DSRRM i GDPR politika
Politika EITCA Akademije o upravljanju zahtjevima za prava subjekata podataka i Opća uredba o zaštiti podataka
Ovaj dokument precizira Politiku Evropskog instituta za IT sertifikaciju o upravljanju zahtevima za prava subjekata podataka, kao i implementaciju Opšte uredbe EU o zaštiti podataka, koja se redovno revidira i ažurira kako bi se obezbedila efikasnost i relevantnost. Posljednje ažuriranje EITCI-jeve politike upravljanja zahtjevima prava subjekata podataka i GDPR politike napravljeno je 10. januara 2023. Naše upravljanje zahtjevima za prava subjekta podataka i GDPR politika je zasnovana na principima proširenja ISO 27701 Sistema upravljanja informacijama o privatnosti na ISO 27001 Sigurnost informacija Standard sistema, kao i na zahtjeve Opće uredbe o zaštiti podataka (2016/679).
Dio 1. Uvod
Upravljanje zahtjevima za pravima nositelja podataka je bitan dio osiguravanja usklađenosti sa propisima o zaštiti podataka, odnosno GDPR-om (Opšta uredba o zaštiti podataka EU). Evropski institut za IT sertifikaciju definisao je sledeće formalne procedure za upravljanje zahtevima za prava nosilaca podataka i implementaciju zahteva GDPR-a:
1.1. Uspostavljanje procesa za obradu zahtjeva za pravima nositelja podataka
Ovaj proces ocrtava korake koje Evropski institut za IT sertifikaciju slijedi kada obrađuje zahtjeve za pravima nositelja podataka, uključujući identifikaciju i autentifikaciju subjekta podataka, verifikaciju zahtjeva subjekta podataka i odgovor na zahtjev.
1.2. Određivanje službenika za zaštitu podataka (DPO)
Evropski institut za IT sertifikaciju imenuje DPO koji je odgovoran za nadgledanje upravljanja zahtevima za prava subjekata podataka, uključujući pregled zahteva, odgovore na zahteve i obezbeđivanje usklađenosti sa propisima o zaštiti podataka.
1.3. Održavanje ažurne evidencije ličnih podataka
Evropski institut za IT sertifikaciju vodi ažurnu evidenciju ličnih podataka koje poseduje i svrhe u koje se obrađuju. Ovo će omogućiti Evropskom institutu za IT certifikaciju da brzo i precizno odgovori na zahtjeve za pravima nositelja podataka.
1.4. Pružanje jasnih i konciznih informacija subjektima podataka
Prilikom prikupljanja ličnih podataka, Evropski institut za IT sertifikaciju pruža jasne i koncizne informacije subjektima podataka o njihovim pravima, uključujući pravo na pristup, ispravku, brisanje i prigovor na obradu njihovih ličnih podataka.
1.5. Uspostavljanje standardnog vremena odgovora
Evropski institut za IT certifikaciju održava standardno vrijeme odgovora na zahtjeve za pravima nositelja podataka i osigurava da se na zahtjeve odgovori u tom vremenskom okviru.
1.6. Provjera identiteta subjekta podataka
Evropski institut za IT certifikaciju provjerava identitet subjekta podataka koji podnosi zahtjev kako bi osigurao da se lični podaci daju samo ispravnom pojedincu.
1.7. Promptno odgovaranje na zahtjeve za pravima nositelja podataka
Evropski institut za IT certifikaciju odmah odgovara na zahtjeve za pravima nositelja podataka i pruža subjektu podataka informacije koje su zatražili.
1.8. Dokumentovanje zahtjeva za pravima nositelja podataka
Evropski institut za IT sertifikaciju vodi evidenciju zahtjeva za pravima nositelja podataka, uključujući datum zahtjeva, prirodu zahtjeva i odgovor na zahtjev.
1.9. Praćenje i revizija procesa
Evropski institut za IT sertifikaciju redovno prati i revidira svoj proces za postupanje sa zahtevima za prava nosilaca podataka kako bi osigurao da ostane efikasan i u skladu sa relevantnim propisima o zaštiti podataka.
1.10. Uspostavljanje evidencije aktivnosti obrade
Evropski institut za IT sertifikaciju vodi Evidenciju aktivnosti obrade koja je dokument koji opisuje obradu ličnih podataka koju sprovodi organizacija. Neophodan je prema Općoj uredbi EU o zaštiti podataka (GDPR) i namijenjen je za podršku razumijevanju aktivnosti obrade podataka i demonstriranju usklađenosti sa GDPR-om.
Prateći ove formalne i procedure, Evropski institut za IT sertifikaciju može efikasno upravljati zahtevima za prava nosilaca podataka i obezbediti usklađenost sa propisima o zaštiti podataka, uključujući Opštu uredbu o zaštiti podataka u Evropskoj uniji.
Dio 2. Uspostavljanje procesa za postupanje sa zahtjevima za pravima nositelja podataka
Ovaj proces opisuje korake koje Evropski institut za IT sertifikaciju slijedi kada obrađuje zahtjeve za pravima nositelja podataka, uključujući identifikaciju i autentifikaciju subjekta podataka, provjeru zahtjeva subjekta podataka i odgovor na zahtjev:
2.1. Identifikacija i provjera autentičnosti subjekta podataka
Evropski institut za IT sertifikaciju održava proces za provjeru identiteta subjekta podataka koji podnosi zahtjev. To može uključivati traženje lične karte koju je izdao državni organ, provjeru postojećih zapisa ili korištenje drugih metoda provjere autentičnosti.
2.2. Provjera zahtjeva subjekta podataka
Kada se utvrdi identitet nosioca podataka, Evropski institut za IT sertifikaciju mora da potvrdi da je zahtev validan i da se odnosi na lične podatke nosioca podataka. Zahtjev bi također trebao uključivati konkretno pravo koje se koristi, kao što je pravo na pristup, ispravljanje ili brisanje ličnih podataka.
2.3. Odgovarajući na zahtjev
Evropski institut za IT certifikaciju mora dati odgovor na zahtjev subjekta podataka u roku određenom relevantnim zakonima o zaštiti podataka, ali ne duže od 30 dana. Odgovor treba da sadrži objašnjenje da li je zahtjev odobren ili odbijen, kao i razloge za odluku.
2.4. Dokumentovanje zahtjeva i odgovora
Evropski institut za IT certifikaciju vodi evidenciju o svim zahtjevima i odgovorima na prava nositelja podataka. Ovo pomaže da se osigura usklađenost sa relevantnim zakonima o zaštiti podataka, kao i olakšava buduće revizije ili istrage.
2.5. Obuka relevantnog osoblja
Evropski institut za IT sertifikaciju će obezbediti obuku osoblju odgovornom za rukovanje zahtevima za prava subjekata podataka kako bi se osiguralo da su upoznati sa relevantnim zakonima o zaštiti podataka i procedurama Evropskog instituta za IT sertifikaciju za obradu takvih zahteva.
2.6. Praćenje i revizija procesa
Evropski institut za IT sertifikaciju redovno prati i revidira proces postupanja sa zahtevima za prava nosilaca podataka kako bi osigurao da ostane efikasan i u skladu sa relevantnim zakonima o zaštiti podataka. Svi problemi ili incidenti se prijavljuju i rješavaju na vrijeme.
Dio 3. Određivanje službenika za zaštitu podataka (DPO)
Evropski institut za IT sertifikaciju imenuje DPO koji je odgovoran za nadgledanje upravljanja zahtevima za prava subjekata podataka, uključujući pregled zahteva, odgovore na zahteve i obezbeđivanje usklađenosti sa propisima o zaštiti podataka.
3.1. Određivanje DPO
Evropski institut za IT certifikaciju imenuje službenika za zaštitu podataka (DPO) koji će nadgledati upravljanje zahtjevima za pravima nositelja podataka i osigurati usklađenost sa propisima o zaštiti podataka. DPO će biti odgovoran za razmatranje zahtjeva i osiguravanje da Evropski institut za IT sertifikaciju ispunjava svoje zakonske obaveze u vezi sa zaštitom podataka.
3.2. Zahtjevi DPO-ovih kompetencija
DPO mora imati stručno znanje o zakonima i praksi o zaštiti podataka i imati potrebne resurse za ispunjavanje svojih odgovornosti. Trebalo bi da imaju direktan pristup višem rukovodstvu i podnose izvještaje najvišem upravljačkom nivou organizacije.
3.3. Odgovornosti DPO-a
Odgovornosti DPO-a uključuju, ali nisu ograničene na, sljedeće:
- Pružanje smjernica i savjeta Evropskom institutu za IT sertifikaciju o pitanjima zaštite podataka, uključujući upravljanje zahtjevima za pravima nositelja podataka.
- Praćenje usklađenosti Evropskog instituta za IT sertifikaciju sa propisima o zaštiti podataka i internim politikama i procedurama.
- Odgovaranje na upite i žalbe subjekata podataka u vezi sa njihovim pravima prema propisima o zaštiti podataka.
- Koordinacija s drugim odjelima kako bi se osiguralo da su zahtjevi za zaštitu podataka ispunjeni u cijeloj organizaciji.
- Sprovođenje periodičnih pregleda i procjena prakse zaštite podataka Evropskog instituta za IT sertifikaciju i davanje preporuka za poboljšanje.
- Služi kao tačka kontakta za organe za zaštitu podataka i sarađuje s njima u slučaju istrage ili revizije.
- DPO je takođe uključen u razvoj i implementaciju politika i procedura Evropskog instituta za IT sertifikaciju u vezi sa zaštitom podataka, uključujući i one koje se odnose na postupanje sa zahtevima za prava nosilaca podataka.
3.4. Obuka DPO-a i razvoj kvalifikacija
Evropski institut za IT sertifikaciju treba da obezbedi da DPO bude adekvatno obučen o propisima o zaštiti podataka i da bude u toku sa svim promenama ili ažuriranjima ovih propisa.
3.5. Kontakt informacije DPO-a
Kontakt informacije DPO-a trebale bi biti dostupne subjektima podataka i uključene u obavještenje o privatnosti ili politiku Evropskog instituta za IT sertifikaciju.
Dio 4. Održavanje ažurne evidencije ličnih podataka
Evropski institut za IT sertifikaciju vodi ažurnu evidenciju ličnih podataka koje poseduje i svrhe u koje se obrađuju. Ovo će omogućiti Evropskom institutu za IT certifikaciju da brzo i precizno odgovori na zahtjeve za pravima nositelja podataka.
4.1. Uspostavljanje procesa za identifikaciju i evidentiranje ličnih podataka
Evropski institut za IT sertifikaciju uspostavlja jasan i standardizovan proces za identifikaciju i evidentiranje ličnih podataka, uključujući ime subjekta podataka, kontakt informacije i sve druge relevantne informacije. Ovaj proces osigurava da se lični podaci prikupljaju samo u posebne i legitimne svrhe.
4.2. Kategorizacija ličnih podataka
Evropski institut za IT sertifikaciju kategorizuje lične podatke kako bi olakšao praćenje i upravljanje. Ovo uključuje kategorizaciju podataka prema vrsti, kao što su kontakt informacije, informacije o naplati, kompetencije i kvalifikacije, finansijske informacije ili istorija zaposlenja.
4.3. Implementacija sistema za upravljanje podacima
Evropski institut za IT sertifikaciju implementira sistem upravljanja podacima kako bi osigurao da su lični podaci tačni, ažurni i dostupni. Sistem za upravljanje podacima uključuje bazu podataka koja se može pretraživati i ispitivati kako bi se odgovorilo na zahtjeve za pravima nositelja podataka.
4.4. Dodjela odgovornosti za vođenje evidencije ličnih podataka
Evropski institut za IT sertifikaciju treba da dodeli odgovornost za održavanje evidencije ličnih podataka određenim pojedincima ili odeljenjima. Ovo će osigurati da se evidencija održava ažurnom i tačnom.
4.5. Redovno pregledavanje i ažuriranje evidencije ličnih podataka
Evropski institut za IT sertifikaciju treba redovno da revidira i ažurira evidenciju ličnih podataka kako bi osigurala da ona ostane tačna i ažurna. Ovo se može uraditi kroz periodične revizije ili kroz proces kontinuiranog praćenja.
4.6. Sprovesti odgovarajuće mere bezbednosti
Evropski institut za IT sertifikaciju sprovodi odgovarajuće bezbednosne mere za zaštitu ličnih podataka koje poseduje, uključujući mere za sprečavanje neovlašćenog pristupa, slučajnog gubitka ili uništavanja ličnih podataka, kao deo politike bezbednosti informacija (ISP) organizacije. Ovo uključuje ia enkripciju, firewall i kontrole pristupa. Detaljna specifikacija procesa i mera za zaštitu podataka pokrivena je Politikom bezbednosti informacija Evropskog instituta za IT sertifikaciju.
Dio 5. Pružanje jasnih i konciznih informacija subjektima podataka
Prilikom prikupljanja ličnih podataka, Evropski institut za IT sertifikaciju pruža jasne i koncizne informacije subjektima podataka o njihovim pravima, uključujući pravo na pristup, ispravku, brisanje i prigovor na obradu njihovih ličnih podataka.
5.1. Transparentnost
Evropski institut za IT sertifikaciju transparentan je u svojoj obradi ličnih podataka i pruža koncizne informacije subjektima podataka o tome kako se njihovi podaci koriste, obrađuju i čuvaju.
5.2. Politika privatnosti
Evropski institut za IT sertifikaciju ima detaljnu politiku privatnosti koja opisuje njegove aktivnosti obrade podataka, uključujući način na koji subjekti podataka mogu ostvariti svoja prava na koje se podaci odnose.
5.3. Pravo na pristup
Subjekti podataka imaju pravo zatražiti pristup ličnim podacima koje o njima posjeduje Evropski institut za IT sertifikaciju. Evropski institut za IT sertifikaciju pruža jasne i koncizne informacije subjektima podataka o tome kako da podnesu zahtev za pristup, koje informacije će biti potrebne da bi se potvrdio njihov identitet i koliko dugo će Evropskom institutu za IT sertifikaciju trebati da odgovori na zahtev.
5.4. Pravo na ispravku
Subjekti podataka imaju pravo zahtijevati da Evropski institut za IT sertifikaciju ispravi sve netačne ili nepotpune lične podatke koje o njima posjeduje. Evropski institut za IT sertifikaciju pruža jasne i koncizne informacije subjektima podataka o tome kako da podnesu zahtev za ispravku, koje informacije će biti potrebne da bi se potvrdio njihov identitet i koliko dugo će Evropskom institutu za IT sertifikaciju trebati da odgovori na zahtev.
5.5. Pravo na brisanje
Subjekti podataka imaju pravo zahtijevati da Evropski institut za IT sertifikaciju izbriše njihove lične podatke u određenim okolnostima. Evropski institut za IT sertifikaciju pruža jasne i koncizne informacije subjektima podataka o tome kako da podnesu zahtev za brisanje, koje informacije će biti potrebne da bi se potvrdio njihov identitet i koliko dugo će Evropskom institutu za IT sertifikaciju trebati da odgovori na zahtev.
5.6. Pravo na prigovor
Subjekti podataka imaju pravo prigovora na obradu njihovih ličnih podataka u određenim okolnostima. Evropski institut za IT sertifikaciju pruža jasne i koncizne informacije subjektima podataka o tome kako da podnesu zahtev za prigovor, koje informacije će biti potrebne da bi se potvrdio njihov identitet i koliko dugo će Evropskom institutu za IT sertifikaciju trebati da odgovori na zahtev.
5.7. Podaci za kontakt
Evropski institut za IT certifikaciju pruža jasne i koncizne kontakt informacije za subjekte podataka koje mogu koristiti ako imaju pitanja ili nedoumice o tome kako se njihovi lični podaci obrađuju.
Dio 6. Uspostavljanje standardnog vremena odgovora
Evropski institut za IT certifikaciju uspostavio je standardno vrijeme odgovora na zahtjeve za pravima nositelja podataka i osigurao da se na zahtjeve odgovori u tom vremenskom okviru.
6.1. Standardno vrijeme odgovora
Evropski institut za IT sertifikaciju uspostavlja standardno vreme odgovora od 30 dana za zahteve za prava nosioca podataka. Standardno vrijeme odgovora definira gornje vremensko ograničenje za obradu i odgovor, a većina zahtjeva se obrađuje i odgovara u kraćem vremenu.
6.2. Zatražite vrijeme potvrde prijema
Po prijemu zahtjeva za pravima nositelja podataka, DPO ili drugi članovi osoblja će potvrditi prijem zahtjeva u roku od 5 radnih dana i dati subjektu podataka procijenjeni vremenski okvir za davanje odgovora.
6.3. Izuzetna produženja standardnog vremena odgovora
Evropski institut za IT certifikaciju će uložiti razumne napore da odgovori na zahtjeve za pravima nositelja podataka unutar utvrđenog standardnog vremena za odgovor. Međutim, ako je zahtjev složen ili ako Evropski institut za IT sertifikaciju primi veliki broj zahtjeva, vrijeme odgovora se može produžiti. U takvim slučajevima, DPO će obavijestiti subjekta podataka o produženju i razlogu kašnjenja.
6.4. Odbijanje ispunjenja zahtjeva za pravima nositelja podataka
Ako Evropski institut za IT sertifikaciju nije u mogućnosti da ispuni zahtjev za pravima nositelja podataka, on će subjektu podataka dati objašnjenje za odbijanje i obavijestiti ga o svom pravu na žalbu relevantnom nadzornom tijelu.
6.5. Evidencija zahtjeva i odgovora o pravima nositelja podataka
Evropski institut za IT sertifikaciju će voditi tačnu evidenciju zahteva i odgovora na prava subjekata podataka, uključujući datum prijema zahteva, prirodu zahteva i datum i način odgovora.
6.6. Periodični pregledi
DPO će periodično pregledavati vremena odgovora Evropskog instituta za IT sertifikaciju i ažurirati ih po potrebi kako bi se osigurala usklađenost sa važećim propisima o zaštiti podataka.
Dio 7. Provjera identiteta subjekta podataka
7.1. Zahtjev za provjeru identiteta
Evropski institut za IT certifikaciju mora provjeriti identitet subjekta podataka koji podnosi zahtjev kako bi osigurao da se lični podaci daju samo ispravnom pojedincu.
7.2. Sredstva i metode provjere identiteta
Kada subjekt podataka podnese zahtjev za ostvarivanje svojih prava prema zakonima o zaštiti podataka, Evropski institut za IT sertifikaciju mora provjeriti identitet subjekta podataka koristeći odgovarajuće mjere, kao što je traženje identifikacionih dokumenata.
7.3. Provjera identiteta nosioca punomoćja
Ako subjekt podataka podnosi zahtjev u ime nekog drugog, Evropski institut za IT sertifikaciju mora provjeriti identitet i subjekta podataka i pojedinca u čije ime se zahtjev podnosi.
7.4. Sumnje u verifikaciji identiteta
Ako Evropski institut za IT certifikaciju sumnja u identitet subjekta podataka ili valjanost zahtjeva, može zatražiti dodatne informacije ili poduzeti druge odgovarajuće mjere za provjeru identiteta subjekta podataka.
7.5. Zapisnici o verifikaciji identiteta
Evropski institut za IT sertifikaciju treba da vodi evidenciju o procesu verifikacije i preduzetim merama za proveru identiteta subjekta podataka. Ovu evidenciju treba čuvati razuman vremenski period i koristiti za dokazivanje usklađenosti sa zakonima o zaštiti podataka.
Dio 8. Promptno odgovaranje na zahtjeve za pravima nositelja podataka
8.1. Brz odgovor
Evropski institut za IT certifikaciju odmah odgovara na zahtjeve za pravima nositelja podataka i pruža subjektu podataka informacije koje su zatražili.
8.2. Zahtjev za potvrdu prijema
Evropski institut za IT sertifikaciju potvrđuje prijem zahteva subjekta podataka što je pre moguće, idealno u roku od 5 radnih dana.
8.3. Zatražite pregled
Imenovani DPO treba da pregleda zahtjev kako bi se uvjerio da ispunjava potrebne zahtjeve i da su dostavljene sve potrebne informacije.
8.4. Provjera identiteta subjekta podataka
Evropski institut za IT certifikaciju provjerava identitet subjekta podataka koji podnosi zahtjev kako bi osigurao da se lični podaci daju samo ispravnom pojedincu.
8.5. Dobivanje dodatnih informacija ako je potrebno
Ako je zahtjev nejasan ili nedovoljan, Evropski institut za IT sertifikaciju treba da kontaktira subjekta podataka kako bi dobio dodatne informacije.
8.5. Preuzimanje relevantnih podataka
Evropski institut za IT sertifikaciju preuzima relevantne lične podatke i pregledava ih kako bi se uverio da su tačni i ažurni.
8.6. Pružanje traženih informacija
Evropski institut za IT sertifikaciju pruža subjektu podataka informacije koje su zatražili, uključujući kopiju njihovih ličnih podataka u uobičajeno korišćenom elektronskom formatu, osim ako se drugačije ne zahteva.
8.7. Obavijestite subjekta podataka o njihovim pravima
Evropski institut za IT certifikaciju obavještava subjekta podataka o njegovim drugim pravima, kao što je pravo na ispravku ili brisanje svojih ličnih podataka, i daje im potrebna uputstva.
8.8. Usklađenost sa vremenom odgovora
Evropski institut za IT sertifikaciju odgovara na zahtjeve za pravima nositelja podataka u utvrđenom roku za odgovor, osiguravajući da se poduzmu neophodne radnje kako bi se ispunio zahtjev.
8.9. Dokumentovanje odgovora
Evropski institut za IT sertifikaciju dokumentuje odgovor na zahtev za prava subjekta podataka, uključujući sve preduzete radnje i vreme odgovora, kako bi se osiguralo da se može revidirati i pratiti u svrhu usklađenosti.
8.10. Obavještavanje subjekta podataka o svim promjenama
Ako se učine bilo kakve promjene u ličnim podacima nositelja podataka kao rezultat njihovog zahtjeva, Evropski institut za IT sertifikaciju obavještava subjekta podataka o ovim promjenama.
Dio 9. Dokumentovanje zahtjeva za pravima nositelja podataka
Evropski institut za IT certifikaciju vodi evidenciju zahtjeva za pravima nositelja podataka, uključujući datum zahtjeva, prirodu zahtjeva i odgovor na zahtjev. Dokumentovanje zahtjeva za pravima nositelja podataka uključuje sljedeće aspekte:
9.1. Održavanje registra
Evropski institut za IT certifikaciju vodi registar koji obuhvata sve primljene zahtjeve za pravima nositelja podataka. Ovaj registar bi trebao obuhvatiti sljedeće detalje:
- Datum zahtjeva
- Ime i kontakt podaci subjekta podataka
- Opis zahtjeva
- Radnja poduzeta kao odgovor na zahtjev
- Sve dodatne informacije potrebne za obradu zahtjeva
9.2. Standardizirani proces za dokumentaciju
Evropski institut za IT sertifikaciju vodi standardizovani proces za dokumentovanje zahtjeva za pravima nositelja podataka kako bi osigurao dosljednost i tačnost u prikupljenim informacijama.
9.3. Period zadržavanja
Evropski institut za IT sertifikaciju čuva ovu evidenciju u razumnom vremenskom periodu, u skladu sa važećim zakonima i propisima, ne kraćim od 2 godine.
9.4. Održavanje povjerljivosti
Evropski institut za IT sertifikaciju obezbeđuje da evidencija zahteva o pravima nosilaca podataka bude dostupna samo ovlašćenom osoblju koje ima potrebu da pristupi takvim informacijama u obavljanju svojih dužnosti. Takođe sprovodi tehničke i organizacione mere za sprečavanje neovlašćenog pristupa, otkrivanja, izmene ili uništavanja ličnih podataka sadržanih u evidenciji zahteva o pravima nosilaca podataka.
9.5. Izvještavanje
Evropski institut za IT sertifikaciju periodično generiše izveštaje o primljenim, obrađenim i nerešenim zahtevima za prava nosilaca podataka. Ovi izvještaji se dijele sa relevantnim zainteresovanim stranama, uključujući više rukovodstvo i DPO.
9.6. Analitika
Evropski institut za IT sertifikaciju sprovodi analizu trendova u vezi sa zahtevima za pravima nosilaca podataka kako bi identifikovao obrasce i osnovne uzroke zahteva. Ove informacije se koriste za poboljšanje procesa i procedura za bolje upravljanje takvim zahtjevima.
Dio 10. Praćenje i revizija procesa
Evropski institut za IT sertifikaciju redovno prati i revidira svoj proces za postupanje sa zahtevima za prava nosilaca podataka kako bi osigurao da ostane efikasan i u skladu sa GDPR-om.
10.1. Provođenje periodičnih pregleda
Evropski institut za IT sertifikaciju sprovodi periodične preglede procesa obrade zahteva za prava nosilaca podataka i politike usklađenosti sa GDPR-om kako bi osigurao da je efikasan i usklađen sa propisima o zaštiti podataka. Ovi pregledi uključuju analizu broja i vrste primljenih zahtjeva, blagovremenost i djelotvornost odgovora, te sve oblasti za poboljšanje.
10.2. Implementacija poboljšanja
Na osnovu nalaza pregleda, Evropski institut za IT sertifikaciju sprovodi sva neophodna poboljšanja u procesu obrade zahteva za prava nosilaca podataka. Ovo može uključivati ažuriranja procedura, dodatnu obuku za osoblje ili promjene u načinu na koji se zahtjevi verificiraju i na njih se odgovara.
10.3. Osiguravanje stalne usklađenosti
Evropski institut za IT sertifikaciju obezbeđuje stalnu usklađenost sa propisima o zaštiti podataka redovnim pregledom i ažuriranjem svojih politika i procedura u skladu sa svim promenama relevantnih zakona i propisa.
10.4. Praćenje učinka osoblja
Evropski institut za IT sertifikaciju prati učinak osoblja u pogledu postupanja sa zahtevima za prava nosilaca podataka, uključujući kvalitet i blagovremenost odgovora. Ovo može uključivati periodičnu obuku i preglede učinka kako bi se osiguralo da je osoblje obrazovano i kompetentno u ovoj oblasti.
10.5. Komunikacija sa subjektima podataka
Evropski institut za IT sertifikaciju komunicira sa subjektima podataka tokom procesa obrade zahteva kako bi osigurao da budu informisani o napretku i svim relevantnim informacijama. To može uključivati pružanje ažuriranja o statusu njihovog zahtjeva ili traženje dodatnih informacija po potrebi.
10.6. Održavanje evidencije
Evropski institut za IT sertifikaciju vodi evidenciju o svojim pregledima, uključujući sve promene u procesu obrade zahteva za prava nosioca podataka, kao i sve povratne informacije dobijene od subjekata podataka. Ove informacije se mogu koristiti za podršku tekućim naporima za postizanje usklađenosti i za identifikaciju područja za daljnja poboljšanja.
Dio 11. Uspostavljanje evidencije aktivnosti obrade
Evropski institut za IT sertifikaciju vodi Evidenciju aktivnosti obrade koja je dokument koji opisuje obradu ličnih podataka koju sprovodi organizacija. Neophodan je prema Općoj uredbi EU o zaštiti podataka (GDPR) i namijenjen je za podršku razumijevanju aktivnosti obrade podataka i demonstriranju usklađenosti sa GDPR-om.
11.1. ROPA struktura
ROPA uključuje osnovne informacije o nazivu i kontakt podacima organizacije, svrsi obrade podataka, kategorijama ličnih podataka koji se obrađuju, primateljima ličnih podataka i rokovima čuvanja ličnih podataka. Takođe uključuje informacije o svim trećim stranama koje obrađuju lične podatke u ime organizacije.
11.2. ROPA redovna ažuriranja
ROPA se redovno ažurira i predstavlja živi dokument koji odražava promjene u aktivnostima obrade podataka Evropskog instituta za IT sertifikaciju koji podržava izgradnju povjerenja među subjektima podataka.
Evropski institut za IT certifikaciju posvećen je održavanju najviših standarda u pogledu upravljanja zahtjevima za prava subjekata podataka i Opće politike o zaštiti podataka, osiguravajući usklađenost sa svim primjenjivim zakonima i propisima koji se odnose na ova pitanja, kao i sa vodećim industrijskim standardima i najbolje prakse, uključujući ISO 27701 Sistem upravljanja informacijama o privatnosti.