Πολιτική DSRRM και GDPR
Πολιτική της Ακαδημίας EITCA σχετικά με τη Διαχείριση αιτημάτων για δικαιώματα υποκειμένου δεδομένων και τον γενικό κανονισμό προστασίας δεδομένων
Αυτό το έγγραφο προσδιορίζει την Πολιτική του Ευρωπαϊκού Ινστιτούτου Πιστοποίησης Πληροφορικής για τη Διαχείριση Αιτήσεων Δικαιωμάτων Υποκειμένων Δεδομένων, καθώς και την εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων της ΕΕ, ο οποίος αναθεωρείται και ενημερώνεται τακτικά για να διασφαλίζεται η αποτελεσματικότητα και η συνάφειά του. Η τελευταία ενημέρωση της Πολιτικής Διαχείρισης αιτημάτων για τα δικαιώματα υποκειμένων δεδομένων EITCI και της Πολιτικής GDPR πραγματοποιήθηκε στις 10 Ιανουαρίου 2023. Η Πολιτική διαχείρισης και GDPR για τα δικαιώματα υποκειμένων δεδομένων βασίζεται στις αρχές της επέκτασης του συστήματος διαχείρισης πληροφοριών απορρήτου ISO 27701 στο ISO 27001 Πρότυπο συστήματος, καθώς και για τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (2016/679).
Μέρος 1. Εισαγωγή
Η διαχείριση των αιτημάτων για τα δικαιώματα των υποκειμένων δεδομένων αποτελεί ουσιαστικό μέρος της διασφάλισης της συμμόρφωσης με τους κανονισμούς για την προστασία των δεδομένων, δηλαδή τον GDPR (Γενικός Κανονισμός Προστασίας Δεδομένων της ΕΕ). Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής καθόρισε τις ακόλουθες επίσημες διαδικασίες για τη διαχείριση των αιτημάτων για δικαιώματα υποκειμένου των δεδομένων και την εφαρμογή των απαιτήσεων του GDPR:
1.1. Καθιέρωση μιας διαδικασίας για τον χειρισμό αιτημάτων για δικαιώματα υποκειμένου των δεδομένων
Αυτή η διαδικασία περιγράφει τα βήματα που ακολουθεί το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής κατά τον χειρισμό αιτημάτων για δικαιώματα υποκειμένου των δεδομένων, συμπεριλαμβανομένης της ταυτοποίησης και της πιστοποίησης της ταυτότητας του υποκειμένου των δεδομένων, της επαλήθευσης του αιτήματος του υποκειμένου των δεδομένων και της απάντησης στο αίτημα.
1.2. Ορισμός Υπεύθυνου Προστασίας Δεδομένων (DPO)
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής ορίζει έναν ΥΠΔ που είναι υπεύθυνος για την επίβλεψη της διαχείρισης των αιτημάτων για τα δικαιώματα των υποκειμένων των δεδομένων, συμπεριλαμβανομένης της εξέτασης των αιτημάτων, της απάντησης σε αιτήματα και της διασφάλισης της συμμόρφωσης με τους κανονισμούς προστασίας δεδομένων.
1.3. Τήρηση ενημερωμένου αρχείου προσωπικών δεδομένων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής διατηρεί ενημερωμένο αρχείο με τα προσωπικά δεδομένα που διατηρεί και τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Αυτό θα επιτρέψει στο Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής να ανταποκρίνεται γρήγορα και με ακρίβεια στα αιτήματα για τα δικαιώματα του υποκειμένου των δεδομένων.
1.4. Παροχή σαφών και συνοπτικών πληροφοριών στα υποκείμενα των δεδομένων
Κατά τη συλλογή προσωπικών δεδομένων, το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής παρέχει σαφείς και συνοπτικές πληροφορίες στα υποκείμενα των δεδομένων σχετικά με τα δικαιώματά τους, συμπεριλαμβανομένου του δικαιώματος πρόσβασης, διόρθωσης, διαγραφής και αντίρρησης στην επεξεργασία των προσωπικών τους δεδομένων.
1.5. Καθορισμός τυπικού χρόνου απόκρισης
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής διατηρεί έναν τυπικό χρόνο απόκρισης για αιτήματα για δικαιώματα υποκειμένου των δεδομένων και διασφαλίζει ότι τα αιτήματα ανταποκρίνονται εντός αυτού του χρονικού πλαισίου.
1.6. Επαλήθευση της ταυτότητας του υποκειμένου των δεδομένων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής επαληθεύει την ταυτότητα του υποκειμένου των δεδομένων που υποβάλλει το αίτημα για να διασφαλίσει ότι τα προσωπικά δεδομένα παρέχονται μόνο στο σωστό άτομο.
1.7. Άμεση ανταπόκριση σε αιτήματα για δικαιώματα υποκειμένου των δεδομένων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής ανταποκρίνεται αμέσως στα αιτήματα για τα δικαιώματα του υποκειμένου των δεδομένων και παρέχει στο υποκείμενο των δεδομένων τις πληροφορίες που έχουν ζητήσει.
1.8. Τεκμηρίωση αιτημάτων για δικαιώματα υποκειμένου δεδομένων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής διατηρεί αρχείο με τα αιτήματα για τα δικαιώματα του υποκειμένου των δεδομένων, συμπεριλαμβανομένης της ημερομηνίας του αιτήματος, της φύσης του αιτήματος και της απάντησης στο αίτημα.
1.9. Παρακολούθηση και επανεξέταση της διαδικασίας
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής παρακολουθεί και επανεξετάζει τακτικά τη διαδικασία χειρισμού των αιτημάτων για δικαιώματα υποκειμένου των δεδομένων για να διασφαλίσει ότι παραμένει αποτελεσματικό και συμμορφούμενο με τους σχετικούς κανονισμούς προστασίας δεδομένων.
1.10. Δημιουργία αρχείου Δραστηριοτήτων Επεξεργασίας
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής διατηρεί το Αρχείο Δραστηριοτήτων Επεξεργασίας που είναι ένα έγγραφο που περιγράφει την επεξεργασία προσωπικών δεδομένων που πραγματοποιείται από τον οργανισμό. Απαιτείται σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων της ΕΕ (GDPR) και προορίζεται να υποστηρίξει την κατανόηση των δραστηριοτήτων επεξεργασίας δεδομένων και την απόδειξη της συμμόρφωσης με τον GDPR.
Ακολουθώντας αυτές τις τυπικές και διαδικασίες, το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής μπορεί να διαχειριστεί αποτελεσματικά τα αιτήματα για δικαιώματα υποκειμένων των δεδομένων και να διασφαλίσει τη συμμόρφωση με τους κανονισμούς προστασίας δεδομένων, συμπεριλαμβανομένου του Γενικού Κανονισμού για την Προστασία Δεδομένων στην Ευρωπαϊκή Ένωση.
Μέρος 2. Καθιέρωση μιας διαδικασίας για το χειρισμό των αιτημάτων για δικαιώματα υποκειμένου των δεδομένων
Αυτή η διαδικασία περιγράφει τα βήματα που ακολουθεί το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής κατά τον χειρισμό των αιτημάτων για δικαιώματα υποκειμένου των δεδομένων, συμπεριλαμβανομένης της ταυτοποίησης και της πιστοποίησης της ταυτότητας του υποκειμένου των δεδομένων, της επαλήθευσης του αιτήματος του υποκειμένου των δεδομένων και της απάντησης στο αίτημα:
2.1. Αναγνώριση και πιστοποίηση του υποκειμένου των δεδομένων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης ΤΠ διατηρεί μια διαδικασία για την επαλήθευση της ταυτότητας του υποκειμένου των δεδομένων που υποβάλλει το αίτημα. Αυτό μπορεί να περιλαμβάνει αίτημα για ταυτότητα που έχει εκδοθεί από την κυβέρνηση, έλεγχο με υπάρχοντα αρχεία ή χρήση άλλων μεθόδων ελέγχου ταυτότητας.
2.2. Επαλήθευση του αιτήματος του υποκειμένου των δεδομένων
Μόλις διαπιστωθεί η ταυτότητα του υποκειμένου των δεδομένων, το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης ΤΠ πρέπει να επαληθεύσει ότι το αίτημα είναι έγκυρο και σχετίζεται με τα προσωπικά δεδομένα του υποκειμένου των δεδομένων. Το αίτημα θα πρέπει επίσης να περιλαμβάνει το συγκεκριμένο δικαίωμα που ασκείται, όπως το δικαίωμα πρόσβασης, διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα.
2.3. Απάντηση στο αίτημα
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής πρέπει να απαντήσει στο αίτημα του υποκειμένου των δεδομένων εντός του χρονικού πλαισίου που καθορίζεται από τους σχετικούς νόμους περί προστασίας δεδομένων, αλλά όχι περισσότερο από 30 ημέρες. Η απάντηση θα πρέπει να περιλαμβάνει εξήγηση για το εάν το αίτημα έγινε δεκτό ή απορρίφθηκε, καθώς και τους λόγους της απόφασης.
2.4. Τεκμηρίωση του αιτήματος και της απάντησης
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης ΤΠ διατηρεί αρχείο με όλα τα αιτήματα και τις απαντήσεις για τα δικαιώματα του υποκειμένου των δεδομένων. Αυτό βοηθά στη διασφάλιση της συμμόρφωσης με τους σχετικούς νόμους περί προστασίας δεδομένων, καθώς και στη διευκόλυνση μελλοντικών ελέγχων ή ερευνών.
2.5. Εκπαίδευση σχετικού προσωπικού
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής θα παρέχει εκπαίδευση στο προσωπικό που είναι υπεύθυνο για το χειρισμό αιτημάτων για δικαιώματα υποκειμένων δεδομένων, προκειμένου να διασφαλίσει ότι είναι εξοικειωμένο με τους σχετικούς νόμους περί προστασίας δεδομένων και τις διαδικασίες του Ευρωπαϊκού Ινστιτούτου Πιστοποίησης Πληροφορικής για τον χειρισμό τέτοιων αιτημάτων.
2.6. Παρακολούθηση και επανεξέταση της διαδικασίας
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής παρακολουθεί και επανεξετάζει τη διαδικασία διεκπεραίωσης αιτημάτων για δικαιώματα υποκειμένου δεδομένων σε τακτική βάση, προκειμένου να διασφαλίσει ότι παραμένει αποτελεσματική και συμμορφωμένη με τους σχετικούς νόμους περί προστασίας δεδομένων. Οποιαδήποτε θέματα ή περιστατικά αναφέρονται και αντιμετωπίζονται έγκαιρα.
Μέρος 3. Ορισμός Υπεύθυνου Προστασίας Δεδομένων (DPO)
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής ορίζει έναν ΥΠΔ που είναι υπεύθυνος για την επίβλεψη της διαχείρισης των αιτημάτων για τα δικαιώματα των υποκειμένων των δεδομένων, συμπεριλαμβανομένης της εξέτασης των αιτημάτων, της απάντησης σε αιτήματα και της διασφάλισης της συμμόρφωσης με τους κανονισμούς προστασίας δεδομένων.
3.1. Ορισμός του ΥΠΔ
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής ορίζει έναν Υπεύθυνο Προστασίας Δεδομένων (DPO) για να επιβλέπει τη διαχείριση των αιτημάτων για τα δικαιώματα των υποκειμένων των δεδομένων και να διασφαλίζει τη συμμόρφωση με τους κανονισμούς προστασίας δεδομένων. Ο ΥΠΔ θα είναι υπεύθυνος για την εξέταση των αιτημάτων και τη διασφάλιση ότι το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης ΤΠ πληροί τις νομικές του υποχρεώσεις σε σχέση με την προστασία δεδομένων.
3.2. Απαιτήσεις αρμοδιοτήτων του DPO
Ο ΥΠΔ πρέπει να έχει εξειδικευμένες γνώσεις σχετικά με τους νόμους και τις πρακτικές προστασίας δεδομένων και να διαθέτει τους απαραίτητους πόρους για να εκπληρώσει τις ευθύνες του. Θα πρέπει να έχουν άμεση πρόσβαση στα ανώτερα στελέχη και να αναφέρονται στο ανώτατο διοικητικό επίπεδο του οργανισμού.
3.3. Οι ευθύνες του DPO
Οι αρμοδιότητες του ΥΠΔ περιλαμβάνουν, αλλά δεν περιορίζονται σε, τα ακόλουθα:
- Παροχή καθοδήγησης και συμβουλών στο Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής σε θέματα προστασίας δεδομένων, συμπεριλαμβανομένης της διαχείρισης αιτημάτων για δικαιώματα στο υποκείμενο των δεδομένων.
- Παρακολούθηση της συμμόρφωσης του Ευρωπαϊκού Ινστιτούτου Πιστοποίησης Πληροφορικής με τους κανονισμούς προστασίας δεδομένων και τις εσωτερικές πολιτικές και διαδικασίες.
- Απάντηση σε ερωτήματα και καταγγελίες από τα υποκείμενα των δεδομένων σχετικά με τα δικαιώματά τους βάσει των κανονισμών προστασίας δεδομένων.
- Συντονισμός με άλλα τμήματα για να διασφαλιστεί ότι οι απαιτήσεις προστασίας δεδομένων πληρούνται σε ολόκληρο τον οργανισμό.
- Διενέργεια περιοδικών ανασκοπήσεων και αξιολογήσεων των πρακτικών προστασίας δεδομένων του Ευρωπαϊκού Ινστιτούτου Πιστοποίησης Πληροφορικής και παροχή συστάσεων για βελτίωση.
- Λειτουργία ως σημείο επαφής για τις αρχές προστασίας δεδομένων και συνεργασία μαζί τους σε περίπτωση έρευνας ή ελέγχου.
- Ο ΥΠΔ εμπλέκεται επίσης στην ανάπτυξη και εφαρμογή των πολιτικών και διαδικασιών του Ευρωπαϊκού Ινστιτούτου Πιστοποίησης Πληροφορικής που σχετίζονται με την προστασία δεδομένων, συμπεριλαμβανομένων εκείνων που σχετίζονται με τον χειρισμό αιτημάτων για δικαιώματα υποκειμένων δεδομένων.
3.4. Εκπαίδευση και ανάπτυξη προσόντων του DPO
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής θα πρέπει να διασφαλίσει ότι ο ΥΠΔ είναι επαρκώς εκπαιδευμένος σχετικά με τους κανονισμούς προστασίας δεδομένων και ότι διατηρείται ενημερωμένος για τυχόν αλλαγές ή ενημερώσεις αυτών των κανονισμών.
3.5. Στοιχεία επικοινωνίας του DPO
Τα στοιχεία επικοινωνίας του ΥΠΔ θα πρέπει να διατίθενται στα υποκείμενα των δεδομένων και να περιλαμβάνονται στη σημείωση ή πολιτική απορρήτου του Ευρωπαϊκού Ινστιτούτου Πιστοποίησης ΤΠ.
Μέρος 4. Διατήρηση ενημερωμένου αρχείου προσωπικών δεδομένων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής διατηρεί ενημερωμένο αρχείο με τα προσωπικά δεδομένα που διατηρεί και τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Αυτό θα επιτρέψει στο Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής να ανταποκρίνεται γρήγορα και με ακρίβεια στα αιτήματα για τα δικαιώματα του υποκειμένου των δεδομένων.
4.1. Καθιέρωση διαδικασίας αναγνώρισης και καταγραφής προσωπικών δεδομένων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής καθιερώνει μια σαφή και τυποποιημένη διαδικασία αναγνώρισης και καταγραφής προσωπικών δεδομένων, συμπεριλαμβανομένων του ονόματος του υποκειμένου των δεδομένων, των στοιχείων επικοινωνίας και κάθε άλλης σχετικής πληροφορίας. Αυτή η διαδικασία διασφαλίζει ότι τα προσωπικά δεδομένα συλλέγονται μόνο για συγκεκριμένους και νόμιμους σκοπούς.
4.2. Κατηγοριοποίηση προσωπικών δεδομένων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής κατηγοριοποιεί τα προσωπικά δεδομένα για να διευκολύνει την παρακολούθηση και τη διαχείρισή τους. Αυτό περιλαμβάνει την κατηγοριοποίηση δεδομένων ανά τύπο, όπως στοιχεία επικοινωνίας, στοιχεία χρέωσης, ικανότητες και προσόντα, οικονομικές πληροφορίες ή ιστορικό απασχόλησης.
4.3. Εφαρμογή συστήματος διαχείρισης δεδομένων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής εφαρμόζει ένα σύστημα διαχείρισης δεδομένων για να διασφαλίσει ότι τα προσωπικά δεδομένα είναι ακριβή, ενημερωμένα και προσβάσιμα. Το σύστημα διαχείρισης δεδομένων περιλαμβάνει μια βάση δεδομένων που μπορεί να αναζητηθεί και να ερωτηθεί για να βοηθήσει στην ανταπόκριση σε αιτήματα για δικαιώματα υποκειμένου των δεδομένων.
4.4. Ανάθεση ευθύνης για την τήρηση αρχείου προσωπικών δεδομένων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής θα πρέπει να αναθέτει την ευθύνη για τη διατήρηση του αρχείου προσωπικών δεδομένων σε συγκεκριμένα άτομα ή τμήματα. Αυτό θα διασφαλίσει ότι το αρχείο διατηρείται ενημερωμένο και ακριβές.
4.5. Τακτική επανεξέταση και ενημέρωση του αρχείου προσωπικών δεδομένων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής θα πρέπει να εξετάζει και να ενημερώνει τακτικά το αρχείο των προσωπικών δεδομένων για να διασφαλίζει ότι παραμένει ακριβές και ενημερωμένο. Αυτό μπορεί να γίνει μέσω περιοδικών ελέγχων ή μέσω μιας διαδικασίας συνεχούς παρακολούθησης.
4.6. Εφαρμόστε τα κατάλληλα μέτρα ασφαλείας
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής εφαρμόζει κατάλληλα μέτρα ασφαλείας για την προστασία των προσωπικών δεδομένων που κατέχει, συμπεριλαμβανομένων μέτρων για την αποτροπή μη εξουσιοδοτημένης πρόσβασης, τυχαίας απώλειας ή καταστροφής προσωπικών δεδομένων, ως μέρος της Πολιτικής Ασφάλειας Πληροφοριών (ISP) του οργανισμού. Αυτό περιλαμβάνει κρυπτογράφηση, τείχη προστασίας και ελέγχους πρόσβασης. Μια λεπτομερής προδιαγραφή των διαδικασιών και των μέτρων για την προστασία των δεδομένων καλύπτονται από την Πολιτική Ασφάλειας Πληροφοριών του ειδικού Ευρωπαϊκού Ινστιτούτου Πιστοποίησης Πληροφορικής.
Μέρος 5. Παροχή σαφών και συνοπτικών πληροφοριών στα υποκείμενα των δεδομένων
Κατά τη συλλογή προσωπικών δεδομένων, το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής παρέχει σαφείς και συνοπτικές πληροφορίες στα υποκείμενα των δεδομένων σχετικά με τα δικαιώματά τους, συμπεριλαμβανομένου του δικαιώματος πρόσβασης, διόρθωσης, διαγραφής και αντίρρησης στην επεξεργασία των προσωπικών τους δεδομένων.
5.1. Διαφάνεια
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής είναι διαφανές στην επεξεργασία προσωπικών δεδομένων και παρέχει συνοπτικές πληροφορίες στα υποκείμενα των δεδομένων σχετικά με τον τρόπο χρήσης, επεξεργασίας και αποθήκευσης των δεδομένων τους.
5.2. Πολιτική Προστασίας Προσωπικών Δεδομένων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής έχει μια λεπτομερή πολιτική απορρήτου που περιγράφει τις δραστηριότητές του σχετικά με την επεξεργασία δεδομένων, συμπεριλαμβανομένου του τρόπου με τον οποίο τα υποκείμενα των δεδομένων μπορούν να ασκήσουν τα δικαιώματά τους στα υποκείμενα των δεδομένων.
5.3. Δικαίωμα πρόσβασης
Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να ζητήσουν πρόσβαση στα προσωπικά δεδομένα που διαθέτει το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής για αυτά. Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής παρέχει σαφείς και συνοπτικές πληροφορίες στα υποκείμενα των δεδομένων σχετικά με τον τρόπο υποβολής αιτήματος πρόσβασης, ποιες πληροφορίες θα απαιτηθούν για την επαλήθευση της ταυτότητάς τους και πόσο χρόνο θα χρειαστεί το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης ΤΠ για να ανταποκριθεί στο αίτημα.
5.4. Δικαίωμα διόρθωσης
Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να ζητήσουν από το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής να διορθώσει τυχόν ανακριβή ή ελλιπή προσωπικά δεδομένα που έχει για αυτά. Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής παρέχει σαφείς και συνοπτικές πληροφορίες στα υποκείμενα των δεδομένων σχετικά με τον τρόπο υποβολής αιτήματος διόρθωσης, ποιες πληροφορίες θα απαιτηθούν για την επαλήθευση της ταυτότητάς τους και πόσο χρόνο θα χρειαστεί το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης ΤΠ για να ανταποκριθεί στο αίτημα.
5.5. Δικαίωμα διαγραφής
Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να ζητήσουν από το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης ΤΠ να διαγράψει τα προσωπικά τους δεδομένα σε ορισμένες περιπτώσεις. Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής παρέχει σαφείς και συνοπτικές πληροφορίες στα υποκείμενα των δεδομένων σχετικά με τον τρόπο υποβολής αιτήματος διαγραφής, ποιες πληροφορίες θα απαιτηθούν για την επαλήθευση της ταυτότητάς τους και πόσο χρόνο θα χρειαστεί το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης ΤΠ για να ανταποκριθεί στο αίτημα.
5.6. Δικαίωμα αντίρρησης
Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να αντιταχθούν στην επεξεργασία των προσωπικών τους δεδομένων σε ορισμένες περιπτώσεις. Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής παρέχει σαφείς και συνοπτικές πληροφορίες στα υποκείμενα των δεδομένων σχετικά με τον τρόπο υποβολής αιτήματος αντίρρησης, ποιες πληροφορίες θα απαιτηθούν για την επαλήθευση της ταυτότητάς τους και πόσο χρόνο θα χρειαστεί το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης ΤΠ για να ανταποκριθεί στο αίτημα.
5.7. Στοιχεία Επικοινωνίας
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής παρέχει σαφείς και συνοπτικές πληροφορίες επικοινωνίας στα υποκείμενα των δεδομένων που μπορούν να χρησιμοποιήσουν εάν έχουν ερωτήσεις ή ανησυχίες σχετικά με τον τρόπο επεξεργασίας των προσωπικών τους δεδομένων.
Μέρος 6. Καθορισμός ενός τυπικού χρόνου απόκρισης
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής καθιέρωσε έναν τυπικό χρόνο απόκρισης για τα αιτήματα για δικαιώματα υποκειμένων των δεδομένων και διασφαλίζει ότι τα αιτήματα ανταποκρίνονται εντός αυτού του χρονικού πλαισίου.
6.1. Τυπικός χρόνος απόκρισης
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής καθιερώνει έναν τυπικό χρόνο απόκρισης 30 ημερών για αιτήματα για δικαιώματα υποκειμένων δεδομένων. Ο τυπικός χρόνος απόκρισης ορίζει ένα ανώτατο χρονικό όριο για την επεξεργασία και την απόκριση και η πλειονότητα των αιτημάτων υποβάλλονται σε επεξεργασία και ανταποκρίνονται σε συντομότερο χρονικό διάστημα.
6.2. Χρόνος επιβεβαίωσης της απόδειξης αιτήματος
Μετά τη λήψη ενός αιτήματος για τα δικαιώματα του υποκειμένου των δεδομένων, ο ΥΠΔ ή άλλα μέλη του προσωπικού θα επιβεβαιώσουν τη λήψη του αιτήματος εντός 5 εργάσιμων ημερών και θα παράσχουν στο υποκείμενο των δεδομένων ένα εκτιμώμενο χρονοδιάγραμμα για την παροχή απάντησης.
6.3. Εξαιρετικές παρατάσεις του τυπικού χρόνου απόκρισης
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής θα καταβάλει εύλογες προσπάθειες για να ανταποκριθεί στα αιτήματα για τα δικαιώματα του υποκειμένου των δεδομένων εντός του καθορισμένου τυπικού χρόνου απόκρισης. Ωστόσο, εάν το αίτημα είναι περίπλοκο ή εάν το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής λάβει μεγάλο όγκο αιτημάτων, ο χρόνος απόκρισης μπορεί να παραταθεί. Σε τέτοιες περιπτώσεις, ο ΥΠΔ θα ενημερώσει το υποκείμενο των δεδομένων για την παράταση και τον λόγο της καθυστέρησης.
6.4. Άρνηση εκπλήρωσης αιτήματος δικαιωμάτων υποκειμένου δεδομένων
Εάν το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης ΤΠ δεν είναι σε θέση να εκπληρώσει ένα αίτημα για δικαιώματα στο υποκείμενο των δεδομένων, θα παράσχει στο υποκείμενο των δεδομένων εξήγηση για την άρνηση και θα το ενημερώσει για το δικαίωμά του να υποβάλει καταγγελία στην αρμόδια εποπτική αρχή.
6.5. Αρχεία αιτημάτων και απαντήσεων για τα δικαιώματα του υποκειμένου των δεδομένων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής θα διατηρεί ακριβή αρχεία των αιτημάτων και των απαντήσεων για τα δικαιώματα του υποκειμένου των δεδομένων, συμπεριλαμβανομένης της ημερομηνίας παραλαβής του αιτήματος, της φύσης του αιτήματος και της ημερομηνίας και του τρόπου απάντησης.
6.6. Περιοδικές κριτικές
Ο ΥΠΔ θα επανεξετάζει περιοδικά τους χρόνους απόκρισης του Ευρωπαϊκού Ινστιτούτου Πιστοποίησης Πληροφορικής και θα τους ενημερώνει όπως απαιτείται για να διασφαλίσει τη συμμόρφωση με τους ισχύοντες κανονισμούς προστασίας δεδομένων.
Μέρος 7. Επαλήθευση της ταυτότητας του υποκειμένου των δεδομένων
7.1. Απαίτηση επαλήθευσης ταυτότητας
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής πρέπει να επαληθεύσει την ταυτότητα του υποκειμένου των δεδομένων που υποβάλλει το αίτημα για να διασφαλίσει ότι τα προσωπικά δεδομένα παρέχονται μόνο στο σωστό άτομο.
7.2. Μέσα και μέθοδοι επαλήθευσης ταυτότητας
Όταν ένα υποκείμενο των δεδομένων υποβάλλει αίτημα να ασκήσει τα δικαιώματά του βάσει της νομοθεσίας περί προστασίας δεδομένων, το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης ΤΠ πρέπει να επαληθεύει την ταυτότητα του υποκειμένου των δεδομένων χρησιμοποιώντας κατάλληλα μέτρα, όπως να ζητά έγγραφα ταυτοποίησης.
7.3. Επαλήθευση ταυτότητας κατόχου πληρεξουσίου
Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα για λογαριασμό κάποιου άλλου, το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης ΤΠ πρέπει να επαληθεύσει την ταυτότητα τόσο του υποκειμένου των δεδομένων όσο και του ατόμου για λογαριασμό του οποίου υποβάλλεται το αίτημα.
7.4. Αμφιβολίες επαλήθευσης ταυτότητας
Εάν το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης ΤΠ έχει αμφιβολίες σχετικά με την ταυτότητα του υποκειμένου των δεδομένων ή την εγκυρότητα του αιτήματος, μπορεί να ζητήσει πρόσθετες πληροφορίες ή να λάβει άλλα κατάλληλα μέτρα για την επαλήθευση της ταυτότητας του υποκειμένου των δεδομένων.
7.5. Αρχεία επαλήθευσης ταυτότητας
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης ΤΠ θα πρέπει να τηρεί αρχείο της διαδικασίας επαλήθευσης και των μέτρων που λαμβάνονται για την επαλήθευση της ταυτότητας του υποκειμένου των δεδομένων. Αυτό το αρχείο θα πρέπει να διατηρείται για εύλογο χρονικό διάστημα και να χρησιμοποιείται για να αποδεικνύεται η συμμόρφωση με τους νόμους περί προστασίας δεδομένων.
Μέρος 8. Άμεση ανταπόκριση σε αιτήματα για δικαιώματα υποκειμένου των δεδομένων
8.1. Αμεση ανταπόκριση
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής ανταποκρίνεται αμέσως στα αιτήματα για τα δικαιώματα του υποκειμένου των δεδομένων και παρέχει στο υποκείμενο των δεδομένων τις πληροφορίες που έχει ζητήσει.
8.2. Αίτημα επιβεβαίωσης παραλαβής
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής αναγνωρίζει τη λήψη του αιτήματος του υποκειμένου των δεδομένων το συντομότερο δυνατό, ιδανικά εντός 5 εργάσιμων ημερών.
8.3. Ζητήστε έλεγχο
Ο καθορισμένος ΥΠΔ θα πρέπει να εξετάσει το αίτημα για να διασφαλίσει ότι πληροί τις απαραίτητες απαιτήσεις και ότι έχουν παρασχεθεί όλες οι απαραίτητες πληροφορίες.
8.4. Επαλήθευση της ταυτότητας του υποκειμένου των δεδομένων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής επαληθεύει την ταυτότητα του υποκειμένου των δεδομένων που υποβάλλει το αίτημα για να διασφαλίσει ότι τα προσωπικά δεδομένα παρέχονται μόνο στο σωστό άτομο.
8.5. Λήψη πρόσθετων πληροφοριών εάν απαιτείται
Εάν το αίτημα είναι ασαφές ή ανεπαρκές, το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης ΤΠ θα πρέπει να επικοινωνήσει με το υποκείμενο των δεδομένων για να λάβει πρόσθετες πληροφορίες.
8.5. Ανάκτηση των σχετικών δεδομένων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής ανακτά τα σχετικά προσωπικά δεδομένα και τα ελέγχει για να διασφαλίσει ότι είναι ακριβή και ενημερωμένα.
8.6. Παροχή των ζητούμενων πληροφοριών
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής παρέχει στο υποκείμενο των δεδομένων τις πληροφορίες που έχει ζητήσει, συμπεριλαμβανομένου αντιγράφου των προσωπικών του δεδομένων σε ηλεκτρονική μορφή που χρησιμοποιείται συνήθως, εκτός εάν ζητηθεί διαφορετικά.
8.7. Ενημερώστε το υποκείμενο των δεδομένων για τα δικαιώματά του
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής ενημερώνει το υποκείμενο των δεδομένων για τα άλλα δικαιώματά του, όπως το δικαίωμα διόρθωσης ή διαγραφής των προσωπικών του δεδομένων, και του παρέχει τις απαραίτητες οδηγίες.
8.8. Συμμόρφωση με τον χρόνο απόκρισης
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής ανταποκρίνεται σε αιτήματα για δικαιώματα υποκειμένου δεδομένων εντός του καθορισμένου χρόνου απόκρισης, διασφαλίζοντας ότι λαμβάνονται τα απαραίτητα μέτρα για τη συμμόρφωση με το αίτημα.
8.9. Τεκμηρίωση της απάντησης
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής τεκμηριώνει την απάντηση στο αίτημα δικαιωμάτων του υποκειμένου των δεδομένων, συμπεριλαμβανομένων τυχόν ενεργειών και του χρόνου απόκρισης, προκειμένου να διασφαλιστεί ότι μπορεί να ελεγχθεί και να παρακολουθηθεί για σκοπούς συμμόρφωσης.
8.10. Ειδοποίηση του υποκειμένου των δεδομένων για τυχόν αλλαγές
Εάν πραγματοποιηθούν αλλαγές στα προσωπικά δεδομένα του υποκειμένου των δεδομένων ως αποτέλεσμα του αιτήματός του, το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής ειδοποιεί το υποκείμενο των δεδομένων για αυτές τις αλλαγές.
Μέρος 9. Τεκμηρίωση αιτημάτων για δικαιώματα υποκειμένου των δεδομένων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής διατηρεί αρχείο με τα αιτήματα για τα δικαιώματα του υποκειμένου των δεδομένων, συμπεριλαμβανομένης της ημερομηνίας του αιτήματος, της φύσης του αιτήματος και της απάντησης στο αίτημα. Η τεκμηρίωση των αιτημάτων για δικαιώματα υποκειμένου δεδομένων περιλαμβάνει τις ακόλουθες πτυχές:
9.1. Τήρηση μητρώου
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής διατηρεί ένα μητρώο που καταγράφει όλα τα αιτήματα για δικαιώματα υποκειμένου των δεδομένων που λαμβάνονται. Αυτό το μητρώο θα πρέπει να περιλαμβάνει τις ακόλουθες λεπτομέρειες:
- Ημερομηνία της αίτησης
- Όνομα και στοιχεία επικοινωνίας του υποκειμένου των δεδομένων
- Περιγραφή του αιτήματος
- Ενέργειες που ελήφθησαν ως απάντηση στο αίτημα
- Οποιεσδήποτε πρόσθετες πληροφορίες απαιτούνται για την επεξεργασία του αιτήματος
9.2. Τυποποιημένη διαδικασία τεκμηρίωσης
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής εκτελεί μια τυποποιημένη διαδικασία για την τεκμηρίωση των αιτημάτων για δικαιώματα υποκειμένου των δεδομένων, προκειμένου να διασφαλίσει τη συνέπεια και την ακρίβεια των πληροφοριών που συλλέγονται.
9.3. Περίοδος διατήρησης
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής διατηρεί αυτά τα αρχεία για εύλογο χρονικό διάστημα, όπως καθορίζεται από τους ισχύοντες νόμους και κανονισμούς, όχι μικρότερο από 2 χρόνια.
9.4. Τήρηση εμπιστευτικότητας
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης ΤΠ διασφαλίζει ότι τα αρχεία των αιτημάτων για δικαιώματα υποκειμένου δεδομένων είναι προσβάσιμα μόνο σε εξουσιοδοτημένο προσωπικό που χρειάζεται να έχει πρόσβαση σε αυτές τις πληροφορίες κατά την εκτέλεση των καθηκόντων του. Εφαρμόζει επίσης τεχνικά και οργανωτικά μέτρα για την αποτροπή μη εξουσιοδοτημένης πρόσβασης, αποκάλυψης, τροποποίησης ή καταστροφής προσωπικών δεδομένων που περιέχονται στα αρχεία των αιτημάτων για δικαιώματα στο υποκείμενο των δεδομένων.
9.5. Αναφορά
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής δημιουργεί περιοδικά αναφορές σχετικά με αιτήματα για δικαιώματα υποκειμένων των δεδομένων που λαμβάνονται, υποβάλλονται σε επεξεργασία και εκκρεμούν. Αυτές οι εκθέσεις κοινοποιούνται στα σχετικά ενδιαφερόμενα μέρη, συμπεριλαμβανομένων των ανώτερων στελεχών και του ΥΠΔ.
9.6 Analytics
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής διεξάγει ανάλυση τάσεων σχετικά με αιτήματα για δικαιώματα υποκειμένων δεδομένων για να εντοπίσει πρότυπα και βασικές αιτίες αιτημάτων. Αυτές οι πληροφορίες χρησιμοποιούνται για τη βελτίωση των διαδικασιών και των διαδικασιών για την καλύτερη διαχείριση τέτοιων αιτημάτων.
Μέρος 10. Παρακολούθηση και επανεξέταση της διαδικασίας
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής παρακολουθεί και επανεξετάζει τακτικά τη διαδικασία διαχείρισης των αιτημάτων για δικαιώματα υποκειμένου των δεδομένων για να διασφαλίσει ότι παραμένει αποτελεσματική και συμμορφούμενη με τον GDPR.
10.1. Διεξαγωγή περιοδικών ανασκοπήσεων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής διενεργεί περιοδικές αναθεωρήσεις της διαδικασίας διαχείρισης αιτημάτων για δικαιώματα υποκειμένων δεδομένων και της πολιτικής συμμόρφωσης με τον GDPR για να διασφαλίσει ότι είναι αποτελεσματικό και συμμορφωμένο με τους κανονισμούς προστασίας δεδομένων. Αυτές οι αναθεωρήσεις περιλαμβάνουν ανάλυση του αριθμού και του είδους των αιτημάτων που ελήφθησαν, την επικαιρότητα και την αποτελεσματικότητα των απαντήσεων και τυχόν τομείς προς βελτίωση.
10.2. Εφαρμογή βελτιώσεων
Με βάση τα ευρήματα των επισκοπήσεων, το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής εφαρμόζει οποιεσδήποτε απαραίτητες βελτιώσεις στη διαδικασία διαχείρισης αιτημάτων για τα δικαιώματα του υποκειμένου των δεδομένων. Αυτό μπορεί να περιλαμβάνει ενημερώσεις των διαδικασιών, πρόσθετη εκπαίδευση για το προσωπικό ή αλλαγές στον τρόπο επαλήθευσης και ανταπόκρισης των αιτημάτων.
10.3. Διασφάλιση διαρκούς συμμόρφωσης
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής διασφαλίζει τη διαρκή συμμόρφωση με τους κανονισμούς προστασίας δεδομένων αναθεωρώντας και ενημερώνοντας τακτικά τις πολιτικές και τις διαδικασίες του σύμφωνα με τυχόν αλλαγές στους σχετικούς νόμους και κανονισμούς.
10.4. Παρακολούθηση της απόδοσης του προσωπικού
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής παρακολουθεί την απόδοση του προσωπικού σε σχέση με τον χειρισμό των αιτημάτων για δικαιώματα στο οποίο αναφέρονται τα δεδομένα, συμπεριλαμβανομένης της ποιότητας και της επικαιρότητας των απαντήσεων. Αυτό μπορεί να περιλαμβάνει περιοδική εκπαίδευση και αναθεωρήσεις απόδοσης για να διασφαλιστεί ότι το προσωπικό είναι ενημερωμένο και ικανό σε αυτόν τον τομέα.
10.5. Επικοινωνία με υποκείμενα των δεδομένων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής επικοινωνεί με τα υποκείμενα των δεδομένων καθ' όλη τη διάρκεια της διαδικασίας διεκπεραίωσης των αιτημάτων για να διασφαλίσει ότι τηρούνται ενήμερα για την πρόοδο και κάθε σχετική πληροφορία. Αυτό μπορεί να περιλαμβάνει την παροχή ενημερώσεων σχετικά με την κατάσταση του αιτήματός τους ή την αίτηση πρόσθετων πληροφοριών, όπως απαιτείται.
10.6. Τήρηση αρχείων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής διατηρεί αρχεία με τις επιθεωρήσεις του, συμπεριλαμβανομένων τυχόν αλλαγών που έγιναν στη διαδικασία διεκπεραίωσης αιτημάτων για τα δικαιώματα του υποκειμένου των δεδομένων, καθώς και οποιασδήποτε ανατροφοδότησης λαμβάνεται από τα υποκείμενα των δεδομένων. Αυτές οι πληροφορίες μπορούν να χρησιμοποιηθούν για την υποστήριξη συνεχών προσπαθειών συμμόρφωσης και για τον εντοπισμό περιοχών για περαιτέρω βελτίωση.
Μέρος 11. Κατάρτιση του αρχείου των δραστηριοτήτων επεξεργασίας
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής διατηρεί το Αρχείο Δραστηριοτήτων Επεξεργασίας που είναι ένα έγγραφο που περιγράφει την επεξεργασία προσωπικών δεδομένων που πραγματοποιείται από τον οργανισμό. Απαιτείται σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων της ΕΕ (GDPR) και προορίζεται να υποστηρίξει την κατανόηση των δραστηριοτήτων επεξεργασίας δεδομένων και την απόδειξη της συμμόρφωσης με τον GDPR.
11.1. Δομή ROPA
Το ROPA περιλαμβάνει βασικές πληροφορίες για το όνομα και τα στοιχεία επικοινωνίας του οργανισμού, τους σκοπούς της επεξεργασίας δεδομένων, τις κατηγορίες προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία, τους αποδέκτες των προσωπικών δεδομένων και τις περιόδους διατήρησης των προσωπικών δεδομένων. Περιλαμβάνει επίσης πληροφορίες σχετικά με τυχόν τρίτους επεξεργαστές που επεξεργάζονται προσωπικά δεδομένα για λογαριασμό του οργανισμού.
11.2. ROPA τακτικές ενημερώσεις
Το ROPA ενημερώνεται τακτικά και είναι ένα ζωντανό έγγραφο που αντικατοπτρίζει τις αλλαγές στις δραστηριότητες επεξεργασίας δεδομένων του Ευρωπαϊκού Ινστιτούτου Πιστοποίησης Πληροφορικής, υποστηρίζοντας την οικοδόμηση εμπιστοσύνης με τα υποκείμενα των δεδομένων.
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής δεσμεύεται να διατηρεί τα υψηλότερα πρότυπα όσον αφορά τη Διαχείριση αιτημάτων για τα δικαιώματα υποκειμένου δεδομένων και την Πολιτική γενικού κανονισμού προστασίας δεδομένων, φροντίζοντας να συμμορφώνεται με όλους τους ισχύοντες νόμους και κανονισμούς που σχετίζονται με αυτά τα θέματα, καθώς και με τα κορυφαία πρότυπα του κλάδου και βέλτιστες πρακτικές, συμπεριλαμβανομένου του συστήματος διαχείρισης πληροφοριών απορρήτου ISO 27701.