitend enige aksies wat geneem is en die reaksietyd, om te verseker dat dit geoudit en nagespoor kan word vir voldoeningsdoeleindes.
8.10. Stel die datasubjek in kennis van enige veranderinge
Indien enige veranderinge aan die datasubjek se persoonlike data aangebring word as gevolg van hul versoek, stel die Europese IT-sertifiseringsinstituut die datasubjek van hierdie veranderinge in kennis.
Deel 9. Dokumentering van datasubjekregteversoeke
Die Europese IT-sertifiseringsinstituut hou 'n rekord van datasubjekregteversoeke, insluitend die datum van die versoek, die aard van die versoek en die reaksie op die versoek. Dokumentering van datasubjekregteversoeke sluit die volgende aspekte in:
9.1. Die byhou van 'n register
Die Europese IT-sertifiseringsinstituut hou 'n register by wat alle datasubjekregteversoeke wat ontvang is, vaslê. Hierdie register moet die volgende besonderhede bevat:
- Datum van die versoek
- Naam en kontakbesonderhede van die datasubjek
- Beskrywing van die versoek
- Optrede geneem in reaksie op die versoek
- Enige bykomende inligting wat nodig is om die versoek te verwerk
9.2. Gestandaardiseerde proses vir dokumentasie
Die Europese IT-sertifiseringsinstituut voer 'n gestandaardiseerde proses vir die dokumentasie van datasubjekregteversoeke om konsekwentheid en akkuraatheid in die inligting wat vasgelê is, te verseker.
9.3. Retensieperiode
Die Europese IT-sertifiseringsinstituut hou hierdie rekords vir 'n redelike tydperk, soos bepaal deur toepaslike wette en regulasies, nie korter as 2 jaar nie.
9.4. Handhawing van vertroulikheid
Die Europese IT-sertifiseringsinstituut verseker dat die rekords van datasubjekregteversoeke slegs toeganklik is vir gemagtigde personeel wat 'n behoefte het om toegang tot sulke inligting te verkry in die uitvoering van hul pligte. Dit implementeer ook tegniese en organisatoriese maatreëls om ongemagtigde toegang, openbaarmaking, verandering of vernietiging van persoonlike data vervat in die rekords van datasubjekregteversoeke te voorkom.
9.5. Verslagdoening
Die Europese IT-sertifiseringsinstituut genereer periodiek verslae oor datasubjekregteversoeke wat ontvang, verwerk en uitstaande is. Hierdie verslae word met relevante belanghebbendes gedeel, insluitend senior bestuur en die DPO.
9.6. Analytics
Die Europese IT-sertifiseringsinstituut doen tendensontleding op versoeke vir datasubjekregte om patrone en grondoorsake van versoeke te identifiseer. Hierdie inligting word gebruik om prosesse en prosedures te verbeter om sulke versoeke beter te bestuur.
Deel 10. Monitering en hersiening van die proses
Die Europese IT-sertifiseringsinstituut monitor en hersien gereeld sy proses vir die hantering van datasubjekregteversoeke om te verseker dat dit doeltreffend bly en aan die GDPR voldoen.
10.1. Uitvoer van periodieke resensies
Die Europese IT-sertifiseringsinstituut doen periodieke hersiening van sy datasubjekregteversoek-hanteringsproses en GDPR-voldoeningsbeleid om te verseker dat dit doeltreffend is en aan databeskermingsregulasies voldoen. Hierdie resensies sluit 'n ontleding in van die aantal en tipe versoeke wat ontvang is, die tydigheid en doeltreffendheid van antwoorde, en enige areas vir verbetering.
10.2. Implementering van verbeterings
Gebaseer op die bevindinge van die resensies, implementeer die Europese IT-sertifiseringsinstituut enige nodige verbeterings aan sy datasubjekregteversoeke-hanteringsproses. Dit kan opdaterings aan prosedures, bykomende opleiding vir personeel of veranderinge insluit aan die manier waarop versoeke geverifieer en daarop gereageer word.
10.3. Verseker deurlopende nakoming
Die Europese IT-sertifiseringsinstituut verseker deurlopende nakoming van databeskermingsregulasies deur gereeld sy beleide en prosedures te hersien en by te werk in ooreenstemming met enige veranderinge aan relevante wette en regulasies.
10.4. Monitering van personeel se prestasie
Die Europese IT-sertifiseringsinstituut monitor personeelprestasie met betrekking tot die hantering van datasubjekregteversoeke, insluitend die kwaliteit en tydigheid van antwoorde. Dit kan periodieke opleiding en prestasiebeoordelings insluit om te verseker dat personeel kundig en bekwaam is op hierdie gebied.
10.5. Kommunikeer met datasubjekte
Die Europese IT-sertifiseringsinstituut kommunikeer met datasubjekte deur die hele versoekhanteringsproses om te verseker dat hulle op hoogte gehou word van vordering en enige relevante inligting. Dit kan insluit die verskaffing van opdaterings oor die status van hul versoek of die versoek van bykomende inligting soos nodig.
10.6. Die instandhouding van rekords
Die Europese IT-sertifiseringsinstituut hou rekords van sy resensies, insluitend enige veranderinge wat aan sy datasubjekregteversoek-hanteringsproses aangebring is, sowel as enige terugvoer wat van datasubjekte ontvang word. Hierdie inligting kan gebruik word om deurlopende nakomingspogings te ondersteun en om areas vir verdere verbetering te identifiseer.
Deel 11. Opstel van die rekord van verwerkingsaktiwiteite
Die Europese IT-sertifiseringsinstituut hou die rekord van verwerkingsaktiwiteite by, wat 'n dokument is wat die verwerking van persoonlike data wat deur die organisasie uitgevoer word, uiteensit. Dit word vereis onder die EU se Algemene Databeskermingsregulasie (GDPR) en is bedoel om begrip van dataverwerkingsaktiwiteite te ondersteun en voldoening aan die GDPR te demonstreer.
11.1. ROPA struktuur
Die ROPA sluit basiese inligting in oor die naam en kontakbesonderhede van die organisasie, die doeleindes van die dataverwerking, die kategorieë van persoonlike data wat verwerk word, die ontvangers van die persoonlike data en die bewaringstydperke vir die persoonlike data. Dit sluit ook inligting in oor enige derdeparty-verwerkers wat persoonlike data namens die organisasie verwerk.
11.2. ROPA gereelde opdaterings
Die ROPA word gereeld bygewerk en is 'n lewende dokument wat veranderinge in die Europese IT-sertifiseringsinstituut se dataverwerkingsaktiwiteite weerspieël wat die bou van vertroue met datasubjekte ondersteun.
Die Europese IT-sertifiseringsinstituut is daartoe verbind om die hoogste standaarde te handhaaf met betrekking tot sy Data-onderwerpregte-versoekebestuur en Algemene Databeskermingsregulasiebeleid, om seker te maak om te voldoen aan alle toepaslike wette en regulasies wat met hierdie kwessies verband hou, sowel as aan toonaangewende industriestandaarde en beste praktyke, insluitend die ISO 27701 Privaatheidsinligtingbestuurstelsel.