DSRRM och GDPR-policy
EITCA Academy Policy för hantering av förfrågningar om datasubjekträttigheter och allmänna dataskyddsförordningar
Detta dokument specificerar Europeiska IT-certifieringsinstitutets policy för hantering av förfrågningar om datasubjekträttigheter, samt implementeringen av EU:s allmänna dataskyddsförordning, som regelbundet granskas och uppdateras för att säkerställa dess effektivitet och relevans. Den senaste uppdateringen av EITCI:s hantering av förfrågningar om datasubjekträttigheter och GDPR-policy gjordes den 10 januari 2023. Vår hantering av förfrågningar om datasubjekträttigheter och GDPR-policy är baserad på principerna för ISO 27701 Privacy Information Management System-tillägget till ISO 27001 Informationssäkerhet Systemstandard, samt om kraven i den allmänna dataskyddsförordningen (2016/679).
Del 1. Introduktion
Att hantera förfrågningar om registrerade rättigheter är en viktig del för att säkerställa efterlevnad av dataskyddsbestämmelserna, nämligen GDPR (EU:s allmänna dataskyddsförordning). Europeiska IT-certifieringsinstitutet definierade följande formella procedurer för att hantera begäranden om registrerade rättigheter och implementera kraven i GDPR:
1.1. Upprätta en process för att hantera förfrågningar om registrerade rättigheter
Denna process beskriver de steg som Europeiska IT-certifieringsinstitutet följer när de hanterar begäranden om registrerade rättigheter, inklusive identifiering och autentisering av den registrerade, verifieringen av den registrerades begäran och svaret på begäran.
1.2. Utse en dataskyddsombud (DPO)
Europeiska IT-certifieringsinstitutet utser en DPO som är ansvarig för att övervaka hanteringen av förfrågningar om registrerade rättigheter, inklusive granskning av förfrågningar, svar på förfrågningar och säkerställa efterlevnad av dataskyddsbestämmelser.
1.3. Upprätthålla en uppdaterad register över personuppgifter
Europeiska IT-certifieringsinstitutet för ett uppdaterat register över personuppgifter som det innehar och de ändamål för vilka de behandlas. Detta kommer att göra det möjligt för Europeiska IT-certifieringsinstitutet att snabbt och korrekt svara på förfrågningar om registrerade rättigheter.
1.4. Tillhandahålla tydlig och koncis information till registrerade
Vid insamling av personuppgifter tillhandahåller European IT Certification Institute tydlig och koncis information till registrerade om deras rättigheter, inklusive rätten att få tillgång till, korrigera, radera och invända mot behandlingen av deras personuppgifter.
1.5. Fastställande av en standardsvarstid
European IT Certification Institute upprätthåller en standardsvarstid för förfrågningar om registrerade rättigheter och säkerställer att förfrågningar besvaras inom denna tidsram.
1.6. Verifiering av den registrerades identitet
Europeiska IT-certifieringsinstitutet verifierar identiteten på den registrerade som gör begäran för att säkerställa att personuppgifterna endast tillhandahålls till rätt person.
1.7. Svara på förfrågningar om registrerade rättigheter omedelbart
European IT Certification Institute svarar omedelbart på förfrågningar om registrerade rättigheter och förser den registrerade med den information de har begärt.
1.8. Dokumentera förfrågningar om registrerade rättigheter
Europeiska IT-certifieringsinstitutet för ett register över förfrågningar om registrerade rättigheter, inklusive datum för begäran, arten av begäran och svaret på begäran.
1.9. Övervaka och granska processen
Europeiska IT-certifieringsinstitutet övervakar och granskar regelbundet sin process för att hantera förfrågningar om registrerade rättigheter för att säkerställa att den förblir effektiv och överensstämmer med relevanta dataskyddsbestämmelser.
1.10. Upprättande av register över bearbetningsaktiviteter
European IT Certification Institute upprätthåller register över behandlingsaktiviteter som är ett dokument som beskriver behandlingen av personuppgifter som utförs av organisationen. Den krävs enligt EU:s allmänna dataskyddsförordning (GDPR) och är avsedd att stödja förståelsen av databehandlingsaktiviteter och visa efterlevnad av GDPR.
Genom att följa dessa formella och procedurer kan Europeiska IT-certifieringsinstitutet effektivt hantera förfrågningar om registrerade rättigheter och säkerställa efterlevnad av dataskyddsbestämmelser, inklusive den allmänna dataskyddsförordningen i Europeiska unionen.
Del 2. Upprättande av en process för hantering av förfrågningar om registrerade rättigheter
Denna process beskriver de steg som Europeiska IT-certifieringsinstitutet följer när de hanterar begäranden om registrerade rättigheter, inklusive identifiering och autentisering av den registrerade, verifiering av den registrerades begäran och svaret på begäran:
2.1. Identifiera och autentisera den registrerade
Europeiska IT-certifieringsinstitutet upprätthåller en process för att verifiera identiteten på den registrerade som gör begäran. Detta kan inkludera att be om ett statligt utfärdat ID, kontrollera mot befintliga register eller använda andra autentiseringsmetoder.
2.2. Verifiera den registrerades begäran
När den registrerades identitet har fastställts ska Europeiska IT-certifieringsinstitutet verifiera att begäran är giltig och avser den registrerades personuppgifter. Begäran bör också innehålla den specifika rättighet som utövas, såsom rätten att få tillgång till, korrigera eller radera personuppgifter.
2.3. Svarar på begäran
Europeiska IT-certifieringsinstitutet måste ge ett svar på den registrerades begäran inom den tidsram som anges av relevanta dataskyddslagar, men inte längre än 30 dagar. Svaret bör innehålla en förklaring av om begäran har beviljats eller avslagits samt skälen för beslutet.
2.4. Dokumentera begäran och svar
Europeiska IT-certifieringsinstitutet för ett register över alla förfrågningar och svar om registrerade rättigheter. Detta hjälper till att säkerställa efterlevnad av relevanta dataskyddslagar, samt underlätta framtida revisioner eller utredningar.
2.5. Utbilda relevant personal
Europeiska IT-certifieringsinstitutet kommer att tillhandahålla utbildning till personal som ansvarar för att hantera förfrågningar om registrerade rättigheter för att säkerställa att de är bekanta med relevanta dataskyddslagar och Europeiska IT-certifieringsinstitutets rutiner för att hantera sådana förfrågningar.
2.6. Övervaka och granska processen
Europeiska IT-certifieringsinstitutet övervakar och granskar processen för att hantera förfrågningar om registrerade rättigheter regelbundet för att säkerställa att den förblir effektiv och överensstämmer med relevanta dataskyddslagar. Eventuella problem eller incidenter rapporteras och åtgärdas i tid.
Del 3. Utse en dataskyddsombud (DPO)
Europeiska IT-certifieringsinstitutet utser en DPO som är ansvarig för att övervaka hanteringen av förfrågningar om registrerade rättigheter, inklusive granskning av förfrågningar, svar på förfrågningar och säkerställa efterlevnad av dataskyddsbestämmelser.
3.1. Utse DPO
Europeiska IT-certifieringsinstitutet utser en dataskyddsombud (DPO) för att övervaka hanteringen av förfrågningar om registrerade rättigheter och säkerställa efterlevnad av dataskyddsbestämmelser. DPO kommer att ansvara för att granska förfrågningar och se till att European IT Certification Institute uppfyller sina rättsliga skyldigheter i förhållande till dataskydd.
3.2. DPO:s kompetenskrav
Dataskyddsombudet måste ha expertkunskaper om dataskyddslagar och praxis och förses med de nödvändiga resurserna för att fullgöra sitt ansvar. De bör ha direkt tillgång till högsta ledningen och rapportera till organisationens högsta ledningsnivå.
3.3. DPO:s ansvar
DPO:s ansvar inkluderar, men är inte begränsade till, följande:
- Tillhandahålla vägledning och råd till Europeiska IT-certifieringsinstitutet i dataskyddsfrågor, inklusive hantering av begäranden om registrerade rättigheter.
- Övervaka det europeiska IT-certifieringsinstitutets efterlevnad av dataskyddsbestämmelser och interna policyer och procedurer.
- Svara på förfrågningar och klagomål från registrerade angående deras rättigheter enligt dataskyddsbestämmelser.
- Samordning med andra avdelningar för att säkerställa att dataskyddskrav uppfylls i hela organisationen.
- Genomföra regelbundna granskningar och utvärderingar av European IT Certification Institutes dataskyddspraxis och ge rekommendationer för förbättringar.
- Fungerar som kontaktpunkt för dataskyddsmyndigheter och samarbetar med dem vid en utredning eller revision.
- Dataskyddsombudet är också involverat i utvecklingen och implementeringen av Europeiska IT-certifieringsinstitutets policyer och förfaranden relaterade till dataskydd, inklusive de som är relaterade till hantering av begäranden om registrerade rättigheter.
3.4. DPO:s utbildning och kvalifikationsutveckling
Europeiska IT-certifieringsinstitutet bör se till att uppgiftsskyddsombudet är adekvat utbildad i dataskyddsbestämmelser och hålls uppdaterad om eventuella ändringar eller uppdateringar av dessa bestämmelser.
3.5. DPO:s kontaktuppgifter
DPO:s kontaktinformation bör göras tillgänglig för registrerade och inkluderas i European IT Certification Institutes integritetsmeddelande eller policy.
Del 4. Upprätthålla en uppdaterad register över personuppgifter
Europeiska IT-certifieringsinstitutet för ett uppdaterat register över personuppgifter som det innehar och de ändamål för vilka de behandlas. Detta kommer att göra det möjligt för Europeiska IT-certifieringsinstitutet att snabbt och korrekt svara på förfrågningar om registrerade rättigheter.
4.1. Upprätta en process för att identifiera och registrera personuppgifter
Europeiska IT-certifieringsinstitutet upprättar en tydlig och standardiserad process för att identifiera och registrera personuppgifter, inklusive den registrerades namn, kontaktinformation och all annan relevant information. Denna process säkerställer att personuppgifter endast samlas in för specifika och legitima ändamål.
4.2. Kategorisering av personuppgifter
European IT Certification Institute kategoriserar personuppgifter för att göra det lättare att spåra och hantera. Detta inkluderar kategorisering av data efter typ, såsom kontaktinformation, faktureringsinformation, kompetens och kvalifikationer, ekonomisk information eller anställningshistorik.
4.3. Implementera ett datahanteringssystem
European IT Certification Institute implementerar ett datahanteringssystem för att säkerställa att personuppgifter är korrekta, uppdaterade och tillgängliga. Datahanteringssystemet inkluderar en databas som kan sökas och frågas för att hjälpa till att svara på förfrågningar om registrerade rättigheter.
4.4. Tilldela ansvar för att föra register över personuppgifter
Europeiska IT-certifieringsinstitutet bör tilldela specifika individer eller avdelningar ansvaret för att upprätthålla register över personuppgifter. Detta kommer att säkerställa att journalen hålls uppdaterad och korrekt.
4.5. Regelbunden granskning och uppdatering av register över personuppgifter
Europeiska IT-certifieringsinstitutet bör regelbundet granska och uppdatera register över personuppgifter för att säkerställa att den förblir korrekt och uppdaterad. Detta kan göras genom periodiska revisioner eller genom en kontinuerlig övervakningsprocess.
4.6. Genomför lämpliga säkerhetsåtgärder
European IT Certification Institute implementerar lämpliga säkerhetsåtgärder för att skydda de personuppgifter som det innehar, inklusive åtgärder för att förhindra obehörig åtkomst, oavsiktlig förlust eller förstörelse av personuppgifter, som en del av organisationens informationssäkerhetspolicy (ISP). Detta inkluderar bland annat kryptering, brandväggar och åtkomstkontroller. En detaljerad specifikation av processer och åtgärder för dataskydd täcks av det dedikerade Europeiska IT-certifieringsinstitutets informationssäkerhetspolicy.
Del 5. Att tillhandahålla tydlig och koncis information till registrerade
Vid insamling av personuppgifter tillhandahåller European IT Certification Institute tydlig och koncis information till registrerade om deras rättigheter, inklusive rätten att få tillgång till, korrigera, radera och invända mot behandlingen av deras personuppgifter.
Transparency
European IT Certification Institute är transparent i sin behandling av personuppgifter och ger kortfattad information till registrerade om hur deras uppgifter används, behandlas och lagras.
5.2. Integritetspolicy
European IT Certification Institute har en detaljerad integritetspolicy som beskriver dess databehandlingsaktiviteter, inklusive hur registrerade kan utöva sina registrerade rättigheter.
5.3. Rätt till tillgång
Registrerade har rätt att begära tillgång till de personuppgifter som European IT Certification Institute har om dem. Europeiska IT-certifieringsinstitutet tillhandahåller tydlig och koncis information till registrerade om hur man gör en begäran om åtkomst, vilken information som kommer att krävas för att verifiera deras identitet och hur lång tid det tar för Europeiska IT-certifieringsinstitutet att svara på begäran.
5.4. Rätt till rättelse
Registrerade personer har rätt att begära att European IT Certification Institute korrigerar eventuella felaktiga eller ofullständiga personuppgifter som det har om dem. Europeiska IT-certifieringsinstitutet ger tydlig och koncis information till registrerade om hur man gör en begäran om rättelse, vilken information som kommer att krävas för att verifiera deras identitet och hur lång tid det tar för Europeiska IT-certifieringsinstitutet att svara på begäran.
5.5. Rätt att radera
Registrerade har rätt att begära att European IT Certification Institute raderar deras personuppgifter under vissa omständigheter. Europeiska IT-certifieringsinstitutet ger tydlig och koncis information till registrerade om hur man gör en begäran om radering, vilken information som kommer att krävas för att verifiera deras identitet och hur lång tid det tar för Europeiska IT-certifieringsinstitutet att svara på begäran.
5.6. Rätt att invända
Registrerade har rätt att invända mot behandlingen av deras personuppgifter under vissa omständigheter. Europeiska IT-certifieringsinstitutet tillhandahåller tydlig och koncis information till registrerade om hur man gör en begäran om invändning, vilken information som kommer att krävas för att verifiera deras identitet och hur lång tid det tar för Europeiska IT-certifieringsinstitutet att svara på begäran.
5.7. Kontakt Information
European IT Certification Institute tillhandahåller tydlig och koncis kontaktinformation för registrerade att använda om de har frågor eller funderingar om hur deras personuppgifter behandlas.
Del 6. Fastställande av en standardsvarstid
Europeiska IT-certifieringsinstitutet har fastställt en standardsvarstid för förfrågningar om registrerade rättigheter och säkerställer att förfrågningar besvaras inom denna tidsram.
6.1. Standardsvarstid
Europeiska IT-certifieringsinstitutet fastställer en standardsvarstid på 30 dagar för förfrågningar om registrerade rättigheter. Standardsvarstiden definierar en övre tidsgräns för behandling och svar och majoriteten av förfrågningarna behandlas och besvaras inom en kortare tid.
6.2. Begär tid för mottagningsbekräftelse
Vid mottagande av en begäran om registrerade rättigheter kommer dataskyddsombudet eller andra anställda att bekräfta mottagandet av begäran inom 5 arbetsdagar och ge den registrerade en beräknad tidsram för att ge ett svar.
6.3. Exceptionella förlängningar av standardsvarstiden
Europeiska IT-certifieringsinstitutet kommer att vidta rimliga ansträngningar för att svara på förfrågningar om registrerade rättigheter inom den fastställda standardsvarstiden. Men om förfrågan är komplex eller om Europeiska IT-certifieringsinstitutet får en stor mängd förfrågningar kan svarstiden komma att förlängas. I sådana fall kommer dataskyddsombudet att informera den registrerade om förlängningen och orsaken till förseningen.
6.4. Vägra att uppfylla en begäran om registrerade rättigheter
Om Europeiska IT-certifieringsinstitutet inte kan uppfylla en begäran om registrerade rättigheter, kommer det att ge den registrerade en förklaring till avslaget och informera dem om deras rätt att klaga till den relevanta tillsynsmyndigheten.
6.5. Register över förfrågningar och svar om registrerade rättigheter
Europeiska IT-certifieringsinstitutet kommer att upprätthålla korrekta register över förfrågningar och svar om registrerade rättigheter, inklusive datum för mottagande av begäran, förfrågans art och datum och sätt för svaret.
6.6. Periodiska granskningar
DPO kommer med jämna mellanrum att granska European IT Certification Institutes svarstider och uppdatera dem vid behov för att säkerställa efterlevnad av tillämpliga dataskyddsbestämmelser.
Del 7. Verifiering av den registrerades identitet
7.1. Krav på identitetsverifiering
Europeiska IT-certifieringsinstitutet måste verifiera identiteten på den registrerade som gör begäran för att säkerställa att personuppgifterna endast lämnas till rätt person.
7.2. Identitetsverifieringsmedel och metoder
När en registrerad gör en begäran om att utöva sina rättigheter enligt dataskyddslagar, måste Europeiska IT-certifieringsinstitutet verifiera den registrerades identitet med hjälp av lämpliga åtgärder, till exempel att begära identifieringsdokument.
7.3. Identitetsverifiering av en fullmaktshavare
Om den registrerade gör begäran på uppdrag av någon annan, måste Europeiska IT-certifieringsinstitutet verifiera identiteten på både den registrerade och den individ för vars räkning begäran görs.
7.4. Tvivlar på identitetsverifiering
Om Europeiska IT-certifieringsinstitutet tvivlar på den registrerades identitet eller begärans giltighet, kan det begära ytterligare information eller vidta andra lämpliga åtgärder för att verifiera den registrerades identitet.
7.5. Identitetsverifieringsposter
Europeiska IT-certifieringsinstitutet bör föra ett register över verifieringsprocessen och de åtgärder som vidtagits för att verifiera den registrerades identitet. Detta register bör bevaras under en rimlig tidsperiod och användas för att visa efterlevnad av dataskyddslagar.
Del 8. Svara på förfrågningar om registrerade rättigheter omedelbart
8.1. Snabbt svar
Europeiska IT-certifieringsinstitutet svarar omedelbart på förfrågningar om registrerade rättigheter och förser den registrerade med den information de har begärt.
8.2. Begär mottagningsbekräftelse
Europeiska IT-certifieringsinstitutet bekräftar mottagandet av den registrerades begäran så snart som möjligt, helst inom 5 arbetsdagar.
8.3. Begär granskning
Den utsedda uppgiftsskyddsombudet bör granska begäran för att säkerställa att den uppfyller de nödvändiga kraven och att all nödvändig information har tillhandahållits.
8.4. Verifiering av den registrerades identitet
Europeiska IT-certifieringsinstitutet verifierar identiteten på den registrerade som gör begäran för att säkerställa att personuppgifterna endast tillhandahålls till rätt person.
8.5. Inhämta ytterligare information om det behövs
Om begäran är otydlig eller otillräcklig bör Europeiska IT-certifieringsinstitutet kontakta den registrerade för att få ytterligare information.
8.5. Hämta relevant data
European IT Certification Institute hämtar relevanta personuppgifter och granskar dem för att säkerställa att de är korrekta och uppdaterade.
8.6. Tillhandahålla den begärda informationen
Europeiska IT-certifieringsinstitutet förser den registrerade med den information de har begärt, inklusive en kopia av deras personuppgifter i ett allmänt använt elektroniskt format, om inte annat begärs.
8.7. Informera den registrerade om deras rättigheter
Europeiska IT-certifieringsinstitutet informerar den registrerade om deras andra rättigheter, såsom rätten att rätta eller radera sina personuppgifter, och förse dem med nödvändiga instruktioner.
8.8. Att följa svarstiden
Europeiska IT-certifieringsinstitutet svarar på förfrågningar om registrerade rättigheter inom den fastställda svarstiden och säkerställer att nödvändiga åtgärder vidtas för att följa begäran.
8.9. Dokumentera svaret
European IT Certification Institute dokumenterar svaret på begäran om registrerade rättigheter, inklusive eventuella åtgärder och svarstiden, för att säkerställa att det kan granskas och spåras för efterlevnadsändamål.
8.10. Meddela den registrerade om eventuella ändringar
Om några ändringar görs i den registrerades personuppgifter som ett resultat av deras begäran, meddelar Europeiska IT-certifieringsinstitutet den registrerade om dessa ändringar.
Del 9. Dokumentera förfrågningar om registrerade rättigheter
Europeiska IT-certifieringsinstitutet för ett register över förfrågningar om registrerade rättigheter, inklusive datum för begäran, arten av begäran och svaret på begäran. Att dokumentera begäranden om registrerade rättigheter inkluderar följande aspekter:
9.1. Föra ett register
European IT Certification Institute för ett register som samlar in alla mottagna begäranden om registrerade rättigheter. Detta register bör fånga följande detaljer:
- Datum för begäran
- Den registrerades namn och kontaktuppgifter
- Beskrivning av begäran
- Åtgärder som vidtagits som svar på begäran
- All ytterligare information som krävs för att behandla begäran
9.2. Standardiserad process för dokumentation
European IT Certification Institute kör en standardiserad process för att dokumentera begäranden om registrerade rättigheter för att säkerställa konsistens och noggrannhet i den insamlade informationen.
9.3. Lagringsperiod
European IT Certification Institute behåller dessa register under en rimlig tidsperiod, som bestäms av tillämpliga lagar och förordningar, inte kortare än 2 år.
9.4. Upprätthålla sekretess
Europeiska IT-certifieringsinstitutet säkerställer att register över begäranden om registrerade rättigheter endast är tillgängliga för auktoriserad personal som har ett behov av att få tillgång till sådan information i utförandet av sina uppgifter. Den implementerar också tekniska och organisatoriska åtgärder för att förhindra obehörig åtkomst, avslöjande, ändring eller förstörelse av personuppgifter som finns i register över förfrågningar om registrerade rättigheter.
9.5. rapportering
Europeiska IT-certifieringsinstitutet genererar regelbundet rapporter om mottagna, behandlade och utestående begäranden om registrerade rättigheter. Dessa rapporter delas med relevanta intressenter inklusive högsta ledningen och DPO.
9.6. Analytics
European IT Certification Institute genomför trendanalyser av förfrågningar om registrerade rättigheter för att identifiera mönster och grundorsaker till förfrågningar. Denna information används för att förbättra processer och procedurer för att bättre hantera sådana förfrågningar.
Del 10. Övervakning och granskning av processen
European IT Certification Institute övervakar och granskar regelbundet sin process för hantering av förfrågningar om registrerade rättigheter för att säkerställa att den förblir effektiv och kompatibel med GDPR.
10.1. Genomföra periodiska granskningar
Europeiska IT-certifieringsinstitutet genomför regelbundna granskningar av sin process för hantering av förfrågningar för registrerade rättigheter och GDPR-efterlevnadspolicy för att säkerställa att den är effektiv och överensstämmer med dataskyddsbestämmelserna. Dessa granskningar inkluderar en analys av antalet och typen av förfrågningar som tagits emot, svarens aktualitet och effektivitet samt eventuella förbättringsområden.
10.2. Genomförande av förbättringar
Baserat på resultaten av granskningarna implementerar Europeiska IT-certifieringsinstitutet alla nödvändiga förbättringar av sin process för hantering av förfrågningar om registrerade rättigheter. Detta kan inkludera uppdateringar av procedurer, ytterligare utbildning för personal eller förändringar av hur förfrågningar verifieras och besvaras.
10.3. Säkerställa kontinuerlig efterlevnad
European IT Certification Institute säkerställer kontinuerlig efterlevnad av dataskyddsbestämmelser genom att regelbundet granska och uppdatera sina policyer och procedurer i linje med eventuella ändringar av relevanta lagar och förordningar.
10.4. Övervakning av personalens prestationer
Europeiska IT-certifieringsinstitutet övervakar personalens prestationer i förhållande till hanteringen av förfrågningar om registrerade rättigheter, inklusive kvaliteten och aktualiteten för svaren. Detta kan inkludera regelbunden utbildning och resultatgenomgångar för att säkerställa att personalen är kunnig och kompetent inom detta område.
10.5. Kommunicera med registrerade
Europeiska IT-certifieringsinstitutet kommunicerar med registrerade under hela förfrågningsprocessen för att säkerställa att de hålls informerade om framstegen och all relevant information. Detta kan inkludera att ge uppdateringar om statusen för deras begäran eller begära ytterligare information vid behov.
10.6. Upprätthålla register
European IT Certification Institute upprätthåller register över sina granskningar, inklusive alla ändringar som gjorts i processen för hantering av förfrågningar om registrerade rättigheter, såväl som all feedback från registrerade. Denna information kan användas för att stödja pågående efterlevnadsinsatser och för att identifiera områden för ytterligare förbättringar.
Del 11. Upprättande av register över bearbetningsaktiviteter
European IT Certification Institute upprätthåller register över behandlingsaktiviteter som är ett dokument som beskriver behandlingen av personuppgifter som utförs av organisationen. Den krävs enligt EU:s allmänna dataskyddsförordning (GDPR) och är avsedd att stödja förståelsen av databehandlingsaktiviteter och visa efterlevnad av GDPR.
11.1. ROPA struktur
ROPA innehåller grundläggande information om organisationens namn och kontaktuppgifter, syftena med databehandlingen, kategorierna av personuppgifter som behandlas, mottagarna av personuppgifterna och lagringstiderna för personuppgifterna. Den innehåller också information om eventuella tredje parts processorer som behandlar personuppgifter på uppdrag av organisationen.
11.2. ROPA regelbundna uppdateringar
ROPA uppdateras regelbundet och är ett levande dokument som återspeglar förändringar i European IT Certification Institutes databehandlingsaktiviteter som stödjer uppbyggnaden av förtroende med registrerade.
European IT Certification Institute har åtagit sig att upprätthålla de högsta standarderna när det gäller sin hantering av förfrågningar om datasubjekträttigheter och allmänna dataskyddsförordningar, och se till att följa alla tillämpliga lagar och förordningar relaterade till dessa frågor, såväl som till ledande industristandarder och bästa praxis, inklusive ISO 27701 Privacy Information Management System.