Politica DSRRM e GDPR
EITCA Academy Policy sulla gestione delle richieste dei diritti degli interessati e regolamento generale sulla protezione dei dati
Questo documento specifica la politica dell'Istituto europeo di certificazione IT sulla gestione delle richieste dei diritti degli interessati, nonché l'attuazione del regolamento generale sulla protezione dei dati dell'UE, che viene regolarmente rivisto e aggiornato per garantirne l'efficacia e la pertinenza. L'ultimo aggiornamento della politica EITCI per la gestione delle richieste dei diritti degli interessati e del GDPR è stato effettuato il 10 gennaio 2023. La nostra politica per la gestione delle richieste dei diritti degli interessati e del GDPR si basa sui principi dell'estensione del sistema di gestione delle informazioni sulla privacy ISO 27701 alla sicurezza delle informazioni ISO 27001 Standard di sistema, nonché sui requisiti del Regolamento generale sulla protezione dei dati (2016/679).
Parte 1. introduzione
La gestione delle richieste relative ai diritti degli interessati è una parte essenziale per garantire la conformità alle normative sulla protezione dei dati, in particolare il GDPR (regolamento generale sulla protezione dei dati dell'UE). L'Istituto europeo di certificazione IT ha definito le seguenti procedure formali per la gestione delle richieste dei diritti degli interessati e l'attuazione dei requisiti del GDPR:
1.1. Stabilire un processo per la gestione delle richieste relative ai diritti degli interessati
Questo processo delinea i passaggi che l'Istituto europeo di certificazione informatica segue nella gestione delle richieste relative ai diritti degli interessati, tra cui l'identificazione e l'autenticazione dell'interessato, la verifica della richiesta dell'interessato e la risposta alla richiesta.
1.2. Designazione di un responsabile della protezione dei dati (RPD)
L'Istituto europeo di certificazione IT designa un DPO responsabile della supervisione della gestione delle richieste relative ai diritti degli interessati, compresa la revisione delle richieste, la risposta alle richieste e la garanzia della conformità alle normative sulla protezione dei dati.
1.3. Mantenimento di un registro aggiornato dei dati personali
L'Istituto Europeo di Certificazione IT conserva un registro aggiornato dei dati personali in suo possesso e delle finalità per le quali vengono elaborati. Ciò consentirà all'Istituto europeo di certificazione informatica di rispondere in modo rapido e accurato alle richieste relative ai diritti degli interessati.
1.4. Fornire informazioni chiare e concise agli interessati
Quando raccoglie dati personali, l'Istituto europeo di certificazione informatica fornisce informazioni chiare e concise agli interessati sui loro diritti, compreso il diritto di accedere, rettificare, cancellare e opporsi al trattamento dei propri dati personali.
1.5. Stabilire un tempo di risposta standard
L'Istituto europeo di certificazione IT mantiene un tempo di risposta standard per le richieste relative ai diritti degli interessati e garantisce che le richieste ricevano risposta entro questo lasso di tempo.
1.6. Verifica dell'identità dell'interessato
L'Istituto Europeo di Certificazione IT verifica l'identità dell'interessato che effettua la richiesta per garantire che i dati personali siano forniti solo all'interessato corretto.
1.7. Rispondere tempestivamente alle richieste relative ai diritti degli interessati
L'Istituto Europeo di Certificazione IT risponde tempestivamente alle richieste relative ai diritti degli interessati e fornisce all'interessato le informazioni richieste.
1.8. Documentare le richieste relative ai diritti degli interessati
L'Istituto europeo di certificazione informatica conserva un registro delle richieste relative ai diritti degli interessati, compresa la data della richiesta, la natura della richiesta e la risposta alla richiesta.
1.9. Monitoraggio e revisione del processo
L'Istituto europeo di certificazione IT monitora e rivede regolarmente il proprio processo per la gestione delle richieste relative ai diritti degli interessati per garantire che rimanga efficace e conforme alle normative sulla protezione dei dati pertinenti.
1.10. Istituzione del registro delle attività di trattamento
L'Istituto Europeo di Certificazione IT mantiene il Registro delle attività di trattamento che è un documento che delinea il trattamento dei dati personali effettuato dall'organizzazione. È richiesto ai sensi del Regolamento generale sulla protezione dei dati (GDPR) dell'UE e ha lo scopo di supportare la comprensione delle attività di trattamento dei dati e dimostrare la conformità al GDPR.
Seguendo queste formalità e procedure, l'Istituto europeo di certificazione IT può gestire efficacemente le richieste relative ai diritti degli interessati e garantire la conformità alle normative sulla protezione dei dati, incluso il regolamento generale sulla protezione dei dati nell'Unione europea.
Parte 2. Stabilire un processo per la gestione delle richieste relative ai diritti degli interessati
Questo processo delinea i passaggi che l'Istituto europeo di certificazione IT segue nella gestione delle richieste relative ai diritti degli interessati, tra cui l'identificazione e l'autenticazione dell'interessato, la verifica della richiesta dell'interessato e la risposta alla richiesta:
2.1. Identificare e autenticare l'interessato
L'Istituto europeo di certificazione informatica mantiene un processo in atto per verificare l'identità dell'interessato che effettua la richiesta. Ciò può includere la richiesta di un documento d'identità rilasciato dal governo, il controllo di documenti esistenti o l'utilizzo di altri metodi di autenticazione.
2.2. Verifica della richiesta dell'interessato
Una volta accertata l'identità dell'interessato, l'Istituto Europeo di Certificazione Informatica deve verificare che la richiesta sia valida e riguardi i dati personali dell'interessato. La richiesta dovrebbe includere anche il diritto specifico esercitato, come il diritto di accesso, rettifica o cancellazione dei dati personali.
2.3. Rispondendo alla richiesta
L'Istituto europeo di certificazione informatica deve fornire una risposta alla richiesta dell'interessato entro il termine specificato dalle leggi sulla protezione dei dati pertinenti, ma non oltre 30 giorni. La risposta dovrebbe includere una spiegazione del fatto che la richiesta sia stata accolta o respinta e le ragioni della decisione.
2.4. Documentare la richiesta e la risposta
L'Istituto europeo di certificazione informatica conserva un registro di tutte le richieste e risposte relative ai diritti degli interessati. Ciò aiuta a garantire la conformità alle leggi sulla protezione dei dati pertinenti, oltre a facilitare future verifiche o indagini.
2.5. Formazione del personale interessato
L'Istituto europeo di certificazione informatica fornirà formazione al personale responsabile della gestione delle richieste relative ai diritti degli interessati per garantire che abbia familiarità con le leggi in materia di protezione dei dati e le procedure dell'Istituto europeo di certificazione informatica per la gestione di tali richieste.
2.6. Monitoraggio e revisione del processo
L'Istituto europeo di certificazione informatica monitora e rivede regolarmente il processo di gestione delle richieste relative ai diritti degli interessati per garantire che rimanga efficace e conforme alle leggi in materia di protezione dei dati. Eventuali problemi o incidenti vengono segnalati e affrontati in modo tempestivo.
Parte 3. Designazione di un responsabile della protezione dei dati (DPO)
L'Istituto europeo di certificazione IT designa un DPO responsabile della supervisione della gestione delle richieste relative ai diritti degli interessati, compresa la revisione delle richieste, la risposta alle richieste e la garanzia della conformità alle normative sulla protezione dei dati.
3.1. Designazione del DPO
L'Istituto europeo di certificazione IT designa un responsabile della protezione dei dati (DPO) per supervisionare la gestione delle richieste relative ai diritti degli interessati e garantire la conformità alle normative sulla protezione dei dati. Il responsabile della protezione dei dati sarà responsabile dell'esame delle richieste e di garantire che l'Istituto europeo di certificazione informatica rispetti i propri obblighi legali in relazione alla protezione dei dati.
3.2. Requisiti delle competenze del DPO
Il DPO deve avere una conoscenza approfondita delle leggi e delle prassi in materia di protezione dei dati e disporre delle risorse necessarie per adempiere alle proprie responsabilità. Dovrebbero avere accesso diretto all'alta dirigenza e riferire al più alto livello di gestione dell'organizzazione.
3.3. Responsabilità del DPO
Le responsabilità del DPO includono, ma non sono limitate a, quanto segue:
- Fornire orientamento e consulenza all'Istituto europeo di certificazione informatica in materia di protezione dei dati, compresa la gestione delle richieste relative ai diritti degli interessati.
- Monitoraggio della conformità dell'Istituto europeo di certificazione IT alle normative sulla protezione dei dati e alle politiche e procedure interne.
- Rispondere alle domande e ai reclami degli interessati in merito ai loro diritti ai sensi delle normative sulla protezione dei dati.
- Coordinamento con altri dipartimenti per garantire che i requisiti di protezione dei dati siano soddisfatti in tutta l'organizzazione.
- Condurre revisioni e valutazioni periodiche delle pratiche di protezione dei dati dell'Istituto europeo di certificazione IT e fornire raccomandazioni per il miglioramento.
- Fungere da punto di contatto per le autorità di protezione dei dati e cooperare con loro in caso di indagine o audit.
- Il DPO è anche coinvolto nello sviluppo e nell'attuazione delle politiche e delle procedure dell'Istituto europeo di certificazione informatica relative alla protezione dei dati, comprese quelle relative alla gestione delle richieste relative ai diritti degli interessati.
3.4. Formazione e sviluppo delle qualifiche del DPO
L'Istituto Europeo di Certificazione IT dovrebbe garantire che il DPO sia adeguatamente formato sulle normative sulla protezione dei dati e sia tenuto aggiornato su eventuali modifiche o aggiornamenti di tali normative.
3.5. Informazioni di contatto del DPO
Le informazioni di contatto del responsabile della protezione dei dati dovrebbero essere messe a disposizione degli interessati e incluse nell'informativa o politica sulla privacy dell'Istituto europeo di certificazione informatica.
Parte 4. Mantenimento di un registro aggiornato dei dati personali
L'Istituto Europeo di Certificazione IT conserva un registro aggiornato dei dati personali in suo possesso e delle finalità per le quali vengono elaborati. Ciò consentirà all'Istituto europeo di certificazione informatica di rispondere in modo rapido e accurato alle richieste relative ai diritti degli interessati.
4.1. Stabilire un processo per l'identificazione e la registrazione dei dati personali
L'Istituto europeo di certificazione informatica stabilisce un processo chiaro e standardizzato per l'identificazione e la registrazione dei dati personali, compreso il nome dell'interessato, le informazioni di contatto e qualsiasi altra informazione pertinente. Questo processo garantisce che i dati personali vengano raccolti solo per scopi specifici e legittimi.
4.2. Classificazione dei dati personali
L'Istituto europeo di certificazione IT classifica i dati personali per facilitarne il monitoraggio e la gestione. Ciò include la categorizzazione dei dati per tipo, come informazioni di contatto, informazioni di fatturazione, competenze e qualifiche, informazioni finanziarie o storia lavorativa.
4.3. Implementazione di un sistema di gestione dei dati
L'Istituto europeo di certificazione IT implementa un sistema di gestione dei dati per garantire che i dati personali siano accurati, aggiornati e accessibili. Il sistema di gestione dei dati include un database che può essere cercato e interrogato per aiutare a rispondere alle richieste sui diritti degli interessati.
4.4. Assegnazione della responsabilità per il mantenimento del registro dei dati personali
L'Istituto europeo di certificazione informatica dovrebbe assegnare la responsabilità del mantenimento del registro dei dati personali a individui o dipartimenti specifici. Ciò assicurerà che il record sia mantenuto aggiornato e accurato.
4.5. Rivedere e aggiornare regolarmente il registro dei dati personali
L'Istituto europeo di certificazione informatica dovrebbe rivedere e aggiornare regolarmente il registro dei dati personali per garantire che rimanga accurato e aggiornato. Questo può essere fatto attraverso audit periodici o attraverso un processo di monitoraggio continuo.
4.6. Attuare adeguate misure di sicurezza
L'Istituto europeo di certificazione IT implementa misure di sicurezza adeguate per proteggere i dati personali in suo possesso, comprese misure per impedire l'accesso non autorizzato, la perdita accidentale o la distruzione dei dati personali, come parte della politica di sicurezza delle informazioni (ISP) dell'organizzazione. Ciò include crittografia ia, firewall e controlli di accesso. Una specifica dettagliata dei processi e delle misure per la protezione dei dati è coperta dalla politica di sicurezza delle informazioni dell'istituto europeo di certificazione IT dedicato.
Parte 5. Fornire informazioni chiare e concise agli interessati
Quando raccoglie dati personali, l'Istituto europeo di certificazione informatica fornisce informazioni chiare e concise agli interessati sui loro diritti, compreso il diritto di accedere, rettificare, cancellare e opporsi al trattamento dei propri dati personali.
5.1. Trasparenza
L'Istituto europeo di certificazione informatica è trasparente nel trattamento dei dati personali e fornisce informazioni concise agli interessati su come i loro dati vengono utilizzati, elaborati e archiviati.
5.2. politica sulla riservatezza
L'Istituto europeo di certificazione IT dispone di una politica sulla privacy dettagliata che delinea le sue attività di trattamento dei dati, compreso il modo in cui gli interessati possono esercitare i propri diritti.
5.3. Diritto di accesso
Gli interessati hanno il diritto di richiedere l'accesso ai dati personali che l'Istituto europeo di certificazione informatica detiene su di loro. L'Istituto europeo di certificazione informatica fornisce informazioni chiare e concise agli interessati su come presentare una richiesta di accesso, quali informazioni saranno necessarie per verificare la loro identità e quanto tempo impiegherà l'Istituto europeo di certificazione informatica per rispondere alla richiesta.
5.4. Diritto di rettifica
Gli interessati hanno il diritto di chiedere all'Istituto europeo di certificazione informatica di rettificare eventuali dati personali inesatti o incompleti che detiene su di loro. L'Istituto europeo di certificazione informatica fornisce informazioni chiare e concise agli interessati su come presentare una richiesta di rettifica, quali informazioni saranno necessarie per verificare la loro identità e quanto tempo impiegherà l'Istituto europeo di certificazione informatica per rispondere alla richiesta.
5.5. Diritto di cancellare
Gli interessati hanno il diritto di richiedere che l'Istituto europeo di certificazione informatica cancelli i propri dati personali in determinate circostanze. L'Istituto europeo di certificazione informatica fornisce informazioni chiare e concise agli interessati su come presentare una richiesta di cancellazione, quali informazioni saranno necessarie per verificare la loro identità e quanto tempo impiegherà l'Istituto europeo di certificazione informatica per rispondere alla richiesta.
5.6. Diritto di opposizione
Gli interessati hanno il diritto di opporsi al trattamento dei loro dati personali in determinate circostanze. L'Istituto europeo di certificazione informatica fornisce informazioni chiare e concise agli interessati su come presentare una richiesta di opposizione, quali informazioni saranno necessarie per verificare la loro identità e quanto tempo impiegherà l'Istituto europeo di certificazione informatica per rispondere alla richiesta.
5.7. Informazioni di contatto
L'Istituto europeo di certificazione informatica fornisce informazioni di contatto chiare e concise che gli interessati possono utilizzare in caso di domande o dubbi sulle modalità di trattamento dei loro dati personali.
Parte 6. Stabilire un tempo di risposta standard
L'Istituto europeo di certificazione informatica ha stabilito un tempo di risposta standard per le richieste relative ai diritti degli interessati e garantisce che le richieste ricevano risposta entro questo lasso di tempo.
6.1. Tempo di risposta standard
L'Istituto Europeo di Certificazione IT stabilisce un tempo di risposta standard di 30 giorni per le richieste relative ai diritti degli interessati. Il tempo di risposta standard definisce un limite di tempo massimo per l'elaborazione e la risposta e la maggior parte delle richieste viene elaborata e soddisfatta entro un tempo più breve.
6.2. Richiedi l'orario di conferma della ricevuta
Al ricevimento di una richiesta relativa ai diritti dell'interessato, il DPO o altri membri del personale confermeranno la ricezione della richiesta entro 5 giorni lavorativi e forniranno all'interessato un termine stimato per fornire una risposta.
6.3. Eccezionali estensioni del tempo di risposta standard
L'Istituto europeo di certificazione informatica compirà sforzi ragionevoli per rispondere alle richieste relative ai diritti degli interessati entro il tempo di risposta standard stabilito. Tuttavia, se la richiesta è complessa o se l'Istituto europeo di certificazione informatica riceve un volume elevato di richieste, i tempi di risposta possono essere prolungati. In tali casi, il DPO informerà l'interessato della proroga e del motivo del ritardo.
6.4. Rifiuto di soddisfare una richiesta relativa ai diritti dell'interessato
Se l'Istituto europeo di certificazione informatica non è in grado di soddisfare una richiesta relativa ai diritti dell'interessato, fornirà all'interessato una spiegazione del rifiuto e lo informerà del suo diritto di presentare reclamo all'autorità di controllo competente.
6.5. Registrazioni delle richieste e delle risposte relative ai diritti degli interessati
L'Istituto europeo di certificazione informatica conserverà registri accurati delle richieste e delle risposte relative ai diritti degli interessati, compresa la data di ricezione della richiesta, la natura della richiesta e la data e le modalità della risposta.
6.6. Revisioni periodiche
Il DPO esaminerà periodicamente i tempi di risposta dell'Istituto europeo di certificazione IT e li aggiornerà se necessario per garantire la conformità alle normative applicabili in materia di protezione dei dati.
Parte 7. Verifica dell'identità dell'interessato
7.1. Obbligo di verifica dell'identità
L'Istituto europeo di certificazione informatica deve verificare l'identità dell'interessato che effettua la richiesta per garantire che i dati personali siano forniti solo all'interessato corretto.
7.2. Mezzi e metodi di verifica dell'identità
Quando un interessato presenta una richiesta per esercitare i propri diritti ai sensi delle leggi sulla protezione dei dati, l'Istituto europeo di certificazione informatica deve verificare l'identità dell'interessato utilizzando misure appropriate, come la richiesta di documenti di identificazione.
7.3. Verifica dell'identità di un delegato
Se l'interessato effettua la richiesta per conto di qualcun altro, l'Istituto europeo di certificazione informatica deve verificare l'identità sia dell'interessato che della persona per conto della quale viene effettuata la richiesta.
7.4. Dubbi sulla verifica dell'identità
Se l'Istituto europeo di certificazione informatica ha dubbi sull'identità dell'interessato o sulla validità della richiesta, può richiedere ulteriori informazioni o adottare altre misure appropriate per verificare l'identità dell'interessato.
7.5. Registri di verifica dell'identità
L'Istituto europeo di certificazione informatica dovrebbe tenere un registro del processo di verifica e delle misure adottate per verificare l'identità dell'interessato. Questo registro dovrebbe essere conservato per un periodo di tempo ragionevole e utilizzato per dimostrare la conformità alle leggi sulla protezione dei dati.
Parte 8. Rispondere tempestivamente alle richieste relative ai diritti degli interessati
8.1. Risposta immediata
L'Istituto Europeo di Certificazione IT risponde tempestivamente alle richieste relative ai diritti degli interessati e fornisce all'interessato le informazioni richieste.
8.2. Richiedi conferma di ricezione
L'Istituto europeo di certificazione informatica conferma la ricezione della richiesta dell'interessato il prima possibile, idealmente entro 5 giorni lavorativi.
8.3. Richiedi revisione
L'RPD designato dovrebbe esaminare la richiesta per assicurarsi che soddisfi i requisiti necessari e che siano state fornite tutte le informazioni necessarie.
8.4. Verifica dell'identità dell'interessato
L'Istituto Europeo di Certificazione IT verifica l'identità dell'interessato che effettua la richiesta per garantire che i dati personali siano forniti solo all'interessato corretto.
8.5. Ottenere ulteriori informazioni se necessario
Se la richiesta è poco chiara o insufficiente, l'Istituto europeo di certificazione informatica dovrebbe contattare l'interessato per ottenere ulteriori informazioni.
8.5. Recupero dei dati rilevanti
L'Istituto europeo di certificazione informatica recupera i dati personali pertinenti e li esamina per garantire che siano accurati e aggiornati.
8.6. Fornire le informazioni richieste
L'Istituto Europeo di Certificazione Informatica fornisce all'interessato le informazioni richieste, inclusa una copia dei propri dati personali in un formato elettronico di uso comune, salvo diversa richiesta.
8.7. Informare l'interessato dei propri diritti
L'Istituto Europeo di Certificazione Informatica informa l'interessato degli altri suoi diritti, come il diritto di rettificare o cancellare i propri dati personali, e fornisce loro le istruzioni necessarie.
8.8. Rispettare i tempi di risposta
L'Istituto Europeo di Certificazione IT risponde alle richieste dei diritti degli interessati entro il tempo di risposta stabilito, assicurando che siano intraprese le azioni necessarie per soddisfare la richiesta.
8.9. Documentare la risposta
L'Istituto europeo di certificazione IT documenta la risposta alla richiesta dei diritti dell'interessato, comprese eventuali azioni intraprese e il tempo di risposta, per garantire che possa essere verificata e monitorata ai fini della conformità.
8.10. Notifica all'interessato di eventuali modifiche
Se vengono apportate modifiche ai dati personali dell'interessato a seguito della loro richiesta, l'Istituto europeo di certificazione informatica notifica tali modifiche all'interessato.
Parte 9. Documentazione delle richieste relative ai diritti degli interessati
L'Istituto europeo di certificazione informatica conserva un registro delle richieste relative ai diritti degli interessati, compresa la data della richiesta, la natura della richiesta e la risposta alla richiesta. La documentazione delle richieste relative ai diritti degli interessati include i seguenti aspetti:
9.1. Tenuta di un registro
L'Istituto europeo di certificazione informatica tiene un registro che registra tutte le richieste di diritti degli interessati ricevute. Questo registro dovrebbe contenere i seguenti dettagli:
- Data della richiesta
- Nome e dati di contatto dell'interessato
- Descrizione della richiesta
- Azione intrapresa in risposta alla richiesta
- Eventuali ulteriori informazioni necessarie per elaborare la richiesta
9.2. Processo standardizzato per la documentazione
L'Istituto europeo di certificazione IT gestisce un processo standardizzato per documentare le richieste relative ai diritti degli interessati per garantire la coerenza e l'accuratezza delle informazioni acquisite.
9.3. Periodo di conservazione
L'Istituto Europeo di Certificazione IT conserva questi registri per un periodo di tempo ragionevole, come stabilito dalle leggi e dai regolamenti applicabili, non inferiore a 2 anni.
9.4. Mantenere la riservatezza
L'Istituto europeo di certificazione informatica garantisce che i registri delle richieste relative ai diritti degli interessati siano accessibili solo al personale autorizzato che ha necessità di accedere a tali informazioni nell'esercizio delle proprie funzioni. Implementa inoltre misure tecniche e organizzative per impedire l'accesso non autorizzato, la divulgazione, l'alterazione o la distruzione dei dati personali contenuti nei registri delle richieste dei diritti degli interessati.
9.5. Segnalazione
L'Istituto europeo di certificazione informatica genera periodicamente rapporti sulle richieste di diritti degli interessati ricevute, elaborate e in sospeso. Questi report sono condivisi con le parti interessate, tra cui l'alta dirigenza e il DPO.
9.6. analitica
L'Istituto europeo di certificazione IT conduce un'analisi delle tendenze sulle richieste relative ai diritti degli interessati per identificare i modelli e le cause profonde delle richieste. Queste informazioni vengono utilizzate per migliorare i processi e le procedure per gestire al meglio tali richieste.
Parte 10. Monitoraggio e revisione del processo
L'Istituto europeo di certificazione IT monitora e rivede regolarmente il proprio processo per la gestione delle richieste relative ai diritti degli interessati per garantire che rimanga efficace e conforme al GDPR.
10.1. Svolgimento di revisioni periodiche
L'Istituto europeo di certificazione IT effettua revisioni periodiche del processo di gestione delle richieste relative ai diritti degli interessati e della politica di conformità al GDPR per garantire che sia efficace e conforme alle normative sulla protezione dei dati. Tali revisioni comprendono un'analisi del numero e della tipologia delle richieste pervenute, della tempestività e dell'efficacia delle risposte e delle eventuali aree di miglioramento.
10.2. Implementazione di miglioramenti
Sulla base dei risultati delle revisioni, l'Istituto europeo di certificazione informatica implementa tutti i miglioramenti necessari al proprio processo di gestione delle richieste relative ai diritti degli interessati. Ciò può includere aggiornamenti delle procedure, formazione aggiuntiva per il personale o modifiche al modo in cui le richieste vengono verificate e soddisfatte.
10.3. Garantire la conformità continua
L'Istituto Europeo di Certificazione IT garantisce la continua conformità alle normative sulla protezione dei dati rivedendo e aggiornando regolarmente le sue politiche e procedure in linea con eventuali modifiche alle leggi e ai regolamenti pertinenti.
10.4. Monitoraggio delle prestazioni del personale
L'Istituto europeo di certificazione informatica monitora le prestazioni del personale in relazione alla gestione delle richieste relative ai diritti degli interessati, compresa la qualità e la tempestività delle risposte. Ciò può includere una formazione periodica e revisioni delle prestazioni per garantire che il personale sia informato e competente in questo settore.
10.5. Comunicare con gli interessati
L'Istituto europeo di certificazione informatica comunica con gli interessati durante tutto il processo di gestione delle richieste per garantire che siano tenuti informati sui progressi e su qualsiasi informazione pertinente. Ciò può includere la fornitura di aggiornamenti sullo stato della loro richiesta o la richiesta di ulteriori informazioni, se necessario.
10.6. Mantenimento dei record
L'Istituto europeo di certificazione IT conserva le registrazioni delle sue revisioni, comprese eventuali modifiche apportate al processo di gestione delle richieste relative ai diritti degli interessati, nonché qualsiasi feedback ricevuto dagli interessati. Queste informazioni possono essere utilizzate per supportare gli sforzi di conformità in corso e per identificare le aree per ulteriori miglioramenti.
Parte 11. Istituzione del registro delle attività di trattamento
L'Istituto Europeo di Certificazione IT mantiene il Registro delle attività di trattamento che è un documento che delinea il trattamento dei dati personali effettuato dall'organizzazione. È richiesto ai sensi del Regolamento generale sulla protezione dei dati (GDPR) dell'UE e ha lo scopo di supportare la comprensione delle attività di trattamento dei dati e dimostrare la conformità al GDPR.
11.1. Struttura ROPA
Il ROPA include informazioni di base sul nome e i dettagli di contatto dell'organizzazione, le finalità del trattamento dei dati, le categorie di dati personali trattati, i destinatari dei dati personali e i periodi di conservazione dei dati personali. Include anche informazioni su eventuali elaboratori di terze parti che elaborano dati personali per conto dell'organizzazione.
11.2. Aggiornamenti regolari ROPA
Il ROPA viene aggiornato regolarmente ed è un documento vivo che riflette i cambiamenti nelle attività di elaborazione dei dati dell'Istituto europeo di certificazione informatica a sostegno della costruzione della fiducia con gli interessati.
L'Istituto europeo di certificazione IT si impegna a mantenere gli standard più elevati per quanto riguarda la gestione delle richieste dei diritti degli interessati e la politica del regolamento generale sulla protezione dei dati, assicurandosi di rispettare tutte le leggi e i regolamenti applicabili relativi a questi problemi, nonché ai principali standard del settore e le migliori pratiche, incluso il sistema di gestione delle informazioni sulla privacy ISO 27701.